【技术实现步骤摘要】
结合威胁情报的Fast-Flux僵尸网络的检测方法
本专利技术涉及网络安全
,尤其涉及一种结合威胁情报的Fast-Flux僵尸网络的检测方法、装置、电子设备和计算机可读存储介质。
技术介绍
在早期的僵尸网络中,控制者通常会把C&C(CommandandControl命令和控制)服务器的域名或者IP(InternetProtocol,网络协议)地址写入恶意程序中,僵尸主机通过这些C&C服务器域名或者IP访问C&C主机获取命令。但安全人员在捕获到这些C&C域名和IP后,可以定位出C&C主机,可以隔离C&C主机从而破坏僵尸网络;不少控制者为了保护C&C主机,使用Fast-Flux技术来提高C&C服务器的健壮性,其原理在于:Fast-Flux会不断将域名映射到不同的僵尸主机IP上,也就是说在短时间内查询使用Fast-Flux技术部署的域名,会得到不同的结果。目前,现有技术中Fast-Flux僵尸网络的检测方法为通过机器学习建立检测模型进行检测,即通过对获取的DNS数据包进行解析得到域名DNS解析结果,然...
【技术保护点】
1.一种结合威胁情报的Fast‑Flux僵尸网络的检测方法,其特征在于,包括:获取DNS流量包,并对所述DNS流量包进行解析得到待解析域名;对所述待解析域名进行过滤生成过滤结果;基于所述过滤结果确定所述待解析域名是否为疑似Fast‑Flux域名;如果所述待解析域名为疑似Fast‑Flux域名,基于所述待解析域名在威胁情报库中进行查询,生成查询结果;基于所述查询结果确定所述待解析域名是否为Fast‑Flux僵尸网络。
【技术特征摘要】
1.一种结合威胁情报的Fast-Flux僵尸网络的检测方法,其特征在于,包括:获取DNS流量包,并对所述DNS流量包进行解析得到待解析域名;对所述待解析域名进行过滤生成过滤结果;基于所述过滤结果确定所述待解析域名是否为疑似Fast-Flux域名;如果所述待解析域名为疑似Fast-Flux域名,基于所述待解析域名在威胁情报库中进行查询,生成查询结果;基于所述查询结果确定所述待解析域名是否为Fast-Flux僵尸网络。2.根据权利要求1所述的方法,其特征在于,所述对所述待解析域名进行过滤生成过滤结果,包括:获取所述待解析域名的标志信息,所述标志信息用于指示所述待解析域名的域名解析是否成功;基于所述标志信息对所述待解析域名进行过滤。3.根据权利要求2所述的方法,其特征在于,所述方法还包括:如果所述标志信息指示域名解析成功,获取所述待解析域名解析出来的IP信息;基于所述IP信息对所述待解析域名进行过滤。4.根据权利要求3所述的方法,其特征在于,所述IP信息包括IP地址的数量以及每个IP地址的生存时间值TTL。5.根据权利要求1所述的方法,其特征在于,所述基于所述过滤结果确定所述待解析域名是否为疑似Fast-Flux域名,包括:如果所述过滤结果指示所述待解析域名为目标域名,在预设时间段内对所述待解析域名进行统计,得到所述待解析域名解析出来的IP地址的总数量;基于所述待解析域名解析出来的IP地址的总数量确定所述待解析域名是否为疑似Fast-Flux域名。6.根据权利要求5所述的方法,其特征在于,所述基于所述待解析域名解析出来的IP地址的总数量确定所述待解析域名是否为疑似...
【专利技术属性】
技术研发人员:沈伟,范渊,黄进,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。