[发明专利]僵尸网络恶意域名的分布式协同检测系统和方法有效
| 申请号: | 201310534381.7 | 申请日: | 2013-11-01 |
| 公开(公告)号: | CN103685230B | 公开(公告)日: | 2016-11-30 |
| 发明(设计)人: | 邹福泰;潘思远;易平;李建华 | 申请(专利权)人: | 上海交通大学 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L29/12 |
| 代理公司: | 上海旭诚知识产权代理有限公司 31220 | 代理人: | 郑立 |
| 地址: | 200240 *** | 国省代码: | 上海;31 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种僵尸网络的分布式协同检测系统和方法,所述检测系统由多个协同检测的对等节点组成,并通过HDFS来共享文件;每个节点包括DNS日志分割模块、域名查询周期性分析模块、白名单过滤模块、协同分析模块、HDFS模块和黑名单查询模块。检测方法是以各DNS服务器的DNS日志作为输入,在各节点对本地DNS日志按查询者IP地址进行分割,并通过HDFS进行共享文件,使得同一IP地址的所有DNS行为都能够被一个节点所获取,易于判断对应的IP地址查询的每个域名的查询周期性,从而在白名单过虑后能够判断其是否属于恶意域名,该查询者IP是否属于僵尸网络主机。同时,本发明还提供完整IP黑名单和域名黑名单的查询。 | ||
| 搜索关键词: | 僵尸 网络 恶意 域名 分布式 协同 检测 系统 方法 | ||
【主权项】:
一种僵尸网络恶意域名的分布式协同检测系统,其特征在于,所述检测系统包括多个协同检测的对等节点,所述节点通过HADOOP分布式文件系统共享文件;所述节点包括:DNS日志分割模块:用于将相同IP的查询者的DNS日志分割到所述HADOOP分布式文件系统的同一DNS日志文件中;域名查询周期性模块:分析DNS日志文件中对某一域名的查询是否具有周期性;生产查询行为对象:对过滤后的DNS日志文件,将每一条日志生成查询行为,对所述查询行为以查询者的IP地址为关键字进行统计分析,得出查询行为中的可疑查询,并将所述可疑查询的查询行为通过所述HADOOP分布式文件系统模块录入所述HADOOP分布式文件系统的灰名单中;白名单过滤模块:过滤已知的合法域名;协同分析模块:通过所述HADOOP分布式文件系统实现获取其他所述节点的分析结果,协同分析判断:某一域名是否是恶意域名和某一IP地址是否是僵尸主机地址;判断所述HADOOP分布式文件系统中的灰名单中的查询行为是否是僵尸主机对恶意域名的查询,并将判断出的查询域名和查询IP写入黑名单;HADOOP分布式文件系统模块:用于实现所述HADOOP分布式文件系统;黑名单查询模块:用于查询发布的黑名单;所述DNS日志分割模块、白名单过滤模块、协同分析模块和黑名单查询模块通过所述HADOOP分布式文件系统模块在HADOOP分布式文件系统中共享文件,所述域名查询周期性模块通过所述白名单过滤模块过滤已知的合法域名。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于上海交通大学,未经上海交通大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201310534381.7/,转载请声明来源钻瓜专利网。
- 上一篇:电力运维安全防护系统
- 下一篇:用于汽车电子控制单元的安全访问方法
