[发明专利]一种基于主机群特征检测速变攻击域名的方法有效
| 申请号: | 201310063228.0 | 申请日: | 2013-02-28 |
| 公开(公告)号: | CN103152222A | 公开(公告)日: | 2013-06-12 |
| 发明(设计)人: | 时金桥;陈小军;张浩亮;祁成;谭庆丰;徐菲;胡兰兰 | 申请(专利权)人: | 中国科学院信息工程研究所 |
| 主分类号: | H04L12/26 | 分类号: | H04L12/26;H04L29/06 |
| 代理公司: | 北京轻创知识产权代理有限公司 11212 | 代理人: | 杨立 |
| 地址: | 100093 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明涉及一种基于主机群特征检测速变攻击域名的方法,主要包括步骤:1)网络数据包的抓取和DNS报文特征提取;2)速变攻击域名检测;3)误判检测。其中,速变攻击域名检测包括域名对应主机群的IP分散程序计算、服务可用性评估和网络波动检测,为本发明的核心;误判检测排除速变攻击域名检测过程中正常的大型网络域名和在线率探测中本地网络不佳时的检测结果。本发明分析局域网内DNS报文的集合,基于域名对应的主机群IP分散程度和在线率等特征,避免了对单个DNS报文进行分析的准确率问题,且在计算IP距离时考虑域名对应主机群的规模,从而避免大型良性速变网络被误判。 | ||
| 搜索关键词: | 一种 基于 主机 特征 检测 攻击 域名 方法 | ||
【主权项】:
一种基于主机群特征检测速变攻击域名的方法,其特征在于,包括:步骤1,将已有速变攻击域名和正常域名所对应的所有IP的属性作为训练参数,训练出分类器模型;步骤2,捕获网络流量中的DNS域名系统报文,提取出域名IP对元组数据,并将其存储到域名数据库模块;步骤3,从域名数据库模块中取出域名IP对元组数据得到待检测的域名及其对应的所有IP,并计算每个域名对应的IP分散程度;步骤4,根据步骤3的IP分散程度结果,对分散程度值超过阈值的域名进行服务可用性检测;步骤5,将步骤3的IP分散结果和步骤4的服务可用性检测结果输入至步骤1训练出的分类器模型中进行分类,确定出速变攻击域名。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国科学院信息工程研究所,未经中国科学院信息工程研究所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201310063228.0/,转载请声明来源钻瓜专利网。
- 上一篇:液压挖掘机智能保护安全起动装置
- 下一篇:铲、挖两用装载机
