本文關(guān)鍵詞：基于DNS查詢行為的Bot檢測

  更多相關(guān)文章： 僵尸程序 自動連接 DNS查詢行為 DNS反應(yīng)行為

【摘要】：提出一種基于DNS查詢行為的檢測方法。根據(jù)Bot的自動運(yùn)行特性,從DNS查詢的角度對主機(jī)中的進(jìn)程進(jìn)行初步過濾,縮小檢測范圍;分析Bot與其他進(jìn)程的DNS反應(yīng)行為模式的異同,構(gòu)建Bot-DNS檢測模型,在此基礎(chǔ)上判斷可疑進(jìn)程是否為Bot。實(shí)驗(yàn)結(jié)果表明,該方法能夠檢測出處于生命周期早期階段的Bot,且檢測過程與Bot采用的協(xié)議結(jié)構(gòu)無關(guān),具有較好的檢測效果。
【作者單位】： 信息工程大學(xué);中國人民解放軍63895部隊(duì);
【關(guān)鍵詞】： 僵尸程序 自動連接 DNS查詢行為 DNS反應(yīng)行為
【分類號】：TP393.08
【正文快照】： 1引言作為攻擊者手中最有效的通用網(wǎng)絡(luò)攻擊平臺,僵尸網(wǎng)絡(luò)[1-2]已成為互聯(lián)網(wǎng)安全的最大威脅之一。它是攻擊者出于惡意目的,傳播僵尸程序控制大量主機(jī),并通過一對多的命令與控制信道所組成的網(wǎng)絡(luò)[3]。僵尸程序[4-5](Bot)作為運(yùn)行在僵尸主機(jī)上的惡意程序,通過命令與控制信道接收，

本文編號：1034533