【摘要】：針對僵尸網(wǎng)絡(luò)為避免域名黑名單封堵而廣泛采用域名變換技術(shù)的問題,提出一種域名請求行為特征與域名構(gòu)成特征相結(jié)合的僵尸網(wǎng)絡(luò)檢測方法。該方法通過支持向量機(jī)(SVM)分類器對網(wǎng)絡(luò)中主機(jī)解析失敗的域名進(jìn)行分析,提取出可疑感染主機(jī);通過新域名聚類分析,將請求同一組新域名的主機(jī)集合作為檢測對象,分析請求主機(jī)集合是否由可疑感染主機(jī)構(gòu)成,提取出僵尸網(wǎng)絡(luò)當(dāng)前使用的域名集合以及命令與控制(Command and Control,CC)服務(wù)器使用的IP地址集合。實(shí)驗(yàn)結(jié)果表明:訓(xùn)練后SVM分類器可達(dá)98.5%以上的準(zhǔn)確率;經(jīng)對ISP域名服務(wù)器監(jiān)測,系統(tǒng)可準(zhǔn)確提取出感染主機(jī)和CC服務(wù)器的IP地址。
[Abstract]:To avoid the problem of domain name blacklist blocking, a botnet detection method based on domain name request behavior feature and domain name composition feature is proposed. In this method, support vector machine (SVM) (SVM) classifier is used to analyze the domain name which failed to resolve the host in the network, and the suspected infected host is extracted. Through the cluster analysis of new domain names, the host set requesting the same group of new domain names is used as the detection object, and whether the request host collection is made up of suspected infected hosts is analyzed. The collection of domain names currently used by botnet and the set of IP addresses used by command and control (Command and Control,CC) server are extracted. The experimental results show that the SVM classifier can achieve 98.5% accuracy after training, and the IP address of the infected host and CC server can be accurately extracted by monitoring the ISP domain name server.
【作者單位】： 西北工業(yè)大學(xué)計(jì)算機(jī)學(xué)院;
【基金】：國家自然科學(xué)基金資助項(xiàng)目(60903126,60872145)
【分類號】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 朱帆;;僵尸網(wǎng)絡(luò)檢測和防范研究[J];現(xiàn)代商貿(mào)工業(yè);2010年12期

2 沈利香;;僵尸網(wǎng)絡(luò)傳播模式分析和防治對策[J];常州工學(xué)院學(xué)報;2008年06期

3 王明華;;網(wǎng)絡(luò)安全波瀾不驚[J];信息網(wǎng)絡(luò)安全;2010年04期

4 周佳駿;汪婷婷;韋剛;李肖堅(jiān);;基于計(jì)算機(jī)網(wǎng)絡(luò)對抗的僵尸網(wǎng)絡(luò)研究與進(jìn)展[J];計(jì)算機(jī)應(yīng)用研究;2009年05期

5 張琛;王亮;熊文柱;;P2P僵尸網(wǎng)絡(luò)的檢測技術(shù)[J];計(jì)算機(jī)應(yīng)用;2010年S1期

6 門汝靜;;近期網(wǎng)絡(luò)安全的特點(diǎn)與熱點(diǎn)[J];現(xiàn)代電信科技;2009年01期

7 黃萍;譚良;;半分布式P2P Botnet控制服務(wù)器的設(shè)計(jì)與實(shí)現(xiàn)[J];計(jì)算機(jī)應(yīng)用;2009年09期

8 張蕾;;僵尸網(wǎng)絡(luò)特性與發(fā)展研究分析[J];河西學(xué)院學(xué)報;2010年05期

9 董開坤;劉揚(yáng);郭栗;董嵐;;P2P僵尸網(wǎng)絡(luò)檢測技術(shù)[J];信息安全與通信保密;2008年04期

10 陸偉宙;余順爭;;僵尸網(wǎng)絡(luò)檢測方法研究[J];電信科學(xué);2007年12期

相關(guān)會議論文 前10條

1 張建宇;廖唯h，

本文編號：2383668