[发明专利]基于Passive DNS迭代聚类的恶意域名检测方法有效
| 申请号: | 201610497879.4 | 申请日: | 2016-06-29 |
| 公开(公告)号: | CN106060067B | 公开(公告)日: | 2018-12-25 |
| 发明(设计)人: | 邹福泰;孙文杰;谭凌霄;刘渝娇 | 申请(专利权)人: | 上海交通大学 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L29/12 |
| 代理公司: | 上海旭诚知识产权代理有限公司 31220 | 代理人: | 郑立 |
| 地址: | 200240 *** | 国省代码: | 上海;31 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种基于Passive DNS迭代聚类的恶意域名检测方法,包括如下步骤:步骤一:提取DNS查询数据,得到DNS数据组;步骤二:根据已知的白名单域名网站及域名的总访问量,去除DNS数据组中包含白名单域名的数据组,得到处理后DNS数据组;步骤三:通过处理后DNS数据组中域名与IP之间的相互映射关系,反复迭代查询,得到存在关联的域名组;步骤四:抽取恶意域名的特征并训练得到模型,判断存在关联的域名组是否存在恶意域名。本发明公开的一种基于Passive DNS迭代聚类的恶意域名检测方法,通过域名和IP之间的映射关系,反复迭代查询,得到存在关联的域名组,大大提高了恶意域名的正检率。 | ||
| 搜索关键词: | 基于 passive dns 迭代聚类 恶意 域名 检测 方法 | ||
【主权项】:
1.一种基于Passive DNS迭代聚类的恶意域名检测方法,其特征在于,包括如下步骤:步骤一:提取DNS查询数据,得到DNS数据组;步骤二:根据已知的白名单域名网站及域名的总访问量,去除DNS数据组中包含白名单域名的数据组,得到处理后DNS数据组;步骤三:通过处理后DNS数据组中域名与IP之间的相互映射关系,反复迭代查询,得到存在关联的域名组,所述反复迭代查询的具体步骤包括:在所述处理后DNS数据组中选定一个域名D0,查找所述域名D0在时间周期T内映射到的全部第一IP;解析所述第一IP的全部域名形成第一集合Cn,查询在所述时间周期T内第一集合Cn中的域名解析过的全部第二IP,解析到所述第二IP的全部域名形成第二集合Cn’,即完成一次迭代循环;当所述迭代循环中得到的第一集合Cn和第二集合Cn’不相等,则继续所述迭代循环;当所述迭代循环中得到的第一集合Cn和第二集合Cn’相等,则结束所述迭代循环;步骤四:抽取恶意域名的特征并训练得到模型,判断存在关联的域名组是否存在恶意域名。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于上海交通大学,未经上海交通大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201610497879.4/,转载请声明来源钻瓜专利网。
- 上一篇:气力粉料输送智能进料管理系统
- 下一篇:一种正压气力输送的喷吹罐泄压装置
