[发明专利]基于DNS流量检测受感染主机和CC服务器的方法有效
| 申请号: | 201710850732.3 | 申请日: | 2017-09-20 |
| 公开(公告)号: | CN107612911B | 公开(公告)日: | 2020-05-01 |
| 发明(设计)人: | 蔡福杰;范渊;刘元;李凯 | 申请(专利权)人: | 杭州安恒信息技术股份有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L29/12 |
| 代理公司: | 杭州赛科专利代理事务所(普通合伙) 33230 | 代理人: | 郭薇;冯年群 |
| 地址: | 310052 浙江省杭州*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明涉及一种基于DNS流量检测受感染主机和CC服务器的方法,构建训练集并训练识别随机域名的算法,采集经过任一网卡的DNS流量并解析得到DNS信息;利用识别随机域名的算法判断DNS信息中的域名是否为随机域名,是则判断域名是否解析成功的信息,解析失败则识别受感染主机,对受感染的主机进行信息保存,识别CC服务器,对CC服务器,进行信息保存,告警并保存告警信息、展现。本发明通过DNS流量信息有效识别被使用DGA算法进行回连的病毒、木马感染的主机以及其背后的CC服务器,精确度高,相比通过其他流量的检测手段,DNS流量要小很多,因而本发明的成本更低且效率更高。 | ||
| 搜索关键词: | 基于 dns 流量 检测 感染 主机 cc 服务器 方法 | ||
【主权项】:
一种基于DNS流量检测受感染主机和C&C服务器的方法,其特征在于:所述方法包括以下步骤:步骤1:构建训练集,训练得到识别随机域名的算法;步骤2:利用流量采集模块采集经过任一网卡的DNS流量;步骤3:对采集的DNS流量按照DNS协议规范进行解析,得到DNS信息;所述DNS信息包括域名、域名是否解析成功、客户端IP;步骤4:利用步骤1得到的识别随机域名的算法判断DNS信息中的域名是否为随机域名,如是,进行下一步,如否,返回步骤2;步骤5:判断域名是否解析成功的信息,如解析失败,进行下一步,如解析成功,进行步骤7;步骤6:识别受感染主机;若是受感染的主机,则对信息进行保存,进行步骤8,否则返回步骤2;步骤7:识别C&C服务器;若是C&C服务器,则对信息进行保存,进行步骤8,否则返回步骤2;步骤8:告警,保存告警信息并展现;返回步骤2。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州安恒信息技术股份有限公司,未经杭州安恒信息技术股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201710850732.3/,转载请声明来源钻瓜专利网。
- 上一篇:既可发音也可健身的棋牌
- 下一篇:一种电子战争桌游系统
