10.3969/j.issn.1002-137X.2013.08.030
基于组行为特征的恶意域名检测
目前,僵尸网络广泛采用域名变换技术,以避免域名黑名单的封堵,为此提出一种基于组行为特征的恶意域名检测方法.该方法对每个检测周期内网络中主机请求的新域名集合、失效域名集合进行聚类分析,并将请求同一组新域名的主机集合作为检测对象,通过分析集合内主机在请求失效域名、新域名行为上是否具有组特性,提取出网络中的感染主机集合、C&C服务器使用的IP地址集合.对一ISP域名服务器监测的结果表明,该方法可准确提取出感染主机、C&C服务器IP地址.
网络安全、僵尸网络、域名生成算法、域名变换
40
TP393(计算技术、计算机技术)
国家自然科学基金60903126,60872145
2013-10-10(万方平台首次上网日期,不代表论文的发表时间)
共4页
146-148,185