1.一种基于Netflow和DNS日志的僵尸网络检测方法,其特征在于,包括以下步骤:
通过异常流量监测技术对采集到的Netflow数据进行五元组关联分析,快速分析出运营商网络的被感染主机的IP地址、被感染主机的IP地址所发起的攻击目标的IP地址以及攻击特征;
在DNS服务器上,采集DNS查询请求日志,对多个被感染主机的IP地址在攻击运营商网络期间所发起的域名请求情况进行关联分析,查找到共性域名访问记录并排除正常的共性域名,得到FFSN动态恶意域名。
2.如权利要求1所述的方法,其特征在于,通过对DNS多级域名进行限速与防护实现对所述FFSN动态恶意域名的限速或封堵。
3.如权利要求1所述的方法,其特征在于,用户再次访问所述FFSN动态恶意域名时,对域名解析的结果进行重定向,将用户的HTTP访问流量重定向至Portal提示页面。
4.如权利要求1所述的方法,其特征在于,通过设置域名白名单,对查找到的所述共性域名访问记录进行白名单过滤,排除正常的共性域名。
5.如权利要求1所述的方法,其特征在于,通过分光采集方式或镜像采集方式采集所述DNS查询请求日志。
6.如权利要求1所述的方法,其特征在于,利用FP-growth算法对多个被感染主机的IP地址在攻击运营商网络期间所发起的域名请求情况进行关联分析。
7.如权利要求6所述的方法,其特征在于,包括通过对所述DNS查询请求日志的请求域名字段进行切分,提取获得多个被感染用户的IP地址在发起攻击期间所访问的域名集合以及基于DNS查询请求的时间序列分析出多个被感染用户的IP地址的域名访问路径,从而查找到僵尸网络。
8.如权利要求1所述的方法,其特征在于,基于Hadoop集群实时处理数据。
9.如权利要求1所述的方法,其特征在于,所述攻击特征包括攻击协议、端口和数据包大小。