技术总结
本发明公开了一种基于Netflow和DNS日志的僵尸网络检测方法,包括:通过异常流量监测技术对采集到的Netflow数据进行五元组关联分析,分析出运营商网络的被感染主机的IP地址、被感染主机的IP地址所发起的攻击目标的IP地址以及攻击特征;在DNS服务器上,采集DNS查询请求日志,对多个被感染主机的IP地址在攻击运营商网络期间所发起的域名请求情况进行关联分析,查找到共性域名访问记录并排除正常的共性域名,得到FFSN动态恶意域名。本发明可快速定位FFSN动态恶意域名,极大的提高了FFSN动态恶意域名的定位精度与实效性,降低了误判率。
技术研发人员:刘洋
受保护的技术使用者:广州赛讯信息技术有限公司
文档号码:201610993499
技术研发日:2016.11.10
技术公布日:2017.05.10