一種基于旁路網(wǎng)絡(luò)全流量與行為特征DGA域名識別方法

基本信息

申請?zhí)?/td> CN202010456649.X 申請日 -
公開(公告)號 CN111654487A 公開(公告)日 2020-09-11
申請公布號 CN111654487A 申請公布日 2020-09-11
分類號 H04L29/06(2006.01)I;H04L29/12(2006.01)I 分類 電通信技術(shù);
發(fā)明人 貴帥;黃躍珍;高才;郭曉冬;唐錫南 申請(專利權(quán))人 南京云利來軟件科技有限公司
代理機(jī)構(gòu) - 代理人 -
地址 210000江蘇省南京市秦淮區(qū)光華東街1號1-2-1室
法律狀態(tài) -

摘要

摘要 本發(fā)明涉及基于旁路網(wǎng)絡(luò)全流量與行為特征DGA域名識別方法,通過旁路監(jiān)聽方式提取DNS流量信息,在提取到的DNS流量中通過DGA行為刻畫分析,先通過流量特征找出可疑IP,進(jìn)一步分析相關(guān)域名產(chǎn)生DGA域名及相關(guān)請求IP的告警,通過交換機(jī)旁路鏡像端口接收用戶網(wǎng)絡(luò)流量,分離出DNS流量進(jìn)行聚合;提取相關(guān)特征值存入數(shù)據(jù)庫進(jìn)行分析技術(shù)來解決DGA域名難以識別難題。本發(fā)明通過對DGA進(jìn)行行為分析,使用啟發(fā)式算法設(shè)計多級規(guī)則進(jìn)行管道式多級聚合處理,輔以域名長度檢查及白名單清洗,解決了目前機(jī)器學(xué)習(xí)算法需逐個檢查流量中域名,執(zhí)行效率低,以及對新DGA變種識別能力差的難題,極大地降低了運算量和規(guī)則復(fù)雜度,提高了對新變種的識別能力。??