[发明专利]一种基于DGA异常域名的事件检测系统及方法有效
| 申请号: | 201911070400.9 | 申请日: | 2019-11-04 |
| 公开(公告)号: | CN110784483B | 公开(公告)日: | 2020-11-27 |
| 发明(设计)人: | 杨丽霞;郎波;戴睿 | 申请(专利权)人: | 北京航空航天大学 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L29/12;G06K9/62 |
| 代理公司: | 北京科迪生专利代理有限责任公司 11251 | 代理人: | 安丽;邓治平 |
| 地址: | 100191*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明提供了一种基于DGA异常域名的事件检测系统及方法,包括:定义了基于DGA异常域名的事件检测框架,设计了框架组成各模块功能和事件检测流程;设计了基于聚类和客户端与服务器端连接分析的正常域名过滤方法,减少了DGA异常域名检测结果的误报;定义了DGA异常域名相关的两类主要事件—僵尸网络DGA远控和DDoS攻击的事件模型,实现了基于DGA异常域名的这两种攻击事件的检测;提出了使用阈值判断攻击事件方法,从而实现了对基于DGA异常域名的事件的判定。本发明基于DGA异常域名检测结果,设计基于聚类和客户端与服务器端连接分析方法有效地过滤DGA异常域名中正常域名,建立攻击事件抽象模型实现了对DNS攻击事件检测。 | ||
| 搜索关键词: | 一种 基于 dga 异常 域名 事件 检测 系统 方法 | ||
【主权项】:
1.一种基于DGA异常域名的事件检测系统,其特征在于,包括:域名过滤模块、攻击事件建模模块、事件生成模块和事件判断模块;/n域名过滤模块:对DGA(Domain Generation Algorithm,域名生成算法)异常域名检测模型判定的可疑DGA异常域名进行过滤,首先采用基于聚类和客户端与服务器端连接分析方法过滤DGA异常域名中的正常域名,然后根据外部知识库进行筛选,得到僵尸网络DGA远控相关域名和DDoS攻击相关域名,其中外部知识库保存出现在可疑DGA异常域名中的由外部网站证明的权威网站二级域名,DDoS攻击是指对域名服务器的DDoS攻击;/n攻击事件建模模块:分析僵尸网络DGA远控和DDoS攻击两种攻击事件流量特征并建立两种攻击事件抽象模型,使用五元组来表示攻击事件抽象模型;/n事件生成模块:将域名过滤模块得到的僵尸网络DGA远控和DDoS攻击两种攻击事件的相关域名流量信息输入至两种攻击事件抽象模型中进行检测,最后得到两种可疑攻击事件;/n事件判断模块:通过设定阈值对事件生成模块的攻击事件进行判断,最后得到事件判定结果,最终完成事件的检测。/n
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京航空航天大学,未经北京航空航天大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201911070400.9/,转载请声明来源钻瓜专利网。
