-
公开(公告)号:CN114666071B
公开(公告)日:2023-09-05
申请号:CN202011403556.7
申请日:2020-12-04
Applicant: 中国移动通信集团广东有限公司 , 中国移动通信集团有限公司
IPC: H04L9/40
Abstract: 本申请公开了一种僵尸网络识别方法、装置及终端设备,其中,方法包括:对待处理的DNS报文日志进行风险识别,得到风险识别结果,所述DNS报文日志中包括多个域名信息,每个所述域名信息包括域名以及所述域名对应的源IP;在所述风险识别结果指示所述DNS报文日志疑似恶意流量的情况下,基于预配置的DGA家族规则,确定所述DNS报文日志中各域名信息所属的DGA家族集合;基于所述DGA家族集合以及所述源IP,对具有相同源IP的域名信息进行聚类,得到多个目标流量组;分别统计各所述目标流量组中访问同一类DGA家族集合的源IP的数量;在所述数量大于第一阈值、且访问无效返回占比大于第二阈值的情况下,确定所述源IP对应的网络为僵尸网络。
-
公开(公告)号:CN114666071A
公开(公告)日:2022-06-24
申请号:CN202011403556.7
申请日:2020-12-04
Applicant: 中国移动通信集团广东有限公司 , 中国移动通信集团有限公司
IPC: H04L9/40
Abstract: 本申请公开了一种僵尸网络识别方法、装置及终端设备,其中,方法包括:对待处理的DNS报文日志进行风险识别,得到风险识别结果,所述DNS报文日志中包括多个域名信息,每个所述域名信息包括域名以及所述域名对应的源IP;在所述风险识别结果指示所述DNS报文日志疑似恶意流量的情况下,基于预配置的DGA家族规则,确定所述DNS报文日志中各域名信息所属的DGA家族集合;基于所述DGA家族集合以及所述源IP,对具有相同源IP的域名信息进行聚类,得到多个目标流量组;分别统计各所述目标流量组中访问同一类DGA家族集合的源IP的数量;在所述数量大于第一阈值、且访问无效返回占比大于第二阈值的情况下,确定所述源IP对应的网络为僵尸网络。
-
Search Results
12
records
(took 0.034 seconds)
