公开(公告)号：CN111371735B

公开(公告)日：2022-06-21

申请号：CN201811602973.7

申请日：2018-12-26

Applicant: 中兴通讯股份有限公司

Inventor： 成黎 ,  田甜 ,  李依馨 ,  罗熙 ,  杨婧 ,  王利明

IPC: H04L9/40 ,  H04L61/4511

Abstract: 本发明公开了一种僵尸网络检测方法、系统及存储介质，其方法包括：获取被监测网络中的原始网络流量数据，对原始网络流量数据进行预处理，得到预处理后的网络流量数据；基于预处理后的网络流量数据构建终端访问关系图；从终端访问关系图中挖掘出访问多个相同域名的终端标识列表，得到候选节点组合，基于预设的筛选规则，对候选节点组合进行筛选得到僵尸网络节点的检测结果。本发明方案应用数据种类少，在数据流量中提取的特征数量少，计算开销较小，能够有效提升检测效率，且该方案不需要基于确知的僵尸网络行为特征进行检测，能够更好的应用于未知僵尸网络威胁的检出。

公开(公告)号：CN111371735A

公开(公告)日：2020-07-03

申请号：CN201811602973.7

申请日：2018-12-26

Applicant: 中兴通讯股份有限公司

Inventor： 成黎 ,  田甜 ,  李依馨 ,  罗熙 ,  杨婧 ,  王利明

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明公开了一种僵尸网络检测方法、系统及存储介质，其方法包括：获取被监测网络中的原始网络流量数据，对原始网络流量数据进行预处理，得到预处理后的网络流量数据；基于预处理后的网络流量数据构建终端访问关系图；从终端访问关系图中挖掘出访问多个相同域名的终端标识列表，得到候选节点组合，基于预设的筛选规则，对候选节点组合进行筛选得到僵尸网络节点的检测结果。本发明方案应用数据种类少，在数据流量中提取的特征数量少，计算开销较小，能够有效提升检测效率，且该方案不需要基于确知的僵尸网络行为特征进行检测，能够更好的应用于未知僵尸网络威胁的检出。