公开(公告)号：CN111371735B

公开(公告)日：2022-06-21

申请号：CN201811602973.7

申请日：2018-12-26

Applicant: 中兴通讯股份有限公司

Inventor： 成黎 ,  田甜 ,  李依馨 ,  罗熙 ,  杨婧 ,  王利明

IPC: H04L9/40 ,  H04L61/4511

Abstract: 本发明公开了一种僵尸网络检测方法、系统及存储介质，其方法包括：获取被监测网络中的原始网络流量数据，对原始网络流量数据进行预处理，得到预处理后的网络流量数据；基于预处理后的网络流量数据构建终端访问关系图；从终端访问关系图中挖掘出访问多个相同域名的终端标识列表，得到候选节点组合，基于预设的筛选规则，对候选节点组合进行筛选得到僵尸网络节点的检测结果。本发明方案应用数据种类少，在数据流量中提取的特征数量少，计算开销较小，能够有效提升检测效率，且该方案不需要基于确知的僵尸网络行为特征进行检测，能够更好的应用于未知僵尸网络威胁的检出。

公开(公告)号：CN108683686B

公开(公告)日：2020-07-28

申请号：CN201810641482.7

申请日：2018-06-21

Applicant: 中国科学院信息工程研究所 ,  中兴通讯股份有限公司

Inventor： 王利明 ,  罗熙 ,  张勇涛 ,  杨婧 ,  王静 ,  田甜

IPC: H04L29/06 ,  H04L29/12 ,  H04L12/24 ,  H04L12/26

Abstract: 本发明提出了一种针对DNS服务器的DDoS攻击检测方法。DNS是服务器是网络环境中重要的公共基础设施。为了让DNS拒绝服务，恶意攻击者向允许递归的开放DNS解析器发送大量伪造的查询请求，通过耗尽DNS的计算资源与带宽来使得DNS服务器无法响应正常请求。发明人解决的问题集中于一种新的针对DNS服务器的攻击类型，即针对解析域名的权威服务器通过其控制的僵尸网络发送大量针对解析域名的带有随机子域名的域名解析请求，以此耗尽DNS服务器资源。发明人针对性的提出了一种基于统计方法的应对上述DDoS攻击的检测方式。不但能准确检测到随机子域名DDoS攻击的发生，还能够确认本次DDoS攻击是针对哪一个域名发起的，在此基础上可以进行后续的防御工作。

公开(公告)号：CN108683686A

公开(公告)日：2018-10-19

申请号：CN201810641482.7

申请日：2018-06-21

Applicant: 中国科学院信息工程研究所 ,  中兴通讯股份有限公司

Inventor： 王利明 ,  罗熙 ,  张勇涛 ,  杨婧 ,  王静 ,  田甜

IPC: H04L29/06 ,  H04L29/12 ,  H04L12/24 ,  H04L12/26

Abstract: 本发明提出了一种针对DNS服务器的DDoS攻击检测方法。DNS是服务器是网络环境中重要的公共基础设施。为了让DNS拒绝服务，恶意攻击者向允许递归的开放DNS解析器发送大量伪造的查询请求，通过耗尽DNS的计算资源与带宽来使得DNS服务器无法响应正常请求。发明人解决的问题集中于一种新的针对DNS服务器的攻击类型，即针对解析域名的权威服务器通过其控制的僵尸网络发送大量针对解析域名的带有随机子域名的域名解析请求，以此耗尽DNS服务器资源。发明人针对性的提出了一种基于统计方法的应对上述DDoS攻击的检测方式。不但能准确检测到随机子域名DDoS攻击的发生，还能够确认本次DDoS攻击是针对哪一个域名发起的，在此基础上可以进行后续的防御工作。

公开(公告)号：CN107770132A

公开(公告)日：2018-03-06

申请号：CN201610686248.7

申请日：2016-08-18

Applicant: 中兴通讯股份有限公司 ,  中国科学院信息工程研究所

Inventor： 孙默 ,  罗熙 ,  王利明 ,  杨婧

IPC: H04L29/06 ,  H04L29/12

CPC classification number: H04L29/08 ,  H04L61/1511 ,  H04L63/1441 ,  H04L63/1483

Abstract: 本发明公开了一种对算法生成域名进行检测的方法及装置，本发明通过概率模型生成算法，分别根据算法生成域名集和正常域名集建立随机模型和正常模型，并通过上述模型对算法生成域名进行检测，从而实现对算法生成域名进行快速检测，进而有效解决了现有技术不能对算法生成域名进行快速检测的问题。

公开(公告)号：CN107770132B

公开(公告)日：2021-11-05

申请号：CN201610686248.7

申请日：2016-08-18

Applicant: 中兴通讯股份有限公司 ,  中国科学院信息工程研究所

Inventor： 孙默 ,  罗熙 ,  王利明 ,  杨婧

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明公开了一种对算法生成域名进行检测的方法及装置，本发明通过概率模型生成算法，分别根据算法生成域名集和正常域名集建立随机模型和正常模型，并通过上述模型对算法生成域名进行检测，从而实现对算法生成域名进行快速检测，进而有效解决了现有技术不能对算法生成域名进行快速检测的问题。

公开(公告)号：CN111371735A

公开(公告)日：2020-07-03

申请号：CN201811602973.7

申请日：2018-12-26

Applicant: 中兴通讯股份有限公司

Inventor： 成黎 ,  田甜 ,  李依馨 ,  罗熙 ,  杨婧 ,  王利明

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明公开了一种僵尸网络检测方法、系统及存储介质，其方法包括：获取被监测网络中的原始网络流量数据，对原始网络流量数据进行预处理，得到预处理后的网络流量数据；基于预处理后的网络流量数据构建终端访问关系图；从终端访问关系图中挖掘出访问多个相同域名的终端标识列表，得到候选节点组合，基于预设的筛选规则，对候选节点组合进行筛选得到僵尸网络节点的检测结果。本发明方案应用数据种类少，在数据流量中提取的特征数量少，计算开销较小，能够有效提升检测效率，且该方案不需要基于确知的僵尸网络行为特征进行检测，能够更好的应用于未知僵尸网络威胁的检出。