公开(公告)号：CN101986642B

公开(公告)日：2012-12-26

申请号：CN201010517771.X

申请日：2010-10-18

Applicant: 中国科学院计算技术研究所

Inventor： 张治起 ,  郭莉 ,  刘潮歌 ,  廖鹏 ,  崔翔

IPC: H04L29/06 ,  H04L12/26

Abstract: 本发明提供一种检测Domain Flux数据流的系统和方法，监听模块用于监听并分析出入网关的数据流，获取DNS查询请求数据包和DNS应答包，并提取源IP地址、待查询的DNS、时间戳、DNS对应的A记录信息；数据库操作模块，用于将监听模块提取的源IP地址、待查询的DNS、时间戳、DNS对应的A记录信息记录在数据库中；计算窗口最大公共子串的模块，用于计算时间窗口内任意两个请求的DNS的最大公共子串，并对最大公共子串出现的次数计数来确定窗口最大公共子串。

公开(公告)号：CN101986642A

公开(公告)日：2011-03-16

申请号：CN201010517771.X

申请日：2010-10-18

Applicant: 中国科学院计算技术研究所

Inventor： 张治起 ,  郭莉 ,  刘潮歌 ,  廖鹏 ,  崔翔

IPC: H04L29/06 ,  H04L12/26

Abstract: 本发明提供一种检测Domain Flux数据流的系统和方法，监听模块用于监听并分析出入网关的数据流，获取DNS查询请求数据包和DNS应答包，并提取源IP地址、待查询的DNS、时间戳、DNS对应的A记录信息；数据库操作模块，用于将监听模块提取的源IP地址、待查询的DNS、时间戳、DNS对应的A记录信息记录在数据库中；计算窗口最大公共子串的模块，用于计算时间窗口内任意两个请求的DNS的最大公共子串，并对最大公共子串出现的次数计数来确定窗口最大公共子串。