公开(公告)号：CN110336789A

公开(公告)日：2019-10-15

申请号：CN201910449046.4

申请日：2019-05-28

Applicant: 北京邮电大学 ,  杭州安恒信息技术股份有限公司

Inventor： 谷勇浩 ,  崔卓群 ,  范渊 ,  郭振洋 ,  李良训 ,  李凯悦 ,  林明峰 ,  刘博 ,  杨勃

IPC: H04L29/06 ,  H04L29/12 ,  G06K9/62

Abstract: 本发明涉及基于混合学习的Domain-flux僵尸网络检测方法，输入的DNS数据区分训练数据集和检测数据集，分别预处理并将预处理后的训练数据集输入模型，训练得到分类器，将预处理后的检测数据集输入分类器，输出聚类后的域名簇，计算域名簇分值并筛选属于Domain-flux僵尸网络域名的簇，获得受感染主机IP地址及C&C服务器IP地址。本发明为后续防御措施奠定基础，解析时使用和域名、时间、请求IP、解析IP等多方相关的特征，不容易被绕过；兼顾有监督和无监督学习优势，结合分类和聚类算法，可有效检测与训练集差异较大、表现形式不同的未知僵尸样本，相较其他聚类算法检测速度快。