发明名称 |
僵尸网络恶意域名的分布式协同检测系统和方法 |
摘要 |
本发明公开了一种僵尸网络的分布式协同检测系统和方法,所述检测系统由多个协同检测的对等节点组成,并通过HDFS来共享文件;每个节点包括DNS日志分割模块、域名查询周期性分析模块、白名单过滤模块、协同分析模块、HDFS模块和黑名单查询模块。检测方法是以各DNS服务器的DNS日志作为输入,在各节点对本地DNS日志按查询者IP地址进行分割,并通过HDFS进行共享文件,使得同一IP地址的所有DNS行为都能够被一个节点所获取,易于判断对应的IP地址查询的每个域名的查询周期性,从而在白名单过虑后能够判断其是否属于恶意域名,该查询者IP是否属于僵尸网络主机。同时,本发明还提供完整IP黑名单和域名黑名单的查询。 |
申请公布号 |
CN103685230B |
申请公布日期 |
2016.11.30 |
申请号 |
CN201310534381.7 |
申请日期 |
2013.11.01 |
申请人 |
上海交通大学 |
发明人 |
邹福泰;潘思远;易平;李建华 |
分类号 |
H04L29/06(2006.01)I;H04L29/12(2006.01)I |
主分类号 |
H04L29/06(2006.01)I |
代理机构 |
上海旭诚知识产权代理有限公司 31220 |
代理人 |
郑立 |
主权项 |
一种僵尸网络恶意域名的分布式协同检测系统,其特征在于,所述检测系统包括多个协同检测的对等节点,所述节点通过HADOOP分布式文件系统共享文件;所述节点包括:DNS日志分割模块:用于将相同IP的查询者的DNS日志分割到所述HADOOP分布式文件系统的同一DNS日志文件中;域名查询周期性模块:分析DNS日志文件中对某一域名的查询是否具有周期性;生产查询行为对象:对过滤后的DNS日志文件,将每一条日志生成查询行为,对所述查询行为以查询者的IP地址为关键字进行统计分析,得出查询行为中的可疑查询,并将所述可疑查询的查询行为通过所述HADOOP分布式文件系统模块录入所述HADOOP分布式文件系统的灰名单中;白名单过滤模块:过滤已知的合法域名;协同分析模块:通过所述HADOOP分布式文件系统实现获取其他所述节点的分析结果,协同分析判断:某一域名是否是恶意域名和某一IP地址是否是僵尸主机地址;判断所述HADOOP分布式文件系统中的灰名单中的查询行为是否是僵尸主机对恶意域名的查询,并将判断出的查询域名和查询IP写入黑名单;HADOOP分布式文件系统模块:用于实现所述HADOOP分布式文件系统;黑名单查询模块:用于查询发布的黑名单;所述DNS日志分割模块、白名单过滤模块、协同分析模块和黑名单查询模块通过所述HADOOP分布式文件系统模块在HADOOP分布式文件系统中共享文件,所述域名查询周期性模块通过所述白名单过滤模块过滤已知的合法域名。 |
地址 |
200240 上海市闵行区东川路800号 |