发明名称 |
一种基于日志的僵木蠕网络分析方法和系统 |
摘要 |
本发明公开了一种基于日志的僵木蠕网络分析方法,包括:步骤1)获取DNS日志和RADIUS日志;所述DNS日志包括:日期、时间、访问信息、请求IP信息、请求域名信息、请求域名特征、解析类型、解析IP信息、DNS服务器特征信息;步骤2)分别对DNS日志和RADIUS日志进行日志清洗,将统计没有影响的字段去掉,保留或修改影响统计结果的字段;步骤3)根据已知的僵木蠕网站及其肉鸡的共同行为特征,获取符合指定特征的可疑域名;步骤4)根据所述可疑域名的用户访问DNS日志和RADIUS日志,分析访问这些可疑域名的用户群的特征,并根据用户群的特征确定僵木蠕域名。 |
申请公布号 |
CN104580249A |
申请公布日期 |
2015.04.29 |
申请号 |
CN201510042430.4 |
申请日期 |
2015.01.28 |
申请人 |
北京润通丰华科技有限公司 |
发明人 |
杨蓉;丁文涛 |
分类号 |
H04L29/06(2006.01)I;H04L12/24(2006.01)I |
主分类号 |
H04L29/06(2006.01)I |
代理机构 |
|
代理人 |
|
主权项 |
一种基于日志的僵木蠕网络分析方法,包括:步骤1)获取DNS日志和RADIUS日志;所述DNS日志包括:日期、时间、访问信息、请求IP信息、请求域名信息、请求域名特征、解析类型、解析IP信息、DNS服务器特征信息;步骤2)分别对DNS日志和RADIUS日志进行日志清洗,将统计没有影响的字段去掉,保留或修改影响统计结果的字段;步骤3)根据已知的僵木蠕网站及其肉鸡的共同行为特征,获取符合指定特征的可疑域名;步骤4)根据所述可疑域名的用户访问DNS日志和RADIUS日志,分析访问这些可疑域名的用户群的特征,并根据用户群的特征确定僵木蠕域名。 |
地址 |
100093 北京市海淀区闵庄路永泰自在香山40-2号 |