| 发明名称 | 僵尸网络检测方法及装置 | ||
| 摘要 | 本发明实施例提供一种僵尸网络检测方法及装置,该方法包括:确定疑似僵尸网络域名;通过样本分析和/或特征检测获取恶意域名和恶意域名连接端口;根据疑似僵尸网络域名以及恶意域名确定僵尸网络域名,并根据恶意域名连接端口确定与僵尸网络域名对应的僵尸网络连接端口;根据僵尸网络域名以及僵尸网络连接端口确定僵尸网络的拓扑结构。通过上述处理,实现了对僵尸网络的自动检测。 | ||
| 申请公布号 | CN102045215B | 申请公布日期 | 2013.04.24 |
| 申请号 | CN200910206719.X | 申请日期 | 2009.10.21 |
| 申请人 | 成都市华为赛门铁克科技有限公司 | 发明人 | 蒋武 |
| 分类号 | H04L12/26(2006.01)I;H04L29/06(2006.01)I;H04L29/12(2006.01)I | 主分类号 | H04L12/26(2006.01)I |
| 代理机构 | 北京同立钧成知识产权代理有限公司 11205 | 代理人 | 刘芳 |
| 主权项 | 一种僵尸网络检测方法,其特征在于,包括:确定疑似僵尸网络域名;通过样本分析和/或特征检测获取恶意域名和恶意域名连接端口;根据所述疑似僵尸网络域名以及所述恶意域名确定僵尸网络域名,并根据所述恶意域名连接端口确定与所述僵尸网络域名对应的僵尸网络连接端口;根据所述僵尸网络域名以及所述僵尸网络连接端口确定僵尸网络的拓扑结构;所述确定疑似僵尸网络域名包括:如果网络流量中与网络域名对应的域名系统应答数据包的生存时间小于预先设置的时间阈值,则确定该网络域名为所述疑似僵尸网络域名;和/或,如果网络流量中与网络域名对应的域名系统应答数据包所应答的网络协议IP组中各个IP地址的差异度大于预先设置的第一差异度阈值,则确定该网络域名为所述疑似僵尸网络域名;所述根据所述疑似僵尸网络域名以及所述恶意域名确定僵尸网络域名包括:将所述疑似僵尸网络域名和所述恶意域名进行关联,查找所述疑似僵尸网络域名中与所述恶意域名相同的域名,并确定所述相同的域名为所述僵尸网络域名。 | ||
| 地址 | 611731 四川省成都市高新区西部园区清水河片区 | ||