本文關(guān)鍵詞：基于DNS查詢(xún)行為的Bot檢測(cè)

  更多相關(guān)文章： 僵尸程序 自動(dòng)連接 DNS查詢(xún)行為 DNS反應(yīng)行為

【摘要】：提出一種基于DNS查詢(xún)行為的檢測(cè)方法。根據(jù)Bot的自動(dòng)運(yùn)行特性,從DNS查詢(xún)的角度對(duì)主機(jī)中的進(jìn)程進(jìn)行初步過(guò)濾,縮小檢測(cè)范圍;分析Bot與其他進(jìn)程的DNS反應(yīng)行為模式的異同,構(gòu)建Bot-DNS檢測(cè)模型,在此基礎(chǔ)上判斷可疑進(jìn)程是否為Bot。實(shí)驗(yàn)結(jié)果表明,該方法能夠檢測(cè)出處于生命周期早期階段的Bot,且檢測(cè)過(guò)程與Bot采用的協(xié)議結(jié)構(gòu)無(wú)關(guān),具有較好的檢測(cè)效果。
【作者單位】： 信息工程大學(xué);中國(guó)人民解放軍63895部隊(duì);
【關(guān)鍵詞】： 僵尸程序 自動(dòng)連接 DNS查詢(xún)行為 DNS反應(yīng)行為
【分類(lèi)號(hào)】：TP393.08
【正文快照】： 1引言作為攻擊者手中最有效的通用網(wǎng)絡(luò)攻擊平臺(tái),僵尸網(wǎng)絡(luò)[1-2]已成為互聯(lián)網(wǎng)安全的最大威脅之一。它是攻擊者出于惡意目的,傳播僵尸程序控制大量主機(jī),并通過(guò)一對(duì)多的命令與控制信道所組成的網(wǎng)絡(luò)[3]。僵尸程序[4-5](Bot)作為運(yùn)行在僵尸主機(jī)上的惡意程序,通過(guò)命令與控制信道接收，

本文編號(hào)：1034533