基于DNS查询行为的Bot检测

发布时间：2017-10-15 02:22

  本文关键词：基于DNS查询行为的Bot检测

  更多相关文章： 僵尸程序 自动连接 DNS查询行为 DNS反应行为

【摘要】：提出一种基于DNS查询行为的检测方法。根据Bot的自动运行特性,从DNS查询的角度对主机中的进程进行初步过滤,缩小检测范围;分析Bot与其他进程的DNS反应行为模式的异同,构建Bot-DNS检测模型,在此基础上判断可疑进程是否为Bot。实验结果表明,该方法能够检测出处于生命周期早期阶段的Bot,且检测过程与Bot采用的协议结构无关,具有较好的检测效果。
【作者单位】： 信息工程大学;中国人民解放军63895部队;
【关键词】： 僵尸程序 自动连接 DNS查询行为 DNS反应行为
【分类号】：TP393.08
【正文快照】： 1引言作为攻击者手中最有效的通用网络攻击平台,僵尸网络[1-2]已成为互联网安全的最大威胁之一。它是攻击者出于恶意目的,传播僵尸程序控制大量主机,并通过一对多的命令与控制信道所组成的网络[3]。僵尸程序[4-5](Bot)作为运行在僵尸主机上的恶意程序,通过命令与控制信道接收，

本文编号：1034533