技术特征:
技术总结
本发明涉及一种基于网络日志的僵尸网络检测方法及系统。该方法通过分析网络日志,捕获符合僵尸网络特征的主机IP,获得僵尸网络成员列表;针对每一个僵尸网络成员进行微观分析,并针对全部僵尸网络成员进行宏观统计分析,获得僵尸网络情报。该系统包括网络探针、僵尸网络检测引擎、规则库和僵尸网络分析情报库。本发明利用大规模通联日志和域名访问日志,可批量发现和追踪僵尸网络活动,从宏观和微观两个层面观察其蔓延态势;本发明只需要连接级别的网络日志,不需要数据包级别的日志,也不需要执行流量还原操作获得载荷特征,有效降低了大规模网络日志的存储开销。
技术研发人员:李明哲;刘丙双;涂波;张洛什;尚秋里;苗权;康春建;刘鑫沛;摆亮;李传海;戴帅夫;张建宇
受保护的技术使用者:长安通信科技有限责任公司;国家计算机网络与信息安全管理中心
技术研发日:2018.03.14
技术公布日:2018.11.06