ACM通信
ACM TechNews
Dns敏捷性导致僵尸网络检测
技术评论
根据佐治亚理工学院的研究,使用诸如快速流量网络和类似conficker的动态域生成等战术来加强僵尸网络,可以暴露它们的活动。
通过动态检测域名系统(DNS)的变化,可以在早期发现僵尸网络。佐治亚理工学院的研究小组报告说,他们能够检测到僵尸网络DNS中的异常情况,并记录了超过98%的识别率。
该团队使用了一个系统,通过从注册商收集DNS查询数据和分析域结构,动态确定域名/互联网协议地址对的声誉,关注网络和区域特征。该团队将名为Notos的系统与名为Kopis的机器学习技术相结合,Kopis可以检测到公司、互联网服务提供商或互联网的DNS基础设施的变化,这些变化是恶意网络的特征。团队根据查找的多样性训练Kopis理解查找模式、周期性和概要文件。这两个系统能够检测僵尸网络,如IMDDOS和建立在SpyEye上的僵尸网络。
他们可以在僵尸网络活跃并开始发送恶意软件的几周前检测到它们。
从社会网络
查看全文
版权所有©2011公司的信息。
,美国马里兰州贝塞斯达
没有发现记录