近年来,速变域名(Fast⁃Flux)技术已成为在速变服务网络(Fast⁃Flux Service Network,FFSN)中组建僵尸网络的常见做法,这些FFSN能够以非常高的可用性维持非法在线服务。文中基于FFSN工作原理以及速变域名技术特点,提出了一系列检测特征,...近年来,速变域名(Fast⁃Flux)技术已成为在速变服务网络(Fast⁃Flux Service Network,FFSN)中组建僵尸网络的常见做法,这些FFSN能够以非常高的可用性维持非法在线服务。文中基于FFSN工作原理以及速变域名技术特点,提出了一系列检测特征,设计了一种基于被动DNS流量的Fast⁃Flux域名检测方法。利用DNS协议、黑白名单、DNS流量实时特征对流量数据进行过滤,采用基于信息增益率和基尼系数线性组合的随机森林算法作为模型训练算法,然后用实验数据集和现网真实数据集对所提的方法进行验证。实验结果证明,该方法能够有效识别出Fast⁃Flux域名,并且具有较高的精确率。展开更多
文摘近年来,速变域名(Fast⁃Flux)技术已成为在速变服务网络(Fast⁃Flux Service Network,FFSN)中组建僵尸网络的常见做法,这些FFSN能够以非常高的可用性维持非法在线服务。文中基于FFSN工作原理以及速变域名技术特点,提出了一系列检测特征,设计了一种基于被动DNS流量的Fast⁃Flux域名检测方法。利用DNS协议、黑白名单、DNS流量实时特征对流量数据进行过滤,采用基于信息增益率和基尼系数线性组合的随机森林算法作为模型训练算法,然后用实验数据集和现网真实数据集对所提的方法进行验证。实验结果证明,该方法能够有效识别出Fast⁃Flux域名,并且具有较高的精确率。
