论文研究基于Counting Bloom Filter的DNS异常检测.pdf

鉴于失败的DNS查询（failedDNSquery）能提供恶意网络活动的证据，以DNS查询失败的数据为切入口，提出一种轻量级的基于CountingBloomFilter的DNS异常检测方法。该方法使用带语义特征的可逆哈希函数对被查询的域名及发起查询的IP进行快速的聚类和还原。实验结果证明该方法能以较少的空间占用和较快的计算速度有效识别出DNS流量中的异常，适用于僵尸网络、分布式拒绝服务（DDoS）攻击等异常检测的前期筛选和后期验证。