论文研究 基于行为与域名查询关联的僵尸网络聚类联动监测.pdf

为了解决基于特征的监测只能监测到已知的botnet，且监测方法很大程度依赖于botnet所采用的协议和结构的问题，提出基于行为与域名查询关联的botnet监测方法。利用相同僵尸网络中的各个僵尸活动相互之间具有时间、空间的行为相关性和相似性特点，对botnet的行为流和域名查询流进行聚类，给出一种聚类联动的监测模型。通过采集、分析部署在某市营运机房DNS缓存服务器上的实验系统反馈数据，证明该聚类联动监测模型不仅能够监测未知botnet，而且监测过程与botnet采用的协议结构无关，具有较好的监测效率。