(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111437643.9 (22)申请日 2021.11.29 (71)申请人 北京恒安 嘉新安全技术有限公司 地址 100086 北京市海淀区北三环西路25 号27号楼五层5 001室 (72)发明人 赖秋楠　梁彧　傅强　蔡琳　 杨满智　田野　王杰　阿曼太　 金红　陈晓光　 (74)专利代理 机构 北京品源专利代理有限公司 11332 代理人 李礼 (51)Int.Cl. H04L 9/40(2022.01) G06K 9/62(2022.01) H04L 61/4511(2022.01) (54)发明名称 Fast-Flux僵尸网络检测方法、 装置、 设备及 存储介质 (57)摘要 本发明实施例公开了一种Fast ‑Flux僵尸网 络检测方法、 装置、 设备及存储介质。 该方法包括 获取目标检测域名， 每隔监控时长， 获取匹配的 解析IP结果数据； 将监控时长划分为多个时间单 元， 计算目标检测域名在每个目标时间单元内的 静态统计指标集和动态统计指标集； 在确定目标 静态统计指标集不满足正常域名检测条件时， 计 算归一化静态统计指标集和归一化动态统计指 标集； 进而计算对应的拟合静态值和拟合动态 值， 并分别输入至预先训练的支持向量机SVM模 型中， 确定监控时长内目标检测域名为异常域名 时， 根据访问目标检测域名的IP地址， 确定僵尸 网络。 本实施例的技术方案实现提高分析DNS流 量数据的工作效率， 降低误报率， 提高检测结果 的准确性的效果。 权利要求书2页 说明书11页 附图4页 CN 114172707 A 2022.03.11 CN 114172707 A 1.一种Fast ‑Flux僵尸网络检测方法， 其特 征在于， 包括： 获取目标检测域名， 并每隔监控时长， 从域名解析服务DNS流量数据中， 获取与目标检 测域名匹配的解析IP结果数据； 将监控时长划分为多个时间单元， 并根据每个时间单元内的解析IP结果数据， 计算目 标检测域名在每 个目标时间单 元内的静态统计指标集和动态统计指标集； 在确定目标静态 统计指标集不满足正常域名检测条件时， 计算与每个目标时间单元内 分别对应的归一 化静态统计指标集和归一 化动态统计指标集； 根据与每个目标时间单元内分别对应的归一化静态统计指标集和归一化动态统计指 标集， 计算与每 个目标时间单 元分别对应的拟合静态值和拟合动态值； 将每个目标时间单元下的拟合静态值和拟合动态值， 分别输入至预先训练的支持向量 机SVM模型中， 获取监控时长内每个目标时间单元下目标检测域名是否为异常域名的各识 别结果； 根据所述各识别结果中目标检测域名为异常域名的识别结果数目比例与预设比例阈 值， 获取监控时长内目标检测域名是否为异常域名的目标识别结果； 在确定监控时长内目标检测域名为异常域名时， 根据访 问目标检测域名的IP地址， 确 定与目标检测域名匹配的僵尸网络 。 2.根据权利要求1所述的方法， 其特 征在于， 获取目标检测域名， 包括： 从所述DNS流量中获取多个响应数据包， 并对所有响应数据包进行解析， 获取多个待检 测域名； 从各待检测域名中， 滤除具有内容分发网络CDN特征及解析IP结果数据的缓存时间值 TTL超过设定时间阈值的检测域名后， 形成所述目标检测域名。 3.根据权利要求1所述的方法， 其特征在于， 根据每个时间单元内的解析IP结果数据， 计算目标检测域名在每 个目标时间单 元内的静态统计指标集和动态统计指标集， 包括： 根据每个时间单元内的解析IP结果数据， 计算得到与每个时间单元分别对应的各静态 统计指标集； 根据所述与每个时间单元分别对应的各静态统计指标集对应的各静态统计指标的平 均值及预设公式， 计算得到与每 个时间单 元分别对应的各动态统计指标集。 4.根据权利要求3所述的方法， 其特征在于， 计算与每个目标时间单元内分别对应的归 一化静态统计指标集和归一 化动态统计指标集， 包括： 从各静态 统计指标集或者各动态 统计指标集中， 分别获取与当前处理统计指标对应的 多个指标值； 根据公式： 计算得到所述当前处理统计指标， 在当前目标时间 单元下的归一 化指标值Xnorm； 其中， X为当前目标时间单元对应的指标值， Xmax为获取的全部指标值中的最大值， Xmin 为获取的全部指标值中的最小值。 5.根据权利要求3所述的方法， 其特征在于， 静态统计指标包括： 最大请求长度、 累积不 同解析IP数量、 累积不同网段 数量、 累积不同AS码数量、 AS分值和解析IP分布； 动态统计指标包括： 解析IP集合变化、 网段的变化、 AS码的变化和单次响应解析IP最大权　利　要　求　书 1/2 页 2 CN 114172707 A 2数量的变化。 6.根据权利要求5所述的方法， 其特征在于， 确定目标静态 统计指标集不满足正常域名 检测条件， 包括： 将不满足解析IP分布值为0且累积不同AS码数量小于或等于3的静态统计指标集， 确定 为不满足正常域名检测条件的目标静态统计指标集。 7.根据权利要求5所述的方法， 其特征在于， 根据与每个目标时间单元内分别对应的归 一化静态统计指标集和归一化动态统计指标集， 计算与每个目标时间单元分别对应的拟合 静态值和拟合动态值， 包括： 根据与每个目标时间单元内对应的归一化静态统计指标集与预设静态统计指标权重 参数集获取拟合静态值； 根据与每个目标时间单元内对应的归一化动态统计指标集与预设动态统计指标权重 参数集获取拟合动态值。 8.一种Fast ‑Flux僵尸网络检测装置， 其特 征在于， 包括： 解析IP结果获取模块， 用于获取目标检测域名， 并每隔监控时长， 从域名解析服务DNS 流量数据中， 获取与目标检测域名匹配的解析IP结果数据； 统计指标集获取模块， 用于将监控时长划分为多个时间单元， 并根据每个时间单元内 的解析IP结果数据， 计算目标检测域名在每个目标时间单元内的静态统计指标集和 动态统 计指标集； 归一化统计指标集获取模块， 用于在确定目标静态 统计指标集不满足正常域名检测条 件时， 计算与每个目标时间单元内分别对应的归一化静态统计指标集和归一化动态统计指 标集； 拟合值计算模块， 用于根据与每个目标时间单元内分别对应的归一化静态 统计指标集 和归一化动态统计指标集， 计算与每个目标时间单元分别对应的拟合静态值和拟合动态 值； 各识别结果获取模块， 用于将每个目标时间单元下的拟合静态值和拟合动态值， 分别 输入至预先训练的支持向量机SVM模型中， 获取监控时长内每个目标时间单元下目标检测 域名是否为异常域名的各识别结果； 目标识别结果获取模块， 用于根据 所述各识别结果中目标检测域名为异常域名的识别 结果数目比例与预设比例阈值， 获取监控时长内目标检测域名是否为异常域名的目标识别 结果； 僵尸网络确定模块， 用于在确定监控时长内目标检测域名为异常域名时， 根据访 问目 标检测域名的IP地址， 确定与目标检测域名匹配的僵尸网络 。 9.一种计算机设备， 其特 征在于， 所述计算机设备包括： 一个或多个处 理器； 存储装置， 用于存 储一个或多个程序； 当所述一个或多个程序被所述一个或多个处理器执行， 使得所述一个或多个处理器实 现如权利要求1 ‑7中任一所述的Fast ‑Flux僵尸网络检测方法。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 该程序被处理器 执行时实现如权利要求1 ‑7中任一所述的Fast ‑Flux僵尸网络检测方法。权　利　要　求　书 2/2 页 3 CN 114172707 A 3