基于行为与域名查询关联的僵尸网络聚类联动监测.pdfVIP

第29卷第3期 计算机应用研究 V01．29No．3 2012年3月 Researchof M北2012 Application Computers 基于行为与域名查询关联的 僵尸网络聚类联动监测水 袁春阳1，李青山2，王永建1 (1．国家计算机网络应急技术处理协调中心，北京100087；2．北京大学网络与软件安全保障教育部重点室，北 京100087) 摘要：为了解决基于特征的监测只能监测到已知的botnet，且监测方法很大程度依赖于botnet所采用的协议 和结构的问题，提出基于行为与域名查询关联的botnet监测方法。利用相同僵尸网络中的各个僵尸活动相互之 间具有时间、空间的行为相关性和相似性特点，对botnet的行为流和域名查询流进行聚类，给出一种聚类联动的 监