公开(公告)号：CN102938769A

公开(公告)日：2013-02-20

申请号：CN201210475596.1

申请日：2012-11-22

Applicant: 国家计算机网络与信息安全管理中心 ,  北京大学

Inventor： 袁春阳 ,  杜跃进 ,  孙波 ,  许俊峰 ,  王明华 ,  李青山 ,  徐小琳 ,  何跃鹰 ,  严寒冰 ,  王营康 ,  郑礼雄 ,  张胜利 ,  李洪生 ,  轩志朋 ,  王永建 ,  林绅文 ,  杨鹏 ,  王进 ,  张伟 ,  郭承青

IPC: H04L29/06

Abstract: 本发明所述的一种Domain flux僵尸网络域名检测方法，是针对僵尸网络利用domain-flux技术进行定位及隐藏的问题，提出基于域名活动特征的僵尸网络域名检测方法。其方法步骤如下：接收并解析DNS响应报文，按固定时间间隔记录域名的IP解析内容；按照二级域名及解析ip对域名进行分组，得到多个域名集合，每集合包含一到多个域名；针对每个集合，计算集合内各域名从最初出现到最后出现的时间间隔，作为域名解析有效持续时间；计算集合内，各持续时间所占总域名的最大比重；根据预先定义阈值，输出使用domain-flux技术的域名列表。

公开(公告)号：CN101924754A

公开(公告)日：2010-12-22

申请号：CN201010227324.0

申请日：2010-07-15

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 孙波 ,  许俊峰 ,  杜跃进 ,  黄彩洪 ,  李柏松 ,  张冰 ,  袁春阳 ,  朱春鸽 ,  严寒冰 ,  焦英楠

IPC: H04L29/06

Abstract: 本发明公开了一种恶意代码控制端主动发现方法，包括：主机信息扫描步骤，用于在需要扫描的IP地址范围内，找出处于在线状态，操作系统为Windows，且具有开放端口的主机并确定其至少一个开放端口；控制端信息扫描步骤，与所述主机的开放端口建立网络连接，模拟已知的恶意代码控制端类型对应的被控端主机的网络行为，向所述主机发送数据，并对接收到的返回数据进行分析，若符合所述已知恶意代码控制端类型的特征，则认为所述主机中存在所述恶意代码控制端类型。采用本发明方法能够有效识别恶意代码控制端，适用于对因特网中的主机进行大规模扫描，对信息安全保障具有重大的现实意义。本发明还相应提供了一种恶意代码控制端主动发现装置。