基于网络流量的恶意事件攻击检测主要针对互联网环境下产生的网络流量包括DNS流量以及NETFLOW网络流,经过对数据的统计分析和挖掘,发现已有的攻击事件。攻击事件包括DDOS攻击和僵尸网络两大类。DDOS攻击细分为三种类型:针对域名的DDOS攻击、利用域名的DDOS攻击、针对域名服务器的DDOS攻击;僵尸网络攻击检测细分为两种类型:C&C指挥控制僵尸网络和P2P僵尸网络。目前几乎所有的终端都可以连接互联网,访问网络资源,同时任意一台连接网络的机器也可以访问互联网环境下的任意一台设备。攻击者可以通过邮件、URL、音视频、exe向访问者注入病毒,获得控制权,使受害者变成僵尸机,窃取受害者隐私,同时利用受害者主机进行其他非法行为,如流量攻击等。当攻击者获取一定数量的僵尸机,便可以操纵这些机器进行DDOS攻击,造成网站或网络瘫痪,影响正常用户的使用。因此所有暴露在互联网环境下的机器都存在风险,极有可能受到攻击,而本系统可以应用于政府、企业等部门,及时发现网络攻击,采用应急方案,将危害最小化。针对DNS流量的DDOS攻击检测的中心思想是统计分析。对于网络运营商提供的DNS数据进行基础统计,获得TOPN文件,针对域名和利用域名的攻击检测只处理TOPN中出现的数据,通过阈值和基线挖掘出可疑流量,结合原始流量获取详细信息。针对域名解析服务器的攻击检测目标为对部署范围内各省重点递归服务器所遭受的DDoS攻击事件进行检测,包括DDoS时间类型、攻击持续时间(开始时间、结束时间)、攻击强度(流量频次最大值、均值)、攻击源情况(攻击源IP列表、排名、是否伪随机)、威胁程度、攻击样本留存。僵尸网络攻击检测的思想为利用僵尸网络通信和行为的时间相似性,即当僵尸控制机发送命令时,僵尸机会在一定时间间隔内接受命令并回复僵尸主机,并同时进行网络攻击。根据这一特点使用PAGERANK算法,找出通信频繁的主机,并结合TRW算法,发现僵尸网络的指挥控制机,即master。