HVV之基于360数据的dga恶意域名检测工具

0x00具体操作

1.在流量分析过程中,经常会用威胁情报平台去分析这种恶意域名。

2.但是如果面对大量数据的时候,手动一个一个去查,肯定不现实。

3.工具可以批量检测原始pcap数据包内所有DNS域名解析记录是否存在恶意域名。

4.把抓取的原始pcap数据包保存到工具下面pcap目录内,并且名字重命名为dns.pcap。

5.之后再运行dga_check_v1.exe即可检测dns.pcap的数据了,效果如下。

6.数据来源360netlab:https://data.netlab.360.com/dga/，目前总共有1000563条数据。

7.后期自行更新域名数据步骤如下:

(1).下载https://data.netlab.360.com/feeds/dga/dga.txt文件到桌面,然后删除前面不需要的信息。

(2).删除之后如下,并且复制一个中间的分割符。

(3).然后数据库导入向导选择txt。

(4).然后选择其他符号,把复制的分割符填写进去。

(5).数据从第一行开始。

(6).然后字段这样映射起来。

(7).最后等待数据导入完成。

8.虽然数据有100多万,测试结果检测还是很快的。

9.检测工具下载连接:https://share.weiyun.com/aMTk2Jdq