CN102082836B - 一种dns安全监控系统及方法 - Google Patents
一种dns安全监控系统及方法 Download PDFInfo
- Publication number
- CN102082836B CN102082836B CN 200910238620 CN200910238620A CN102082836B CN 102082836 B CN102082836 B CN 102082836B CN 200910238620 CN200910238620 CN 200910238620 CN 200910238620 A CN200910238620 A CN 200910238620A CN 102082836 B CN102082836 B CN 102082836B
- Authority
- CN
- China
- Prior art keywords
- domain name
- address
- network data
- dns
- library
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种域名解析系统DNS的安全监控系统和方法。该系统包括:数据采集模块,用于获取DNS服务器的网络数据,提供给事件分析模块;所述事件分析模块,用于对所述网络数据进行分析,生成监控结果。本发明的这种系统和方法能够防域名劫持、网站钓鱼、僵尸攻击等网络攻击,提高DNS服务器运行的稳定性和可靠性。
Description
技术领域
本发明涉及数据业务技术领域,尤指一种DNS安全监控系统及方法。
背景技术
域名解析系统(DNS,Domain Name System)作为互联网(Internet)架构中一个关键的组成部分,其性能和安全性对Internet的应用都至关重要。如何在确保其性能的前提下提升DNS服务器的安全等级成为一个关键的课题。
就DNS安全而言,传统的手段只考虑到对DNS服务器本身的安全防护,例如使用防火墙或入侵保护系统(Intrusion Prevention System,IPS)对DNS进行防护。然而,防火墙不具备对应用层协议的检查过滤功能,无法对DNS攻击做出响应。换而言之,由于防火墙不具备深度包检测的机制,对DNS攻击来说形同虚设。再有,而今的IPS防攻击的方式主要是通过查询攻击特征库来防御攻击入侵和分布式拒绝服务(Distribution Denial of service,DDOS)攻击,但是大多IPS中没有包含DNS的攻击特征库。也就是说,传统的防火墙/IPS并不完全适合对DNS架构的安全进行防护。
另外,DNS服务器自身也会产生一定的安全风险,如缓冲池污染、数据被人为篡改而导致用户的请求被指向钓鱼网站等问题,而且这些问题更具隐蔽性。若无第三方的检测手段,DNS服务器无法判断自身的解析结果是否正确。
可以看出,若想保证DNS成为Internet架构中一个稳定的组成部分,目前对DNS的安全防护是不够的。
发明内容
有鉴于此,本发明的主要目的在于提供一种域名解析系统(DNS)的安全监控系统和方法。
为达到上述目的,本发明的技术方案具体是这样实现的:
一种域名解析系统DNS的安全监控系统,包括:
数据采集模块,用于获取DNS服务器的网络数据,提供给事件分析模块;
安全监控模型库,用于存储一种或者多种安全监控模型;
所述事件分析模块,用于将所述网络数据和安全监控模型进行比较,得到监控结果;或者,用于从所述网络数据中获取安全监控模型,存储到所述安全监控模型库;
事件处理模块,用于根据所述事件分析模块的监控结果进行异常处理。
其中,所述安全监控模型库包括僵尸主机库,所述僵尸主机库用于存储被确定为僵尸的IP地址;
所述事件分析模块用于根据所述网络数据生成一个或者多个IP地址的日常平均访问值,并判断该IP地址在特定时刻的域名访问量是否超过所述日常平均访问值的N倍,所述N大于1,如果超过则将该IP地址添加到所述僵尸主机库;
所述事件处理模块用于将所述僵尸主机库中的IP地址添加到防火墙,或者用于向交换机发出阻断包以阻断该IP地址向DNS服务器发出的解析请求。
该系统进一步包括:数据存储模块,用于存储所述事件分析模块生成的日志信息。
所述安全监控模型库进一步包括钓鱼网站库、域名策略库中的至少其中一个模型库;
所述钓鱼网站库用于存储记录有非法域名的钓鱼网站列表;
所述域名策略库用于存储域名和IP地址的对应关系。
所述事件分析模块进一步用于从所述网络数据获取解析请求中的域名,并判断所述钓鱼网站库中的钓鱼网站列表是否存在该域名,如果存在则生成对应的监控结果,指示该域名为钓鱼网站;
所述事件处理模块用于根据该监控结果向DNS服务器发出告警信息。
所述事件分析模块进一步用于从所述网络数据获取解析请求中的域名和DNS服务器的返回结果,并与所述域名策略库中存储的域名和IP地址的对应关系进行比较,如果不一致则生成告警信息。
所述数据采集模块用于通过旁路方式从交换机抓取所述DNS服务器的网络数据。
所述旁路方式为分光或者镜像方式。
一种域名解析系统DNS的安全监控方法,包括:
通过旁路方式获取DNS服务器的网络数据;
将所述网络数据和安全监控模型进行比较得到监控结果,并根据所述监控结果进行异常处理;或者,对所述网络数据进行相关安全事件分析,获得安全监控模型;
根据所述网络数据生成一个或者多个IP地址的日常平均访问值,并判断该IP地址在特定时刻的域名访问量是否超过所述日常平均访问值的N倍,所述N大于1,如果超过则将该IP地址添加到僵尸主机库;则
所述根据监控结果进行异常处理包括:将所述僵尸主机库中的IP地址添加到防火墙;或者向交换机发出阻断包,以阻断该IP地址向DNS服务器发出的解析请求。
所述将网络数据和安全监控模型进行比较得到监控结果包括:从所述网络数据获取解析请求中的域名,并判断钓鱼网站库中的钓鱼网站列表是否存在该域名,如果存在则生成对应的监控结果,指示该域名为钓鱼网站;
所述根据监控结果进行异常处理包括:根据该监控结果向DNS服务器发出告警信息。
所述将网络数据和安全监控模型进行比较得到监控结果,并根据所述监控结果进行异常处理包括:从所述网络数据获取解析请求中的域名和DNS服务器的返回结果,并与域名策略库中存储的域名和IP地址的对应关系进行比较,如果不一致则生成告警信息。
由上述技术方案可见,本发明的这种系统和方法弥补了现有技术无法有效地对DNS服务器进行安全防护的不足,比如能够有效地发现域名解析请求出现的异常,拦截钓鱼网站的非法域名请求以及网络上僵尸主机的访问攻击,提高了DNS服务器运行的稳定性和可靠性。也就是说,本发明的系统和方法能够防域名劫持、防网站钓鱼、防僵尸攻击,适合不同负载的DNS服务器,且不影响DNS服务器的运行。
附图说明
图1为本发明一个实施例中的网络结构图;
图2为本发明一个实施例中DNS安全监控系统的结构示意图;
图3为本发明一个实施例中DNS安全监控方法的流程图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明进一步详细说明。
本发明在现有的Internet架构中增加一个DNS安全监控系统,专门面向DNS服务器,采集和分析DNS服务器的日常运行信息,展示DNS的运行状态,分析DNS的用户行为,并在用户行为异常的情况下对异常用户进行应急处理,从而为DNS服务器的稳定运行提供安全保障。该DNS安全监控系统是部署在Internet架构中独立于DNS服务器的第三方网络实体,在DNS安全防护方面主要实现以下功能:
1、设置存储域名-IP关系的域名策略库并同步更新,以该域名策略库为标准,对每次域名解析请求以及返回IP地址进行比对告警。
2、同步更新钓鱼网站库,对用户针对钓鱼网站发出的域名解析请求实施拦截,并向该用户回应告警信息。
3、建立单位时间域名请求最大次数模型,当某个IP地址的域名请求次数骤增并超过门限时,将该IP地址在单位时间内的域名请求次数与模型比对,超过一定次数(比如模型的3倍)的IP地址将被列入僵尸主机库的黑名单,实施拦截。
需要指出,本发明中的僵尸又称为僵尸网络(BotNet),是指互联网上受到黑客集中控制的一群计算机,往往被黑客用来发起大规模的网络攻击,比如DDoS攻击、海量垃圾邮件等。
图1示出本发明一个实施例中的网络结构,包括:DNS服务器101、DNS安全监控系统102、交换机103、防火墙104、Internet 105、用户106。其中,DNS安全监控系统102通过旁路方式抓取和DNS服务器101相关的部分或全部数据,通过详细分析每一次DNS查询/应答操作,对DNS服务器的运行状况进行评估,完成安全事件分析。具体地,DNS安全监控系统102通过镜像口从交换机103获取DNS服务器101的镜像数据,或者通过管理口向交换机103发出阻断包。
本发明一个实施例中的DNS安全监控系统如图2所示,包括以下功能模块:数据采集模块201、事件分析模块202。进一步地,该DNS安全监控系统还包括:事件处理模块203、数据存储模块204、安全监控模型库205。其中,安全监控模型库205包括域名策略库、僵尸主机库、钓鱼网站库中的至少一个模型库。
数据采集模块201,用于通过分光或者镜像的方式将DNS服务器的网络数据抄送给事件分析模块202。这种工作模式能够采集几乎全部的DNS服务器的运行信息,全面监控DNS服务器的运行状况,且不会对现网系统造成任何影响。
事件分析模块202,用于对数据采集模块201获取的网络数据进行分析,得到DNS查询会话的详细内容,并对查询会话的源地址、目的地址、查询内容、应答内容、查询延时等信息进行归并、排序、聚合等操作,建立各种统计数据的统计基线,在统计基线的基础上进行安全事件分析,对统计中出现频率较高的内容(比如源地址、目的地址、域名等)进行记录,形成一种安全监控模型存储到安全监控模型库205;或者,将从网络数据获得的特定解析结果与安全监控模型库205中的内容进行比对,从中发现是否存在异常,并形成告警。
事件处理模块203,用于根据事件分析模块202的告警,向交换机发出阻断包,对用户的域名解析请求进行阻断。
数据存储模块204,用于存储该DNS安全监控系统的日志信息等。
安全监控模型库205,用于存储一种或多种安全监控模型,并提供给事件分析模块202进行比对。其中:
域名策略库,用于存储域名与IP地址的对应关系。由于Internet上的域名数量庞大,且域名和IP地址的对应关系不确定(比如很多网站的IP地址并不是固定的),因此需要对域名策略库进行不定期的更新和完善,以保证信息的全面和准确。
钓鱼网站库,用于存储钓鱼网站列表,其中钓鱼网站是指非法域名。同样地,需要对钓鱼网站库中的列表进行维护和动态更新。
僵尸主机库,用于存储被确定为僵尸的IP地址,并将该库中的新增IP地址提供给事件处理模块203,以便添加到DNS防火墙中实施访问限制。
在具体应用中,针对每一个向DNS服务器发出的解析请求,事件分析模块202获取DNS服务器的返回结果(即IP地址),与域名策略库的内容进行比对。如果发现返回结果与域名策略库的内容不一致,则判定为解析异常并实施告警,比如在DNS安全监控系统生成告警页面,使得管理人员能够获知出现域名劫持。
再有,事件分析模块202一旦发现解析请求指向的是钓鱼网站库中的非 法域名,则将该监控结果告知事件处理模块203。事件处理模块203向DNS服务器发出警示信息,由DNS服务器回送告警页面给相应用户实施告警和阻断。
此外,事件分析模块202根据日常业务量建立IP地址的解析请求比对模型,比如获得IP地址1.1.1.1在单位时间内发起的DNS解析请求量的平均值(比如以平常一天的请求量取平均,得到每分钟的平均值),将其作为IP地址1.1.1.1的比对模型,该类模型将不断更新。当某个时刻的域名解析请求量超过预警门限值,事件分析模块202判定DNS遭受僵尸攻击,则将解析请求量超过比对模型N倍(一般取3-5)以上的IP地址添加到僵尸主机库,并向事件处理模块203发出告警信息,由事件处理模块203完成DNS防火墙的策略添加。一旦有僵尸主机库中的IP地址对DNS服务器发起解析请求,则由防火墙实施拦截,从而有效预防大规模、恶意的域名解析请求出现(比如519攻击),以避免DNS崩溃。
进一步地,本发明提供了一种域名解析系统DNS的安全监控方法,包括:通过旁路方式获取DNS服务器的网络数据;
对所述网络数据进行分析生成监控结果,并根据所述监控结果进行异常处理。
在本发明一个具体实现中,该方法进一步包括:根据所述网络数据生成一个或者多个IP地址的日常平均访问值,并判断该IP地址在特定时刻的域名访问量是否超过所述日常平均访问值的N倍,如果超过则将该IP地址添加到僵尸主机库,其中N大于1。此外,根据监控结果进行异常处理具体包括:将所述僵尸主机库中的IP地址添加到防火墙;或者向交换机发出阻断包,以阻断该IP地址向DNS服务器发出的解析请求。
需要指出,某个IP地址在单位时间内的日常平均访问值并非固定不变的,而是一个动态均值,DNS安全监控系统需要根据不断搜集到的DNS网络数据对其进行更新。例如,2009年11月某个IP地址在单位时间内的日常平均访问值是100次,而2010年11月该IP地址的日常平均访问值有可能 变为120次。
进一步地,并非超过日常平均访问值的IP地址就会被加入僵尸主机库,而是需要满足以下条件:
1)该IP地址的域名访问量超过日常平均访问值的N倍以上,其中N大于1(比如N=2等)。
2)单位时间内所有IP地址的域名访问总量超过M次,M为DNS的处理能力。
进一步地,可以对僵尸主机库中的IP地址进行解封,将IP地址移出DNS安全监控系统的僵尸主机库,并通知防火墙同步完成该操作。
在本发明另一个具体实现中,对网络数据进行分析生成监控结果的操作包括:从所述网络数据获取解析请求中的域名,并判断钓鱼网站库中的钓鱼网站列表是否存在该域名,如果存在则生成对应的监控结果,指示该域名为钓鱼网站。此外,根据监控结果进行异常处理具体包括:根据该监控结果向DNS服务器发出告警信息。
在本发明又一个具体实现中,对网络数据进行分析生成监控结果并根据所述监控结果进行异常处理的操作包括:从所述网络数据获取解析请求中的域名和DNS服务器的返回结果,并与域名策略库中存储的域名和IP地址的对应关系进行比较,如果不一致则生成告警信息。
本发明一个实施例中DNS安全监控方法的流程如图3所示,包括以下步骤:
步骤301:捕获DNS服务器的数据包。
步骤302:将DNS数据包的格式标准化并进行分析。
步骤303:获取地址、域名、运行参数等内容的统计信息,进行相关安全事件分析,获得安全监控模型。
步骤304:获取域名解析请求的DNS解析结果,将其和安全监控模型库中的内容进行比对,当二者不一致时生成告警信息。
步骤305:生成DNS安全监控系统的日志信息等。
需要指出,步骤303-305的执行先后顺序并不特别限定,甚至可以同时执行。
可以看出,在本发明的DNS安全监控系统中:
(1)通过预装同步更新的域名-IP关系库,并对每次用户发起的域名解析请求与DNS解析结果实时进行比对预警,从而监控域名劫持情况。
(2)同步更新钓鱼网站库,对于针对钓鱼网站的解析请求实施拦截,并向用户回应告警页面,使得安全监控服务更为人性化。
(3)采用僵尸IP过滤方法,智能判别使用僵尸IP发起的解析请求,并实现防火墙对攻击访问的拦截,以确保DNS安全,从根本上预防类似519攻击。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种域名解析系统DNS的安全监控系统,其特征在于,包括:
数据采集模块,用于获取DNS服务器的网络数据,提供给事件分析模块;
安全监控模型库,用于存储一种或者多种安全监控模型;
所述事件分析模块,用于将所述网络数据和安全监控模型进行比较,得到监控结果;或者,用于从所述网络数据中获取安全监控模型,存储到所述安全监控模型库;
事件处理模块,用于根据所述事件分析模块的监控结果进行异常处理;
其中,所述安全监控模型库包括僵尸主机库,所述僵尸主机库用于存储被确定为僵尸的IP地址;
所述事件分析模块用于根据所述网络数据生成一个或者多个IP地址的日常平均访问值,并判断该IP地址在特定时刻的域名访问量是否超过所述日常平均访问值的N倍,所述N大于1,如果超过则将该IP地址添加到所述僵尸主机库;
所述事件处理模块用于将所述僵尸主机库中的IP地址添加到防火墙,或者用于向交换机发出阻断包以阻断该IP地址向DNS服务器发出的解析请求。
2.根据权利要求1所述的系统,其特征在于,进一步包括:数据存储模块,用于存储所述事件分析模块生成的日志信息。
3.根据权利要求1所述的系统,其特征在于,所述安全监控模型库进一步包括钓鱼网站库、域名策略库中的至少其中一个模型库;
所述钓鱼网站库用于存储记录有非法域名的钓鱼网站列表;
所述域名策略库用于存储域名和IP地址的对应关系。
4.根据权利要求3所述的系统,其特征在于,所述事件分析模块进一步用于从所述网络数据获取解析请求中的域名,并判断所述钓鱼网站库中的钓鱼网站列表是否存在该域名,如果存在则生成对应的监控结果,指示该域名为钓鱼网站;
所述事件处理模块用于根据该监控结果向DNS服务器发出告警信息。
5.根据权利要求3所述的系统,其特征在于,所述事件分析模块进一步用于从所述网络数据获取解析请求中的域名和DNS服务器的返回结果,并与所述域名策略库中存储的域名和IP地址的对应关系进行比较,如果不一致则生成告警信息。
6.根据权利要求1-5任一项所述的系统,其特征在于,所述数据采集模块用于通过旁路方式从交换机抓取所述DNS服务器的网络数据。
7.根据权利要求6所述的系统,其特征在于,所述旁路方式为分光或者镜像方式。
8.一种域名解析系统DNS的安全监控方法,其特征在于,包括:
通过旁路方式获取DNS服务器的网络数据;
将所述网络数据和安全监控模型进行比较得到监控结果,并根据所述监控结果进行异常处理;或者,对所述网络数据进行相关安全事件分析,获得安全监控模型;
根据所述网络数据生成一个或者多个IP地址的日常平均访问值,并判断该IP地址在特定时刻的域名访问量是否超过所述日常平均访问值的N倍,所述N大于1,如果超过则将该IP地址添加到僵尸主机库;则
所述根据监控结果进行异常处理包括:将所述僵尸主机库中的IP地址添加到防火墙;或者向交换机发出阻断包,以阻断该IP地址向DNS服务器发出的解析请求。
9.根据权利要求8所述的方法,其特征在于,所述将网络数据和安全监控模型进行比较得到监控结果包括:从所述网络数据获取解析请求中的域名,并判断钓鱼网站库中的钓鱼网站列表是否存在该域名,如果存在则生成对应的监控结果,指示该域名为钓鱼网站;
所述根据监控结果进行异常处理包括:根据该监控结果向DNS服务器发出告警信息。
10.根据权利要求8所述的方法,其特征在于,所述将网络数据和安全监控模型进行比较得到监控结果,并根据所述监控结果进行异常处理包括:从所述网络数据获取解析请求中的域名和DNS服务器的返回结果,并与域名策略库中存储的域名和IP地址的对应关系进行比较,如果不一致则生成告警信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200910238620 CN102082836B (zh) | 2009-11-30 | 2009-11-30 | 一种dns安全监控系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200910238620 CN102082836B (zh) | 2009-11-30 | 2009-11-30 | 一种dns安全监控系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102082836A CN102082836A (zh) | 2011-06-01 |
| CN102082836B true CN102082836B (zh) | 2013-08-14 |
Family
ID=44088585
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200910238620 Active CN102082836B (zh) | 2009-11-30 | 2009-11-30 | 一种dns安全监控系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102082836B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105959334A (zh) * | 2016-07-20 | 2016-09-21 | 上海携程商务有限公司 | DDoS攻击的自动防御系统及方法 |
Families Citing this family (41)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102223422B (zh) * | 2011-08-02 | 2014-07-09 | 杭州迪普科技有限公司 | 一种dns报文处理方法及网络安全设备 |
| CN102255778A (zh) * | 2011-09-06 | 2011-11-23 | 网宿科技股份有限公司 | 一种防劫持的域名授权监控系统 |
| CN102404741B (zh) * | 2011-11-30 | 2015-05-20 | 中国联合网络通信集团有限公司 | 移动终端上网异常检测方法和装置 |
| WO2013089607A1 (en) * | 2011-12-12 | 2013-06-20 | Telefonaktiebolaget L M Ericsson (Publ) | Method for detection of persistent malware on a network node |
| US9225731B2 (en) | 2012-05-24 | 2015-12-29 | International Business Machines Corporation | System for detecting the presence of rogue domain name service providers through passive monitoring |
| CN103428186A (zh) * | 2012-05-24 | 2013-12-04 | 中国移动通信集团公司 | 一种检测钓鱼网站的方法及装置 |
| CN102761449B (zh) * | 2012-08-07 | 2014-08-13 | 北京鼎震科技有限责任公司 | 一种web服务性能分析方法和装置 |
| CN102761450B (zh) * | 2012-08-07 | 2015-02-11 | 北京鼎震科技有限责任公司 | 一种网站分析系统及方法和装置 |
| CN102868773B (zh) * | 2012-08-22 | 2015-04-15 | 北京奇虎科技有限公司 | 检测dns黑洞劫持的方法、装置及系统 |
| CN103778113B (zh) * | 2012-10-17 | 2017-04-19 | 腾讯科技(深圳)有限公司 | 终端、服务器及终端、服务器的网页处理方法 |
| CN103209177B (zh) * | 2013-03-13 | 2016-08-03 | 深信服网络科技(深圳)有限公司 | 网络钓鱼攻击的检测方法和装置 |
| CN104253875B (zh) * | 2013-06-28 | 2018-05-22 | 北京宽广电信高技术发展有限公司 | 一种dns流量分析方法 |
| CN105227515A (zh) * | 2014-05-28 | 2016-01-06 | 腾讯科技(深圳)有限公司 | 网络入侵阻断方法、装置及系统 |
| CN104468211A (zh) * | 2014-12-02 | 2015-03-25 | 中广核工程有限公司 | 核电站数字控制系统平台通信故障的诊断系统及方法 |
| CN105825124A (zh) * | 2015-01-06 | 2016-08-03 | 中国移动通信集团广西有限公司 | 一种服务器非法操作的监测方法和监测系统 |
| CN104601570A (zh) * | 2015-01-13 | 2015-05-06 | 国家电网公司 | 一种基于旁路监听和软件抓包技术的网络安全监控方法 |
| CN104580249B (zh) * | 2015-01-28 | 2019-05-07 | 北京润通丰华科技有限公司 | 一种基于日志的僵木蠕网络分析方法和系统 |
| EP3286658A4 (en) * | 2015-04-20 | 2018-11-21 | Luma Home, Inc. | Internet security and management device |
| CN104883282A (zh) * | 2015-06-19 | 2015-09-02 | 中国互联网络信息中心 | 终端的dns服务器的监控方法及系统 |
| CN106330849A (zh) * | 2015-07-07 | 2017-01-11 | 安恒通(北京)科技有限公司 | 防止域名劫持的方法和装置 |
| CN105490839B (zh) * | 2015-11-25 | 2018-11-27 | 山东中创软件商用中间件股份有限公司 | 一种网站数据安全的告警方法及装置 |
| CN107819727B (zh) * | 2016-09-13 | 2020-11-17 | 腾讯科技(深圳)有限公司 | 一种基于ip地址安全信誉度的网络安全防护方法及系统 |
| CN106209920B (zh) * | 2016-09-19 | 2019-11-22 | 贵州白山云科技股份有限公司 | 一种dns服务器的安全防护方法以及装置 |
| CN106506513A (zh) * | 2016-11-21 | 2017-03-15 | 国网四川省电力公司信息通信公司 | 基于网络流量的防火墙策略数据分析装置及方法 |
| CN108092940B (zh) * | 2016-11-23 | 2020-04-17 | 贵州白山云科技股份有限公司 | 一种dns的防护方法及相关设备 |
| CN106657025A (zh) * | 2016-11-29 | 2017-05-10 | 神州网云(北京)信息技术有限公司 | 网络攻击行为检测方法及装置 |
| CN108809910B (zh) * | 2017-05-04 | 2021-01-05 | 贵州白山云科技股份有限公司 | 一种域名系统服务器调度方法和系统 |
| CN107087008B (zh) * | 2017-05-26 | 2021-09-07 | 北京立思辰新技术有限公司 | 一种医疗网络的安全监控方法和系统 |
| CN107147662B (zh) * | 2017-06-01 | 2020-07-21 | 北京云端智度科技有限公司 | 域名劫持发现的方法 |
| CN107295010A (zh) * | 2017-08-02 | 2017-10-24 | 杭州谷逸网络科技有限公司 | 一种企业网络安全管理云服务平台系统及其实现方法 |
| CN109495423A (zh) * | 2017-09-11 | 2019-03-19 | 网宿科技股份有限公司 | 一种防止网络攻击的方法及系统 |
| CN108023877B (zh) * | 2017-11-20 | 2020-10-30 | 烽火通信科技股份有限公司 | 一种基于家庭网关实现防火墙域名控制的系统方法 |
| CN110677374A (zh) * | 2018-07-02 | 2020-01-10 | 中国电信股份有限公司 | 防钓鱼攻击的方法、装置及计算机可读存储介质 |
| CN109617893B (zh) * | 2018-12-27 | 2021-06-25 | 绿盟科技集团股份有限公司 | 一种僵尸网络DDoS攻击的防护方法、装置及存储介质 |
| CN110049064B (zh) * | 2019-05-10 | 2021-04-06 | 四川长虹电器股份有限公司 | 一种基于物联网设备的dns劫持检测方法 |
| CN110493140A (zh) * | 2019-08-26 | 2019-11-22 | 中国人民解放军国防科技大学 | 信息网络系统中链路事件的感知方法及其运行系统 |
| CN110572406B (zh) * | 2019-09-12 | 2022-03-22 | 深信服科技股份有限公司 | 一种失陷主机确定方法、系统及相关装置 |
| CN111786849B (zh) * | 2020-06-28 | 2022-06-07 | 京东科技控股股份有限公司 | 域名服务器的监控方法、装置、系统及计算机设备 |
| CN114301614B (zh) * | 2020-09-23 | 2024-07-19 | 中国电信股份有限公司 | 检测网络中的域名非法监听的方法与系统 |
| CN114039943A (zh) * | 2021-07-28 | 2022-02-11 | 中国建设银行股份有限公司 | 一种域名系统的数据处理方法及装置 |
| CN114172707B (zh) * | 2021-11-29 | 2024-04-26 | 北京恒安嘉新安全技术有限公司 | Fast-Flux僵尸网络检测方法、装置、设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN200944605Y (zh) * | 2006-07-06 | 2007-09-05 | 阿里巴巴公司 | 一种域名服务器及通信系统 |
| CN101719847A (zh) * | 2009-10-15 | 2010-06-02 | 上海寰雷信息技术有限公司 | 一种dns流量的高性能监控方法 |
-
2009
- 2009-11-30 CN CN 200910238620 patent/CN102082836B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN200944605Y (zh) * | 2006-07-06 | 2007-09-05 | 阿里巴巴公司 | 一种域名服务器及通信系统 |
| CN101719847A (zh) * | 2009-10-15 | 2010-06-02 | 上海寰雷信息技术有限公司 | 一种dns流量的高性能监控方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105959334A (zh) * | 2016-07-20 | 2016-09-21 | 上海携程商务有限公司 | DDoS攻击的自动防御系统及方法 |
| CN105959334B (zh) * | 2016-07-20 | 2019-09-24 | 上海携程商务有限公司 | DDoS攻击的自动防御系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102082836A (zh) | 2011-06-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102082836B (zh) | 一种dns安全监控系统及方法 | |
| US10645110B2 (en) | Automated forensics of computer systems using behavioral intelligence | |
| US9628508B2 (en) | Discovery of suspect IP addresses | |
| KR101836016B1 (ko) | 콘텍스트 인지 네트워크 포렌식 | |
| CA2610350C (en) | Computer network intrusion detection system and method | |
| CN109474575B (zh) | 一种dns隧道的检测方法及装置 | |
| CA2479504C (en) | Method and system for reducing the false alarm rate of network intrusion detection systems | |
| EP2715975B1 (en) | Network asset information management | |
| US8245297B2 (en) | Computer security event management system | |
| US7610624B1 (en) | System and method for detecting and preventing attacks to a target computer system | |
| US7805762B2 (en) | Method and system for reducing the false alarm rate of network intrusion detection systems | |
| CN114598525A (zh) | 一种针对网络攻击的ip自动封禁的方法和装置 | |
| CN101453363A (zh) | 网络入侵检测系统 | |
| JP2004086241A (ja) | コンピュータウィルス感染元検知システム | |
| CN112422501B (zh) | 正反向隧道防护方法、装置、设备及存储介质 | |
| AU2003243253B2 (en) | Method and system for analyzing and addressing alarms from network intrusion detection systems | |
| JP2003186763A (ja) | コンピュータシステムへの不正侵入の検知と防止方法 | |
| CN117155696A (zh) | 网络连接威胁检测方法、装置、设备及存储介质 | |
| KR20070070566A (ko) | 이기종간 침입탐지 정보관리를 위한 저장 및 관리 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |