CN103905456A - 基于熵模型的dns反解攻击的检测系统和方法 - Google Patents
基于熵模型的dns反解攻击的检测系统和方法 Download PDFInfo
- Publication number
- CN103905456A CN103905456A CN201410138182.9A CN201410138182A CN103905456A CN 103905456 A CN103905456 A CN 103905456A CN 201410138182 A CN201410138182 A CN 201410138182A CN 103905456 A CN103905456 A CN 103905456A
- Authority
- CN
- China
- Prior art keywords
- entropy
- dns
- attack
- query
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于熵模型的DNS反解攻击的检测系统,包括DNS查询日志记录模块、熵计算模块和攻击检测模块;同时,利用该检测系统实现了DNS的反解攻击检测:首先,DNS查询日志记录模块记录一段时间内的DNS查询动作,DNS查询动作包括查询时间、源IP地址和查询内容;然后,在熵计算模块中,根据查询时间按照时间间隔将DNS查询动作分为多个时间片;并计算各个时间片内的DNS查询动作的熵值;最后,攻击检测模块根据各个时间片内的DNS查询动作的熵值,判断是否发生攻击行为并检测攻击行为的类型。本发明利用连续时间片的DNS查询动作的熵值的变化,实现了快速实时地检测,从而提高了网络流量检测的效率。
Description
技术领域
本发明涉及计算机网络安全领域流量攻击的检测系统和方法,尤其涉及一种针对DNS反解攻击的检测系统和方法。
背景技术
计算机网络是当今社会最为重要的信息设施,随着社会的高速发展,人们对计算机网络安全的要求也越来越高。因此专门面向网络流量检测的网络安全监测系统越来越受到关注。异常流量检测主要是通过将当前网络流量的行为描述与网络流量正常行为的描述进行对比,分析和发现网络或系统中可能出现的异常行为,并向管理员提出警告,或主动做出反应。网络的异常行为通常表现为通过流量的异常,例如由特定的攻击程序或蠕虫爆发所引起的突发流量行为。这种流量异常行为的特点是发作突然、先兆特征未知或比较隐蔽,因此实时监测与响应是防范这类攻击的重要手段。
异常检测的核心问题是如何实现流量正常行为的描述、检测的实时性、获得信息的全面性和反应的灵敏性,因而使系统设计和实现难度较大。
DNS(Domain Name System,域名系统)是因特网的一项核心服务,它作为可以将域名和IP地址相互映射的个分布式数据库,能够使人更便的访问互联网,而不用去记住能够被机器直接读取的IP数串。从大的方向上讲,DNS查询有两种查询模式:一种是DNS正向解析,客户端给出一个域名的查询请求,例如www.example.com,服务器返回其对应的IP地址,例如1.2.3.4;而相对的另一种是DNS反向解析,即rDNS,则是将IP地址解析成其对应域名。
目前,不少服务使用rDNS来实现网域的认证工作,即根据IP返回的域名来判断该IP是否是其需求服务的合法用户,比如邮件系统的认证、SSH(Secure Shell)连接的认证等。
但是现实中,rDNS的配置通常被ISP(Internet Service Provider信息服务提供商)忽略,从而导致rDNS解析时间长,并且大多解析失效。这样,当利用rDNS解析进行攻击时,由于服务端需要更多的资源来完成解析,攻击端就可以用同样的资源来完成影响更严重的攻击。
因此,本领域的技术人员致力于开发一种基于熵模型的DNS反解攻击的检测系统和方法。
发明内容
有鉴于现有技术的上述缺陷,本发明所要解决的技术问题是提供一种基于熵模型的DNS反解攻击的检测系统和方法。
在信息论中,熵被用来衡量一个随机变量出现的期望值。它代表了在被接收之前,信号传输过程中损失的信息量。网络流量的某些参数的熵,在不同的网络状况下会有不同的变化。
因此,本发明提供了一种基于熵模型的DNS反解攻击的检测系统,其特征在于,包括DNS查询日志记录模块、熵计算模块和攻击检测模块;
所述DNS查询日志记录模块用于记录DNS查询动作,所述DNS查询动作包括查询时间、源IP地址和查询内容;
所述熵计算模块用于计算时间片内的所述源IP地址的熵值和所述查询内容的熵值;
所述攻击检测模块用于根据一段时间内的所述源IP地址的熵值和所述查询内容的熵值以确定是否发生攻击以及确定攻击行为的类型。
一种基于熵模型的DNS反解攻击的检测方法,其特征在于,包括:
首先,所述DNS查询日志记录模块记录一段时间内的所述DNS查询动作,所述DNS查询动作包括查询时间、源IP地址和查询内容;
然后,在所述熵计算模块中,按照时间间隔将所述DNS查询动作分为多个时间片;并计算各个所述时间片内的所述DNS查询动作的熵值;
最后,所述攻击检测模块根据各个所述时间片内的所述DNS查询动作的熵值,判断是否发生攻击行为并检测攻击行为的类型。
进一步地,所述DNS查询动作的熵值包括所述源IP地址的熵值和所述查询内容的熵值。
进一步地,所述熵计算模块是按照如下步骤计算所述DNS查询动作的熵值的:
首先,所述熵计算模块将所述DNS查询动作根据所述查询时间按照所述时间间隔分成多个时间片;
其次,按照各个所述时间片解析所述源IP地址和所述查询内容;
然后,按照所述源IP地址进行分组,同时,在所述源IP地址的分组基础上对所述查询内容进行分组;
最后,计算各个所述时间片内的所述DNS查询动作的熵值,并加入熵值序列。
进一步地,所述攻击检测模块判断是否发生所述攻击行为是按照所述熵值序列的顺序进行的,包括:
步骤一,读取所述熵值序列中当前时间片的所述DNS查询动作的熵值;
步骤二,将所述当前时间片的所述DNS查询动作的熵值与前一时间片的所述DNS查询动作的熵值进行差值计算,得到第一差值,并将所述第一差值与系统平均熵值进行差值运算,得到第二差值;
步骤三,所述第二差值与系统平均差值进行除法运算,得到所述特征值;
步骤四,将所述特征值与阈值进行比较:
当所述特征值大于阈值时,则判断发生攻击行为,并发出警报;
当所述特征值小于所述阈值,则判断没有发生攻击行为,将所述第一差值作为所述系统平均差值,并将当前时间片的所述DNS查询动作的熵值作为系统平均熵值;
步骤五,返回步骤一,继续监测所述熵值序列中下一时间片的所述DNS查询动作的熵值。
进一步地,所述特征值包括所述源IP地址的特征值和所述查询内容的特征值;
所述第一差值包括所述源IP地址的第一差值和所述查询内容的第一差值;
所述第二差值包括所述源IP地址的第二差值和所述查询内容的第二差值;
所述系统平均差值包括所述源IP地址的系统平均差值和所述查询内容的系统平均差值;
所述系统平均熵值包括所述源IP地址的系统平均熵值和所述查询内容的系统平均熵值;
所述阈值包括所述源IP地址的阈值和所述查询内容的阈值。
进一步地,所述攻击行为的类型包括SSH Attack、DNS放大攻击、Host Search和DNS ddos Attack;其中,SSH Attack是SSH字典攻击;Host Search是主机扫描攻击;DNS ddos Attack是DNS拒绝服务攻击。
本发明的基于熵模型的DNS反解攻击的检测系统和方法利用连续时间片的DNS查询动作的熵值的变化,实现快速实时地检测,从而提高网络流量检测的效率。
以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明,以充分地了解本发明的目的、特征和效果。
附图说明
图1是本发明的基于熵模型的DNS反解攻击检测系统的结构示意图;
图2是本发明的基于熵模型的DNS反解攻击检测方法的熵计算模块的一个较佳实施例的计算示意图;
图3是本发明的基于熵模型的DNS反解攻击检测方法的攻击检测模块的针对源IP地址进行检测的流程图;
图4是本发明的基于熵模型的DNS反解攻击检测方法的攻击检测模块的针对查询内容进行检测的流程图。
具体实施方式
下面结合附图对本发明的实施例作详细说明,本实施例在以本发明技术方案前提下进行实施,给出了详细的实施方式和具体的操作过程,但本发明的保护范围不限于下述的实施例。
本发明的基于熵模型的DNS反解攻击检测系统的结构包括DNS查询日志记录模块、熵计算模块和攻击检测模块,具体如图1所示,DNS查询日志模块包括若干个rDNS query(rDNS查询)子模块;DNS查询日志记录模块、熵计算模块和攻击检测模块自上向下,每一个模块接受上一个模块的结果作为输入,同时作为下一个模块提供输出。
其中,
DNS查询日志记录模块用于记录DNS查询动作,DNS查询动作包括查询时间、源IP地址ipsrc和查询内容qname;
熵计算模块用于计算某时间片内的源IP地址ipsrc的熵值和查询内容qname的熵值;
攻击检测模块用于根据一端时间内的熵的序列,判断是否发生攻击,并且检测攻击类型。
本发明的基于熵模型的DNS反解攻击检测方法包括:
首先,DNS查询日志记录模块记录DNS查询动作,DNS查询动作包括查询时间、源IP地址ipsrc和查询内容qname;
然后,在熵计算模块中,按照时间间隔将所述DNS查询动作分为多个时间片;在本发明的较佳实施例中,以1分钟作为时间间隔;并计算各个时间片内的DNS查询动作的熵值,DNS查询动作的熵值包括源IP地址的熵值h1=Entropy(ipsrc)和查询内容qname的熵值h2=Entropy(qname);
最后,攻击检测模块根据所述时间片内的DNS查询动作的熵值,判断是否发生攻击行为并检测攻击行为的类型。
其中,熵计算模块计算各个时间片内源IP地址ipsrc和查询内容qname的熵值,其计算方法包括:
(1)、将DNS查询动作的根据查询时间按照时间间隔分为多个时间片,在本发明的一个较佳实施例中,将DNS查询动作分为了2个时间片:t1和t2,具体如图2所示;
(2)、将各个时间片内的源IP地址ipsrc和查询内容qname解析出来,在本实施例中:
t1时间片内,源IP地址的ipsrc包括2个ips1和1个ips2;查询内容qname包括q1、q2和q3;
t2时间片内,源IP地址的ipsrc包括1个ip1和2个ip2;查询内容qname包括q1和q3;
t1和t2时间片内,源IP地址ipsrc和查询内容qname的对应关系如图2所示;
(3)、将不同的源IP地址ipsrc分为不同的组,统计各组的数量,同时,按照源IP地址ipsrc的分组,对不同的查询内容qname进行分组,统计各组的数量;
(4)、根据熵的定义计算各个时间片内源IP地址ipsrc的熵值和查询内容qname的熵值,加入熵值序列中,在本实施例中:
t1时间片内,源IP地址ipsrc的熵值为ipsrc entropy1,查询内容qname的熵值为qname entropy1;
t2时间片内,源IP地址ipsrc的熵值为ipsrc entropy2,查询内容qname的熵值为qname entropy2。
本发明的基于熵模型的DNS反解攻击检测方式中攻击检测模块是根据熵值序列来判断某一时间片内是否方式攻击行为的,其具体检测分为源IP地址ipsrc的熵值检测和查询内容qname的熵值检测。
其中,根据源IP地址ipsrc的熵值的检测流程具体如图3所示,源IP地址ipsrc的熵值序列为:ipsrc entropy1、ipsrc entropy2、ipsrc entropy3和ipsrc entropy4。检测具体包括:
步骤一、读取当前时间片的源IP地址ipsrc的熵值;
步骤二、将当前时间片的源IP地址ipsrc的熵值与前一时间片的源IP地址ipsrc的熵值进行差值运算,得到源IP地址ipsrc的第一差值;将源IP地址ipsrc的第一差值与源IP地址ipsrc的系统平均熵值进行差值运算,得源IP地址ipsrc的第二差值;
步骤三、将源IP地址ipsrc的第二差值与源IP地址ipsrc的系统平均差值进行除法运算,得到源IP地址ipsrc的特征值;
步骤四、若源IP地址ipsrc的特征值大于源IP地址ipsrc的阈值,则警报,警报提供源IP熵值的剧烈上升或下降;反之则将源IP地址ipsrc的第一差值汇入源IP地址ipsrc的系统平均差值,将当前时间片的源IP地址ipsrc的熵值汇入源IP地址ipsrc的系统平均熵值;
步骤五、返回步骤一,继续监测下一个时间片的源IP地址ipsrc的熵值。
其中,根据查询内容qname的熵值的检测流程具体如图4所示,查询内容qname的熵值序列为:qname entropy1、qname entropy2、qname entropy3和qname entropy4。检测具体包括:
步骤一、读取当前时间片的查询内容qname的熵值;
步骤二、将当前时间片的查询内容qname的熵值与前一时间片的查询内容qname的熵值进行差值运算,得到查询内容qname的第一差值;将查询内容qname的第一差值与查询内容qname的系统平均熵值进行差值运算,得查询内容qname的第二差值;
步骤三、将查询内容qname的第二差值与查询内容qname的系统平均差值进行除法运算,得到查询内容qname的特征值;
步骤四、若查询内容qname的特征值大于查询内容qname的阈值,则警报,警报提供查询内容熵值的剧烈上升或下降;反之则将查询内容qname的第一差值汇入查询内容qname的系统平均差值,将当前时间片的查询内容qname的熵值汇入查询内容qname的系统平均熵值;
步骤五、返回步骤一,继续监测下一个时间片的查询内容qname的熵值。
根据警报内容的不同,本发明可以判断以下几类的攻击行为:
第一类,警报内容显示源IP地址的熵值剧烈下降,同时查询内容的熵值也剧烈下降:本次攻击为SSH Attack或者是DNS放大攻击;
第二类,警报内容显示源IP地址的熵值剧烈下降,但查询内容的熵值却剧烈上升:本次攻击为Host Search;
第三类,警报内容显示源IP地址的熵剧烈上升,而查询内容的熵值剧烈上升或下降:本次攻击为DNS ddos Attack;
对于第一类情况,检测系统可以给出可能发生问题的源IP地址列表,根据源IP地址是否在当前网络系统内部,可继续判明攻击类型:
(1)、当源IP地址位于当前网络系统内部时,攻击表现为SSH Attack;
(2)、当源IP地址位于当前网络系统外部时,攻击表现为DNS放大攻击。
以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此,凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案,皆应在由权利要求书所确定的保护范围内。
Claims (7)
1.一种基于熵模型的DNS反解攻击的检测系统,其特征在于,包括DNS查询日志记录模块、熵计算模块和攻击检测模块;
所述DNS查询日志记录模块用于记录DNS查询动作,所述DNS查询动作包括查询时间、源IP地址和查询内容;
所述熵计算模块用于计算时间片内的所述源IP地址的熵值和所述查询内容的熵值;
所述攻击检测模块用于所述源IP地址的熵值和所述查询内容的熵值以确定是否发生攻击以及确定攻击行为的类型。
2.使用如权利要求1所述的基于熵模型的DNS反解攻击的检测系统的基于熵模型的DNS反解攻击的检测方法,其特征在于,包括:
首先,所述DNS查询日志记录模块记录一段时间内的所述DNS查询动作,所述DNS查询动作包括查询时间、源IP地址和查询内容;
然后,在所述熵计算模块中,按照时间间隔将所述DNS查询动作分为多个时间片;并计算各个所述时间片内的所述DNS查询动作的熵值;
最后,所述攻击检测模块根据各个所述时间片内的所述DNS查询动作的熵值,判断是否发生攻击行为并检测攻击行为的类型。
3.如权利要求2所述的基于熵模型的DNS反解攻击的检测方法,其中,所述DNS查询动作的熵值包括所述源IP地址的熵值和所述查询内容的熵值。
4.如权利要求3所述的基于熵模型的DNS反解攻击的检测方法,其中,所述熵计算模块是按照如下步骤计算所述DNS查询动作的熵值的:
首先,所述熵计算模块将所述DNS查询动作根据所述查询时间按照所述时间间隔分成多个时间片;
其次,按照各个所述时间片解析所述源IP地址和所述查询内容;
然后,按照所述源IP地址进行分组,同时,在所述源IP地址的分组基础上对所述查询内容进行分组;
最后,计算各个所述时间片内的所述DNS查询动作的熵值,并加入熵值序列。
5.如权利要求4所述的基于熵模型的DNS反解攻击的检测方法,其中,所述攻击检测模块判断是否发生所述攻击行为是按照所述熵值序列的顺序进行的,包括:
步骤一,读取所述熵值序列中当前时间片的所述DNS查询动作的熵值;
步骤二,将所述当前时间片的所述DNS查询动作的熵值与前一时间片的所述DNS查询动作的熵值进行差值计算,得到第一差值,并将所述第一差值与系统平均熵值进行差值运算,得到第二差值;
步骤三,所述第二差值与系统平均差值进行除法运算,得到所述特征值;
步骤四,将所述特征值与阈值进行比较:
当所述特征值大于阈值时,则判断发生攻击行为,并发出警报;
当所述特征值小于所述阈值,则判断没有发生攻击行为,将所述第一差值作为所述系统平均差值,并将当前时间片的所述DNS查询动作的熵值作为系统平均熵值;
步骤五,返回步骤一,继续监测所述熵值序列中下一时间片的所述DNS查询动作的熵值。
6.如权利要求5所述的DNS反解攻击的检测方法,其中,
所述特征值包括所述源IP地址的特征值和所述查询内容的特征值;
所述第一差值包括所述源IP地址的第一差值和所述查询内容的第一差值;
所述第二差值包括所述源IP地址的第二差值和所述查询内容的第二差值;
所述系统平均差值包括所述源IP地址的系统平均差值和所述查询内容的系统平均差值;
所述系统平均熵值包括所述源IP地址的系统平均熵值和所述查询内容的系统平均熵值;
所述阈值包括所述源IP地址的阈值和所述查询内容的阈值。
7.如权利要求6所述的DNS反解攻击的检测方法,其中,所述攻击行为的类型包括SSH Attack、DNS放大攻击、Host Search和DNS ddos Attack。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410138182.9A CN103905456B (zh) | 2014-04-08 | 2014-04-08 | 一种基于熵模型的dns反解攻击的检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410138182.9A CN103905456B (zh) | 2014-04-08 | 2014-04-08 | 一种基于熵模型的dns反解攻击的检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103905456A true CN103905456A (zh) | 2014-07-02 |
| CN103905456B CN103905456B (zh) | 2017-02-15 |
Family
ID=50996610
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410138182.9A Expired - Fee Related CN103905456B (zh) | 2014-04-08 | 2014-04-08 | 一种基于熵模型的dns反解攻击的检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103905456B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105049276A (zh) * | 2015-05-29 | 2015-11-11 | 北京东方棱镜科技有限公司 | 对广域网流量行为进行监测管理的方法和装置 |
| CN106230819A (zh) * | 2016-07-31 | 2016-12-14 | 上海交通大学 | 一种基于流采样的DDoS检测方法 |
| CN106254318A (zh) * | 2016-07-21 | 2016-12-21 | 柳州龙辉科技有限公司 | 一种网络攻击分析方法 |
| CN106533829A (zh) * | 2016-11-04 | 2017-03-22 | 东南大学 | 一种基于比特熵的dns流量识别方法 |
| CN108683686A (zh) * | 2018-06-21 | 2018-10-19 | 中国科学院信息工程研究所 | 一种随机子域名DDoS攻击检测方法 |
| CN111767252A (zh) * | 2020-06-30 | 2020-10-13 | 平安科技(深圳)有限公司 | 日志查询方法、装置、计算机设备和存储介质 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101841533B (zh) * | 2010-03-19 | 2014-04-09 | 中国科学院计算机网络信息中心 | 分布式拒绝服务攻击检测方法和装置 |
| CN103001825B (zh) * | 2012-11-15 | 2016-03-02 | 中国科学院计算机网络信息中心 | Dns流量异常的检测方法和系统 |
-
2014
- 2014-04-08 CN CN201410138182.9A patent/CN103905456B/zh not_active Expired - Fee Related
Non-Patent Citations (1)
| Title |
|---|
| 丁森林等: "利用熵检测DNS异常", 《计算机系统应用》 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105049276A (zh) * | 2015-05-29 | 2015-11-11 | 北京东方棱镜科技有限公司 | 对广域网流量行为进行监测管理的方法和装置 |
| CN105049276B (zh) * | 2015-05-29 | 2019-01-15 | 北京东方棱镜科技有限公司 | 对广域网流量行为进行监测管理的方法和装置 |
| CN106254318A (zh) * | 2016-07-21 | 2016-12-21 | 柳州龙辉科技有限公司 | 一种网络攻击分析方法 |
| CN106230819A (zh) * | 2016-07-31 | 2016-12-14 | 上海交通大学 | 一种基于流采样的DDoS检测方法 |
| CN106230819B (zh) * | 2016-07-31 | 2019-08-06 | 上海交通大学 | 一种基于流采样的DDoS检测方法 |
| CN106533829A (zh) * | 2016-11-04 | 2017-03-22 | 东南大学 | 一种基于比特熵的dns流量识别方法 |
| CN106533829B (zh) * | 2016-11-04 | 2019-04-30 | 东南大学 | 一种基于比特熵的dns流量识别方法 |
| CN108683686A (zh) * | 2018-06-21 | 2018-10-19 | 中国科学院信息工程研究所 | 一种随机子域名DDoS攻击检测方法 |
| CN111767252A (zh) * | 2020-06-30 | 2020-10-13 | 平安科技(深圳)有限公司 | 日志查询方法、装置、计算机设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103905456B (zh) | 2017-02-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9032521B2 (en) | Adaptive cyber-security analytics | |
| AU2017221858B2 (en) | Graph database analysis for network anomaly detection systems | |
| EP3506141B1 (en) | System for query injection detection using abstract syntax trees | |
| US8260914B1 (en) | Detecting DNS fast-flux anomalies | |
| Jiang et al. | Identifying suspicious activities through dns failure graph analysis | |
| CN103905456A (zh) | 基于熵模型的dns反解攻击的检测系统和方法 | |
| US8516585B2 (en) | System and method for detection of domain-flux botnets and the like | |
| Sexton et al. | Attack chain detection | |
| US8561187B1 (en) | System and method for prosecuting dangerous IP addresses on the internet | |
| US11095671B2 (en) | DNS misuse detection through attribute cardinality tracking | |
| CN105827594A (zh) | 一种基于域名可读性及域名解析行为的可疑性检测方法 | |
| JP2012508476A (ja) | ネットワーク異常流量分析装置及び方法 | |
| CN109474575A (zh) | 一种dns隧道的检测方法及装置 | |
| CN101702660A (zh) | 异常域名检测方法及系统 | |
| Berger et al. | Mining agile DNS traffic using graph analysis for cybercrime detection | |
| US11108794B2 (en) | Indicating malware generated domain names using n-grams | |
| CN109144023A (zh) | 一种工业控制系统的安全检测方法和设备 | |
| Do Xuan | Detecting APT attacks based on network traffic using machine learning | |
| CN104901962B (zh) | 一种网页攻击数据的检测方法及装置 | |
| Bronte et al. | Information theoretic anomaly detection framework for web application | |
| CN112204930B (zh) | 恶意域名检测设备、系统和方法 | |
| CN114189390A (zh) | 一种域名检测方法、系统、设备及计算机可读存储介质 | |
| CN112583827A (zh) | 一种数据泄露检测方法及装置 | |
| Vu Hong | DNS traffic analysis for network-based malware detection | |
| GhasemiGol et al. | A new alert correlation framework based on entropy |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170215 |