CN103916406B - 一种基于dns日志分析的apt攻击检测方法 - Google Patents
一种基于dns日志分析的apt攻击检测方法 Download PDFInfo
- Publication number
- CN103916406B CN103916406B CN201410172549.9A CN201410172549A CN103916406B CN 103916406 B CN103916406 B CN 103916406B CN 201410172549 A CN201410172549 A CN 201410172549A CN 103916406 B CN103916406 B CN 103916406B
- Authority
- CN
- China
- Prior art keywords
- dns
- ssh
- dns query
- address
- log analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 49
- 238000001514 detection method Methods 0.000 title claims abstract description 33
- 238000011156 evaluation Methods 0.000 claims abstract description 3
- 230000002860 competitive effect Effects 0.000 claims description 3
- 230000001186 cumulative effect Effects 0.000 claims description 2
- 235000013399 edible fruits Nutrition 0.000 claims 1
- 230000006399 behavior Effects 0.000 description 4
- 238000000034 method Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000004880 explosion Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 241001269238 Data Species 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 230000006698 induction Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 235000019640 taste Nutrition 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一种基于DNS日志分析的APT攻击检测系统,包括DNS查询日志记录模块、日志分析模块和攻击检测检测模块;同时,利用该检测系统实现了APT的攻击检测:首先,通过DNS查询日志记录模块采集DNS查询请求,形成DNS查询日志;其次,日志分析模块对DNS查询日志与SSH登录尝试信息进行模式匹配,分析计算时间密度、覆盖范围和时间关联;然后,按照源IP地址对SSH登录尝试信息进行分组;最后,攻击检测模块根据日志分析模块的结果判断是否发生攻击并确定攻击类型。本发明是一种轻量级的攻击检测方式,消耗的资源远远小于分析整个网络流量所需资源,且采用日志分析的方式,不需要实时对网络进行监听,从而对网络几乎不产生影响。
Description
技术领域
本发明涉及计算机网络安全领域的高持续攻击的检测方法,尤其涉及一种针对SSH扫描和密码爆破的基于DNS日志分析的APT攻击检测方法。
背景技术
计算机网络已成为实现资源、信息共享的重要设施,网络的广泛运用已经导致了新的社会、伦理和政治问题。APT(Advanced Persistent Threat,高级持续性威胁)是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。
DNS(Domain Name System,域名系统)是因特网的一项核心服务,它作为可以将域名和IP地址相互映射的一个分布式数据库,能够使人更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。DNS查询从大的方向上讲,有两种查询模式:一种是正向解析,客户端给出一个域名,例如www.example.com的查询请求,服务器返回其对应的IP地址,例如1.2.3.4;相对的是rDNS,即DNS反向解析,则是将IP解析成其对应域名。
SSH为Secure Shell的缩写,由IETF的网络工作小组(Network Working Group)所制定;SSH是建立在应用层和传输层基础上的安全协议。SSH是目前较可靠、专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。通过SSH可连接到开放SSH登录的主机并获得相应权限,也成为渗透攻击的切入点之一。
目前,对APT危机所采取的措施主要是用户主动防御,即提高企业用户的信息安全意识,防患于未然;暗转网络安全预警系统。然而,网络安全预警系统是一种基于硬件的网络安全技术,能够针对局域网内的安全事件自动进行归纳总结,并根据这些数据对全忘安全进行预警。但是,对于从海量数据中分析潜伏的威胁,上述防御措施存在漏洞,并且很难对所有海量数据进行分析,可能会错过潜伏的APT攻击。
因此,本领域的技术人员致力于开发一种针对SSH扫描和密码爆破的基于DNS日志分析的APT攻击检测方法。
发明内容
有鉴于现有技术的上述缺陷,本发明所要解决的技术问题是提供一种针对SSH扫描和密码爆破的基于DNS日志分析的APT攻击检测方法。
为实现上述目的,本发明提供了一种基于DNS日志分析的APT攻击检测系统,其特征在于,包括DNS查询日志记录模块、日志分析模块和攻击检测模块;
所述DNS查询日志记录模块用于记录DNS查询请求,所述DNS查询日志包括查询时间、源IP地址和查询内容;
所述日志分析模块用于根据所述DNS查询日志记录模块记录的所述DNS查询日志计算源IP地址关联、时间关联和查询内容关联;
所述攻击检测模块用于根据所述日志分析模块分析的结果判断是否存在攻击以及确定攻击来源和类型。
一种基于DNS日志分析的APT攻击检测方法,其特征在于,包括:
步骤一,所述DNS查询日志记录模块采集DNS查询请求,并形成相应的DNS查询日志;
步骤二,在所述日志分析模块中,对所述DNS查询日志与SSH登录尝试信息进行模式匹配,并分析计算时间密度、覆盖范围和时间关联;
步骤三,对所述SSH登录尝试信息按照源IP地址进行分组,每一个源IP地址对应一个SSH登录尝试信息组;
步骤四,在所述攻击检测模块中,根据所述时间密度、所述覆盖范围和所述时间关联判断是否发生攻击并确定攻击类型,其中密度比体积比其中Sp为各类的请求密度,Sa为总请求密度,Vp为各类地址空间大小,Va为总地址空间大小。
进一步地,所述步骤二中,所述DNS查询请求与所述SSH登录尝试信息之间的模式匹配包括按时间顺序读取所述DNS查询日志;并对所述DNS查询日志中的每一条DNS查询请求进行如下操作:
步骤21,判断DNS查询请求是否为反解请求:如果是,则跳转至步骤22,如果不是,则放弃DNS查询请求;
步骤22,判断DNS反解是否成功:如果DNS反解失败,则DNS查询请求是SSH尝试登录,并跳转至步骤24;如果DNS反解成功,则跳转至步骤23;如果DNS反解超出TTL时间,则丢弃DNS查询请求;
步骤23,对DNS查询请求继续向后搜索,并判断是否存在反解结果的正向解析请求:如果存在,则认为DNS查询请求是SSH登录尝试,并跳转至步骤24;如果不存在,则丢弃DNS查询请求;
步骤24,DNS反解请求中的查询内容所对应的IP地址即SSH登录源IP地址,发出DNS查询的IP地址即SSH登录的目标。
进一步地,所述步骤四还包括:计算每一个源IP地址对应的SSH登录尝试信息组的体积比和密度比,并将体积比和密度比分别与体积比阈值和密度比阈值进行比较,以判断是否发生攻击和确定攻击类型。
进一步地,所述体积比和所述密度比按照RPCL竞争学习算法计算。
进一步地,判断是否发生攻击和确定攻击类型:
(1)当所述体积比大于体积比阈值、SSH登录源IP地址为内网IP,则判定内网IP进行SSH扫描。
(2)当所述密度比大于密度比阈值、SSH登录源IP地址为内网IP,则判定内网IP进行SSH暴力破解。
(3)当所述体积比大于体积比阈值、SSH登录源IP地址为外网IP,则判定为外网IP进行SSH扫描。
(4)当所述密度比大于密度比阈值、SSH登录源IP地址为外网IP,则判定为外网IP进行SSH暴力破解。
(5)满足(1)、(2)之一时,认为该内网主机被非法控制;满足(3)、(4)之一时,认为受到外网攻击,有组织或个人在尝试进入内网;当某内网IP满足(1)、(2)之一,且为SSH登录源IP,同时满足(3)、(4)之一,且为SSH登录的目标,则认为已有组织或个人通过攻击该主机渗透进入了内网。
进一步地,所述体积比阈值为0.2,密度比阈值为2。
本发明提供了一种轻量级的攻击检测方式,相比较流量监测而言,由于分析的数据为DNS请求,消耗的资源远远小于分析整个网络流量所需资源。并且采用日志分析的方式,不需要实时对网络进行监听,从而对网络几乎不产生影响。
以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明,以充分地了解本发明的目的、特征和效果。
附图说明
图1是本发明的一种基于DNS日志分析的APT攻击检测系统的结构示意图;
图2是本发明的日志分析模块中的DNS查询日志与SSH登录尝试信息的模式匹配流程图;
图3是本发明的攻击检测模块中对SSH登录尝试信息组的攻击检测流程图。
具体实施方式
下面结合附图对本发明的实施例作详细说明,本实施例在以本发明技术方案前提下进行实施,给出了详细的实施方式和具体的操作过程,但本发明的保护范围不限于下述的实施例。
本发明的一种基于DNS日志分析的APT攻击检测系统具体如图1所示,包括DNS查询日志记录模块、日志分析模块和攻击检测模块。其中,
DNS查询日志记录模块:其是用于记录DNS的查询动作DNS以形成DNS日志,查询动作主要包括查询时间time、源IP地址ipsrc和查询内容qname;
日志分析模块:用于将DNS的查询动作请求转换为SSH登录尝试信息,并计算SSH登录尝试的时间密度、覆盖范围和时间关联;
攻击检测模块:用于根据日志分析模块分析计算得到SSH登录尝试的时间密度、覆盖范围和时间关联,判断是否产生攻击并确定攻击类型。
本发明的一种基于DNS日志分析的APT攻击检测方法的流程也是如图1所示:
步骤一,DNS查询日志记录模块采集DNS查询请求,即DNS Query,并形成相应的DNS查询日志,即DNS log;
步骤二,在日志分析模块中,对DNS查询请求进行模式匹配,将其转换为SSH登录尝试信息,即SSH Log,并分析计算每一个SSH登录尝试的时间密度、覆盖范围和时间关联;
步骤三,对SSH登录尝试信息按照SSH客户端的源IP地址进行分组,每一个源IP地址对应一组SSH登录尝试信息组,即DNS反解请求中的qname。在本发明的一个较佳实施例中,SSH登录尝试包括源IP1、源IP2、源IP3;
步骤四,在攻击检测模块中,根据SSH登录尝试的时间密度、覆盖范围和时间关联判断是否发生攻击并确定攻击类型。
其中,步骤二当中,将DNS查询日志中的DNS查询请求转换为SSH登录尝试信息,是按照时间顺序读取DNS查询日志DNS Log内的查询请求,DNS查询日志内的每一条DNS查询请求具体是按照如图2所示的流程与SSH登录尝试信息进行匹配的:
(1),以生存时间为限,进行DNS反解,即向后搜索查询结果;
(2),判断DNS反解是否成功:如果DNS反解失败,则认为此条DNS查询请求是SSH登录尝试;如果DNS反解成功,则跳转至(3);如果DNS反解超出TTL时间,则丢弃此条DNS查询请求;
(3),对此条DNS查询请求继续向后搜索,并判断是否存在反解结果的正向解析请求:如果存在,则认为此条DNS查询请求是SSH登录尝试;如果不存在,则丢弃此条DNS查询请求。
其中,DNS反解请求中的查询内容所对应的IP地址即SSH登录源IP地址,发出DNS查询的IP地址即SSH登录的目标。
步骤四当中,对每一组SSH登录尝试信息组进行攻击判断和攻击类型确定是按照图3所示进行的:
1,对SSH登录尝试信息组进行统计,并计算体积比和密度比:
(1)将点分制IP作为4维空间坐标,放入4维空间;
(2)采用RPCL(Rival Penalized Competitive Learning,竞争学习)算法进行聚类,聚类标准是各点之间欧氏距离;
(3)计算密度比体积比其中Sp为各类的请求密度,Sa为总请求密度,Vp为各类地址空间大小,Va为总地址空间大小;
(4)Sp=Cp/Vp,Cp为该类中请求总数,Vp为该类地址空间体积;
(5)Sa=Ca/Va,Ca为对应请求总数,Va为地址空间总体积。
2,将体积比和密度比分别于体积比阈值和密度比阈值进行比较,以判定是否发生攻击并确定攻击类型:
(1)当体积比大于体积比阈值,且SSH登录源IP地址为内网IP,则判定内网IP进行SSH扫描,并且,内网主机已被非法控制。
(2)当密度比大于密度比阈值、且SSH登录源IP地址为内网IP,则判定内网IP进行SSH暴力破解,并且,内网主机已被非法控制。
(3)当体积比大于体积比阈值、且SSH登录源IP地址为外网IP,则判定外网IP进行SSH扫描,并且,有组织或个人在尝试进入内网。
(4)当密度比大于密度比阈值、且SSH登录源登录IP地址为外网IP,则判定外网IP进行SSH暴力破解,并且有组织或个人在尝试进入内网。
(5)当内网IP满足(1)、(2)之一,且为SSH登录源IP地址,同时满足(3)、(4)之一,且为SSH登录的目标,则认为已有组织或个人通过攻击该主机渗透进入了内网。
在本发明的较佳实施例中,体积比阈值为0.2,密度比阈值为2。
以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此,凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案,皆应在由权利要求书所确定的保护范围内。
Claims (7)
1.一种基于DNS日志分析的APT攻击检测系统的基于DNS日志分析的APT攻击检测方法,其特征在于,包括:
提供一种基于DNS日志分析的APT攻击检测系统,包括DNS查询日志记录模块、日志分析模块和攻击检测模块;
所述DNS查询日志记录模块用于记录DNS查询请求,所述DNS查询日志包括查询时间、源IP地址和查询内容;
所述日志分析模块用于根据所述DNS查询日志记录模块记录的所述DNS查询日志计算源IP地址关联、时间关联和查询内容关联;
所述攻击检测模块用于根据所述日志分析模块分析的结果判断是否存在攻击以及确定攻击来源和类型;
步骤一,所述DNS查询日志记录模块采集DNS查询请求,并形成相应的DNS查询日志;
步骤二,在所述日志分析模块中,对所述DNS查询日志与SSH登录尝试信息进行模式匹配,并分析计算时间密度、覆盖范围和时间关联;
步骤三,对所述SSH登录尝试信息按照源IP地址进行分组,每一个源IP地址对应一个SSH登录尝试信息组;
步骤四,在所述攻击检测模块中,根据所述时间密度、所述覆盖范围和所述时间关联判断是否发生攻击并确定攻击类型;
所述步骤四还包括:计算每一个源IP地址对应的SSH登录尝试信息组的体积比和密度比,并将体积比和密度比分别与体积比阈值和密度比阈值进行比较,以判断是否发生攻击和确定攻击类型,计算体积比和密度比的步骤为:
(41)将点分制IP作为4维空间坐标,放入4维空间;
(42)采用RPCL竞争学习算法进行聚类,聚类标准是各点之间欧氏距离;
(43)计算密度比体积比其中Sp为聚类得到的各类的请求密度,Sa为总请求密度,Vp为聚类得到的各类地址空间体积,Va为总地址空间体积;
其中,Sp=Cp/Vp,Cp为该类中请求总数,Vp为该类地址空间体积;Sa=Ca/Va,Ca为对应请求总数,Va为对应地址空间总体积。
2.如权利要求1所述的基于DNS日志分析的APT攻击检测方法,其中,所述步骤二中,所述DNS查询请求与所述SSH登录尝试信息之间的模式匹配包括按时间顺序读取所述DNS查询日志;并对所述DNS查询日志中的每一条DNS查询请求进行如下操作:
步骤21,判断DNS查询请求是否为反解请求:如果是,则跳转至步骤22,如果不是,则放弃DNS查询请求;
步骤22,判断DNS反解是否成功:如果DNS反解失败,则DNS查询请求是SSH登录尝试,并跳转至步骤24;如果DNS反解成功,则跳转至步骤23;如果DNS反解超出TTL时间,则丢弃DNS查询请求;
步骤23,对DNS查询请求继续向后搜索,并判断是否存在反解结果的正向解析请求:如果存在,则认为DNS查询请求是SSH登录尝试,并跳转至步骤24;如果不存在,则丢弃DNS查询请求;
步骤24,DNS反解请求中的查询内容所对应的IP地址即SSH登录源IP地址,发出DNS查询的IP地址即SSH登录的目标。
3.如权利要求1所述的基于DNS日志分析的APT攻击检测方法,其中,当所述体积比大于体积比阈值、且SSH登录源IP地址为内网IP,则判定内网IP进行SSH扫描,并且,内网主机已被非法控制。
4.如权利要求1所述的基于DNS日志分析的APT攻击检测方法,其中,当所述密度比大于密度比阈值、且SSH登录源IP地址为内网IP,则判定内网IP进行SSH暴力破解,并且,内网主机已被非法控制。
5.如权利要求1所述的基于DNS日志分析的APT攻击检测方法,其中,当所述体积比大于体积比阈值、且SSH登录源IP地址为外网IP,则判定为外网IP进行SSH扫描,并且,有组织或个人在尝试进入内网。
6.如权利要求1所述的基于DNS日志分析的APT攻击检测方法,其中,当所述密度比大于密度比阈值、SSH登录源IP地址为外网IP,则判定为外网IP进行SSH暴力破解,并且有组织或个人在尝试进入内网。
7.如权利要求4~6中任一所述的基于DNS日志分析的APT攻击检测方法,其中,内网IP进行SSH扫描或SSH暴力破解,且内网IP为SSH登录源IP地址,同时外网IP进行SSH扫描或SSH暴力破解,且外网IP为SSH登录的目标,则判定有组织或个人渗透进入内网。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410172549.9A CN103916406B (zh) | 2014-04-25 | 2014-04-25 | 一种基于dns日志分析的apt攻击检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410172549.9A CN103916406B (zh) | 2014-04-25 | 2014-04-25 | 一种基于dns日志分析的apt攻击检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103916406A CN103916406A (zh) | 2014-07-09 |
CN103916406B true CN103916406B (zh) | 2017-10-03 |
Family
ID=51041813
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410172549.9A Expired - Fee Related CN103916406B (zh) | 2014-04-25 | 2014-04-25 | 一种基于dns日志分析的apt攻击检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103916406B (zh) |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105704091B (zh) * | 2014-11-25 | 2018-12-04 | 中国科学院声学研究所 | 一种基于ssh协议的会话解析方法及系统 |
CN104811447B (zh) * | 2015-04-21 | 2018-08-21 | 深信服网络科技(深圳)有限公司 | 一种基于攻击关联的安全检测方法和系统 |
CN105141598B (zh) * | 2015-08-14 | 2018-11-20 | 中国传媒大学 | 基于恶意域名检测的apt攻击检测方法及装置 |
CN105357041A (zh) * | 2015-10-30 | 2016-02-24 | 上海帝联信息科技股份有限公司 | 边缘节点服务器及日志文件上传方法和系统 |
CN108076006B (zh) * | 2016-11-09 | 2020-06-16 | 华为技术有限公司 | 一种查找被攻击主机的方法及日志管理服务器 |
CN108259449B (zh) | 2017-03-27 | 2020-03-06 | 新华三技术有限公司 | 一种防御apt攻击的方法和系统 |
CN108322444B (zh) * | 2017-12-29 | 2021-05-14 | 山石网科通信技术股份有限公司 | 命令与控制信道的检测方法、装置和系统 |
CN108494735B (zh) * | 2018-02-13 | 2021-02-05 | 北京明朝万达科技股份有限公司 | 一种非法破解登录分析告警方法及装置 |
US11601442B2 (en) | 2018-08-17 | 2023-03-07 | The Research Foundation For The State University Of New York | System and method associated with expedient detection and reconstruction of cyber events in a compact scenario representation using provenance tags and customizable policy |
CN110933032B (zh) * | 2019-10-25 | 2022-04-05 | 湖南麒麟信安科技股份有限公司 | 一种ssh路径追踪方法、系统及介质 |
CN110912887B (zh) * | 2019-11-22 | 2021-08-20 | 上海交通大学 | 一种基于Bro的APT监测系统和方法 |
CN111225002B (zh) * | 2020-03-18 | 2022-05-27 | 深圳市腾讯计算机系统有限公司 | 一种网络攻击溯源方法、装置、电子设备和存储介质 |
CN112165451B (zh) * | 2020-08-31 | 2023-07-18 | 新浪技术(中国)有限公司 | Apt攻击分析方法、系统及服务器 |
CN112333180A (zh) * | 2020-10-30 | 2021-02-05 | 北京安信天行科技有限公司 | 一种基于数据挖掘的apt攻击检测方法及系统 |
CN115022056B (zh) * | 2022-06-09 | 2023-11-21 | 国网湖南省电力有限公司 | 针对电网系统的网络攻击行为智能处置方法 |
CN115412357B (zh) * | 2022-09-02 | 2024-03-19 | 中国电信股份有限公司 | 异常设备检测方法、装置、电子设备和存储介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101841533A (zh) * | 2010-03-19 | 2010-09-22 | 中国科学院计算机网络信息中心 | 分布式拒绝服务攻击检测方法和装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20120068612A (ko) * | 2010-12-17 | 2012-06-27 | 한국전자통신연구원 | Dns 쿼리 트래픽 감시 및 처리 방법과 그 장치 |
-
2014
- 2014-04-25 CN CN201410172549.9A patent/CN103916406B/zh not_active Expired - Fee Related
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101841533A (zh) * | 2010-03-19 | 2010-09-22 | 中国科学院计算机网络信息中心 | 分布式拒绝服务攻击检测方法和装置 |
Non-Patent Citations (3)
Title |
---|
基于Kippo蜜罐的SSH暴力破解行为分析;段凯元,等;《信息安全与通信保密》;20140310;全文 * |
基于蜜罐日志分析的主动防御研究和实现;李静;《中国优秀硕士学位论文全文数据库信息科技辑》;20111215;论文正文第44-46页、图5-2 * |
校园网的DNS安全问题;邹福泰;《中国教育网络》;20130505;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN103916406A (zh) | 2014-07-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103916406B (zh) | 一种基于dns日志分析的apt攻击检测方法 | |
McHugh | Intrusion and intrusion detection | |
Javed et al. | Detecting stealthy, distributed SSH brute-forcing | |
Fabian et al. | My botnet is bigger than yours (maybe, better than yours): why size estimates remain challenging | |
Bilge et al. | EXPOSURE: Finding Malicious Domains Using Passive DNS Analysis. | |
US8769684B2 (en) | Methods, systems, and media for masquerade attack detection by monitoring computer user behavior | |
US9356957B2 (en) | Systems, methods, and media for generating bait information for trap-based defenses | |
CN101176331B (zh) | 计算机网络入侵检测系统和方法 | |
CN108154029A (zh) | 入侵检测方法、电子设备和计算机存储介质 | |
Porras et al. | Large-scale collection and sanitization of network security data: risks and challenges | |
Jia et al. | Micro-honeypot: using browser fingerprinting to track attackers | |
CN107659584A (zh) | 一种食品加工厂网络安全管理系统 | |
Rosenthal et al. | ARBA: Anomaly and reputation based approach for detecting infected IoT devices | |
Padayachee | A conceptual opportunity-based framework to mitigate the insider threat | |
Al-Hamami et al. | Development of a network-based: Intrusion Prevention System using a Data Mining approach | |
Rauti | Towards cyber attribution by deception | |
Beqiri | Neural networks for intrusion detection systems | |
Zeng et al. | Hidden path: Understanding the intermediary in malicious redirections | |
Shen et al. | Deep Learning Powered Adversarial Sample Attack Approach for Security Detection of DGA Domain Name in Cyber Physical Systems | |
Abbas-Escribano et al. | An improved honeypot model for attack detection and analysis | |
Raut et al. | Fog computing using advanced security in cloud | |
Kiranmai et al. | Extenuate DDoS attacks in cloud | |
Kdosha et al. | REMaDD: Resource-Efficient Malicious Domains Detector in Large-Scale Networks | |
CN109543419A (zh) | 检测资产安全的方法及装置 | |
US20230403216A1 (en) | Query prints (qprints): telemetry-based similarity for dns |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20171003 |