CN104579773B - 域名系统分析方法及装置 - Google Patents

域名系统分析方法及装置 Download PDF

Info

Publication number
CN104579773B
CN104579773B CN201410855701.3A CN201410855701A CN104579773B CN 104579773 B CN104579773 B CN 104579773B CN 201410855701 A CN201410855701 A CN 201410855701A CN 104579773 B CN104579773 B CN 104579773B
Authority
CN
China
Prior art keywords
domain name
record
access
classification
event model
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201410855701.3A
Other languages
English (en)
Other versions
CN104579773A (zh
Inventor
张卓
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qianxin Technology Group Co Ltd
Secworld Information Technology Beijing Co Ltd
Original Assignee
Beijing Qihoo Technology Co Ltd
Qizhi Software Beijing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Qihoo Technology Co Ltd, Qizhi Software Beijing Co Ltd filed Critical Beijing Qihoo Technology Co Ltd
Priority to CN201410855701.3A priority Critical patent/CN104579773B/zh
Publication of CN104579773A publication Critical patent/CN104579773A/zh
Application granted granted Critical
Publication of CN104579773B publication Critical patent/CN104579773B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种域名系统分析方法及装置,该方法包括:获取单元,用于获取与待分析网络对应的多个域名分类,并用于按照所述域名分类获取待分析网络的域名访问记录;比较单元,用于将所述获取单元获取的、对应于任一所述域名分类的域名访问记录与对应于该域名分类的至少一个预设事件模型进行比较;生成单元,用于在所述域名访问记录与任一所述预设事件模型相匹配时,生成与该预设事件模型对应的事件报告,所述事件报告中包括对应的域名分类的标识以及所述域名访问记录中的至少部分信息。可以解决DNS服务器中大量网络访问数据难以进行分析汇总的问题。

Description

域名系统分析方法及装置
技术领域
本发明涉及互联网技术领域,尤其涉及一种域名系统分析方法及装置。
背景技术
域名系统(英文:Domain Name System,缩写:DNS)是因特网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。DNS通过主机名最终得到该主机名对应的IP地址的过程叫做域名解析(或主机名解析)。
例如,当用户的网站制作完成后上传到虚拟主机时,用户可以直接在浏览器中输入IP地址浏览这一网站,也可以输入域名查询这一网站。虽然两者方式最终的调用结果都是一样的,但是调用的过程却不一样——输入IP地址实际上是直接从主机上调用网站的内容,输入域名实际上则是通过DNS指向对应的主机的IP地址,再从主机上调用网站的内容。
处于DNS所带来的便利,用户通常都会通过DNS服务器来访问互联网,从而现有技术常会通过对DNS服务器进行安全防护的设置来确保网络的安全。例如,通过在DNS服务器上安装防火墙来抵御来自外部的分布式拒绝服务攻击(Distributed Denial of Service,DDoS)。然而,无论采用何种方式来进行安全防护,都需要基于对DNS服务器上的网络访问数据进行的分析汇总。
但是,随着网络设备的更新换代,几乎每一台DNS服务器上的网络访问数据的数据量都极为庞大,因而传统的分析和检测方法中对每一访问记录的操作都会给DNS的分析汇总增加巨大的负担。例如,现有技术会使用根据经验设定的攻击特征库来查找到可以与任一类型攻击匹配的访问记录集合,但为了保证其有效性需要将所有安全级别未知的访问记录都与攻击特征库中的每一项都进行比对,会给DNS的分析汇总过程带来了大量的工作量。
发明内容
针对现有技术中的缺陷,本发明提供一种域名系统分析方法及装置,可以解决DNS服务器中大量网络访问数据难以进行分析汇总的问题。
第一方面,本发明提供了一种域名系统分析装置,包括:
获取单元,用于获取与待分析网络对应的多个域名分类,并用于按照所述域名分类获取待分析网络的域名访问记录;
比较单元,用于将所述获取单元获取的、对应于任一所述域名分类的域名访问记录与对应于该域名分类的至少一个预设事件模型进行比较;
生成单元,用于在所述域名访问记录与任一所述预设事件模型相匹配时,生成与该预设事件模型对应的事件报告,所述事件报告中包括对应的域名分类的标识以及所述域名访问记录中的至少部分信息。
可选地,所述获取单元进一步用于通过对域名系统的旁路侦听实时地获取所述域名访问记录。
可选地,所述至少一个预设事件模型包括访问量激增事件模型,所述访问量激增事件模型中设有一时间长度阈值和一访问量阈值;
所述生成单元进一步用于:
在对应于任一所述域名分类的所述域名访问记录中,长度为所述时间长度阈值的任意时间内的访问量大于所述访问量阈值时,生成与所述访问量激增事件模型对应的事件报告。
可选地,所述多个域名分类包括不安全域名类;与对应于所述不安全域名类的至少一个预设事件模型包括报警事件模型;
所述生成单元进一步用于:
在对应于所述不安全域名类的域名访问记录不为空时,生成与所述报警事件模型对应的事件报告。
可选地,所述获取单元包括:
获取模块,用于获取待分析网络的域名访问记录;
生成模块,用于根据所述获取模块获取到的所述域名访问记录生成预设数据类型的待训练数据,所述预设数据类型与预设无监督特征学习算法对应;
训练模块,用于利用所述预设无监督特征学习算法对所述生成模块生成的待训练数据进行训练,获取所述域名访问记录中包括的各个域名的无监督特征向量;
聚类模块,用于根据各个无监督特征向量的相似度对与无监督特征向量对应的域名进行聚类,得到多个域名集合,一个域名集合中所有域名属于同一域名分类;
所述获取模块还用于获取所述各个域名的无监督特征向量的相似度。
可选地,所述预设无监督特征学习算法为word2vector算法;
所述生成模块进一步用于:
根据每一个客户端的域名访问记录生成一个文本数据类型的待训练数据,一个文本数据类型的待训练数据中的每一个词组表示一个域名,且一个文本数据类型的待训练数据中的各个词组按照其对应的域名被该客户端访问的时间排列。
第二方面,本发明还提供了一种域名分类方法,包括:
获取与待分析网络对应的多个域名分类;
按照所述域名分类获取待分析网络的域名访问记录;
将对应于任一所述域名分类的域名访问记录与对应于该域名分类的至少一个预设事件模型进行比较;
若所述域名访问记录与任一所述预设事件模型相匹配,则生成与该预设事件模型对应的事件报告,所述事件报告中包括对应的域名分类的标识以及所述域名访问记录中的至少部分信息。
可选地,所述按照所述域名分类获取待分析网络的域名访问记录,包括:
通过对域名系统的旁路侦听实时地获取所述域名访问记录。
可选地,所述至少一个预设事件模型包括访问量激增事件模型,所述访问量激增事件模型中设有一时间长度阈值和一访问量阈值;
所述若所述域名访问记录与任一所述预设事件模型相匹配,则生成与该预设事件模型对应的事件报告,包括:
若对应于任一所述域名分类的所述域名访问记录中,长度为所述时间长度阈值的任意时间内的访问量大于所述访问量阈值,则生成与所述访问量激增事件模型对应的事件报告。
可选地,所述多个域名分类包括不安全域名类;与对应于所述不安全域名类的至少一个预设事件模型包括报警事件模型;
所述若所述域名访问记录与任一所述预设事件模型相匹配,则生成与该预设事件模型对应的事件报告,包括:
若对应于所述不安全域名类的域名访问记录不为空,则生成与所述报警事件模型对应的事件报告。
可选地,获取与待分析网络对应的多个域名分类,包括:
获取待分析网络的域名访问记录;
根据所述域名访问记录生成预设数据类型的待训练数据,所述预设数据类型与预设无监督特征学习算法对应;
利用所述预设无监督特征学习算法对所述待训练数据进行训练,获取所述域名访问记录中包括的各个域名的无监督特征向量;
获取所述各个域名的无监督特征向量的相似度;
根据获取到的各个无监督特征向量的相似度对与无监督特征向量对应的域名进行聚类,得到多个域名集合,一个域名集合中所有域名属于同一域名分类。
可选地,所述预设无监督特征学习算法为word2vector算法;
所述根据所述域名访问记录生成预设数据类型的待训练数据,包括:
根据每一个客户端的域名访问记录生成一个文本数据类型的待训练数据,一个文本数据类型的待训练数据中的每一个词组表示一个域名,且一个文本数据类型的待训练数据中的各个词组按照其对应的域名被该客户端访问的时间排列。
由上述技术方案可知,本发明由于将DNS中的网络访问数据按照域名分类来进行处理,对于不同的类别可以利用不同的预设事件模型来进行匹配,因而可以大大减少DNS分析汇总过程对单个域名访问记录的操作数量,降低了整体的工作量。
而且,本发明由于将同一域名分类下的域名访问记录统一进行了事件提取,相当于对DNS中的网络访问数据进行了信息提取,从得到的事件报告中可以方便地获取到关于每一域名分类的整体访问情况,不仅能更全面更直观地反映DNS中的网络访问数据,还有利于对网络攻击行为的及时发现。
进一步地,本发明由于可以得到针对不同域名分类的事件报告,因而可以在此基础之上进行包括而不仅限于安全防护方面的综合性数据分析,例如对所属客户端进行网络需求分析等等。
可见,本发明不仅可以解决DNS服务器中大量网络访问数据难以进行分析汇总的问题,还可以通过简便的方法有效地提取出DNS中网络访问数据的有效信息,有利于提升基于DNS服务器的各类应用程序的执行效率。
附图说明
图1为本发明一实施例中一种域名系统分析方法的流程示意图;
图2为本发明一实施例中一种获取域名分类的方法流程示意图;
图3为本发明一实施例中一种具体的获取域名分类的方法流程示意图;
图4为本发明一实施例中一种域名系统分析系统的结构框图;
图5为本发明一实施例中一种获取单元的结构框图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
图1为本发明一实施例提供的一种域名系统分析方法的流程示意图。参见图1,该方法包括:
步骤101:获取与待分析网络对应的多个域名分类;
步骤102:按照所述域名分类获取待分析网络的域名访问记录;
步骤103:将对应于任一所述域名分类的域名访问记录与对应于该域名分类的至少一个预设事件模型进行比较;
步骤104:若所述域名访问记录与任一所述预设事件模型相匹配,则生成与该预设事件模型对应的事件报告,所述事件报告中包括对应的域名分类的标识以及所述域名访问记录中的至少部分信息。
上述步骤101中,待分析网络主要指的是使用同一个域名系统(DNS)的网络,具体可以是诸如企业内部网络的局域网、互联网、或是任意形式的虚拟网络,如VLAN(Virtual Local Area Network)或者VPN(Virtual Private Network)等等。上述域名分类主要指的是域名的类别,可以是按照IP所在地区来划分的,也可以是按照名称的相似度划分的,还可以是按照网站类型或是网站功能来划分的等等。而且,同一个域名也可以属于多个域名分类,例如一个域名既属于一个地区的域名分类,又属于一个网站功能的域名分类。另外,上述获取多个域名分类既可以包括根据待分析网络的域名访问记录通过聚类的方法得到的域名分类,也可以包括预先设定的域名分类,还可以包括根据待分析网络的特征结合所要分析的事件的特征得到的域名分类,本发明对此不做限制。
上述步骤102中,域名访问记录可以直接从域名系统DNS中获取,而且由于步骤101中已经确定了多个域名分类,因而可以根据获取的域名访问记录来确定每一个域名所属的域名分类。自此,对于域名访问记录的分析可以按照域名分类来进行。
上述步骤103中,对应于任一域名分类,都预先设置有至少一个预设事件模型。比如,对应于某网站功能的域名分类,可以预先设置有多次访问事件模型和非法访问事件模型。在该例中,上述的比较过程可以包括:对应于这一域名分类的域名访问记录,在24小时内对一特定域名的访问次数为6325,而在多次访问事件模型中,规定了对同一域名的日访问次数阈值为5000。因此,通过比较得知对于这一特定域名的日访问次数6325大于多次访问事件模型中规定的对同一域名的日访问次数阈值5000,因而比较结果是对应于这一域名分类的域名访问记录可以与多次访问事件模型相匹配。类似地,非法访问事件模型可以规定了若干个这一域名分类中的非法域名,而如果对应于这一域名分类的域名访问记录中出现了这些非法域名中的任意一个或多个,就可以与非法访问事件模型相匹配。
上述步骤104中,主要是根据出现的匹配情形生成对应的事件报告,这里的事件报告可以是任意形式下包括域名分类的标识以及域名访问记录至少部分信息的数据,可见事件报告是与域名分类以及匹配的预设事件模型对应的。比如对应于上述多次访问事件模型的例子,当步骤103中已经判定域名访问记录与多次访问事件模型匹配之后,生成的事件报告就可以包括上述某网站功能的域名分类的标识,并包括24小时内的访问次数超过上述日访问次数阈值的域名,还可以包括在这24小时内访问这一域名的客户端的标识以及对应的访问次数等等。类似地,对应于上述非法访问事件模型的例子,当步骤103中已经判定域名访问记录与非法访问事件模型匹配之后,生成的事件报告就可以包括上述某网站功能的域名分类的标识,以及与非法域名有关的域名访问记录等等。
可见,对应于不同的域名分类,可以通过预先设定不同的预设事件模型来监控目标事件,这些预设事件模型可以对应于网络攻击的一些特征事件,也可以对应于商品购买、文件下载、聊天通讯等其他方面的特征事件。也就是说,通过对预设事件模型与域名分类的组合,可以方便地从大量的DNS网络访问数据中提取出所需要获知的信息。在此基础之上,得到的事件报告既可以用作其他程序的触发,又可以通过收集和整理进行更深层次的分析,例如对所属客户端进行网络需求分析等等。当然,相比较对任意组合下的DNS网络访问数据都进行预设事件模型的匹配的做法,显然本发明实施例中按照域名分类来进行匹配的效率更高,而且由于本发明实施例可以针对特殊域名类型来设计特殊的预设事件模型,也可以对所有域名分类设置相同的预设事件模型,因而可以兼顾目标事件的特殊性与一般性,使效率达到最优。
总的来说,本发明实施例由于将DNS中的网络访问数据按照域名分类来进行处理,对于不同的类别可以利用不同的预设事件模型来进行匹配,因而可以大大减少DNS分析汇总过程对单个域名访问记录的操作数量,降低了整体的工作量。
而且,本发明实施例由于将同一域名分类下的域名访问记录统一进行了事件提取,相当于对DNS中的网络访问数据进行了信息提取,从得到的事件报告中可以方便地获取到关于每一域名分类的整体访问情况,不仅能更全面更直观地反映DNS中的网络访问数据,还有利于对网络攻击行为的及时发现。
进一步地,本发明实施例由于可以得到针对不同域名分类的事件报告,因而可以在此基础之上进行包括而不仅限于安全防护方面的综合性数据分析,例如对所属客户端进行网络需求分析等等。
可见,本发明实施例不仅可以解决DNS服务器中大量网络访问数据难以进行分析汇总的问题,还可以通过简便的方法有效地提取出DNS中网络访问数据的有效信息,有利于提升基于DNS服务器的各类应用程序的执行效率。
当然,本发明实施例可以应用于对给定的待分析网络的域名访问记录的静态分析,也可以应用于对于正常运作下的待分析网络的动态分析。比如,可使上述步骤102:按照所述域名分类获取待分析网络的域名访问记录,包括图中未示出的下述步骤:
通过对域名系统的旁路侦听实时地获取所述域名访问记录。
由此,本发明实施例可以实时地对于从DNS中获取到的域名访问记录来重复执行上述步骤103至104,使得与各类预设事件模型对应的事件报告可以及时地生成,有利于例如网络攻击相关事件的及时发现和报警。相应的,上述步骤101中的获取多个域名分类的过程可以根据从DNS中实时获取的域名访问记录来进行更新,以适应新出现的域名分类的情形。
更具体地,为了更清楚地说明上述技术方案,下面具体以两种预设事件模型介绍本发明实施例的可选技术方案。
第一种预设事件模型为激增事件模型,即上述至少一个预设事件模型包括访问量激增事件模型。类似于上述多次访问事件模型和非法访问事件模型,所述访问量激增事件模型中设有一时间长度阈值和一访问量阈值。
上述步骤104:若所述域名访问记录与任一所述预设事件模型相匹配,则生成与该预设事件模型对应的事件报告,可以具体包括图1中未示出的步骤:
若对应于任一所述域名分类的所述域名访问记录中,长度为所述时间长度阈值的任意时间内的访问量大于所述访问量阈值,则生成与所述访问量激增事件模型对应的事件报告。
其中,对应于不同域名分类的时间长度阈值和访问量阈值可以是不同的数值。而且,访问量阈值可以是相对的,比如是根据以往记录中长度为时间长度阈值的时间内的访问量的平均值乘以一特定倍率(比如2.5倍)后得到的,本发明对此不做限制。
可见,本发明实施例可以通过域名分类和预设事件模型匹配快速地获取到上述“访问量激增事件”,可以直观地反映出任一域名分类的访问总量的上升情况。基于这一预设事件模型,可以进行方便的进行网络需求分析。例如,可以通过改变时间长度阈值和上升访问量阈值,并设计相应的访问量下降事件模型,通过得到的事件报告绘制出该域名分类的访问量曲线图和造成这些访问量变化的客户端群组,就可以分析得到相应的网络需求情况。或者,上述事件也可以用于网络攻击的检测,例如僵尸网络攻击的探测等。
第二种预设事件模型为报警事件模型。具体地,使上述多个域名分类包括不安全域名类,这里的不安全域名类可以是预先分析得到的,也可以是网络管理员预先设定的。相应地,使对应于所述不安全域名类的至少一个预设事件模型包括报警事件模型。
上述步骤104:若所述域名访问记录与任一所述预设事件模型相匹配,则生成与该预设事件模型对应的事件报告,可以具体包括图1中未示出的步骤:
若对应于所述不安全域名类的域名访问记录不为空,则生成与所述报警事件模型对应的事件报告。
例如,在有保密要求的局域网中网络管理员规定了若干个可能会造成泄密的网址,从而可以根据这些网址生成对应的不安全域名类作为上述域名分类之一。如果局域网中有客户端对这些不安全域名类中的域名进行了访问,那么管理员就会接受到这一事件的事件报告(可以包括不安全域名类的标识、访问不安全域名类中域名的域名访问记录等等)。可见,基于这一预设事件模型可以实现对局域网内部客户端的。除此之外,这一预设事件模型也可以用于对钓鱼网站、有病毒网站的防范等等。
另一方面,为了更清楚地说明上述技术方案,下面以一种具体的域名分类获取方法介绍上述步骤101的可选实现方式。
本发明实施例中,上述步骤101:获取与待分析网络对应的多个域名分类,可以具体包括如图2所示的下列步骤:
步骤201:获取待分析网络的域名访问记录;
步骤202:根据所述域名访问记录生成预设数据类型的待训练数据,所述预设数据类型与预设无监督特征学习算法对应;
步骤203:利用所述预设无监督特征学习算法对所述待训练数据进行训练,获取所述域名访问记录中包括的各个域名的无监督特征向量;
步骤204:获取所述各个域名的无监督特征向量的相似度;
步骤205:根据获取到的各个无监督特征向量的相似度对与无监督特征向量对应的域名进行聚类,得到多个域名集合,一个域名集合中所有域名属于同一域名分类。
本发明实施例能够在不需要人工预先选取大量的样本数据的前提下,将类别相同或者相似的域名聚为一类,降低了人工工作量。
本发明实施例中所指的客户端可以是指能够进行访问网络的网络终端。具体的,这里的客户端可以为电脑、手机、平板电脑等。客户端的域名访问记录中的域名可以包括该客户端所访问的网页的域名、游戏端的域名、聊天工具的域名等。
在具体实施时,这里的步骤201可以具体包括图中未示出如下步骤:
步骤2011,获取域名解析服务器在预设时间段内的域名解析数据;
步骤2012,根据获取到的域名解析数据得到多个客户端的域名访问记录。
通过这种方式,能够较为简单的获取大量的客户端的域名访问记录。并且,能够使得所选择的客户端具有更大的随机性,相应的,能够使聚类结果更为准确,进而提高域名识别的准确性。
具体的,上述的步骤2012可以具体包括:将获取到的域名解析请求按照源IP地址进行分组;根据每一个源IP地址发起的域名解析请求确定具有该源IP地址的客户端的域名访问记录。在实际应用中,这里的预设时间可以根据实际需要任意设置,当然就为了提高识别的准确率,可以使设置一个较长的预设时间。比如两个周等。
可选的,在上述的步骤2011中,还可以在获取域名解析服务器在预设时间段内的域名解析数据之后,删除无效的域名解析数据,之后在步骤2012中,仅根据剩余的域名解析数据得到多个客户端的域名访问记录。这里删除无效的域名解析数据可以包括:删除重复的域名解析数据,和/或,删除错误的域名解析数据、和/或删除所请求解析的域名低于预设阈值的域名解析数据。进一步的,可以按照预设的规则判断哪些域名解析数据为错误的域名解析数据。
当然在实际应用中,也可以通过其他方式获取多个客户端的域名访问记录;比如可以通过人工导入的方式。具体通过何种方式实现上述的步骤201并不影响本发明的保护范围。
在具体实施时,可以采用多种无监督特征学习算法对域名进行训练并聚类,相应的,在步骤202中,需要针对不同的无监督特征学习算法生成不同数据类型的待训练数据。
word2vector(word to vector)是一个将文本数据类型的数据转换成向量形式的工具。通过转换,可以把对文本数据类型的数据的处理简化为向量空间中的向量运算,计算出向量空间上的相似度。下面以所采用的无监督特征学习算法为word2vector进行说明。
当所采用的无监督特征学习算法为word2vector时,步骤202可以具体包括:根据每一个客户端的域名访问记录生成一个文本数据类型的待训练数据,该文本数据类型的待训练数据中的每一个词组表示一个域名,且一个文本数据类型的待训练数据中的各个词组按照其对应的域名被该客户端访问的时间排列。具体的,在上述的步骤202中生成的一个文本数据类型的待训练数据中各个词组可以为域名本身,也可以为域名的标识。比如,一种可选的实施例中,可以对步骤201中获取到的多个客户端的域名访问记录中所访问的全部域名采用对应的数字标识进行表示。之后针对每一个客户端的域名访问记录,将该域名访问记录中所访问的域名按时间顺序进行排列,并将域名替换为对应的数字标识得到该客户端的域名访问记录得到一个文本数据类型的待训练数据。举例来说,如果一个客户端访问的域名依次为www.abcd.com、www.123abc.com、www.a1b2c.com、www.a2b2c4.com,另一客户端访问的域名依次为www.abcd.com、www.a1b2c.com、www.a2e5.com、www.123abc.com,其中,www.abcd.com对应的数字标识为00001、www.123abc.com对应的数字标识为00011、www.a1b2c.com对应的数字标识为00021、www.a2b2c4.comw对应的数字标识为00012,www.a2e5.com对应的数字标识为20020,则前一客户端的域名访问记录所对应的文本数据类型的待训练数据可以表示为00001 00011 00021 00012,后一客户端的域名访问记录所对应的文本数据类型的待训练数据可以表示为00001 00021 20020 00011。通过这种方式能够降低步骤203计算量。
在步骤205中可以获取一个人工输入的相似度的阈值,之后根据该相似度的阈值对相似度在该阈值范围之上的多个无监督特征向量对应的域名聚为一类,或者也可以预先获取一个需要聚类的数目,比如需要聚出200个类,根据需要聚类的数目,确定聚类的精度,进而聚类出相应输出的域名集合。在具体实施时,通过选择不同的聚类精度和聚类策略,可以聚类得到恶意域名的域名集合和合法域名的域名集合,也可以聚类得到商业网站域名集合、导航网站域名集合、社交网站域名集合、论坛网站域名集合、门户网站域名集合等。
根据相似度对向量进行聚类的方法可以有多种,本发明在此不再详细说明。
具体的,在步骤204之前,该方法还可以包括图中未示出的:
步骤204a,根据预设经验特征量化算法对各个域名中的经验特征进行运算得到各个域名的经验特征向量;其中,所述经验特征为预先设定的特定类型的特征;将各个域名的经验特征值向量与对应的无监督特征向量进行融合,得到融合后的无监督特征向量;
此时,这里的步骤204可以具体包括图中为示出的:
步骤204’,获取各个域名对应的融合后的无监督特征向量的相似度。
在具体实施时,这里所指的预设的经验特征可以是指域名解析系统(Domain Name System,DNS)响应、同于客户端所请求同一域名的时间间隔、域名字符串的长度等根据经验选择的特征,获取各个域名的上述经验特征,并对相应的经验特征按照预设的经验特征量化算法进行赋值,最终得到由各个权重值组成的经验特征向量。获取域名的经验特征向量的方式可以参考现有技术,在此不再详细说明。
通过这种方式,能够使用经验特征相同对得到的无监督特征向量进行修正,使聚类更为准确。
进一步的,这里的步骤204a可以具体包括:针对每一个域名,其经验特征值向量与其无监督特征向量进行叠加,使用主成分分析(Principal Component Analysis,PCA))算法或深度学习算法对叠加后的特征向量进行降维,得到融合后的无监督特征向量。比如在实际应用中,可以将一个200维度的无监督特征向量与一个20维度的经验特征向量进行叠加,得到一个120维度的特征向量,之后使用主成分分析PCA算法或深度学习算法确定相关性比较大的两个维度并删除其中一个维度,另一方面,确定对类别识别影响较小的维度并删除。这样做的好处是,降低步骤205的计算的复杂度,另一方面,由于降低了维度之间的相关性,能够使聚类结果更为准确。
在具体实施时,上述的方法还可以包括步骤:
步骤206,确定所述域名访问记录中包括的域名中至少一个域名的类别;
步骤207,根据所述至少一个域名的类别确定所述至少一个域名所在的域名集合的类别。
在具体实施时,上述的步骤206中确定至少一个域名的类别的方式是:记录用户针对域名记录中部分域名所标记的类别。比如人工的识别一个商业网站的域名、一个导航网站的域名、一个社交网站的域名、一个论坛网站的域名、一个门户网站的域名等并标注。按照本发明提供的分类方法,这些种子域名最终会聚类到相应的域名集合中。这样,在步骤207中,可以根据种子域名的类别确定种子域名所在的域名集合的类别,并相应的标记。
需要指出的是,虽然图1中示出的是步骤206位于步骤205之后的情况,但是在实际应用中这里的步骤206可以在步骤201之后步骤207之前的任一时刻执行,比如在步骤201之后,步骤202之前,选取步骤201获取到的域名访问记录中包含的部分域名并标记其类别。或者,也可以在步骤205之后,从各个域名集合或者部分域名集合中选取部分域名并标记。
在具体实施时,如果一个域名集合中的一个域名为特定类别的域名,则可以推断包含该种子域名的域名集合中的所有域名均为特定类型的域名。当然在实际应用中,在确定在一个域名集合中的一个域名为特定类别的域名之后,也通过其他优化的算法确定归属于该域名集合的其他域名是否为特定类别的域名。
下面对本发明提供的一种域名分类方法的一个完整实施例进行详细说明,如图3所示,该方法可以包括:
步骤301,从DNS服务器上获取该DNS服务器在预设时间段内接收到的域名解析请求。
步骤302,删除获取到的域名解析请求中的无效域名解析请求。
在具体实施时,可以包括删除错误的域名解析请求、所请求的域名的次数小于预设阈值的域名解析请求等。
步骤303,根据源IP地址对剩余的各个域名解析请求进行分组,得到各个源IP地址发起的所有域名解析请求。
步骤304,针对每一个源IP地址发起的所有域名解析请求,生成一个文本数据类型的待训练数据。该文本数据类型的待训练数据中的每一个词组表示一个给源IP地址请求的域名,且一个文本数据中的各个词组按照其对应的域名被该源IP地址请求的时间排列。
步骤305,采用word2vector算法对得到的各个待训练数据进行训练,得到域名的无监督特征向量。
步骤306,根据预设经验特征量化算法对各个域名中的经验特征进行运算得到各个域名的经验特征向量;其中,所述经验特征为预先设定的特定类型的特征。
步骤307,将步骤305针对每一个域名中得到的无监督特征向量和步骤306中得到的经验特征向量进行叠加。
步骤308,使用主成分分析PCA算法或深度学习算法对步骤307叠加后的特征向量进行降维。
步骤309,获取步骤308中得到的各个特征向量的相似度。
步骤310,根据步骤309中获取的相似度对对步骤308各个的域名进行聚类,得到多个域名集合,一个域名集合中所有域名属于同一域名分类。
步骤311,确定所述域名访问记录中包括的域名中至少一个域名的类别。
步骤312,根据所述至少一个域名的类别确定所述至少一个域名所在的域名集合的类别。
在实际应用中,如果两个词组在多个文本数据中的上下文关系都比较接近,则很可能说明这两个词组的性质比较相近。相应的,如果在多个客户端对应的域名访问记录中,访问一个域名之前访问的若干个域名和之后访问的若干个域名与访问另一个域名之前访问的若干个域名和之后访问的若干个域名都比较相似,则说明这两个域名也很可能为相同类别的域名,根据本发明提供的方法,这两个域名会被聚为一类,通过识别其中一个域名,就能够确定另一个域名的类别。
需要指出的是,虽然本发明实施例中,是以word2vector算法、将域名访问记录处理成word2vector算法所训练的文本类型的数据进行的说明,但是在实际应用中通过其他类型的无监督特征学习算法也能达到同样的效果,本发明实施例在此不再进行详细说明。
基于相同的构思,本发明还提供了一种域名系统分析装置,可用于执行上述任意一种域名系统分析方法,如图4所示出的本发明一实施例中一种域名系统分析装置的结构框图,该装置可以包括:
获取单元41,用于获取与待分析网络对应的多个域名分类,并用于按照所述域名分类获取待分析网络的域名访问记录;
比较单元42,用于将所述获取单元41获取的、对应于任一所述域名分类的域名访问记录与对应于该域名分类的至少一个预设事件模型进行比较;
生成单元43,用于在所述域名访问记录与任一所述预设事件模型相匹配时,生成与该预设事件模型对应的事件报告,所述事件报告中包括对应的域名分类的标识以及所述域名访问记录中的至少部分信息。
本发明实施例由于将DNS中的网络访问数据按照域名分类来进行处理,对于不同的类别可以利用不同的预设事件模型来进行匹配,因而可以大大减少DNS分析汇总过程对单个域名访问记录的操作数量,降低了整体的工作量。
而且,本发明实施例由于将同一域名分类下的域名访问记录统一进行了事件提取,相当于对DNS中的网络访问数据进行了信息提取,从得到的事件报告中可以方便地获取到关于每一域名分类的整体访问情况,不仅能更全面更直观地反映DNS中的网络访问数据,还有利于对网络攻击行为的及时发现。
进一步地,本发明实施例由于可以得到针对不同域名分类的事件报告,因而可以在此基础之上进行包括而不仅限于安全防护方面的综合性数据分析,例如对所属客户端进行网络需求分析等等。
可见,本发明实施例不仅可以解决DNS服务器中大量网络访问数据难以进行分析汇总的问题,还可以通过简便的方法有效地提取出DNS中网络访问数据的有效信息,有利于提升基于DNS服务器的各类应用程序的执行效率。
此外,本实施例的服务器可执行前述的图1所示的方法实施例中步骤101至步骤104的流程,本实施例不在此进行详述。
其中,获取单元51还可以进一步用于通过对域名系统的旁路侦听实时地获取所述域名访问记录,使得与各类预设事件模型对应的事件报告可以及时地生成,有利于例如网络攻击相关事件的及时发现和报警。
对应于上述访问量激增事件模型的实例,所述至少一个预设事件模型可以包括访问量激增事件模型,所述访问量激增事件模型中设有一时间长度阈值和一访问量阈值;
相应的,所述生成单元43可以进一步用于:
在对应于任一所述域名分类的所述域名访问记录中,长度为所述时间长度阈值的任意时间内的访问量大于所述访问量阈值时,生成与所述访问量激增事件模型对应的事件报告。
其中,对应于不同域名分类的时间长度阈值和访问量阈值可以是不同的数值。而且,访问量阈值可以是相对的,比如是根据以往记录中长度为时间长度阈值的时间内的访问量的平均值乘以一特定倍率(比如2.5倍)后得到的,本发明对此不做限制。
可见,本发明实施例可以通过域名分类和预设事件模型匹配快速地获取到上述“访问量激增事件”,可以直观地反映出任一域名分类的访问总量的上升情况。基于这一预设事件模型,可以进行方便的进行网络需求分析。例如,可以通过改变时间长度阈值和上升访问量阈值,并设计相应的访问量下降事件模型,通过得到的事件报告绘制出该域名分类的访问量曲线图和造成这些访问量变化的客户端群组,就可以分析得到相应的网络需求情况。或者,上述事件也可以用于网络攻击的检测,例如僵尸网络攻击的探测等。
对应于上述报警事件模型的实例,所述多个域名分类包括不安全域名类;与对应于所述不安全域名类的至少一个预设事件模型包括报警事件模型;
相应的,所述生成单元43可以进一步用于:
在对应于所述不安全域名类的域名访问记录不为空时,生成与所述报警事件模型对应的事件报告。
例如,在有保密要求的局域网中网络管理员规定了若干个可能会造成泄密的网址,从而可以根据这些网址生成对应的不安全域名类作为上述域名分类之一。如果局域网中有客户端对这些不安全域名类中的域名进行了访问,那么管理员就会接受到这一事件的事件报告(可以包括不安全域名类的标识、访问不安全域名类中域名的域名访问记录等等)。可见,基于这一预设事件模型可以实现对局域网内部客户端的。除此之外,这一预设事件模型也可以用于对钓鱼网站、有病毒网站的防范等等。
另一方面,所述获取单元41可以包括如图5中所示的下述结构:
获取模块51,用于获取待分析网络的域名访问记录;
生成模块52,用于根据所述获取模块51获取到的所述域名访问记录生成预设数据类型的待训练数据,所述预设数据类型与预设无监督特征学习算法对应;
训练模块53,用于利用所述预设无监督特征学习算法对所述生成模块52生成的待训练数据进行训练,获取所述域名访问记录中包括的各个域名的无监督特征向量;
聚类模块54,用于根据各个无监督特征向量的相似度对与无监督特征向量对应的域名进行聚类,得到多个域名集合,一个域名集合中所有域名属于同一域名分类;
所述获取模块51还用于获取所述各个域名的无监督特征向量的相似度。
本发明实施例能够在不需要人工预先选取大量的样本数据的前提下,将类别相同或者相似的域名聚为一类,降低了人工工作量。
此外,本实施例的服务器可执行前述的图2所示的方法实施例中步骤201至步骤205的流程,本实施例不在此进行详述。
其中,所述预设无监督特征学习算法可以为word2vector算法;
相应的,所述生成模块52可以进一步用于:
根据每一个客户端的域名访问记录生成一个文本数据类型的待训练数据,一个文本数据类型的待训练数据中的每一个词组表示一个域名,且一个文本数据类型的待训练数据中的各个词组按照其对应的域名被该客户端访问的时间排列。
本发明的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本发明公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释呈反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在于该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是互相排斥之处,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的一种浏览器终端的设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。词组“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的词组“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。词组第一、第二、以及第三等的使用不表示任何顺序。可将这些词组解释为名称。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。

Claims (12)

1.一种域名系统分析装置,其特征在于,包括:
获取单元,用于获取与待分析网络对应的多个域名分类,并用于按照所述域名分类获取待分析网络的域名访问记录;
比较单元,用于将所述获取单元获取的、对应于任一所述域名分类的域名访问记录与对应于该域名分类的至少一个预设事件模型进行比较;
生成单元,用于在所述域名访问记录与任一所述预设事件模型相匹配时,生成与该预设事件模型对应的事件报告,所述事件报告中包括对应的域名分类的标识以及所述域名访问记录中的至少部分信息。
2.根据权利要求1所述的装置,其特征在于,所述获取单元进一步用于通过对域名系统的旁路侦听实时地获取所述域名访问记录。
3.根据权利要求1所述的装置,其特征在于,所述至少一个预设事件模型包括访问量激增事件模型,所述访问量激增事件模型中设有一时间长度阈值和一访问量阈值;
所述生成单元进一步用于:
在对应于任一所述域名分类的所述域名访问记录中,长度为所述时间长度阈值的任意时间内的访问量大于所述访问量阈值时,生成与所述访问量激增事件模型对应的事件报告。
4.根据权利要求1所述的装置,其特征在于,所述多个域名分类包括不安全域名类;与对应于所述不安全域名类的至少一个预设事件模型包括报警事件模型;
所述生成单元进一步用于:
在对应于所述不安全域名类的域名访问记录不为空时,生成与所述报警事件模型对应的事件报告。
5.根据权利要求1至4中任意一项所述的装置,其特征在于,所述获取单元包括:
获取模块,用于获取待分析网络的域名访问记录;
生成模块,用于根据所述获取模块获取到的所述域名访问记录生成预设数据类型的待训练数据,所述预设数据类型与预设无监督特征学习算法对应;
训练模块,用于利用所述预设无监督特征学习算法对所述生成模块生成的待训练数据进行训练,获取所述域名访问记录中包括的各个域名的无监督特征向量;
聚类模块,用于根据各个无监督特征向量的相似度对与无监督特征向量对应的域名进行聚类,得到多个域名集合,一个域名集合中所有域名属于同一域名分类;
所述获取模块还用于获取所述各个域名的无监督特征向量的相似度。
6.如权利要求5所述的装置,其特征在于,所述预设无监督特征学习算法为word2vector算法;
所述生成模块进一步用于:
根据每一个客户端的域名访问记录生成一个文本数据类型的待训练数据,一个文本数据类型的待训练数据中的每一个词组表示一个域名,且一个文本数据类型的待训练数据中的各个词组按照其对应的域名被该客户端访问的时间排列。
7.一种域名系统分析方法,其特征在于,包括:
获取与待分析网络对应的多个域名分类;
按照所述域名分类获取待分析网络的域名访问记录;
将对应于任一所述域名分类的域名访问记录与对应于该域名分类的至少一个预设事件模型进行比较;
若所述域名访问记录与任一所述预设事件模型相匹配,则生成与该预设事件模型对应的事件报告,所述事件报告中包括对应的域名分类的标识以及所述域名访问记录中的至少部分信息。
8.根据权利要求7所述的方法,其特征在于,所述按照所述域名分类获取待分析网络的域名访问记录,包括:
通过对域名系统的旁路侦听实时地获取待分析网络的域名访问记录。
9.根据权利要求7所述的方法,其特征在于,所述至少一个预设事件模型包括访问量激增事件模型,所述访问量激增事件模型中设有一时间长度阈值和一访问量阈值;
所述若所述域名访问记录与任一所述预设事件模型相匹配,则生成与该预设事件模型对应的事件报告,包括:
若对应于任一所述域名分类的所述域名访问记录中,长度为所述时间长度阈值的任意时间内的访问量大于所述访问量阈值,则生成与所述访问量激增事件模型对应的事件报告。
10.根据权利要求7所述的方法,其特征在于,所述多个域名分类包括不安全域名类;与对应于所述不安全域名类的至少一个预设事件模型包括报警事件模型;
所述若所述域名访问记录与任一所述预设事件模型相匹配,则生成与该预设事件模型对应的事件报告,包括:
若对应于所述不安全域名类的域名访问记录不为空,则生成与所述报警事件模型对应的事件报告。
11.根据权利要求7至10中任意一项所述的方法,其特征在于,获取与待分析网络对应的多个域名分类,包括:
获取待分析网络的域名访问记录;
根据所述域名访问记录生成预设数据类型的待训练数据,所述预设数据类型与预设无监督特征学习算法对应;
利用所述预设无监督特征学习算法对所述待训练数据进行训练,获取所述域名访问记录中包括的各个域名的无监督特征向量;
获取所述各个域名的无监督特征向量的相似度;
根据获取到的各个无监督特征向量的相似度对与无监督特征向量对应的域名进行聚类,得到多个域名集合,一个域名集合中所有域名属于同一域名分类。
12.根据权利要求11所述的方法,其特征在于,所述预设无监督特征学习算法为word2vector算法;
所述根据所述域名访问记录生成预设数据类型的待训练数据,包括:
根据每一个客户端的域名访问记录生成一个文本数据类型的待训练数据,一个文本数据类型的待训练数据中的每一个词组表示一个域名,且一个文本数据类型的待训练数据中的各个词组按照其对应的域名被该客户端访问的时间排列。
CN201410855701.3A 2014-12-31 2014-12-31 域名系统分析方法及装置 Active CN104579773B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410855701.3A CN104579773B (zh) 2014-12-31 2014-12-31 域名系统分析方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410855701.3A CN104579773B (zh) 2014-12-31 2014-12-31 域名系统分析方法及装置

Publications (2)

Publication Number Publication Date
CN104579773A CN104579773A (zh) 2015-04-29
CN104579773B true CN104579773B (zh) 2016-08-24

Family

ID=53095038

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410855701.3A Active CN104579773B (zh) 2014-12-31 2014-12-31 域名系统分析方法及装置

Country Status (1)

Country Link
CN (1) CN104579773B (zh)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105491444B (zh) * 2015-11-25 2018-11-06 珠海多玩信息技术有限公司 一种数据识别处理方法以及装置
CN105554007B (zh) * 2015-12-25 2019-01-04 北京奇虎科技有限公司 一种web异常检测方法和装置
CN107332804B (zh) * 2016-04-29 2021-01-26 阿里巴巴集团控股有限公司 网页漏洞的检测方法及装置
CN107547488B (zh) * 2016-06-29 2020-12-15 华为技术有限公司 一种dns隧道检测方法以及dns隧道检测装置
BR112018074592A2 (pt) 2016-09-23 2019-04-09 Hewlett Packard Development Co acesso de endereço ip baseado em nível de segurança e em histórico de acessos
CN106453320B (zh) * 2016-10-14 2019-06-18 北京奇虎科技有限公司 恶意样本的识别方法及装置
CN106713335B (zh) * 2016-12-30 2020-10-30 山石网科通信技术股份有限公司 恶意软件的识别方法及装置
CN108462675A (zh) * 2017-02-20 2018-08-28 沪江教育科技(上海)股份有限公司 一种网络访问识别方法及系统
CN108881192B (zh) * 2018-06-04 2021-10-22 上海交通大学 一种基于深度学习的加密型僵尸网络检测系统及方法
CN108933846B (zh) * 2018-06-21 2021-08-27 北京谷安天下科技有限公司 一种泛解析域名的识别方法、装置及电子设备
CN109698820A (zh) * 2018-09-03 2019-04-30 长安通信科技有限责任公司 一种域名相似性计算及分类方法和系统
CN111355697B (zh) * 2018-12-24 2022-02-25 深信服科技股份有限公司 僵尸网络域名家族的检测方法、装置、设备及存储介质
CN114900330A (zh) * 2022-04-07 2022-08-12 京东科技信息技术有限公司 一种页面防护的方法和装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102685145A (zh) * 2012-05-28 2012-09-19 西安交通大学 一种基于dns数据包的僵尸网络域名发现方法
CN102684997A (zh) * 2012-04-13 2012-09-19 亿赞普(北京)科技有限公司 一种通信报文的分类、训练方法和装置
US8631498B1 (en) * 2011-12-23 2014-01-14 Symantec Corporation Techniques for identifying potential malware domain names

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102316166B (zh) * 2011-09-26 2015-07-08 中国科学院计算机网络信息中心 网站推荐方法和系统以及网络服务器
CN103684896B (zh) * 2012-09-07 2017-02-01 中国科学院计算机网络信息中心 基于域名解析特征的网站作弊检测方法
CN102938769A (zh) * 2012-11-22 2013-02-20 国家计算机网络与信息安全管理中心 一种Domain flux僵尸网络域名检测方法
CN103647676B (zh) * 2013-12-30 2016-09-14 中国科学院计算机网络信息中心 域名系统数据处理方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8631498B1 (en) * 2011-12-23 2014-01-14 Symantec Corporation Techniques for identifying potential malware domain names
CN102684997A (zh) * 2012-04-13 2012-09-19 亿赞普(北京)科技有限公司 一种通信报文的分类、训练方法和装置
CN102685145A (zh) * 2012-05-28 2012-09-19 西安交通大学 一种基于dns数据包的僵尸网络域名发现方法

Also Published As

Publication number Publication date
CN104579773A (zh) 2015-04-29

Similar Documents

Publication Publication Date Title
CN104579773B (zh) 域名系统分析方法及装置
CN101971591B (zh) 分析网址的系统及方法
CN110431817A (zh) 识别恶意网络设备
CN106027577B (zh) 一种异常访问行为检测方法及装置
CN103685575B (zh) 一种基于云架构的网站安全监控方法
CN107332848B (zh) 一种基于大数据的网络流量异常实时监测系统
CN107241296B (zh) 一种Webshell的检测方法及装置
CN105357221A (zh) 识别钓鱼网站的方法及装置
WO2018208451A1 (en) Real time detection of cyber threats using behavioral analytics
US10404731B2 (en) Method and device for detecting website attack
CN112866023B (zh) 网络检测、模型训练方法、装置、设备及存储介质
US10425436B2 (en) Identifying bulletproof autonomous systems
TW201705034A (zh) 用於使用無監督式機器學習和優先權演算法的高速威脅性情報管理的系統及方法
CN107451476A (zh) 基于云平台的网页后门检测方法、系统、设备及存储介质
CN106992981B (zh) 一种网站后门检测方法、装置和计算设备
US20220075872A1 (en) Method and system for detecting malicious infrastructure
CN104202291A (zh) 基于多因素综合评定方法的反钓鱼方法
US20190260711A1 (en) Systems and methods for implementing a privacy firewall
CN107733902A (zh) 一种目标数据扩散过程的监控方法及装置
Sujatha Improved user navigation pattern prediction technique from web log data
Pretorius et al. Attributing users based on web browser history
CN116996286A (zh) 一种基于大数据分析的网络攻击和安全漏洞治理框架平台
Harbola et al. Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set
CN110572402A (zh) 基于网络访问行为分析的互联网托管网站检测方法、系统和可读存储介质
US20210160280A1 (en) System and method for digitally fingerprinting phishing actors

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C41 Transfer of patent application or patent right or utility model
TR01 Transfer of patent right

Effective date of registration: 20161129

Address after: 100088 Jiuxianqiao Chaoyang District Beijing Road No. 10, building 15, floor 17, layer 1701-26, 3

Patentee after: BEIJING QIANXIN TECHNOLOGY Co.,Ltd.

Address before: 100088 Beijing city Xicheng District xinjiekouwai Street 28, block D room 112 (Desheng Park)

Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd.

Patentee before: Qizhi software (Beijing) Co.,Ltd.

CP03 Change of name, title or address
CP03 Change of name, title or address

Address after: No. 32, Building 3, 102, 28 Xinjiekouwai Street, Xicheng District, Beijing

Patentee after: Qianxin Technology Group Co.,Ltd.

Address before: Beijing Chaoyang District Jiuxianqiao Road 10, building 15, floor 17, layer 1701-26, 3

Patentee before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd.

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20201229

Address after: 100044 2nd floor, building 1, yard 26, Xizhimenwai South Road, Xicheng District, Beijing

Patentee after: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc.

Patentee after: Qianxin Technology Group Co.,Ltd.

Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088

Patentee before: Qianxin Technology Group Co.,Ltd.

CP01 Change in the name or title of a patent holder
CP01 Change in the name or title of a patent holder

Address after: 100044 2nd floor, building 1, yard 26, Xizhimenwai South Road, Xicheng District, Beijing

Patentee after: Qianxin Wangshen information technology (Beijing) Co.,Ltd.

Patentee after: Qianxin Technology Group Co.,Ltd.

Address before: 100044 2nd floor, building 1, yard 26, Xizhimenwai South Road, Xicheng District, Beijing

Patentee before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc.

Patentee before: Qianxin Technology Group Co.,Ltd.