CN104601557A - 一种基于软件定义网络的恶意网站防护方法及系统 - Google Patents
一种基于软件定义网络的恶意网站防护方法及系统 Download PDFInfo
- Publication number
- CN104601557A CN104601557A CN201410851911.5A CN201410851911A CN104601557A CN 104601557 A CN104601557 A CN 104601557A CN 201410851911 A CN201410851911 A CN 201410851911A CN 104601557 A CN104601557 A CN 104601557A
- Authority
- CN
- China
- Prior art keywords
- request data
- list
- dns request
- domain
- name
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于软件定义网络的恶意网站防护方法及系统,所述方法首先检测DNS请求数据的域名信息是否存在于白名单和黑名单生成的布隆过滤器内,然后对于可疑的DNS请求数据提取主机名,判定该主机名是否可信,如果可信则对该DNS请求数据进行转发,否则进行报警并记录可疑域名。本发明方法仅需把第一次出现的DNS请求数据包送到中心控制器检测,不需要解析所有的数据包,且根据检测结果把过滤规则下发到各个OpenFlow交换机,实现恶意网站请求在最靠近源的交换机端进行过滤,在进入网络主干之前进行拦截,而且本发明无需安装任何防火墙和杀毒工具,使用更加有效、简便。本发明方法和系统结合实现了基于软件定义网络的恶意网站防护。
Description
技术领域
本发明涉及网络安全技术领域,更具体地,涉及一种基于软件定义网络的恶意网站防护方法及系统。
背景技术
恶意网站一直都是木马、病毒传播和网民染毒的主要途经之一。恶意网站利用操作系统或软件的安全漏洞,在网页内嵌入恶意的病毒、蠕虫以及木马等,当用户访问这些网页时,内嵌的恶意程序会在用户不知情的情况下,强行修改用户操作系统和应用软件的配置信息,导致成为僵尸系统,严重影响互联网的可信性,制约互联网应用发展。传统的针对恶意网站的安全工具,如防火墙必须放在流量的必经之路上,对所有数据包进行解析,只适合于在网络边界使用。如漏洞扫描、杀毒软件等要求用户在PC客户端上安装杀毒软件或安全浏览器,为用户安装或使用造成不便。
软件定义网络(software defined network,SDN)为一种新型的软件技术的网络架构,其最大的特点是控制平面与数据平面的松耦合性、网络状态控制的集中化支持和实现底层网络设施对上层应用的透明化,SDN具有灵活的软件编程能力,促使网络的自动化管理与控制能力得到空前的提升,因此给了在恶意网站防护系统的研究上又提供了新的方向。
发明内容
本发明的首要目的是克服现有技术使用不便的缺陷,提供一种有效、简便的基于软件定义网络的恶意网站防护方法。
本发明的进一步目的是提供一种有效、简便的基于软件定义网络的恶意网站防护系统。
为解决上述技术问题,本发明的技术方案如下:
一种基于软件定义网络的恶意网站防护方法,所述方法包括以下步骤:
S1:采集DNS(域名)请求数据;
S2:解析DNS请求数据中的DNS报文头部,获取opcode字段信息,根据opcode字段的数值触发名单修改或者跳转到步骤S3;
S3:判断DNS请求数据中的域名信息是否在白名单列表生成的布隆过滤器内,如果是则对该DNS请求数据进行转发,否则跳转到步骤S4;
S4:判断DNS请求数据中的域名信息是否在黑名单列表生成的布隆过滤器内,如果是则丢弃该DNS请求数据,否则跳转到步骤S5;
S5:提取DNS请求数据的域名信息中的主机名,判定该主机名是否可信,如果可信则对该DNS请求数据进行转发,否则进行报警并记录可疑域名。
在一种优选的方案中,步骤S1中,采集DNS请求数据的具体方法为:OpenFlow交换机收到数据包时,如果在流表中没有匹配项,或者在流表中被认为是发送到控制器,则将该数据包封装为Packet_in数据包发送到中心控制器;
在一种优选的方案中,步骤S2中,中心控制器对OpenFlow交换机发送来的Packet_in数据包进行解析,检查其是否为DNS请求数据,如果是,则解析DNS头部获取opcode字段信息,如果opcode字段的数值大于10,则触发名单修改,否则跳转到步骤S3。
在一种优选的方案中,步骤S2中,所述名单修改的具体方法为:重新定义opcode字段的10~15的数值及其对应的操作,从而将DNS请求数据中的域名添加到白名单、黑名单或顶级域名名单列表生成的布隆过滤器中,或者将DNS请求数据中的域名从白名单、黑名单或顶级域名名单列表生成的布隆过滤器中删除。
在一种优选的方案中,步骤S3中,首先,读取可信域名列表,逐条域名存放到白名单布隆过滤器,然后,中心控制器通过对DNS请求数据中的域名信息进行哈希运算,判断其是否在白名单列表生成的布隆过滤器内,如果是则对该DNS请求数据进行转发,否则跳转到步骤S4。
在一种优选的方案中,步骤S4中,首先,读取恶意域名列表,逐条域名存放到黑名单布隆过滤器,然后,中心控制器通过对DNS请求数据中的域名信息进行哈希运算,判断其是否在黑名单列表生成的布隆过滤器内,如果是则丢弃该DNS请求数据,否则跳转到步骤S5。
在一种优选的方案中,步骤S5中,对各级域名进行多次提取并对各级域名进行多个哈希运算,判断其是否在顶级域名以及二级域名名单列表生成的布隆过滤器内,根据得到的最后的主机名,判断其与合法主机名编辑距离min Dist是否在满足α≤min Dist≤β,其中α和β为预设的编辑距离的阈值,从而判定该主机名是否可信,如果可信则对该DNS请求数据进行转发,否则进行报警并记录可疑域名。
在一种优选的方案中,所述方法还包括:对DNS请求数据进行转发的具体方法为:中心控制器下发过滤规则给各OpenFlow交换机,所述过滤规则通过源MAC地址与OpenFlow交换机端口的动态映射表生成对应流表项所实现,查询OpenFlow交换机的流表获取转发规则,从而实现DNS请求数据的转发。
一种基于软件定义网络的恶意网站防护系统,所述系统包括:
数据包解析模块:用于采集DNS请求数据,并解析DNS请求数据中的DNS报文头部,获取opcode字段信息;
白名单检测模块:用于判断DNS请求数据中的域名信息是否在白名单列表生成的布隆过滤器内;
黑名单检测模块:用于判断DNS请求数据中的域名信息是否在黑名单列表生成的布隆过滤器内;
可疑域名智能检测模块:用于提取DNS请求数据的域名信息中的主机名,判定该主机名是否可信;
名单修改模块:用于重新定义opcode字段的10~15的数值及其对应的操作,从而将DNS请求数据中的域名添加到白名单、黑名单或顶级域名名单列表生成的布隆过滤器中,或者将DNS请求数据中的域名从白名单、黑名单或顶级域名名单列表生成的布隆过滤器中删除;
数据转发模块:用于对DNS请求数据进行转发。
与现有技术相比,本发明技术方案的有益效果是:本发明基于软件定义网络的恶意网站防护方法,首先检测DNS请求数据的域名信息是否存在于白名单和黑名单生成的布隆过滤器内,然后对于可疑的DNS请求数据提取主机名,判定该主机名是否可信,如果可信则对该DNS请求数据进行转发,否则进行报警并记录可疑域名。本发明基于软件定义网络,仅需把第一次出现的DNS请求数据包送到中心控制器检测,不需要解析所有的数据包,且根据检测结果,中心控制器把过滤规则下发到各个OpenFlow交换机,实现恶意网站请求在最靠近源的交换机端进行过滤,在进入网络主干之前进行拦截,而且本发明无需安装任何防火墙和杀毒工具,使用更加有效、简便。本发明基于软件定义网络的恶意网站防护系统是上述方法实现的基础,所述方法和系统结合实现了基于软件定义网络的恶意网站防护。
附图说明
图1为本发明的总体框架示意图。
图2为本发明的数据包采集示意图。
图3为本发明的数据包解析示意图。
图4为本发明的DNS报文首部标志位。
图5为本发明的白名单检测示意图。
图6为本发明的黑名单检测示意图。
图7为本发明的可疑域名检测示意图。
图8为本发明的完整域名示例图。
图9为本发明的数据包转发示意图。
具体实施方式
附图仅用于示例性说明,不能理解为对本专利的限制;
对于本领域技术人员来说,附图中某些公知结构及其说明可能省略是可以理解的。
下面结合附图和实施例对本发明的技术方案做进一步的说明。
实施例1
一种基于软件定义网络的恶意网站防护方法,如图1所示,所述方法包括以下步骤:
S1:采集DNS请求数据;
采用OpenFlow协议,把OpenFlow交换机的各端口收到的DNS请求包发送给中心控制器,如图2所示。具体执行过程如下:
采用OpenFlow协议把各OpenFlow交换机端口收到的DNS请求包发送给中心控制器,当OpenFlow交换机收到一个数据包,在流表中没有匹配项,或者在流表中被认为是发送到控制器,则封装成Packet_in数据包发送给中心控制器。
中心控制器启动时触发数据包采集模块,下发“基于DNS访问请求都转发至中心控制器”的流表项至网络中OpenFlow交换机,OpenFlow交换机就会把DNS请求数据包封装成Packet_in数据包源源不断地送给中心控制器。
S2:解析DNS请求数据中的DNS报文头部,获取opcode字段信息,根据opcode字段的数值触发名单修改或者跳转到步骤S3;
OpenFlow交换机会收到很多来自于各层设备的数据包,对于没有流表可循的流会询问中心控制器。如图3所示,在数据包解析模块中,中心控制器把从OpenFlow交换机送上来的Packet_in数据包进行解析,检查数据包是否为DNS请求数据包,如果不是则跳出,否则,解析DNS请求数据的DNS头部获取opcode字段信息,对于opcode数值大于10的DNS请求数据,跳转到步骤S3,否则触发名单修改。
所述名单修改的具体方法为:对DNS报文首部标志位的opcode字段的空闲值加以利用,如图4所示,opcode字段占4位,用于指定查询的类型,值为0表示标准查询,值为1表示逆向查询,值为2表示查询服务器状态,值为3保留,值为4表示通知,值为5表示更新报文,值为6~15预留为以后的新增操作使用。重新定义opcode字段的10~15的数值及其对应的操作,从而将DNS请求数据中的域名添加到WL_CBF(白名单布隆过滤器)、BL_CBF(黑名单布隆过滤器)或TLD_CBF(顶级域名名单布隆过滤器)中,或者将DNS请求数据中的域名从WL_CBF、BL_CBF或TLD_CBF中删除。
重新定义后,opcode字段的的10~15的数值以及对应的操作见表1。
表1
S3:判断DNS请求数据中的域名信息是否在白名单列表生成的布隆过滤器内,如果是则对该DNS请求数据进行转发,否则跳转到步骤S4;
采用布隆过滤器的方法实现可信网站URL列表快速查询和可删除。如图5所示,依次将可信域名列表读入,逐条域名存放到布隆过滤器CBF(countingbloomfilter),形成白名单布隆过滤器WL_CBF(WhiteListCBF)。然后,中心控制器通过对提取的域名信息进行哈希运算,判断其是否在白名单列表生成的布隆过滤器WL_CBF内,如果是,则对该DNS请求数据进行转发,否则跳转到步骤S4。
S4:判断DNS请求数据中的域名信息是否在黑名单列表生成的布隆过滤器内,如果是则丢弃该DNS请求数据,否则跳转到步骤S5;
采用布隆过滤器的方法实现恶意网站URL列表快速查询和可删除。如图6所示,依次将恶意域名列表读入,逐条域名存放到布隆过滤器CBF中,形成黑名单布隆过滤器BL_CBF(BlackListCBF)。然后,中心控制器通过对提取的域名信息进行哈希运算,判断其是否在黑名单列表生成的布隆过滤器BL_CBF内,如果是则直接丢弃DNS请求并报警和记录,否则跳转到步骤S5。
S5:如图7所示,提取DNS请求数据的域名信息中的主机名,判定该主机名是否可信,如果可信则对该DNS请求数据进行转发,否则进行报警并记录可疑域名。
不在BL_CBF内的域名被认定为潜在可疑域名。
首先,提取潜在可疑域名的主机名:为了得到其主机名,需要对各级域名进行多次提取并对各级域名进行多个哈希运算判断其是否在顶级域名布隆过滤器TLD_CBF中,直到提取出最后的主机名再与真实的可信主机名进行比较。如图8所示,最右边的顶级域名TLD以及二级域名SLD,以此类推对域名进行提取。只要主机名是可信的,因为低一级的所有域名只能由高一级的域名来分配,所以其对应的下一或多级域名也是可信;如果主机名是可疑的,则其下一或多级域名也是可疑的。
然后,判定潜在可疑域名的主机名是否可信:可疑主机名的特点是与可信主机名编辑距离很小,但不为零。从白名单中提取所有不重复的主机名,并将其存放在BK-tree数据结构中。BK-tree在每次访问5%~8%的节点的情况下就能找到编辑距离最近的节点,并得到最小的编辑距离min Dist,计算开销非常小。对于编辑距离,采用动态规划算法求解,能有效降低计算开销。当α≤min Dist≤β时,认为域名是可疑的,控制器进行报警并记录可疑域名;否则认为域名是可信的,对该DNS请求数据进行转发。其中α和β为预设的编辑距离的阈值,本实施例中α和β取1和2,
在具体实施过程中,对DNS请求数据进行转发的具体方法为:中心控制器下发过滤规则给各OpenFlow交换机,完成数据流的转发,实现网络分布式控制。其过滤规则是通过源MAC地址与交换机端口的动态映射表生成对应流表项所实现。OpenFlow交换机的处理单元由流表构成,每个流表由许多表项组成,流表项则代表转发规则,进入交换机的数据包通过查询流表来取得对应的操作。如图9所示,在恶意网站防护系统中,过滤规则由中心控制器下发给各OpenFlow交换机,使得OpenFlow交换机能对数据包正确转发。
一种基于软件定义网络的恶意网站防护系统,所述系统包括:
数据包解析模块:用于采集DNS请求数据,并解析DNS请求数据中的DNS报文头部,获取opcode字段信息;
白名单检测模块:用于判断DNS请求数据中的域名信息是否在白名单列表生成的布隆过滤器内;
黑名单检测模块:用于判断DNS请求数据中的域名信息是否在黑名单列表生成的布隆过滤器内;
可疑域名智能检测模块:用于提取DNS请求数据的域名信息中的主机名,判定该主机名是否可信;
名单修改模块:用于重新定义opcode字段的10~15的数值及其对应的操作,从而将DNS请求数据中的域名添加到白名单、黑名单或顶级域名名单列表生成的布隆过滤器中,或者将DNS请求数据中的域名从白名单、黑名单或顶级域名名单列表生成的布隆过滤器中删除;
数据转发模块:用于对DNS请求数据进行转发。
本发明基于软件定义网络的恶意网站防护方法,首先检测DNS请求数据的域名信息是否存在于白名单和黑名单生成的布隆过滤器内,然后对于可疑的DNS请求数据提取主机名,判定该主机名是否可信,如果可信则对该DNS请求数据进行转发,否则进行报警并记录可疑域名。本发明基于软件定义网络,仅需把第一次出现的DNS请求数据包送到中心控制器检测,不需要解析所有的数据包,且根据检测结果,中心控制器把过滤规则下发到各个OpenFlow交换机,实现恶意网站请求在最靠近源的交换机端进行过滤,在进入网络主干之前进行拦截,而且本发明无需安装任何防火墙和杀毒工具,使用更加有效、简便。本发明基于软件定义网络的恶意网站防护系统是上述方法实现的基础,所述方法和系统结合实现了基于软件定义网络的恶意网站防护。
本发明的上述实施例仅仅是为清楚地说明本发明所作的举例,而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明权利要求的保护范围之内。
Claims (9)
1.一种基于软件定义网络的恶意网站防护方法,其特征在于,所述方法包括以下步骤:
S1:采集DNS请求数据;
S2:解析DNS请求数据中的DNS报文头部,获取opcode字段信息,根据opcode字段的数值触发名单修改或者跳转到步骤S3;
S3:判断DNS请求数据中的域名信息是否在白名单列表生成的布隆过滤器内,如果是则对该DNS请求数据进行转发,否则跳转到步骤S4;
S4:判断DNS请求数据中的域名信息是否在黑名单列表生成的布隆过滤器内,如果是则丢弃该DNS请求数据,否则跳转到步骤S5;
S5:提取DNS请求数据的域名信息中的主机名,判定该主机名是否可信,如果可信则对该DNS请求数据进行转发,否则进行报警并记录可疑域名。
2.根据权利要求1所述的基于软件定义网络的恶意网站防护方法,其特征在于,步骤S1中,采集DNS请求数据的具体方法为:OpenFlow交换机收到数据包时,如果在流表中没有匹配项,或者在流表中被认为是发送到控制器,则将该数据包封装为Packet_in数据包发送到中心控制器。
3.根据权利要求2所述的基于软件定义网络的恶意网站防护方法,其特征在于,步骤S2中,中心控制器对OpenFlow交换机发送来的Packet_in数据包进行解析,检查其是否为DNS请求数据,如果是,则解析DNS头部获取opcode字段信息,如果opcode字段的数值大于10,则触发名单修改,否则跳转到步骤S3。
4.根据权利要求1所述的基于软件定义网络的恶意网站防护方法,其特征在于,步骤S2中,所述名单修改的具体方法为:重新定义opcode字段的10~15的数值及其对应的操作,从而将DNS请求数据中的域名添加到白名单、黑名单或顶级域名名单列表生成的布隆过滤器中,或者将DNS请求数据中的域名从白名单、黑名单或顶级域名名单列表生成的布隆过滤器中删除。
5.根据权利要求1所述的基于软件定义网络的恶意网站防护方法,其特征在于,步骤S3中,首先,读取可信域名列表,逐条域名存放到白名单布隆过滤器,然后,中心控制器通过对DNS请求数据中的域名信息进行哈希运算,判断 其是否在白名单列表生成的布隆过滤器内,如果是则对该DNS请求数据进行转发,否则跳转到步骤S4。
6.根据权利要求1所述的基于软件定义网络的恶意网站防护方法,其特征在于,步骤S4中,首先,读取恶意域名列表,逐条域名存放到黑名单布隆过滤器,然后,中心控制器通过对DNS请求数据中的域名信息进行哈希运算,判断其是否在黑名单列表生成的布隆过滤器内,如果是则丢弃该DNS请求数据,否则跳转到步骤S5。
7.根据权利要求1所述的基于软件定义网络的恶意网站防护方法,其特征在于,步骤S5中,对各级域名进行多次提取并对各级域名进行多个哈希运算,判断其是否在顶级域名以及二级域名名单列表生成的布隆过滤器内,根据得到的最后的主机名,判断其与合法主机名编辑距离min Dist是否在满足α≤min Dist≤β,其中α和β为预设的编辑距离的阈值,从而判定该主机名是否可信,如果可信则对该DNS请求数据进行转发,否则进行报警并记录可疑域名。
8.根据权利要求1所述的基于软件定义网络的恶意网站防护方法,其特征在于,所述方法还包括:对DNS请求数据进行转发的具体方法为:中心控制器下发过滤规则给各OpenFlow交换机,所述过滤规则通过源MAC地址与OpenFlow交换机端口的动态映射表生成对应流表项所实现,查询OpenFlow交换机的流表获取转发规则,从而实现DNS请求数据的转发。
9.一种基于软件定义网络的恶意网站防护系统,其特征在于,所述系统包括:
数据包解析模块:用于采集DNS请求数据,并解析DNS请求数据中的DNS报文头部,获取opcode字段信息;
白名单检测模块:用于判断DNS请求数据中的域名信息是否在白名单列表生成的布隆过滤器内;
黑名单检测模块:用于判断DNS请求数据中的域名信息是否在黑名单列表生成的布隆过滤器内;
可疑域名智能检测模块:用于提取DNS请求数据的域名信息中的主机名,判定该主机名是否可信;
名单修改模块:用于重新定义opcode字段的10~15的数值及其对应的操作, 从而将DNS请求数据中的域名添加到白名单、黑名单或顶级域名名单列表生成的布隆过滤器中,或者将DNS请求数据中的域名从白名单、黑名单或顶级域名名单列表生成的布隆过滤器中删除;
数据转发模块:用于对DNS请求数据进行转发。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410851911.5A CN104601557B (zh) | 2014-12-29 | 2014-12-29 | 一种基于软件定义网络的恶意网站防护方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410851911.5A CN104601557B (zh) | 2014-12-29 | 2014-12-29 | 一种基于软件定义网络的恶意网站防护方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104601557A true CN104601557A (zh) | 2015-05-06 |
| CN104601557B CN104601557B (zh) | 2018-12-21 |
Family
ID=53127063
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410851911.5A Active CN104601557B (zh) | 2014-12-29 | 2014-12-29 | 一种基于软件定义网络的恶意网站防护方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104601557B (zh) |
Cited By (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104994117A (zh) * | 2015-08-07 | 2015-10-21 | 国家计算机网络与信息安全管理中心江苏分中心 | 一种基于dns解析数据的恶意域名检测方法及系统 |
| CN105119930A (zh) * | 2015-09-09 | 2015-12-02 | 南京理工大学 | 基于OpenFlow协议的恶意网站防护方法 |
| CN105224600A (zh) * | 2015-08-31 | 2016-01-06 | 北京奇虎科技有限公司 | 一种样本相似度的检测方法及装置 |
| CN105471907A (zh) * | 2015-12-31 | 2016-04-06 | 云南大学 | 一种基于Openflow的虚拟防火墙传输控制方法及系统 |
| CN106385443A (zh) * | 2016-09-05 | 2017-02-08 | 北京小米移动软件有限公司 | 页面访问方法和装置 |
| CN106453229A (zh) * | 2015-08-04 | 2017-02-22 | 法赛特安全公司 | 使用公共过滤器对域名系统记录系统的更新的并行检测 |
| CN106790111A (zh) * | 2016-12-26 | 2017-05-31 | 上海交通大学 | 基于软件定义多播的智能电网威胁传播防御方法 |
| CN107707534A (zh) * | 2017-09-22 | 2018-02-16 | 深圳市盛路物联通讯技术有限公司 | 一种数据转发方法及装置 |
| CN107888659A (zh) * | 2017-10-12 | 2018-04-06 | 北京京东尚科信息技术有限公司 | 用户请求的处理方法及系统 |
| CN108259444A (zh) * | 2016-12-28 | 2018-07-06 | 南宁富桂精密工业有限公司 | 恶意网站防护方法及系统 |
| CN109359481A (zh) * | 2018-10-10 | 2019-02-19 | 南京小安信息科技有限公司 | 一种基于bk树的反碰撞搜索约减方法 |
| CN110381089A (zh) * | 2019-08-23 | 2019-10-25 | 南京邮电大学 | 基于深度学习对恶意域名检测防护方法 |
| CN110519270A (zh) * | 2019-08-27 | 2019-11-29 | 杭州安恒信息技术股份有限公司 | 基于文件来源快速检测WebShell的方法及装置 |
| CN110740117A (zh) * | 2018-10-31 | 2020-01-31 | 哈尔滨安天科技集团股份有限公司 | 仿冒域名检测方法、装置、电子设备及存储介质 |
| CN111314301A (zh) * | 2020-01-17 | 2020-06-19 | 武汉思普崚技术有限公司 | 一种基于dns解析的网站访问控制方法及装置 |
| WO2020151209A1 (zh) * | 2019-01-23 | 2020-07-30 | 集奥聚合(北京)人工智能科技有限公司 | 一种基于多维数据变量的数据交互方法及平台 |
| CN112187775A (zh) * | 2020-09-23 | 2021-01-05 | 北京微步在线科技有限公司 | 一种端口扫描的检测方法及装置 |
| CN112448929A (zh) * | 2019-09-02 | 2021-03-05 | 中国电力科学研究院有限公司 | 一种通讯网络动态方防护方法及平台 |
| CN112667629A (zh) * | 2020-12-22 | 2021-04-16 | 互联网域名系统北京市工程研究中心有限公司 | 基于布隆过滤器的威胁检测方法和系统 |
| CN112714129A (zh) * | 2020-12-30 | 2021-04-27 | 西安交通大学 | 一种用于网络安全芯片的内外网访问控制方法与该网络安全芯片 |
| US11012417B2 (en) | 2019-04-30 | 2021-05-18 | Centripetal Networks, Inc. | Methods and systems for efficient packet filtering |
| US11012414B2 (en) | 2019-04-30 | 2021-05-18 | Centripetal Networks, Inc. | Methods and systems for prevention of attacks associated with the domain name system |
| WO2021102414A1 (en) * | 2019-11-22 | 2021-05-27 | Centripetal Networks, Inc. | Methods and systems for prevention of attacks associated with the domain name system |
| CN113329036A (zh) * | 2021-08-02 | 2021-08-31 | 南京大数据集团有限公司 | 一种黑名单系统工作方法 |
| CN113452670A (zh) * | 2021-04-30 | 2021-09-28 | 恒安嘉新(北京)科技股份公司 | 基于sdn网络的网络诈骗封堵方法、装置、设备及介质 |
| CN115883220A (zh) * | 2022-12-05 | 2023-03-31 | 深圳安巽科技有限公司 | 一种基于路由器的网站安全访问方法、系统及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102299978A (zh) * | 2011-09-23 | 2011-12-28 | 上海西默通信技术有限公司 | Dns域名系统中的加黑名单过滤重定向方法 |
| CN102710645A (zh) * | 2012-06-06 | 2012-10-03 | 珠海市君天电子科技有限公司 | 一种钓鱼网站检测方法及其检测系统 |
| CN102801697A (zh) * | 2011-12-20 | 2012-11-28 | 北京安天电子设备有限公司 | 基于多url的恶意代码检测方法和系统 |
| CN103067387A (zh) * | 2012-12-27 | 2013-04-24 | 中国建设银行股份有限公司 | 一种反钓鱼监测系统和方法 |
| CN103581363A (zh) * | 2013-11-29 | 2014-02-12 | 杜跃进 | 对恶意域名和非法访问的控制方法及装置 |
| CN103684922A (zh) * | 2013-12-23 | 2014-03-26 | 蓝盾信息安全技术股份有限公司 | 基于sdn网络的出口信息保密检查检测平台系统及检测方法 |
-
2014
- 2014-12-29 CN CN201410851911.5A patent/CN104601557B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102299978A (zh) * | 2011-09-23 | 2011-12-28 | 上海西默通信技术有限公司 | Dns域名系统中的加黑名单过滤重定向方法 |
| CN102801697A (zh) * | 2011-12-20 | 2012-11-28 | 北京安天电子设备有限公司 | 基于多url的恶意代码检测方法和系统 |
| CN102710645A (zh) * | 2012-06-06 | 2012-10-03 | 珠海市君天电子科技有限公司 | 一种钓鱼网站检测方法及其检测系统 |
| CN103067387A (zh) * | 2012-12-27 | 2013-04-24 | 中国建设银行股份有限公司 | 一种反钓鱼监测系统和方法 |
| CN103581363A (zh) * | 2013-11-29 | 2014-02-12 | 杜跃进 | 对恶意域名和非法访问的控制方法及装置 |
| CN103684922A (zh) * | 2013-12-23 | 2014-03-26 | 蓝盾信息安全技术股份有限公司 | 基于sdn网络的出口信息保密检查检测平台系统及检测方法 |
Cited By (41)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108616544A (zh) * | 2015-08-04 | 2018-10-02 | 法赛特安全公司 | 用于检测对域名系统记录系统的更新的方法、系统和介质 |
| CN106453229A (zh) * | 2015-08-04 | 2017-02-22 | 法赛特安全公司 | 使用公共过滤器对域名系统记录系统的更新的并行检测 |
| CN106453229B (zh) * | 2015-08-04 | 2018-06-19 | 法赛特安全公司 | 用于检测对域名系统记录系统的更新的方法、系统和介质 |
| CN104994117A (zh) * | 2015-08-07 | 2015-10-21 | 国家计算机网络与信息安全管理中心江苏分中心 | 一种基于dns解析数据的恶意域名检测方法及系统 |
| CN105224600B (zh) * | 2015-08-31 | 2019-05-28 | 北京奇虎科技有限公司 | 一种样本相似度的检测方法及装置 |
| CN105224600A (zh) * | 2015-08-31 | 2016-01-06 | 北京奇虎科技有限公司 | 一种样本相似度的检测方法及装置 |
| CN105119930A (zh) * | 2015-09-09 | 2015-12-02 | 南京理工大学 | 基于OpenFlow协议的恶意网站防护方法 |
| CN105119930B (zh) * | 2015-09-09 | 2019-02-22 | 南京理工大学 | 基于OpenFlow协议的恶意网站防护方法 |
| CN105471907A (zh) * | 2015-12-31 | 2016-04-06 | 云南大学 | 一种基于Openflow的虚拟防火墙传输控制方法及系统 |
| CN105471907B (zh) * | 2015-12-31 | 2018-09-18 | 云南大学 | 一种基于Openflow的虚拟防火墙传输控制方法及系统 |
| CN106385443A (zh) * | 2016-09-05 | 2017-02-08 | 北京小米移动软件有限公司 | 页面访问方法和装置 |
| CN106790111B (zh) * | 2016-12-26 | 2020-07-28 | 上海交通大学 | 基于软件定义多播的智能电网威胁传播防御方法 |
| CN106790111A (zh) * | 2016-12-26 | 2017-05-31 | 上海交通大学 | 基于软件定义多播的智能电网威胁传播防御方法 |
| CN108259444A (zh) * | 2016-12-28 | 2018-07-06 | 南宁富桂精密工业有限公司 | 恶意网站防护方法及系统 |
| CN107707534A (zh) * | 2017-09-22 | 2018-02-16 | 深圳市盛路物联通讯技术有限公司 | 一种数据转发方法及装置 |
| CN107888659A (zh) * | 2017-10-12 | 2018-04-06 | 北京京东尚科信息技术有限公司 | 用户请求的处理方法及系统 |
| CN109359481B (zh) * | 2018-10-10 | 2021-09-14 | 南京小安信息科技有限公司 | 一种基于bk树的反碰撞搜索约减方法 |
| CN109359481A (zh) * | 2018-10-10 | 2019-02-19 | 南京小安信息科技有限公司 | 一种基于bk树的反碰撞搜索约减方法 |
| CN110740117A (zh) * | 2018-10-31 | 2020-01-31 | 哈尔滨安天科技集团股份有限公司 | 仿冒域名检测方法、装置、电子设备及存储介质 |
| WO2020151209A1 (zh) * | 2019-01-23 | 2020-07-30 | 集奥聚合(北京)人工智能科技有限公司 | 一种基于多维数据变量的数据交互方法及平台 |
| US11012417B2 (en) | 2019-04-30 | 2021-05-18 | Centripetal Networks, Inc. | Methods and systems for efficient packet filtering |
| US11012414B2 (en) | 2019-04-30 | 2021-05-18 | Centripetal Networks, Inc. | Methods and systems for prevention of attacks associated with the domain name system |
| US12021835B2 (en) | 2019-04-30 | 2024-06-25 | Centripetal Networks, Llc | Methods and systems for efficient packet filtering |
| US11902250B2 (en) | 2019-04-30 | 2024-02-13 | Centripetal Networks, Llc | Methods and systems for prevention of attacks associated with the domain name system |
| CN110381089A (zh) * | 2019-08-23 | 2019-10-25 | 南京邮电大学 | 基于深度学习对恶意域名检测防护方法 |
| CN110519270A (zh) * | 2019-08-27 | 2019-11-29 | 杭州安恒信息技术股份有限公司 | 基于文件来源快速检测WebShell的方法及装置 |
| CN110519270B (zh) * | 2019-08-27 | 2022-01-28 | 杭州安恒信息技术股份有限公司 | 基于文件来源快速检测WebShell的方法及装置 |
| CN112448929A (zh) * | 2019-09-02 | 2021-03-05 | 中国电力科学研究院有限公司 | 一种通讯网络动态方防护方法及平台 |
| WO2021102414A1 (en) * | 2019-11-22 | 2021-05-27 | Centripetal Networks, Inc. | Methods and systems for prevention of attacks associated with the domain name system |
| KR102681031B1 (ko) | 2019-11-22 | 2024-07-04 | 센트리페탈 리미티드 | 도메인 네임 시스템과 연관된 공격을 방지하기 위한 방법 및 시스템 |
| KR20220101190A (ko) * | 2019-11-22 | 2022-07-19 | 센트리페탈 네트웍스 인코포레이티드 | 도메인 네임 시스템과 연관된 공격을 방지하기 위한 방법 및 시스템 |
| CN111314301A (zh) * | 2020-01-17 | 2020-06-19 | 武汉思普崚技术有限公司 | 一种基于dns解析的网站访问控制方法及装置 |
| CN112187775B (zh) * | 2020-09-23 | 2021-09-03 | 北京微步在线科技有限公司 | 一种端口扫描的检测方法及装置 |
| CN112187775A (zh) * | 2020-09-23 | 2021-01-05 | 北京微步在线科技有限公司 | 一种端口扫描的检测方法及装置 |
| CN112667629A (zh) * | 2020-12-22 | 2021-04-16 | 互联网域名系统北京市工程研究中心有限公司 | 基于布隆过滤器的威胁检测方法和系统 |
| CN112714129A (zh) * | 2020-12-30 | 2021-04-27 | 西安交通大学 | 一种用于网络安全芯片的内外网访问控制方法与该网络安全芯片 |
| CN112714129B (zh) * | 2020-12-30 | 2022-06-03 | 西安交通大学 | 一种用于网络安全芯片的内外网访问控制方法与该网络安全芯片 |
| CN113452670A (zh) * | 2021-04-30 | 2021-09-28 | 恒安嘉新(北京)科技股份公司 | 基于sdn网络的网络诈骗封堵方法、装置、设备及介质 |
| CN113329036B (zh) * | 2021-08-02 | 2021-11-05 | 南京大数据集团有限公司 | 一种黑名单系统工作方法 |
| CN113329036A (zh) * | 2021-08-02 | 2021-08-31 | 南京大数据集团有限公司 | 一种黑名单系统工作方法 |
| CN115883220A (zh) * | 2022-12-05 | 2023-03-31 | 深圳安巽科技有限公司 | 一种基于路由器的网站安全访问方法、系统及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104601557B (zh) | 2018-12-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104601557A (zh) | 一种基于软件定义网络的恶意网站防护方法及系统 | |
| US11057404B2 (en) | Method and apparatus for defending against DNS attack, and storage medium | |
| US10666672B2 (en) | Collecting domain name system traffic | |
| CN109474575B (zh) | 一种dns隧道的检测方法及装置 | |
| RU2488880C1 (ru) | Система и способ адаптивной оптимизации проверки потока данных, передающихся по сети, на наличие угроз | |
| KR100922582B1 (ko) | 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템 및방법 | |
| US10516671B2 (en) | Black list generating device, black list generating system, method of generating black list, and program of generating black list | |
| WO2018107784A1 (zh) | 检测网页后门的方法和装置 | |
| US9258289B2 (en) | Authentication of IP source addresses | |
| KR101391781B1 (ko) | 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법 | |
| JP5050781B2 (ja) | マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法 | |
| WO2021139643A1 (zh) | 加密攻击网络流量检测方法,其装置及电子设备 | |
| CN103618718B (zh) | 针对拒绝服务攻击的处理方法及装置 | |
| EP3242240B1 (en) | Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program | |
| KR101535529B1 (ko) | Apt 공격 분석을 위한 의심파일 및 추적정보 수집 방법 | |
| CN112583827B (zh) | 一种数据泄露检测方法及装置 | |
| KR20100066908A (ko) | 윈도우 실행파일 추출방법, 및 장치 | |
| KR101619371B1 (ko) | 패킷 처리 방법 및 장치 | |
| TWI634769B (zh) | Method for detecting domain name transformation botnet through proxy server log | |
| CN113328976B (zh) | 一种安全威胁事件识别方法、装置及设备 | |
| TWI489820B (zh) | 一種追蹤攻擊來源之方法 | |
| US20180225188A1 (en) | Probabilistic Processor Monitoring | |
| CN116865983A (zh) | 攻击检测方法和网络安全装置 | |
| KR20230125683A (ko) | 네트워크 통신 로그 분석을 통한 악성코드 감염 탐지 시스템 및 방법 | |
| CN118368133A (zh) | 一种idc信息安全管理方法和终端设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |