CN105262730A - 基于企业域名安全的监控方法及装置 - Google Patents
基于企业域名安全的监控方法及装置 Download PDFInfo
- Publication number
- CN105262730A CN105262730A CN201510583922.4A CN201510583922A CN105262730A CN 105262730 A CN105262730 A CN 105262730A CN 201510583922 A CN201510583922 A CN 201510583922A CN 105262730 A CN105262730 A CN 105262730A
- Authority
- CN
- China
- Prior art keywords
- domain name
- event
- data
- information
- enterprise
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于企业域名安全的监控方法及装置,包括:在目标对象中获取与参考域名地址相似的嫌疑目标域名的数据信息;对获取的上述数据信息进行信息事件化处理,得到事件数据库;对事件数据库进行相关分析,并根据分析结果确定准确的和嫌疑的目标事件;对得到的目标事件实时进行主动防御处理,以实现企业域名服务安全监控的主动运维,其能够实时监控域名劫持攻击的风险,弥补除DNS服务器被动防御和用户主动告警的企业域名安全监控;并且其还能够实时监控钓鱼网站动态,实时监控告警,针对企业的资金交易域名能非常清晰的增加企业主动运维监控和风险把控的能力,另外,采用大数据的分析处理方式,使得分析结果准确性和可靠性均较高。
Description
技术领域
本发明涉及域名安全监控领域,具体而言,涉及基于企业域名安全的监控方法及装置。
背景技术
域名(DomainName),是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时标识计算机的电子方位,而基于计算机的所有网站的服务都要从域名服务开始。
在中华网库中,每一个域名的注册都是独一无二、不可重复的,因此在网络上域名是一种相对有限的资源,它的价值将随着注册企业的增多而逐步为人们所重视。并且,域名还具有商业识别功能,如在银行业,一个简单易记的域名往往意味着无限商机;也正因如此,域名争夺战愈演愈烈,而域名的安全问题也将影响着个人、企业、社会乃至整个国家的信息安全(如金融安全)。
目前,网络界现在面临的域名安全主要体现在网络钓鱼、域名劫持和解析垄断等三个方面:较常见的,企业域名安全主要以域名劫持和网络钓鱼为重灾区,并且这两个方面的域名安全问题,其攻击实质上不是针对企业本身而是针对运营商服务器(即DNS服务器),黑客通过攻击运营商服务器,进而更改运营商服务器对应的IP地址。上述情况,对于企业来讲,其不能事先获知自身使用的域名服务器被更改的信息,只有根据用户的投诉或者企业自身作为用户发现钓鱼网站时,才会得知自己使用的域名服务器被更改的问题;对于运营商来讲,首先其没有义务对每个企业的域名变化情况进行实时监控,并且,即使其发现了相应的企业域名服务器被更改,其仍然也无法获知域名服务器的更改是企业自己实施的,还是黑客实施的,进而也就无法对域名服务器的更改情况做处理。
发明人在研究中发现,现有的网络安全技术整体抗攻击能力和抗风险能力严重不足,并且其建设和运行缺乏规范,从而使得没有相应的防御手段解决企业域名的安全问题;故针对上述企业域名的安全问题,目前尚未提出一种有效的解决方式。
发明内容
本发明的目的在于提供一种基于企业域名安全的监控方法及装置,能够实时监控域名劫持攻击的风险,弥补除DNS服务器被动防御和用户主动告警的企业域名安全监控;并且其还能够实时监控钓鱼网站动态,实时监控告警,针对企业的资金交易域名能非常清晰的增加企业主动运维监控和风险把控的能力。
第一方面,本发明实施例提供了一种基于企业域名安全的监控方法,包括:
在目标对象中,获取与参考域名地址相似的嫌疑目标域名的数据信息;所述目标对象包括以下中的一种或多种:互联网、嫌疑目标域名设备以及参考域名服务器记录NS记录;
对获取的所述嫌疑目标域名的数据信息进行信息事件化处理,得到事件数据库;
对所述事件数据库进行相关分析,并根据分析结果确定准确的和嫌疑的目标事件;所述相关分析包括以下方法中的一种或多种:数据碰撞、趋势预测和动作异常检测;
对得到的所述目标事件实时进行主动防御处理,以实现企业域名服务安全监控的主动运维。
结合第一方面,本发明实施例提供了上述第一方面的第一种可能的实施方式,其中,所述在目标对象中,获取与参考域名地址相似的嫌疑目标域名的数据信息,包括:
利用扫描脚本对互联网进行定期扫描,得到与参考域名地址相似的嫌疑目标域名地址,并将所述嫌疑目标域名地址记录成钓鱼嫌疑列表。
结合第一方面的第一种可能的实施方式,本发明实施例提供了上述第一方面的第二种可能的实施方式,其中,所述在目标对象中,获取与参考域名地址相似的嫌疑目标域名的数据信息,包括:
获取所述钓鱼嫌疑列表中嫌疑目标域名地址对应的目标域名设备;所述目标域名设备包括以下信息中的一种或多种:端口信息、漏洞信息和业务类型信息;
利用预设扫描辅助工具依次扫描所述目标域名设备的端口信息、漏洞信息以及业务类型信息,并记录扫描结果。
结合第一方面的第一种可能的实施方式,本发明实施例提供了上述第一方面的第三种可能的实施方式,其中,所述在目标对象中,获取与参考域名地址相似的嫌疑目标域名的数据信息,包括:
获取所述钓鱼嫌疑列表中嫌疑目标域名地址对应的嫌疑目标域名设备;所述嫌疑目标域名设备包括以下信息中的一种或多种:端口信息、漏洞信息和业务类型信息;
利用查询工具侦测嫌疑目标域名设备的业务负载信息、网络之间互连的协议IP地址信息和地理位置信息,并记录侦测结果。
结合第一方面的第二种可能的实施方式或第一方面的第三种可能的实施方式,本发明实施例提供了上述第一方面的第四种可能的实施方式,其中,所述在目标对象中,获取与参考域名地址相似的嫌疑目标域名的数据信息,包括:
获取参考域名地址对应的展示信息的数据内容;
利用扫描工具搜索互联网中与所述展示信息的数据内容相似的网站页面的横幅httpbanner信息,确定所述httpbanner信息对应的嫌疑目标域名的数据信息。
结合第一方面的第四种可能的实施方式,本发明实施例提供了上述第一方面的第五种可能的实施方式,其中,所述在目标对象中,获取与参考域名地址相似的嫌疑目标域名的数据信息,包括:
利用查询工具实时查询参考NS记录上的解析地址,并实时记录查询的所述解析地址;所述解析地址包括以下信息中的一种或多种:各地区的DNS服务列表信息、各地区对应的企业的DNS服务信息和各地区异常的DNS服务信息。
结合第一方面的第五种可能的实施方式,本发明实施例提供了上述第一方面的第六种可能的实施方式,其中,所述对获取的所述嫌疑目标域名的数据信息进行信息事件化处理,得到事件数据库,包括:
获取所述数据信息中所有数据的数据类型、采集时间和信息条目数;
根据所有数据的数据类型、采集时间和信息条目数,对获取的所有数据进行信息事件化处理,并将事件化处理后的结果入库存储,形成事件数据库;所述所有数据至少包括:扫描结果、所述侦测结果、所述httpbanner信息对应的嫌疑目标域名的数据信息以及所述解析地址。
结合第一方面的第六种可能的实施方式,本发明实施例提供了上述第一方面的第七种可能的实施方式,其中,所述对所述事件数据库进行相关分析,包括:
将所述事件数据库中的事件数据进行数据碰撞,根据数据碰撞的结果建立事件树模型,以形成风险轨迹记录;
和/或,根据所述事件数据库中的历史事件数据,对所述事件数据库中的事件数据进行基于时间的趋势预测和基于空间的趋势预测,得到趋势分析结果;
和/或,对所述事件数据库中的实时事件数据与正常事件数据进行动作对比,记录具有异常动作行为的所述事件数据;所述异常动作行为包括:钓鱼攻击行为和劫持攻击行为。
结合第一方面的第七种可能的实施方式,本发明实施例提供了上述第一方面的第八种可能的实施方式,其中,所述对得到的所述目标事件实时进行主动防御处理,包括:
在网管监控中,对得到的所述目标事件进行实时监控展示;
和\或,在参考域名地址对应的网站上,对得到的所述目标事件攻击所述参考域名地址的行为进行通告;
和/或,将所述得到的所述目标事件及对应的攻击所述参考域名地址的行为发送至网络安全监管服务器,以实现企业域名服务安全监控主动运维。
第二方面,本发明实施例还提供了一种基于企业域名安全的监控装置,包括:
获取单元,用于在目标对象中,获取与参考域名地址相似的嫌疑目标域名的数据信息;目标对象包括以下中的一种或多种:互联网、嫌疑目标域名设备以及参考域名服务器记录NS记录;
信息事件化处理单元,用于对所述获取单元获取的嫌疑目标域名的数据信息进行信息事件化处理,得到事件数据库;
相关分析单元,用于对所述信息事件化处理单元得到的事件数据库进行相关分析;
确定单元,用于根据所述相关分析单的分析结果确定准确的和嫌疑的目标事件;相关分析包括以下方法中的一种或多种:数据碰撞、趋势预测和动作异常检测;
主动防御处理单元,用于对所述确定单元确定的目标事件实时进行主动防御处理,以实现企业域名服务安全监控的主动运维。
本发明实施例提供的一种基于企业域名安全的监控方法及装置,包括:在目标对象中,获取与参考域名地址相似的目标域名的数据信息;对获取的所述目标域名的数据信息进行信息事件化处理,得到事件数据库;对所述事件数据库进行相关分析,并根据分析结果确定准确的和嫌疑的目标事件;所述相关分析包括以下方法中的一种或多种:数据碰撞、趋势预测和动作异常检测;对得到的所述目标事件实时进行主动防御处理,以实现企业域名服务安全监控的主动运维,与现有技术中没有相应的防御手段解决企业域名的安全问题相比,其能够实时监控域名劫持攻击的风险,弥补除DNS服务器被动防御和用户主动告警的企业域名安全监控;并且其还能够实时监控钓鱼网站动态,实时监控告警,针对企业的资金交易域名能非常清晰的增加企业主动运维监控和风险把控的能力,另外,采用大数据的分析处理方式,使得分析结果准确性和可靠性均较高。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本发明实施例所提供的一种基于企业域名安全的监控方法的流程图;
图2示出了本发明实施例所提供的另一种基于企业域名安全的监控方法的流程图;
图3示出了本发明实施例所提供的一种基于企业域名安全的监控方法的整体流程图;
图4示出了本发明实施例所提供的一种基于企业域名安全的监控装置的结构示意图;
图5示出了本发明实施例所提供的基于企业域名安全的监控装置中一种获取单元的结构示意图;
图6示出了本发明实施例所提供的基于企业域名安全的监控装置中另一种获取单元的结构示意图。
图7示出了本发明实施例所提供的基于企业域名安全的监控装置中另一种获取单元的结构示意图
图8示出了本发明实施例所提供的基于企业域名安全的监控装置中另一种获取单元的结构示意图
图9示出了本发明实施例所提供的基于企业域名安全的监控装置中另一种获取单元的结构示意图
图10示出了本发明实施例所提供的一种基于企业域名安全的监控装置中信息事件化处理单元的结构示意图;
图11示出了本发明实施例所提供的一种基于企业域名安全的监控装置中相关分析单元的结构示意图;
图12示出了本发明实施例所提供的另一种基于企业域名安全的监控装置中相关分析单元的结构示意图;
图13示出了本发明实施例所提供的另一种基于企业域名安全的监控装置中主动防御处理单元的结构示意图。
主要标号说明:
11、获取单元;22、信息事件化处理单元;33、相关分析单元;44、主动防御处理单元;111、第一扫描子单元;112第一记录子单元;113、第一获取子单元;114、第二扫描子单元;115、第二记录子单元;116、第二获取子单元;117、侦测子单元;118、第三记录子单元;119、第三获取子单元;120、搜索子单元;121、确定子单元;122、查询子单元;123、第四记录子单元;221、第四获取子单元;222、事件处理化子单元;223、入库存储子单元331、数据碰撞子单元;332、建立子单元;333、趋势预测子单元;334、设置子单元;335、对比子单元;336、第六记录子单元;441、监控展示子单元;442、通告子单元;443、发送子单元。
具体实施方式
下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前,网络界现在面临的域名安全主要体现在网络钓鱼、域名劫持和解析垄断等三个方面;其中,网络钓鱼是一种网络犯罪行为,钓鱼者往往利用仿冒域名或者相似网页来诱惑用户,诱骗用户登录恶意网站并泄露个人账户密码等重要信息。网络钓鱼犯罪不仅会给用户造成巨大的经济损失,也会破坏健康有序的互联网环境。
域名劫持,可以理解为域名被劫持,就是将原本准备访问某网站的用户,在不知不觉中通过采用黑客手段控制域名管理密码和域名管理邮箱,然后将该域名的NS(NameServer,域名服务器)纪录指向到黑客可以控制的DNS(DomainNameSystem,域名系统)服务器,然后通过在该DNS服务器上添加相应域名纪录,使用户访问该域名时,进入了黑客所指向的内容。通过上述方法,黑客也较容易窃取用户的个人账户密码等重要信息。
解析垄断即“域名解析”,其是指计算机专家通过DNS技术在域名和IP地址之间建立对应关系,并由解析服务器来完成将域名转换成IP地址的任务,用以帮助人们方便地找到网站。然而,在这一至关重要的领域,美国不仅拥有网络域名的专控权和否决权,还拥有国际互联网高速公路的主干线,而其他任何国家和地区的支干线间的通信都要经过美国的主线。目前,美国的ICANN(TheInternetCorporationforAssignedNamesandNumbers,互联网名称与数字地址分配机构)是全球互联网的最高管理机构,该机构决定着互联网技术的取舍、网络通信协议的制定、域名和IP地址的分配、域名登记与出售以及相关政策的制定等。2005年7月,美国商务部宣布无限期保留对13台域名根服务器的监控权。从安全角度看,美国垄断了“域名解析”的根服务器,也就控制了相应的所有域名,这对于其他使用域名的通信都要受到美国的监控,在一定程度上存在安全隐患。
考虑到上述三个方面的域名安全情况,相关技术中的网络安全技术几乎没有相应的防御手段,使得整个网络的抗攻击和风险的能力严重不足,并且缺乏健全的网络运行规范,导致网络安全的监控和分析能力均不足。
基于此,本发明实施例提供了一种基于企业域名安全的监控方法和装置,其能够实时监控域名劫持攻击的风险,弥补除DNS服务器被动防御和用户主动告警的企业域名安全监控;并且其还能够实时监控钓鱼网站动态,实时监控告警,针对企业的资金交易域名能非常清晰的增加企业主动运维监控和风险把控的能力,另外,采用大数据作为核心算法的分析处理方式,也使得分析结果准确性和可靠性均较高。
为了便于对本发明实施例提供的基于企业域名安全的监控方法进行理解,首先对该方法的应用场景进行简要说明:该方法主要用于对社会企业(或者称为社会单位)的域名信息进行监控,以监控他人钓鱼或者劫持社会企业的域名信息行为。
参见图1所示的基于企业域名安全的监控的方法流程图,具体包括以下步骤:
S101、在目标对象中,获取与参考域名地址相似的嫌疑目标域名的数据信息;所述目标对象包括以下中的一种或多种:互联网、嫌疑目标域名设备以及参考域名服务器记录NS记录。
上述步骤中,参考域名地址则为社会企业在相应的管理认证机构中注册的域名地址,用户通过该地址可以查看该社会企业对应的信息资源;
上述目标对象则可以是互联网,如Internet网;还可以是嫌疑目标域名设备,即钓鱼或者劫持所述参考域名地址的实际域名地址对应终端设备,在实际扫描时,可以扫描该终端设备的端口信息和漏洞信息以及该终端设备结合其实际域名地址可以进行的业务类型等其他相关信息。
实际中,社会企业在运营商的域名服务器上注册的参考域名地址是标准的单一地址,而在社会企业应用该参考域名地址时,该参考域名地址可能会发生改变,而改变的原因一方面是社会企业自身进行的更改,另一方面则是钓鱼网站的恶意篡改;其中,社会企业在对注册的参考域名地址进行变更时,其可能不会告知对应的参考域名服务器,恶意网站在劫持参考域名地址时会也会恶意篡改参考域名地址;在上述两种参考域名地址被更改的情况下,参考域名服务器不会分析该社会企业的参考域名地址变化的原因,其只会对该变化情况进行记录;上述参考NS记录即运营商的参考域名服务器对注册的社会企业的域名地址的更改信息的记录信息;
本实施例中的监控方法,其首先通过扫描、检测、调取等技术对上述目标对象进行处理,以获取与上述参考域名地址对应的嫌疑目标域名的数据信息;其中,上述嫌疑目标域名的数据信息可以为劫持所述参考域名地址对应的域名地址、域名地址列表、该嫌疑目标域名对应的终端设备(如设备端口、漏洞信息、业务类型信息业务负载、IP地址、地理位置信息等)。
S102、对获取的所述嫌疑目标域名的数据信息进行信息事件化处理,得到事件数据库。
采用核心的大数据分析算法(简称为关联挖掘)对上述数据信息进行处理;具体的,首先提取上述嫌疑目标域名的数据信息中的所有数据,确定上述所有数据对应的数据类型,各个类型对应的数据的信息条目数以及所有数据对应的采集时间,并根据确定的上述信息将所有数据存储在对应的数据库中,以建立事件数据库。
S103、对所述事件数据库进行相关分析,并根据分析结果确定准确的和嫌疑的目标事件;所述相关分析包括以下方法中的一种或多种:数据碰撞、趋势预测和动作异常检测。
本实施例中,采用核心的大数据分析算法(简称为关联挖掘)对上述数据信息进行处理;具体的事件化处理过程包括:本方法中根据上述数据信息中的所有数据的类型、时间和信息条数目等信息,分析上述所有数据之间的关系,根据分析得到的数据之间的关联关系构建有效的算法和模型,然后将上述所有数据对应的实际数据值代入到上述模型中,并根据有效的算法进行计算,即可得到对应的展示结果,并将这些展示结果进行存储即可得到事件数据库;
其中,上述构建有效的算法和模型对应的相关分析方式包括:数据碰撞、趋势预测和动作异常检测等;对应的,上述展示结果为根据不同的模型和算法得到的多个不同的结果,如风险轨迹记录、基于时间的趋势预测、基于空间的趋势预测和钓鱼攻击行为和劫持攻击行为的分析结果。
然后,对上述事件数据库中存储的所有展示结果进行综合进行分析并设立评分制,综合上述所有展示结果对应的得分值之和,如根据得分值确定准确的(确定的时间/地点和行为特征)入侵事件和劫持事件和疑似的入侵事件和劫持事件;如得分值达到最高阈值,则确定为入侵事件和劫持事件;如得分值处于异常阈值与最高阈值范围内,则确定为疑似的入侵事件和劫持事件。
S104、对得到的所述目标事件实时进行主动防御处理,以实现企业域名服务安全监控的主动运维。
具体的,在确定了准确的(确定的时间/地点和行为特征)入侵事件和劫持事件和疑似的入侵事件和劫持事件后,可以在网管监控中做实时监控展示,以及在社会企业对应的网页页面对用户进行通告(如通告有钓鱼网址劫持或者篡改参考域名地址的行为),或者向用户发送短信/微信/微博等提示(如提示有钓鱼网址劫持或者篡改参考域名地址的行为)等主动防御动作,实现企业域名服务安全监控主动运维。
本发明实施例提供的一种基于企业域名安全的监控方法,与现有技术中没有相应的防御手段解决企业域名的安全问题相比,其能够实时监控域名劫持攻击的风险,弥补除DNS服务器被动防御和用户主动告警的企业域名安全监控;并且其还能够实时监控钓鱼网站动态,实时监控告警,针对企业的资金交易域名能非常清晰的增加企业主动运维监控和风险把控的能力,另外,采用大数据的分析处理方式,使得分析结果准确性和可靠性均较高。
考虑到上述目标对象的不同,无法用一种方法获取所有目标对象进行监控的问题,本实施例中,针对不同的目标对象对应有特定的监控方式,下面对所有的监控方式进行一一说明:
第一,在所述目标对象为互联网时,上述步骤101的监控方式具体为:利用扫描脚本对互联网进行定期扫描,得到与参考域名地址相似的嫌疑目标域名地址,并将所述嫌疑目标域名地址记录成钓鱼嫌疑列表。
本实施例中预先定制化扫描脚本,并使用上述定制化的扫描脚本对Internet网进行定期扫描,扫描与社会企业的参考域名地址相似的域名服务地址,并扫描上述地址、扫描时间、该地址的出现时间及维持时间以列表的形式进行记录。
第二,在所述目标对象为嫌疑目标域名设备时,上述步骤101的监控方式具体为:获取所述钓鱼嫌疑列表中嫌疑目标域名地址对应的目标域名设备,并利用预设扫描辅助工具依次扫描所述目标域名设备的端口信息、漏洞信息以及业务类型信息,并记录扫描结果;其中,所述目标域名设备包括以下信息中的一种或多种:端口信息、漏洞信息和业务类型信息。
本实施例中,根据钓鱼嫌疑列表的域名信息,使用入侵行为检测和漏洞检测等一系列扫描辅助工具依次扫描目标域名设备的端口信息、漏洞信息以及其他业务类型等相关信息,并将所有的扫描结果记录成文件;上述扫描结果可以包括:扫描时间、目标域名设备的端口类型、端口的位置、目标域名设备的漏洞信息以及目标域名设备的业务类型信息等。
第三,在所述目标对象为参考域名服务器记录NS记录时,上述步骤101的监控方式具体为:包括:获取所述钓鱼嫌疑列表中嫌疑目标域名地址对应的目标域名设备,并利用查询工具侦测目标域名设备的业务负载信息、IP地址信息和地理位置信息,并记录查询结果。其中,所述目标域名设备包括以下信息中的一种或多种:端口信息、漏洞信息和业务类型信息。
具体的,根据第一步中的钓鱼嫌疑列表的信息,通过常规的检测技术方法(如网络信息检测脚本)等侦测目标主机业务负载、IP地址、地理位置等相关信息。
其中,上述常规的检测技术方法主要用于查询相关数据,其检测的信息都是可以通过直接查询得到的。
第四,在所述目标对象为互联网时,上述步骤101的监控方式还可为:获取参考域名地址对应的展示信息的数据内容,并利用扫描工具搜索互联网中与所述展示信息的数据内容相似的网站页面的横幅httpbanner信息,确定所述httpbanner信息对应的嫌疑目标域名的数据信息。
具体的,上述数据内容可以为公司的简介、发布的新产品的数据信息、或者一些新闻事件等信息;社会单位通过其注册的参考域名地址对应的网页将上述公司的简介或者产品的数据信息等相关信息进行展示;而一些钓鱼网站会根据社会单位展示的上述数据内容制作与上述数据内容相似的httpbanner信息。故本实施例中通过预设的扫描工具(其中,该扫描工具涉及多种工具,其可以是自定义的脚本工具相似的脚本,也包含一些现有的扫描工具)搜索互联网中与上述展示信息的数据内容相似的httpbanner信息,确定所述httpbanner信息对应的嫌疑目标域名的数据信息;其中,根据httpbanner确定的嫌疑目标域名的数据信息可以包括上面所述的嫌疑目标域名地址、目标域名设备的端口信息、漏洞信息以及业务类型信息等。
第五,在所述目标对象为NS记录时,上述步骤101的监控方式还可以为:利用查询工具实时查询域名服务器记录NS记录上的解析地址,并实时记录查询的所述解析地址;所述解析地址包括以下信息中的一种或多种:各地区的DNS服务列表信息、各地区对应的企业的DNS服务信息和各地区异常的DNS服务信息,以便根据上述预设的DNS服务信息实时监测嫌疑目标域名的数据信息。
本实施例中是采用核心的大数据分析算法对上述数据信息进行处理,参考图2,基于大数据的分析算法,上述步骤102具体包括:
S201、确定所述数据信息中所有数据的数据类型、采集时间和信息条目数;所述所有数据至少包括:扫描结果、所述侦测结果、所述httpbanner信息对应的嫌疑目标域名的数据信息以及所述解析地址。
S202、根据所有数据的数据类型、采集时间和信息条目数,对获取的所有数据进行信息事件化处理。
S203、将事件化处理后的结果入库存储,形成事件数据库。
具体的,采用核心的大数据分析算法(简称为关联挖掘)对上述数据信息进行处理;具体的,首先提取上述嫌疑目标域名的数据信息中的所有数据,确定上述所有数据对应的数据类型,各个类型对应的数据的信息条目数以及所有数据对应的采集时间,并根据确定的上述信息将所有数据存储在对应的数据库中,以建立事件数据库。
基于上述大数据算法,本实施例中对事件数据库进行相关分析主要采用三种方式,具体包括:
将所述事件数据库中的事件数据进行数据碰撞等相关分析,根据数据碰撞的结果建立事件树模型,以形成风险轨迹记录;
和/或,根据所述事件数据库中的历史事件数据,对所述事件数据库中的事件数据进行基于时间的趋势预测和基于空间的趋势预测,得到趋势分析结果;
和/或,对所述事件数据库中的实时事件数据与正常事件数据进行动作对比,记录具有异常动作行为的所述事件数据;所述异常动作行为包括:钓鱼攻击行为和劫持攻击行为。
本实施例中,上述步骤103可以使用上述三种方式中的一种,也可以使用上述三种方式中任意两种的组合或者上述三种方式的组合;其中,本实施例中步骤103的处理方式不限于上述三种方式。
根据上述大数据算法对上述采集的大数据进行分析处理得到的分析结果,对确定嫌疑入侵事件和劫持事件和/或准确的入侵事件和劫持事件进行相应的防护处理;
故上述步骤104具体包括:根据上述分析结果在网管监控中,对得到的所述目标事件进行实时监控展示;和\或,在参考域名地址对应的网站上,对得到的所述目标事件攻击所述参考域名地址的行为进行通告;和/或,将所述得到的所述目标事件及对应的攻击所述参考域名地址的行为发送至网络安全监管服务器,以实现企业域名服务安全监控主动运维。
具体的,确定准确的(确定的时间/地点和行为特征)入侵事件和劫持事件和疑似的入侵事件和劫持事件,在网管监控中做实时监控展示,以及在社会企业对应的网页页面对用户进行通告(如通告有钓鱼网址劫持或者篡改参考域名地址的行为),或者向用户发送短信/微信/微博等提示(如提示有钓鱼网址劫持或者篡改参考域名地址的行为)等主动防御动作;
或者,将目标事件及对应的攻击所述参考域名地址的行为发送至网络安全监管服务器,以便负责的工作人员对该事件进行处理。具体如图3所示的一种基于企业域名安全的监控方法的整体流程图。
本发明实施例提供的一种基于企业域名安全的监控方法,包括:在目标对象中,获取与参考域名地址相似的嫌疑目标域名的数据信息;对获取的所述嫌疑目标域名的数据信息进行信息事件化处理,得到事件数据库;对所述事件数据库进行相关分析,并根据分析结果确定准确的和嫌疑的目标事件;所述相关分析包括以下方法中的一种或多种:数据碰撞、趋势预测和动作异常检测;对得到的所述目标事件实时进行主动防御处理,以实现企业域名服务安全监控的主动运维,与现有技术中没有相应的防御手段解决企业域名的安全问题相比,其能够实时监控域名劫持攻击的风险,弥补除DNS服务器被动防御和用户主动告警的企业域名安全监控;并且其还能够实时监控钓鱼网站动态,实时监控告警,针对企业的资金交易域名能非常清晰的增加企业主动运维监控和风险把控的能力,另外,采用大数据的分析处理方式,使得分析结果准确性和可靠性均较高。
基于上述方法,参考图4,本发明实施例提供了一种基于企业域名安全的监控装置,包括:
获取单元11,用于在目标对象中,获取与参考域名地址相似的嫌疑目标域名的数据信息;目标对象包括以下中的一种或多种:互联网、嫌疑目标域名设备以及参考域名服务器记录NS记录;
信息事件化处理单元22,用于对获取单元获取的嫌疑目标域名的数据信息进行信息事件化处理,得到事件数据库;
相关分析单元33,用于对信息事件化处理单元得到的事件数据库进行相关分析,并根据上述分析结果确定准确的和嫌疑的目标事件;相关分析包括以下方法中的一种或多种:数据碰撞、趋势预测和动作异常检测;
主动防御处理单元44,用于对确定单元确定的目标事件实时进行主动防御处理,以实现企业域名服务安全监控的主动运维。
考虑到上述目标对象的不同,无法用一种方法获取所有目标对象进行监控的问题,本实施例中,针对不同的目标对象对应有特定的监控方式,具体的,参考图5,上述获取单元11包括:
第一扫描子单元111,用于利用扫描脚本对互联网进行定期扫描,得到与参考域名地址相似的嫌疑目标域名地址;
第一记录子单元112,用于将第一扫描子单元扫描的嫌疑目标域名地址记录成钓鱼嫌疑列表。
进一步的,参考图6,上述获取单元11还包括:
第一获取子单元113,用于获取第一记录子单元记录的钓鱼嫌疑列表中嫌疑目标域名地址对应的目标域名设备;上述目标域名设备包括以下信息中的一种或多种:端口信息、漏洞信息和业务类型信息;
第二扫描子单元114,用于利用预设扫描辅助工具依次扫描第一获取子单元获取的目标域名设备的端口信息、漏洞信息以及业务类型信息;
第二记录子单元115,用于记录第二扫描子单元的扫描结果。
进一步的,参考图7,上述获取单元还包括:
第二获取子单元116,用于获取第一记录子单元记录的钓鱼嫌疑列表中嫌疑目标域名地址对应的嫌疑目标域名设备;嫌疑目标域名设备包括以下信息中的一种或多种:端口信息、漏洞信息和业务类型信息;
侦测子单元117,用于利用查询工具侦测第二获取子单元获取的嫌疑目标域名设备的业务负载信息、网络之间互连的协议IP地址信息和地理位置信息;
第三记录子单元118,用于并记录侦测子单元的侦测结果。
进一步的,参考图8,上述获取单元还包括:
第三获取子单元119,用于获取参考域名地址对应的展示信息的数据内容;
搜索子单元120,用于利用扫描工具搜索互联网中与第三获取子单元获取的展示信息的数据内容相似的网站页面的横幅httpbanner信息;
确定子单元121,用于确定搜索子单元搜索的httpbanner信息对应的嫌疑目标域名的数据信息。
进一步的,参考图9,上述获取单元还包括:
查询子单元122,用于利用查询工具实时查询参考NS记录上的解析地址;
第四记录子单元123,用于实时记录查询子单元查询的解析地址;所述解析地址包括以下信息中的一种或多种:各地区的DNS服务列表信息、各地区对应的企业的DNS服务信息和各地区异常的DNS服务信息。
进一步,参考图10,上述基于企业域名安全的监控装置中,事件化处理单元22,包括:
第四获取子单元221,用于确定数据信息中所有数据的数据类型、采集时间和信息条目数;
事件化处理子单元222,用于根据第四获取子单元获取的所有数据的数据类型、采集时间和信息条目数,对获取的所有数据进行信息事件化处理;
入库存储子单元223,用于将事件化处理子单元事件化处理后的结果入库存储,形成事件数据库;所有数据至少包括:扫描结果、侦测结果、httpbanner信息对应的嫌疑目标域名的数据信息以及解析地址。
进一步,参考图11和图12,上述基于企业域名安全的监控装置中,相关分析单元33,包括:
数据碰撞子单元331,用于将事件数据库中的事件数据进行数据碰撞;
建立子单元332,用于根据数据碰撞子单元的数据碰撞结果建立事件树模型,以形成风险轨迹记录;
和/或,趋势预测子单元333,用于根据事件数据库中的历史事件数据,对事件数据库中的事件数据进行基于时间的趋势预测和基于空间的趋势预测;设置子单元334,用于趋势预测子单元333的得到的预测结果设置为趋势分析结果;
和/或,对比子单元335,用于对事件数据库中的实时事件数据与正常事件数据进行动作对比;第六记录子单元336,用于记录对比子单元的对比结果中具有异常动作行为的事件数据;异常动作行为包括:钓鱼攻击行为和劫持攻击行为。
进一步,参考图13,上述基于企业域名安全的监控装置中,主动防御处理单元44,包括:
监控展示子单元441,用于在网管监控中,对得到的目标事件进行实时监控展示;
和\或,通告子单元442,用于在参考域名地址对应的网站上,对得到的目标事件攻击参考域名地址的行为进行通告;
和/或,发送子单元443,用于将得到的目标事件及对应的攻击参考域名地址的行为发送至网络安全监管服务器,以实现企业域名服务安全监控主动运维。
本发明实施例提供的一种基于企业域名安全的监控装置,与现有技术中没有相应的防御手段解决企业域名的安全问题相比,其能够实时监控域名劫持攻击的风险,弥补除DNS服务器被动防御和用户主动告警的企业域名安全监控;并且其还能够实时监控钓鱼网站动态,实时监控告警,针对企业的资金交易域名能非常清晰的增加企业主动运维监控和风险把控的能力,另外,采用大数据的分析处理方式,使得分析结果准确性和可靠性均较高。
本发明实施例所提供的进行基于企业域名安全的监控方法的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,RandomAccessMemory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种基于企业域名安全的监控方法,其特征在于,包括:
在目标对象中,获取与参考域名地址相似的嫌疑目标域名的数据信息;所述目标对象包括以下中的一种或多种:互联网、嫌疑目标域名设备以及参考域名服务器记录NS记录;
对获取的所述嫌疑目标域名的数据信息进行信息事件化处理,得到事件数据库;
对所述事件数据库进行相关分析,并根据分析结果确定准确的和嫌疑的目标事件;所述相关分析包括以下方法中的一种或多种:数据碰撞、趋势预测和动作异常检测;
对得到的所述目标事件实时进行主动防御处理,以实现企业域名服务安全监控的主动运维。
2.根据权利要求1所述的基于企业域名安全的监控方法,其特征在于,所述在目标对象中,获取与参考域名地址相似的嫌疑目标域名的数据信息,包括:
利用扫描脚本对互联网进行定期扫描,得到与参考域名地址相似的嫌疑目标域名地址,并将所述嫌疑目标域名地址记录成钓鱼嫌疑列表。
3.根据权利要求2所述的基于企业域名安全的监控方法,其特征在于,所述在目标对象中,获取与参考域名地址相似的嫌疑目标域名的数据信息,包括:
获取所述钓鱼嫌疑列表中嫌疑目标域名地址对应的目标域名设备;所述目标域名设备包括以下信息中的一种或多种:端口信息、漏洞信息和业务类型信息;
利用预设扫描辅助工具依次扫描所述目标域名设备的端口信息、漏洞信息以及业务类型信息,并记录扫描结果。
4.根据权利要求2所述的基于企业域名安全的监控方法,其特征在于,所述在目标对象中,获取与参考域名地址相似的嫌疑目标域名的数据信息,包括:
获取所述钓鱼嫌疑列表中嫌疑目标域名地址对应的嫌疑目标域名设备;所述嫌疑目标域名设备包括以下信息中的一种或多种:端口信息、漏洞信息和业务类型信息;
利用查询工具侦测嫌疑目标域名设备的业务负载信息、网络之间互连的协议IP地址信息和地理位置信息,并记录侦测结果。
5.根据权利要求3或4所述的基于企业域名安全的监控方法,其特征在于,所述在目标对象中,获取与参考域名地址相似的嫌疑目标域名的数据信息,包括:
获取参考域名地址对应的展示信息的数据内容;
利用扫描工具搜索互联网中与所述展示信息的数据内容相似的网站页面的横幅httpbanner信息,确定所述httpbanner信息对应的嫌疑目标域名的数据信息。
6.根据权利要求5所述的基于企业域名安全的监控方法,其特征在于,所述在目标对象中,获取与参考域名地址相似的嫌疑目标域名的数据信息,包括:
利用查询工具实时查询参考NS记录上的解析地址,并实时记录查询的所述解析地址;所述解析地址包括以下信息中的一种或多种:各地区的DNS服务列表信息、各地区对应的企业的DNS服务信息和各地区异常的DNS服务信息。
7.根据权利要求6所述的基于企业域名安全的监控方法,其特征在于,所述对获取的所述嫌疑目标域名的数据信息进行信息事件化处理,得到事件数据库,包括:
获取所述数据信息中所有数据的数据类型、采集时间和信息条目数;
根据所有数据的数据类型、采集时间和信息条目数,对获取的所有数据进行信息事件化处理,并将事件化处理后的结果入库存储,形成事件数据库;所述所有数据至少包括:扫描结果、所述侦测结果、所述httpbanner信息对应的嫌疑目标域名的数据信息以及所述解析地址。
8.根据权利要求7所述的基于企业域名安全的监控方法,其特征在于,所述对所述事件数据库进行相关分析,包括:
将所述事件数据库中的事件数据进行数据碰撞,根据数据碰撞的结果建立事件树模型,以形成风险轨迹记录;
和/或,根据所述事件数据库中的历史事件数据,对所述事件数据库中的事件数据进行基于时间的趋势预测和基于空间的趋势预测,得到趋势分析结果;
和/或,对所述事件数据库中的实时事件数据与正常事件数据进行动作对比,记录具有异常动作行为的所述事件数据;所述异常动作行为包括:钓鱼攻击行为和劫持攻击行为。
9.根据权利要求8所述的基于企业域名安全的监控方法,其特征在于,所述对得到的所述目标事件实时进行主动防御处理,包括:
在网管监控中,对得到的所述目标事件进行实时监控展示;
和\或,在参考域名地址对应的网站上,对得到的所述目标事件攻击所述参考域名地址的行为进行通告;
和/或,将所述得到的所述目标事件及对应的攻击所述参考域名地址的行为发送至网络安全监管服务器,以实现企业域名服务安全监控主动运维。
10.一种基于企业域名安全的监控装置,其特征在于,包括:
获取单元,用于在目标对象中,获取与参考域名地址相似的嫌疑目标域名的数据信息;目标对象包括以下中的一种或多种:互联网、嫌疑目标域名设备以及参考域名服务器记录NS记录;
信息事件化处理单元,用于对所述获取单元获取的嫌疑目标域名的数据信息进行信息事件化处理,得到事件数据库;
相关分析单元,用于对所述信息事件化处理单元得到的事件数据库进行相关分析;
确定单元,用于根据所述相关分析单的分析结果确定准确的和嫌疑的目标事件;相关分析包括以下方法中的一种或多种:数据碰撞、趋势预测和动作异常检测;
主动防御处理单元,用于对所述确定单元确定的目标事件实时进行主动防御处理,以实现企业域名服务安全监控的主动运维。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510583922.4A CN105262730B (zh) | 2015-09-14 | 2015-09-14 | 基于企业域名安全的监控方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510583922.4A CN105262730B (zh) | 2015-09-14 | 2015-09-14 | 基于企业域名安全的监控方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105262730A true CN105262730A (zh) | 2016-01-20 |
| CN105262730B CN105262730B (zh) | 2018-07-17 |
Family
ID=55102235
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510583922.4A Active CN105262730B (zh) | 2015-09-14 | 2015-09-14 | 基于企业域名安全的监控方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105262730B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107087008A (zh) * | 2017-05-26 | 2017-08-22 | 北京立思辰新技术有限公司 | 一种医疗网络的安全监控方法和系统 |
| CN109729185A (zh) * | 2018-12-26 | 2019-05-07 | 珠海市小源科技有限公司 | 一种基于网址的短信端口号识别方法与装置 |
| CN110708292A (zh) * | 2019-09-11 | 2020-01-17 | 光通天下网络科技股份有限公司 | Ip处理方法、装置、介质、电子设备 |
| CN111262851A (zh) * | 2020-01-14 | 2020-06-09 | 中移(杭州)信息技术有限公司 | Ddos攻击检测方法、装置、电子设备及存储介质 |
| CN112527429A (zh) * | 2020-11-30 | 2021-03-19 | 文思海辉智科科技有限公司 | 一种页面的配置方法及装置、可读存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101471783A (zh) * | 2007-12-28 | 2009-07-01 | 航天信息股份有限公司 | 主动网络防御方法和系统 |
| CN101702660A (zh) * | 2009-11-12 | 2010-05-05 | 中国科学院计算技术研究所 | 异常域名检测方法及系统 |
| CN102271331A (zh) * | 2010-06-02 | 2011-12-07 | 中国移动通信集团广东有限公司 | 一种检测业务提供商sp站点可靠性的方法及系统 |
| CN103944894A (zh) * | 2014-04-14 | 2014-07-23 | 上海交通大学 | 基于云计算的恶意域名检测系统 |
| CN104615760A (zh) * | 2015-02-13 | 2015-05-13 | 北京瑞星信息技术有限公司 | 钓鱼网站识别方法和系统 |
-
2015
- 2015-09-14 CN CN201510583922.4A patent/CN105262730B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101471783A (zh) * | 2007-12-28 | 2009-07-01 | 航天信息股份有限公司 | 主动网络防御方法和系统 |
| CN101702660A (zh) * | 2009-11-12 | 2010-05-05 | 中国科学院计算技术研究所 | 异常域名检测方法及系统 |
| CN102271331A (zh) * | 2010-06-02 | 2011-12-07 | 中国移动通信集团广东有限公司 | 一种检测业务提供商sp站点可靠性的方法及系统 |
| CN103944894A (zh) * | 2014-04-14 | 2014-07-23 | 上海交通大学 | 基于云计算的恶意域名检测系统 |
| CN104615760A (zh) * | 2015-02-13 | 2015-05-13 | 北京瑞星信息技术有限公司 | 钓鱼网站识别方法和系统 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107087008A (zh) * | 2017-05-26 | 2017-08-22 | 北京立思辰新技术有限公司 | 一种医疗网络的安全监控方法和系统 |
| CN109729185A (zh) * | 2018-12-26 | 2019-05-07 | 珠海市小源科技有限公司 | 一种基于网址的短信端口号识别方法与装置 |
| CN110708292A (zh) * | 2019-09-11 | 2020-01-17 | 光通天下网络科技股份有限公司 | Ip处理方法、装置、介质、电子设备 |
| CN111262851A (zh) * | 2020-01-14 | 2020-06-09 | 中移(杭州)信息技术有限公司 | Ddos攻击检测方法、装置、电子设备及存储介质 |
| CN112527429A (zh) * | 2020-11-30 | 2021-03-19 | 文思海辉智科科技有限公司 | 一种页面的配置方法及装置、可读存储介质 |
| CN112527429B (zh) * | 2020-11-30 | 2024-01-19 | 文思海辉智科科技有限公司 | 一种页面的配置方法及装置、可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105262730B (zh) | 2018-07-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110719291B (zh) | 一种基于威胁情报的网络威胁识别方法及识别系统 | |
| AU2018208693B2 (en) | A system to identify machines infected by malware applying linguistic analysis to network requests from endpoints | |
| US20210006574A1 (en) | Systems and methods for detecting and mitigating cyber security threats | |
| CN105262730B (zh) | 基于企业域名安全的监控方法及装置 | |
| CN103918222A (zh) | 用于检测拒绝服务攻击的系统和方法 | |
| US10505986B1 (en) | Sensor based rules for responding to malicious activity | |
| KR20090019451A (ko) | 피싱 및 파밍 알림 방법 및 장치 | |
| CN111786966A (zh) | 浏览网页的方法和装置 | |
| CN108063833B (zh) | Http dns解析报文处理方法及装置 | |
| CN107733699B (zh) | 互联网资产安全管理方法、系统、设备及可读存储介质 | |
| EP3704585B1 (en) | Consumer threat intelligence service | |
| CN112019519B (zh) | 网络安全情报威胁度的检测方法、装置和电子装置 | |
| CN112804210B (zh) | 数据关联方法、装置、电子设备和计算机可读存储介质 | |
| WO2021154114A1 (ru) | Способ и система выявления инфраструктуры вредоносной программы или киберзлоумышленника | |
| CN108881271A (zh) | 一种代理主机的反向追踪溯源方法及装置 | |
| US10951645B2 (en) | System and method for prevention of threat | |
| CN112887341A (zh) | 一种外部威胁监控方法 | |
| JP5656266B2 (ja) | ブラックリスト抽出装置、抽出方法および抽出プログラム | |
| CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
| CN113965419B (zh) | 一种通过反连判定攻击成功的方法及装置 | |
| CN108040036A (zh) | 一种行业云Webshell安全防护方法 | |
| CN112347328A (zh) | 一种网络平台识别方法、装置、设备及可读存储介质 | |
| CN115001724B (zh) | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 | |
| CN115913634A (zh) | 一种基于深度学习的网络安全异常的检测方法及系统 | |
| CN113378172B (zh) | 用于识别敏感网页的方法、装置、计算机系统和介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100029 room 1005, Jin Ji Ye building, No. 2, Sheng Gu Road, anzhen bridge, Chaoyang District, Beijing Patentee after: FUSIONSKYE (BEIJING) SOFTWARE Co.,Ltd. Address before: 100029 room 1005, Jin Ji Ye building, No. 2, Sheng Gu Road, anzhen bridge, Chaoyang District, Beijing Patentee before: FUSIONSKYE (BEIJING) TECHNOLOGY CO.,LTD. Address after: 100029 room 1005, Jin Ji Ye building, No. 2, Sheng Gu Road, anzhen bridge, Chaoyang District, Beijing Patentee after: FUSIONSKYE (BEIJING) TECHNOLOGY CO.,LTD. Address before: 100029 room 1005, Jin Ji Ye building, No. 2, Sheng Gu Road, anzhen bridge, Chaoyang District, Beijing Patentee before: BEIJING FUSIONSKYE TECHNOLOGY Co.,Ltd. |