CN106060067A - 基于Passive DNS迭代聚类的恶意域名检测方法 - Google Patents
基于Passive DNS迭代聚类的恶意域名检测方法 Download PDFInfo
- Publication number
- CN106060067A CN106060067A CN201610497879.4A CN201610497879A CN106060067A CN 106060067 A CN106060067 A CN 106060067A CN 201610497879 A CN201610497879 A CN 201610497879A CN 106060067 A CN106060067 A CN 106060067A
- Authority
- CN
- China
- Prior art keywords
- domain name
- dns
- malice
- detection method
- group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 36
- 238000013507 mapping Methods 0.000 claims abstract description 17
- 239000006185 dispersion Substances 0.000 claims description 7
- 238000012545 processing Methods 0.000 claims description 4
- 230000004044 response Effects 0.000 claims description 4
- 238000000605 extraction Methods 0.000 claims description 3
- 238000012549 training Methods 0.000 claims description 3
- 229910052716 thallium Inorganic materials 0.000 claims description 2
- 229910052738 indium Inorganic materials 0.000 claims 3
- 238000000034 method Methods 0.000 abstract description 14
- 230000008859 change Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 238000002474 experimental method Methods 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000002123 temporal effect Effects 0.000 description 2
- 241001269238 Data Species 0.000 description 1
- 230000000507 anthelmentic effect Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 239000013256 coordination polymer Substances 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- 230000012010 growth Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000035935 pregnancy Effects 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012706 support-vector machine Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000017423 tissue regeneration Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于Passive DNS迭代聚类的恶意域名检测方法,包括如下步骤:步骤一:提取DNS查询数据,得到DNS数据组;步骤二:根据已知的白名单域名网站及域名的总访问量,去除DNS数据组中包含白名单域名的数据组,得到处理后DNS数据组;步骤三:通过处理后DNS数据组中域名与IP之间的相互映射关系,反复迭代查询,得到存在关联的域名组;步骤四:抽取恶意域名的特征并训练得到模型,判断存在关联的域名组是否存在恶意域名。本发明公开的一种基于Passive DNS迭代聚类的恶意域名检测方法,通过域名和IP之间的映射关系,反复迭代查询,得到存在关联的域名组,大大提高了恶意域名的正检率。
Description
技术领域
本发明涉及计算机网络安全领域的恶意域名检测领域,尤其涉及一种基于Passive DNS迭代聚类的恶意域名检测方法。
背景技术
恶意域名通常指蠕虫、病毒等恶意代码用于命令控制(Command and Control,C&C)通信的域名,以及嵌入了恶意代码或者包含非法信息的网站域名。近年来,恶意软件威胁的持续增长,对我国关键基础设施和重要信息系统安全造成严重威胁,尤其是木马、病毒种类高速增长,垃圾邮件、钓鱼网站更加泛滥,给社会带来了很大的损失。因此,对恶意软件检测的研究也就具有了迫切的现实意义。
恶意软件依赖于域名系统实现域名到IP的转换,以完成命令控制通信。当前的恶意软件为了防止被屏蔽和封锁,实现高度可用性,通常会频繁的更改域名的解析,并不断产生新的域名,同时大大缩短恶意域名的生存周期,增加了检测难度,使恶意软件的C&C通信更加可靠。这样的方法同时会导致大量的恶意域名解析到了一组相同的IP,这些域名之间也就产生了关联。进一步的,此类恶意域名通常由算法随机生成,与正常域名相比有着很明显的特征。
现有的恶意域名检测方法和系统,主要集中在对单个域名特征的分析上,主要有:域名响应特征(包括IP的数量,NS的数量,TTL等),域名访问时间特征,whois信息,单个域名的字符串特征等。这些检测方法面临以下缺陷:
1)域名响应特征干扰因素越来越多,恶意域名与CDN域名有着诸多相似之处,该方法误检率越来越高;
2)域名访问的时间规律并不稳定,攻击者可以轻易通过算法改变;
3)单个域名的字符串特征有很大的局限性,只能发现已知的恶意域名种类。
因此,本发明致力于开发一个基于全局特征的恶意域名检测系统和方法,找出存在关联的域名组,进而通过域名组特征发现恶意域名。
鉴于现有的恶意域名检测方法的缺陷,本发明提出了一种基于passive dns迭代聚类的恶意域名检测系统和方法。
本发明提出的检测方法,是基于这样的观察结论:恶意软件通常会注册大量的域名来规避检测,这些域名解析到攻击者的同一组IP,因此大量的恶意域名之间会产生关联;这些有关联的域名通常由同一个算法生成,因此会有一定的字符串特征,与正常域名有明显的区别。
为了规避检测,网络攻击者通常会频繁的改变域名的解析,同时不断产生新的域名。但是为了节约成本,他们会重复的利用这些域名和IP,比如在一定的时间周期内,不同的域名解析到了同一个IP,不同的IP被同一个域名解析,这样的行为使某些不同的域名之间产生了关联,如图1所示。我们首先要利用域名与IP之间的映射关系,发现域名间的关联,然后进一步判断这些关联的域名组是否存在恶意行为。
发明内容
本发明所要解决的技术问题是开发一个基于全局特征的恶意域名检测系统和方法,找出存在关联的域名组,进而通过域名组特征发现恶意域名,为了解决上述问题,本发明提供一种基于Passive DNS迭代聚类的恶意域名检测方法,其特征在于,包括如下步骤:
步骤一:提取DNS查询数据,得到DNS数据组;
步骤二:根据已知的白名单域名网站及域名的总访问量,去除DNS数据组中包含白名单域名的数据组,得到处理后DNS数据组;
步骤三:通过处理后DNS数据组中域名与IP之间的相互映射关系,反复迭代查询,得到存在关联的域名组;
步骤四:抽取恶意域名的特征并训练得到模型,判断存在关联的域名组是否存在恶意域名。
进一步地,在步骤一中,DNS数据组包括四元组(d,i,Tf,Tl,c),d为请求域名,i为响应IP,Tf为开始时间,Tl为结束时间,c为该域名在Tf到Tl时间段内的请求次数,时间窗口W=Tf-Tl。
优选地,时间窗口W的取值为5分钟。
进一步地,步骤二中,白名单域名网站包括Alexa前10000域名,将Alexa前10000域名和DNS数据组中的域名包含的比public suffix低一级的子域名进行归并分组,去除DNS数据组中包含与Alexa前10000域名有相同的低一级域名的数据组。
进一步地,步骤二中,当域名的总访问量大于预设的阈值,则去除DNS数据组中包含相应域名的数据组。
优选地,阈值取值10000。
进一步地,步骤三中反复迭代查询的具体步骤包括:在处理后DNS数据组中选定一个域名D0,查找域名D0在时间周期T内映射到的全部第一IP;解析第一IP的全部域名形成第一集合Cn,查询在时间周期T内第一集合Cn中的域名解析过的全部第二IP,解析到第二IP的全部域名形成第二集合Cn’,即完成一次迭代循环;当迭代循环中得到的第一集合Cn和第二集合Cn’不相等,则继续迭代循环;当迭代循环中得到的第一集合Cn和第二集合Cn’相等,则结束迭代循环。
优选地,时间周期T为一天。
进一步地,恶意域名的特征包括域名数量、域名各级标签长度的分布范围和离散程度、域名标签数量的离散程度、随机标签的分布状况、同一组域名中相同字符的长度以及域名中包含的数字数量。
进一步地,模型为支持向量机模型。
本发明具有如下有益效果:
1、本发明公开的一种基于Passive DNS迭代聚类的恶意域名检测方法,通过域名和IP之间的映射关系,反复迭代查询,得到存在关联的域名组,大大提高了恶意域名的正检率。
2、数据经过预处理,减少了数据处理量,大大提高了检测效率。
3、机器学习使得本发明公开的一种基于Passive DNS迭代聚类的恶意域名检测方法能够不断学习,从而提高恶意域名的判断能力。
附图说明
图1是某恶意域名和相应IP的映射结构图
图2是本发明的一种基于Passive DNS迭代聚类的恶意域名检测方法的系统结构图。
图3是本发明的一种基于Passive DNS迭代聚类的恶意域名检测方法的一个迭代聚类步骤示例图。
图4是本发明的一种基于Passive DNS迭代聚类的恶意域名检测方法的一个迭代聚类步骤示例图。
图5是本发明的一种基于Passive DNS迭代聚类的恶意域名检测方法的一个迭代聚类步骤示例图。
图6是本发明的一种基于Passive DNS迭代聚类的恶意域名检测方法的一个迭代聚类步骤示例图。
图7是本发明的一种基于Passive DNS迭代聚类的恶意域名检测方法的一个迭代聚类步骤示例图。
图8是迭代聚类形成的分组中,一组恶意域样本图。
具体实施方式
下面结合附图并参照数据进一步详细描述本发明。应理解,实施方式只是为了举例说明本发明,而非以任何方式限制发明的范围。
如图2所示,本发明公开了一种基于Passive DNS迭代聚类的恶意域名检测方法,包括如下步骤:
步骤一,即数据收集:提取DNS查询数据,得到DNS数据组;
以DNS服务器的网络出口为数据源,从DNS查询数据中提取出四元组(d,i,Tf,Tl,c),d为请求域名,i为响应IP,Tf为开始时间,Tl为结束时间,c为该域名在Tf到Tl时间段内的请求次数,时间窗口W=Tf-Tl,在一个实施例中时间窗口W=Tf-Tl为5分钟,并将提取出的数据存入本地数据库。
步骤二,即数据预处理:根据已知的白名单域名网站及域名的总访问量,去除DNS数据组中包含白名单域名的数据组,得到处理后DNS数据组;
获取public suffix列表和Alexa top 10000列表。将全部的域名数据根据每个域名包含的比public suffix低一级的子域名进行归并。与Alexa前10000域名归并在同一组的域名加入白名单。进一步的,计算每组域名的总访问量,超过阈值m的,则认为该组域名为大型网站或CDN服务商的域名,加入白名单。将白名单域名从数据中删除。优选的,阈值m取值10000。
获取public suffix列表和Alexa排名前10000的域名。将Alexa前10000域名和收集的DNS数据组分别根据public suffix层级的数量进行归并,如果public suffix包含了n级域名,则有相同的n+1级域名的全部域名归为一组;DNS数据组中,与Alexa前10000域名有相同n+1级域名的分组作为可信任的域名组从流量数据中删除,加入白名单数据库;计算每组域名访问总量c,如果c大于预设的阈值m,则认为该组域名为大型网站或CDN服务商的域名,将其从DNS数据组中删除,加入白名单数据库,在一个实施例中,阈值m取值10000。
步骤三,即迭代聚类:通过处理后DNS数据组中域名与IP之间的相互映射关系,反复迭代查询,得到存在关联的域名组;
通过域名到IP,IP到域名的相互映射关系,反复迭代查询,即可将有关联的域名聚合到一起,步骤如下:
(1):在输入的处理后DNS数据组中,取时间周期T内的数据。优选的,周期T取值为1天。选定一个域名D0,查找这个域名在时间周期T内映射到的全部IP,解析到这一组IP的全部域名形成一个集合Cn;
(2):查询周期T内集合Cn中的域名解析过的全部IP,解析到这一组IP的全部域名形成集合Cn’,完成一次迭代循环;
(3):如果集合Cn’不等于集合Cn,那么继续查询Cn’中的域名解析到的IP,找到周期T内曾解析到这一组IP的全部域名,形成集合Cn,如果集合Cn’不等于集合Cn则回到步骤(2),直到集合Cn’等于集合Cn。
如此迭代进行下去,直到集合大小不再变化,即集合Cn等于集合Cn’,集合Cn即为与域名D0有关联的全部域名。
图3-图7示出了一个实施例中迭代聚类的详细过程。其中,图3表示从域名D1开始迭代。图4为第一次迭代结果,集合Cn为(D1,D3,D4);图5为第二次迭代结果,集合Cn’为(D1,D2,D3,D4,D5),此时集合Cn’不等于集合Cn,所以继续迭代。图6为第三次迭代结果,集合Cn为(D1,D2,D3,D4,D5,D6),此时集合Cn’不等于集合Cn,继续进行第四次。如图7,此时集合Cn’为(D1,D2,D3,D4,D5,D6),集合Cn’等于集合Cn,结束迭代,域名D1,D2,D3,D4,D5,D6形成一个分组。
步骤四,即机器学习:抽取恶意域名的特征并训练得到模型,判断存在关联的域名组是否存在恶意域名。恶意域名的特征包括域名数量、域名各级标签长度的分布范围和离散程度、域名标签数量的离散程度、随机标签的分布状况、同一组域名中相同字符的长度以及域名中包含的数字数量。在一个实施例中通过支持向量机建立模型。
如图8所示,迭代聚类形成的分组中,恶意域名组表现出了明显的字符特征,我们进而总结了恶意域名组的特征:
1)域名组的域名数量:攻击者会注册大量域名来规避检测,所以域名组中的域名越多,该域名组越可疑。
2)域名各级标签长度的分布范围和离散程度:域名生成算法通常会产生一些在相同长度范围内的字符串,再添加公共的域名后缀(public suffix)。有的域名生成算法产生的域名长度甚至完全一致。由此可见,同一个恶意软件使用的域名总长应大致相同或者分布集中。因此我们将域名长度的分布范围和离散程度作为恶意域名组的一个特征。
3)域名标签数量的离散程度:常见的恶意域名域名的构成通常为“随机标签.后缀”或者“固定前缀.随机标签.后缀”,由于域名后缀长度较为一致,因此,同一组恶意域名的层次数量,或者说标签数量,应较为接近或完全相同。
4)随机标签的分布状况:由于同一组恶意域名后缀的层次数相对一致,因此,它们的随机标签所在的层次也大多保持一致,通常为二级或三级。与之相对的,其他应用的最长标签则可能并不位于注册域名标签,例如DNS隧道和域名,其注册域名之前的前缀部分,即存储数据的标签长度远大于注册标签即注册后缀。所以我们将域名组中随机标签的分布状况作为恶意域名组的一个特征。
5)同一组域名中相同字符的长度以及域名中数字的数量:我们发现,还有一类恶意域名会在相同的层次中出现重叠的部分,比如“固定的字符+不同的数字或字符”或“不同的数字或字符+固定的字符”,这些域名多用于非法的服务,包括色情网站、钓鱼网站等,此类域名通常还会包含大量的数字或重复的字符。将上述特征向量化,输入已知的恶意域名数据进行训练得到模型,即可对迭代聚类形成的分组数据进行预测。经实验测试,SVM算法可以达到最高的正检率。
以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术人员无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此,凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案,皆应在由权利要求书所确定的保护范围内。
Claims (10)
1.一种基于Passive DNS迭代聚类的恶意域名检测方法,其特征在于,包括如下步骤:
步骤一:提取DNS查询数据,得到DNS数据组;
步骤二:根据已知的白名单域名网站及域名的总访问量,去除DNS数据组中包含白名单域名的数据组,得到处理后DNS数据组;
步骤三:通过处理后DNS数据组中域名与IP之间的相互映射关系,反复迭代查询,得到存在关联的域名组;
步骤四:抽取恶意域名的特征并训练得到模型,判断存在关联的域名组是否存在恶意域名。
2.如权利要求1所述的一种基于Passive DNS迭代聚类的恶意域名检测方法,其特征在于,在所述步骤一中,所述DNS数据组包括四元组(d,i,Tf,Tl,c),d为请求域名,i为响应IP,Tf为开始时间,Tl为结束时间,c为该域名在Tf到Tl时间段内的请求次数,时间窗口W=Tf-Tl。
3.如权利要求2所述的一种基于Passive DNS迭代聚类的恶意域名检测方法,其特征在于,所述时间窗口W的取值为5分钟。
4.如权利要求1所述的一种基于Passive DNS迭代聚类的恶意域名检测方法,其特征在于,所述步骤二中,所述白名单域名网站包括Alexa前10000域名,将所述Alexa前10000域名和所述DNS数据组中的域名包含的比public suffix低一级的子域名进行归并分组,去除DNS数据组中包含与Alexa前10000域名有相同的低一级域名的数据组。
5.如权利要求1所述的一种基于Passive DNS迭代聚类的恶意域名检测方法,其特征在于,所述步骤二中,当所述域名的总访问量大于预设的阈值,则去除DNS数据组中包含相应域名的数据组。
6.如权利要求5所述的一种基于Passive DNS迭代聚类的恶意域名检测方法,其特征在于,所述阈值取值10000。
7.如权利要求2所述的一种基于Passive DNS迭代聚类的恶意域名检测方法,其特征在于,所述步骤三中反复迭代查询的具体步骤包括:在所述处理后DNS数据组中选定一个域名D0,查找所述域名D0在时间周期T内映射到的全部第一IP;解析所述第一IP的全部域名形成第一集合Cn,查询在所述时间周期T内第一集合Cn中的域名解析过的全部第二IP,解析到所述第二IP的全部域名形成第二集合Cn’,即完成一次迭代循环;当所述迭代循环中得到的第一集合Cn和第二集合Cn’不相等,则继续所述迭代循环;当所述迭代循环中得到的第一集合Cn和第二集合Cn’相等,则结束所述迭代循环。
8.如权利要求7所述的一种基于Passive DNS迭代聚类的恶意域名检测方法,其特征在于,所述时间周期T为一天。
9.如权利要求1所述的一种基于Passive DNS迭代聚类的恶意域名检测方法,其特征在于,所述恶意域名的特征包括域名数量、域名各级标签长度的分布范围和离散程度、域名标签数量的离散程度、随机标签的分布状况、同一组域名中相同字符的长度以及域名中包含的数字数量。
10.如权利要求1所述的一种基于Passive DNS迭代聚类的恶意域名检测方法,其特征在于,所述模型为支持向量机模型。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610497879.4A CN106060067B (zh) | 2016-06-29 | 2016-06-29 | 基于Passive DNS迭代聚类的恶意域名检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610497879.4A CN106060067B (zh) | 2016-06-29 | 2016-06-29 | 基于Passive DNS迭代聚类的恶意域名检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106060067A true CN106060067A (zh) | 2016-10-26 |
CN106060067B CN106060067B (zh) | 2018-12-25 |
Family
ID=57167416
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610497879.4A Expired - Fee Related CN106060067B (zh) | 2016-06-29 | 2016-06-29 | 基于Passive DNS迭代聚类的恶意域名检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106060067B (zh) |
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106375345A (zh) * | 2016-10-28 | 2017-02-01 | 中国科学院信息工程研究所 | 一种基于周期性检测的恶意软件域名检测方法及系统 |
CN107071084A (zh) * | 2017-04-01 | 2017-08-18 | 北京神州绿盟信息安全科技股份有限公司 | 一种dns的评价方法和装置 |
CN108282450A (zh) * | 2017-01-06 | 2018-07-13 | 阿里巴巴集团控股有限公司 | 异常域名的检测方法及装置 |
CN108737439A (zh) * | 2018-06-04 | 2018-11-02 | 上海交通大学 | 一种基于自反馈学习的大规模恶意域名检测系统及方法 |
CN109391602A (zh) * | 2017-08-11 | 2019-02-26 | 北京金睛云华科技有限公司 | 一种僵尸主机检测方法 |
CN109462612A (zh) * | 2018-12-27 | 2019-03-12 | 北京神州绿盟信息安全科技股份有限公司 | 一种僵尸网络中的攻击域名的确定方法及装置 |
CN109495475A (zh) * | 2018-11-19 | 2019-03-19 | 中国联合网络通信集团有限公司 | 域名检测方法及装置 |
CN109951426A (zh) * | 2017-12-21 | 2019-06-28 | 阿里巴巴集团控股有限公司 | 异常域名确定方法、异常流量处理方法、装置及系统 |
CN110198292A (zh) * | 2018-03-30 | 2019-09-03 | 腾讯科技(深圳)有限公司 | 域名识别方法和装置、存储介质及电子装置 |
CN110535821A (zh) * | 2019-05-17 | 2019-12-03 | 南京聚铭网络科技有限公司 | 一种基于dns多特征的失陷主机检测方法 |
CN111355697A (zh) * | 2018-12-24 | 2020-06-30 | 深信服科技股份有限公司 | 僵尸网络域名家族的检测方法、装置、设备及存储介质 |
WO2020135233A1 (zh) * | 2018-12-26 | 2020-07-02 | 中兴通讯股份有限公司 | 僵尸网络检测方法、系统及存储介质 |
CN112615861A (zh) * | 2020-12-17 | 2021-04-06 | 赛尔网络有限公司 | 恶意域名识别方法、装置、电子设备及存储介质 |
CN113381963A (zh) * | 2020-02-25 | 2021-09-10 | 深信服科技股份有限公司 | 一种域名检测方法、装置和存储介质 |
CN113556308A (zh) * | 2020-04-23 | 2021-10-26 | 深信服科技股份有限公司 | 一种流量安全性检测方法、系统、设备及计算机存储介质 |
CN113841369A (zh) * | 2019-04-30 | 2021-12-24 | 英弗布洛斯公司 | 用于dns安全性的智能白名单 |
CN114363025A (zh) * | 2021-12-27 | 2022-04-15 | 中国电信股份有限公司 | 域名检测方法、装置、设备及存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102685145A (zh) * | 2012-05-28 | 2012-09-19 | 西安交通大学 | 一种基于dns数据包的僵尸网络域名发现方法 |
CN103428200A (zh) * | 2012-05-24 | 2013-12-04 | 国际商业机器公司 | 经被动监视检测流氓域名服务提供者的存在的方法和系统 |
-
2016
- 2016-06-29 CN CN201610497879.4A patent/CN106060067B/zh not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103428200A (zh) * | 2012-05-24 | 2013-12-04 | 国际商业机器公司 | 经被动监视检测流氓域名服务提供者的存在的方法和系统 |
CN102685145A (zh) * | 2012-05-28 | 2012-09-19 | 西安交通大学 | 一种基于dns数据包的僵尸网络域名发现方法 |
Non-Patent Citations (2)
Title |
---|
RAMZI BASSIL等: "Security analysis solution for thwarting cache poisoning attacks in the Domain Name System", 《2012 19TH INTERNATIONAL CONFERENCE ON TELECOMMUNICATIONS(ICT)》 * |
章思宇: "基于DNS流量的恶意软件域名挖掘", 《中国优秀硕士学位论文全文数据库》 * |
Cited By (29)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106375345A (zh) * | 2016-10-28 | 2017-02-01 | 中国科学院信息工程研究所 | 一种基于周期性检测的恶意软件域名检测方法及系统 |
CN108282450A (zh) * | 2017-01-06 | 2018-07-13 | 阿里巴巴集团控股有限公司 | 异常域名的检测方法及装置 |
CN107071084A (zh) * | 2017-04-01 | 2017-08-18 | 北京神州绿盟信息安全科技股份有限公司 | 一种dns的评价方法和装置 |
US11431742B2 (en) | 2017-04-01 | 2022-08-30 | NSFOCUS Information Technology Co., Ltd. | DNS evaluation method and apparatus |
CN107071084B (zh) * | 2017-04-01 | 2019-07-26 | 北京神州绿盟信息安全科技股份有限公司 | 一种dns的评价方法和装置 |
CN109391602A (zh) * | 2017-08-11 | 2019-02-26 | 北京金睛云华科技有限公司 | 一种僵尸主机检测方法 |
CN109391602B (zh) * | 2017-08-11 | 2021-04-09 | 北京金睛云华科技有限公司 | 一种僵尸主机检测方法 |
CN109951426B (zh) * | 2017-12-21 | 2021-10-15 | 阿里巴巴集团控股有限公司 | 异常域名确定方法、异常流量处理方法、装置及系统 |
CN109951426A (zh) * | 2017-12-21 | 2019-06-28 | 阿里巴巴集团控股有限公司 | 异常域名确定方法、异常流量处理方法、装置及系统 |
CN110198292A (zh) * | 2018-03-30 | 2019-09-03 | 腾讯科技(深圳)有限公司 | 域名识别方法和装置、存储介质及电子装置 |
CN108737439B (zh) * | 2018-06-04 | 2021-02-09 | 上海交通大学 | 一种基于自反馈学习的大规模恶意域名检测系统及方法 |
CN108737439A (zh) * | 2018-06-04 | 2018-11-02 | 上海交通大学 | 一种基于自反馈学习的大规模恶意域名检测系统及方法 |
CN109495475A (zh) * | 2018-11-19 | 2019-03-19 | 中国联合网络通信集团有限公司 | 域名检测方法及装置 |
CN109495475B (zh) * | 2018-11-19 | 2022-03-18 | 中国联合网络通信集团有限公司 | 域名检测方法及装置 |
CN111355697A (zh) * | 2018-12-24 | 2020-06-30 | 深信服科技股份有限公司 | 僵尸网络域名家族的检测方法、装置、设备及存储介质 |
CN111355697B (zh) * | 2018-12-24 | 2022-02-25 | 深信服科技股份有限公司 | 僵尸网络域名家族的检测方法、装置、设备及存储介质 |
WO2020135233A1 (zh) * | 2018-12-26 | 2020-07-02 | 中兴通讯股份有限公司 | 僵尸网络检测方法、系统及存储介质 |
CN111371735A (zh) * | 2018-12-26 | 2020-07-03 | 中兴通讯股份有限公司 | 僵尸网络检测方法、系统及存储介质 |
CN111371735B (zh) * | 2018-12-26 | 2022-06-21 | 中兴通讯股份有限公司 | 僵尸网络检测方法、系统及存储介质 |
CN109462612A (zh) * | 2018-12-27 | 2019-03-12 | 北京神州绿盟信息安全科技股份有限公司 | 一种僵尸网络中的攻击域名的确定方法及装置 |
CN109462612B (zh) * | 2018-12-27 | 2021-06-11 | 绿盟科技集团股份有限公司 | 一种僵尸网络中的攻击域名的确定方法及装置 |
CN113841369A (zh) * | 2019-04-30 | 2021-12-24 | 英弗布洛斯公司 | 用于dns安全性的智能白名单 |
CN113841369B (zh) * | 2019-04-30 | 2023-10-27 | 英弗布洛斯公司 | 用于dns安全性的智能白名单 |
CN110535821A (zh) * | 2019-05-17 | 2019-12-03 | 南京聚铭网络科技有限公司 | 一种基于dns多特征的失陷主机检测方法 |
CN113381963A (zh) * | 2020-02-25 | 2021-09-10 | 深信服科技股份有限公司 | 一种域名检测方法、装置和存储介质 |
CN113381963B (zh) * | 2020-02-25 | 2024-01-02 | 深信服科技股份有限公司 | 一种域名检测方法、装置和存储介质 |
CN113556308A (zh) * | 2020-04-23 | 2021-10-26 | 深信服科技股份有限公司 | 一种流量安全性检测方法、系统、设备及计算机存储介质 |
CN112615861A (zh) * | 2020-12-17 | 2021-04-06 | 赛尔网络有限公司 | 恶意域名识别方法、装置、电子设备及存储介质 |
CN114363025A (zh) * | 2021-12-27 | 2022-04-15 | 中国电信股份有限公司 | 域名检测方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN106060067B (zh) | 2018-12-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106060067A (zh) | 基于Passive DNS迭代聚类的恶意域名检测方法 | |
Kintis et al. | Hiding in plain sight: A longitudinal study of combosquatting abuse | |
US10050986B2 (en) | Systems and methods for traffic classification | |
CN104982011B (zh) | 使用多尺度文本指纹的文档分类 | |
CN103685575B (zh) | 一种基于云架构的网站安全监控方法 | |
CN105827594B (zh) | 一种基于域名可读性及域名解析行为的可疑性检测方法 | |
CN105681250B (zh) | 一种僵尸网络分布式实时检测方法和系统 | |
US8925087B1 (en) | Apparatus and methods for in-the-cloud identification of spam and/or malware | |
US20180131708A1 (en) | Identifying Fraudulent and Malicious Websites, Domain and Sub-domain Names | |
CN106534164B (zh) | 基于网络空间用户标识的有效虚拟身份刻画方法 | |
CN102685145A (zh) | 一种基于dns数据包的僵尸网络域名发现方法 | |
Niu et al. | Identifying APT malware domain based on mobile DNS logging | |
CN113656807B (zh) | 一种漏洞管理方法、装置、设备及存储介质 | |
CN110177114A (zh) | 网络安全威胁指标识别方法、设备、装置以及计算机可读存储介质 | |
KR100960117B1 (ko) | 시그니처 패턴 매칭방법과 그 시스템 및 시그니처 패턴이기록된 기록매체 | |
CN102968591B (zh) | 基于行为片段共享的恶意软件特征聚类分析方法及系统 | |
US9992216B2 (en) | Identifying malicious executables by analyzing proxy logs | |
He et al. | Malicious domain detection via domain relationship and graph models | |
CN103440454B (zh) | 一种基于搜索引擎关键词的主动式蜜罐检测方法 | |
CN110313161A (zh) | 对数据库上的放大攻击的基于ipfix的检测 | |
CN106227741B (zh) | 一种基于多级哈希索引链表的大规模url匹配方法 | |
CN105530251A (zh) | 识别钓鱼网站的方法及装置 | |
CN106104554B (zh) | 监视装置、监视方法 | |
CN109194605B (zh) | 一种基于开源信息的可疑威胁指标主动验证方法和系统 | |
CN110392032A (zh) | 检测异常url的方法、装置及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20181225 |