CN106453412A - 一种基于频次特征的恶意域名判定方法 - Google Patents
一种基于频次特征的恶意域名判定方法 Download PDFInfo
- Publication number
- CN106453412A CN106453412A CN201611072150.9A CN201611072150A CN106453412A CN 106453412 A CN106453412 A CN 106453412A CN 201611072150 A CN201611072150 A CN 201611072150A CN 106453412 A CN106453412 A CN 106453412A
- Authority
- CN
- China
- Prior art keywords
- domain name
- risk class
- malice
- risk
- frequency characteristic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明在网络信息安全领域提供了一种基于频次特征的恶意域名判定方法。其特征在于提出融合多纬度频次特征评价体系,综合高频解析域名分析以及查询搜索引擎收录情况分析,进行评估恶意域名风险级别,从而检测网络攻击的方法。目前已有的依据单一条件判断域名为恶意域名,存在误报率较高,急需解决这种情况。该方法采用融合多纬度频次特征评价体系,作用是为不同的等级判定条件分配不同权重,根据各条件所占权重对域名进行总体评估,得到该域名为恶意域名的风险等级百分制分数,然后判定是否为恶意域名。
Description
技术领域
本发明属于网络信息安全领域,涉及一种恶意域名判定方法,具体涉及一种基于频次特征的恶意域名判定方法。
背景技术
近年来,网络攻击屡见不鲜,网络信息安全至关重要。网络攻击者通过多种方法进入目标主机,窃取用户信息。攻击者进入目标主机后,通常使用恶意域名回连控制端服务器。这个行为模式是攻击者给予防御者的一个最重要发现和检出机遇。我们可以基于恶意域名(恶意域名:包含C&C域名、僵尸网络域名,RAT域名等)频次特征检测,判定主机是否受到了攻击。
在目前已有的一些恶意域名检测网络攻击事件的技术之中,采用的方法是:校验网络流量中与网络域名对应的域名系统应答数据包的生存时间小于预先设置的时间阈值,则判定该网络域名为疑似僵尸网络域名;如果网络流量中与网络域名对应的域名系统应答数据包所应答的网络协议IP组中各个IP地址的差异度大于预设的差异度阈值,则判定该网络域名为疑似僵尸网络域名;接受用户终端的携带有第一统一资源定位符的安全性查询请求,在N条域名安全性记录中查询是否有匹配,若有匹配记录并且安全性记录指出这一域名为恶意域名,则判定该网络域名为恶意域名;或者将域名通过DNS解析为对应IP地址,基于IP地址与预先收集的恶意DNS 对应的IP地址进行匹配,若匹配则判定该网络域名为恶意域名。但这些基于恶意域名检测攻击事件的技术存在一定的局限性,所以本方案提出一种基于融合多纬度频次特征评价体系,来评估恶意域名的风险级别,从而判定恶意域名,进而检测网络攻击的方法。
发明内容
为了及时发现网络攻击事件,减少因为网络攻击所带来的损失,本发明的目的是提供一种基于融合多纬度频次特征评价体系评估恶意域名风险级别,从而检测网络攻击的方法。我们不仅仅依据单一条件判断域名为恶意域名,因为单一条件的误报率普遍较高,所以我们采用融合多纬度频次特征分析的方式,为不同等级判定条件分配不同权重,根据各条件所占权重,对该域名进行总体评估,得出一个该域名为恶意域名的风险等级百分制分数(0为正常域名,100为恶意域名,分数越高,检测域名为恶意域名的可能性越大),依据分数来判定恶意域名。
本发明所采用的技术方案是:基于融合多纬度频次特征评价体系评估恶意域名风险级别,从频次特征的角度来判定恶意域名。方案首先对域名服务器查询日志进行分析,从两个方面综合评估域名的风险等级。
第一阶段,统计各主机常用域名Top 10,根据统计学规律和各个主机上网的规律,周期性的统计各主机常用域名Top 10,一般情况下,Top 10的名单基本不会变,说明上网情况稳定,若Top 10 的排名发生了改变,则相应的增加风险分值。同时还采用了域名故障监测分析,当域名主机出现响应故障时,监控网段中大部分主机都会重新发送查询请求,若此时只有单一固定的几台主机定法发送该域名的查询请求,则该域名为恶意域名的可能性较大,因为正常域名在日常情况中是被广泛访问的,若其出现故障,重新访问该域名的用户占比会高于平均值,但若是攻击端的恶意域名其只与监控网络中的一台或几台被控主机有通讯需求,故其产生的重新请求查询量是相对较少的,或具有来源单一性,从而判断可能遭受攻击。
第二阶段,查询搜索引擎收录情况。搜索引擎通常对当前活动的域名有收录功能,而对于那些零收录的域名,我们认为其为恶意域名的可能想较大,应增加相应的风险分值。另外,我们同时也可以将Google PR、搜狗PR的评分列为参考对象,认为那些评分较低,特别是0分域名,应增加其风险分值。在这一基础上,我们还增加了互联网档案查询:archiv.org。对于已下线网站,目前搜索引擎已经不再收录,但archive.org还能检索到历史snapshot。我们可以根据对其活动时间,活动行为,历史snapshot的分析判定其是否有恶意域名的嫌疑,比如一个域名活动一段时间,销声匿迹之后,又发生了活动,那么我们认为它是可疑的,根据频次特征计入相应风险分值。
综合两个阶段的分析结果,运用合适的加权算法计算出域名的总体风险等级分数,判定一个域名的风险等级,而当我们发现内网主机与我们认为风险等级较高的域名发生通信的时候,就能判定该主机有很大的可能已经遭受了攻击,以便及早判断攻击的发生,才能采取相应的防御措施,减少攻击造成的损失和后果。
本发明基于频次特征的恶意域名判定方法的技术特点:
1.方案采用融合多纬度频次特征评价体系评估恶意域名风险级别,减少依据单一条件判断所发生的误报率。多种判断源设定不同的风险等级来实现对恶意域名的判断,这样可以减少偶然性和误报情况,同时也增强域名风险等级评估系统的自适应性,可根据不同环境要求,动态更改恶意域名判断源,从而达到定制化域名风险等级评估。
2.恶意域名判定不依赖黑白名单。本方案中恶意域名的判定不依赖于黑白名单,黑白名单的机制被广泛的应用,一部分原因是因为它的“简单粗暴” ,通过明确的允许和不允许限制用户的访问实现的“安全性”效果往往伴随着大量误报和漏报状况,不同用户环境、业务需求场景下适应性极差。但本方案中不是基于已有黑白名单限制访问,而是通过系统评估动态生成域名风险等级数据库,既可以提醒用户访问域名的风险等级,也可以依据具体用户情况设定响应联动策略阻止对高风险域名的访问。
3.本方案可发现未知恶意域名。本方案的设计使得未知域名通过域名风险等级评估系统综合评估后,可以得到一个风险等级的百分制分数,该分数的大小标志着该未知域名的风险等级情况,通过数据知识设定的风险评级标准可以发现新恶意域名,应对新型的网络攻击。
附图说明
图1是本发明基于频次特征的恶意域名判定方法中域名风险等级评估架构图;
图2是本发明判定方法中基于风险等级评估的恶意域名检测流程图;
图3是本发明判定方法中基于频次特征的风险分析流程图。
具体实施方式
下面结合附图和具体实施方式对本发明进行详细说明。
本发明恶意域名判定方法的域名风险等级评估系统中,我们分别从两个方面进行综合评估域名的风险等级,其结构如图1所示。
第一阶段,高频解析和域名分析。划分时间段,周期性的统计各主机常用域名Top10,根据统计学规律和各个主机上网的规律,周期性的统计各主机常用域名Top 10,一般情况下,Top 10的名单基本不会改变,说明上网情况稳定,若Top 10 的名单发生了较大的改变,则认为该时间段内主机的“行为”较平时出现了异常,很有可能是遭受了攻击,主机频繁的与控制端通信引发的,计入相应风险分值。
这一阶段还采用了域名故障监测分析,当域名主机出现响应故障时,监控网段中大部分主机都会重新发送查询请求,若此时只有单一固定的几台主机定法发送该域名的查询请求,则该域名为恶意域名的可能性较大,因为正常域名在日常情况中是被广泛访问的,若其出现故障,重新访问该域名的用户占比会高于平均值,但若是攻击端的恶意域名其只与监控网络中的一台或几台被控主机有通讯需求,故其产生的重新请求查询量是相对较少的,或具有来源单一性,从而判断可能遭受攻击,计入风险分值。
第二阶段,查询搜索引擎收录情况分析。搜索引擎通常对当前活动的域名有收录功能,也就是说所有当前活动的页面都是可以被搜索引擎爬取到的,而对于那些零收录的域名,也就是不能被搜索引擎爬取到的域名,我们认为其为恶意域名的可能性较大,应增加相应的风险分值。另外,我们同时也可以将Google PR、搜狗PR的评分列为参考对象,PR为PageRank也就是网页级别,其评分级别为从0到10,10级为满分。PR值越高说明该网页越受欢迎(越重要)。例如:一个PR值为1的网站表明这个网站不太具有流行度,而PR值为7到10则表明这个网站非常受欢迎(或者说极其重要)。一般PR值达到4,就算是一个不错的网站了。若一个域名越受欢迎,那么其为恶意域名的可能性就越低,所以,我们可以关注那些评分较低,特别是0分域名,计入相应风险分值。
在这一基础上,我们还增加了互联网档案查询:archiv.org。对于已下线网站,目前搜索引擎已经不再收录,但archive.org还能检索到历史snapshot。我们可以根据对其活动时间,活动行为,历史snapshot的分析判定其是否有恶意域名的嫌疑,比如一个域名活动一段时间,销声匿迹之后,又发生了活动,那么我们认为它是可疑的,根据频次特征计入相应风险分值。
综合两个阶段的分析结果,运用合适的加权算法计算出域名的总体风险等级分数。根据风险等级分数设置域名风险等级:域名风险等级分数在(80,100]范围内认为是高风险域名;域名风险等级分数在(40,80]范围内认为是可疑风险域名;域名风险等级分数在(0,40]范围内认为是低风险域名;如经过域名风险等级评估系统的两个阶段评估,得出域名的风险等级分数为89,则我们认为其是一个高风险域名,若我们发现监控网络中的主机频繁查询可疑风险域名,则我们需要加强警惕;若监控网络中的主机频繁查询高风险域名,则认为其遭受了攻击。
本方案基于融合多纬度频次特征评价体系评估恶意域名风险级别,主要由数据读取模块,查询解析模块,域名风险等级数据库和域名风险等级评估模块组成。方案的主要流程如图2所示,数据读取模块的主要功能是获取网络流量中的通信数据,通过DNS服务器的查询日志或Sinffer抓取到的数据流量等方式读取我们要监控的数据。然后将这些数据放入查询解析模块进行数据查询解析,提取出域名查询结构,作为查询的基础数据结构。接下来在域名风险等级数据库中查找我们欲鉴别的域名是否已经存在,若存在,则只需要取出其相应的风险等级分数呈现即可,若不存在则进入域名风险等级评估模块对域名进行评估,评估后将评估结果呈现,同时装入域名风险等级数据库完毕。初始域名风险等级数据库时,我们遵循已发生的攻击事件的恶意域名风险等级为100;与各知名网站的域名相似性较高的域名,如mail.l63.com(数字163的1改为小写英文字母l),风险等级为80,完成数据库的初始化。然后通过域名风险等级评估系统的评估填充域名风险等级数据库。
本发明的基于频次特征的风险分析来自于,设置查询域名在单位时间间隔内,观察它的请求是否存在周期性规律,其流程图如图3所示。由对已发生的网络攻击事件的研究发现,高级持续性威胁网络攻击为保持连接,通常会定时发送心跳包,保证存活,这是正常应用程序没有的机制,所以我们可以设置一个查询时间段,在每个时间段内记录域名查询次数,正常应用程序或网页浏览的域名查询应该是随机的无规律,若出现周期性的有规律的域名查询则说明可能存在异常,也就有可能存在恶意域名。
本发明基于频次特征的恶意域名判定方法中,融合多纬度频次特征评价体系评估恶意域名风险级别方案的域名风险等级评估从两个方面实现对恶意域名风险等级的评估,针对不同网络的实际情况也可有所改动,两个方面所占危险权重也可依据实际情况设定。我们可以给两个大阶段,四个具体环节设置权值例如一阶段一环节权重3,一阶段二环节权重2,二阶段一环节权重3,二阶段二环节权重2,在计算权重比例分别为:阶段权重/阶段权重总和,这样在去掉或新增判定条件时也可以适应,增强了判定方法的健全性。 本发明的方案中域名风险等级评估模块从两大方面、四个环节来实现对恶意域名风险等级的评估,针对不同网络的实际情况也可有所改动,四个环节所占危险权重也可依据实际情况设定。
当然,同一个领域的专业技术人员能够对该发明进行各种修改或变型,从根本上却不脱离该发明的思路和体系范围。因此,如果对该发明所进行修改或变型属于发明的权利要求范围内,那本次发明所要保护的也意图包含这些修改或变型。
Claims (4)
1.一种基于频次特征的恶意域名判定方法,其特征在于,提出一种融合多纬度频次特征评价体系评估恶意域名风险级别;其中:高频解析域名分析,用于分析域名频次特征;对多种判断源设定不同的风险等级来实现对恶意域名的判定,用于降低偶然性和误报情况;多纬度频次特征的评价体系增强域名风险等级评估系统的自适应性,可根据不同环境要求,动态更改恶意域名判断源,用于定制化域名风险等级评估;由评价体系对域名风险等级数据库设定分值,涉及到的有两大方面,四个环节,这四个环节依据不同情况权重设定分值。
2.根据权利要求1中所述的基于频次特征的恶意域名判定方法,其特征是,恶意域名判定不依赖黑白名单;判定通过系统评估动态生成的域名风险等级数据库,用于提醒访问域名的风险等级;也可依据不同情况设定响应联动策略,阻止计算机对高风险域名的访问。
3.根据权利要求1中所述的方法,其特征在于,恶意域名的判定包括:定义最后得分为100分的结果表示为确认是恶意域名(实际情况不一定能达到 );最后得分为0分的结果表示安全,不是恶意域名;分值根据域名风险等级评估得出。
4.根据权利要求1或3中所述的方法,其特征在于,可发现未知恶意域名;基于频次特征的特性,使得未知域名通过域名风险等级评估系统综合评估后,可以得到一个风险等级的百分制分数,该分数的大小标志着该未知域名的风险等级情况,通过数据知识设定的风险评级标准可以发现新的恶意域名,用于应对新型的网络攻击。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611072150.9A CN106453412A (zh) | 2016-12-01 | 2016-12-01 | 一种基于频次特征的恶意域名判定方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611072150.9A CN106453412A (zh) | 2016-12-01 | 2016-12-01 | 一种基于频次特征的恶意域名判定方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106453412A true CN106453412A (zh) | 2017-02-22 |
Family
ID=58219479
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611072150.9A Pending CN106453412A (zh) | 2016-12-01 | 2016-12-01 | 一种基于频次特征的恶意域名判定方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106453412A (zh) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107786542A (zh) * | 2017-09-26 | 2018-03-09 | 杭州安恒信息技术有限公司 | 基于大数据智能分析恶意ip的评分方法及装置 |
CN108134776A (zh) * | 2017-11-28 | 2018-06-08 | 厦门白山耘科技有限公司 | 一种定位被ddos攻击的域名的方法和系统 |
WO2019136953A1 (zh) * | 2018-01-15 | 2019-07-18 | 深圳市联软科技股份有限公司 | 基于c&c域名分析的僵尸网络检测方法、装置、设备及介质 |
CN110213255A (zh) * | 2019-05-27 | 2019-09-06 | 北京奇艺世纪科技有限公司 | 一种对主机进行木马检测的方法、装置及电子设备 |
CN111683087A (zh) * | 2020-06-07 | 2020-09-18 | 中信银行股份有限公司 | 访问控制方法、装置、电子设备及计算机可读存储介质 |
CN111866003A (zh) * | 2020-07-27 | 2020-10-30 | 中国联合网络通信集团有限公司 | 一种终端的风险评估方法和装置 |
CN112367340A (zh) * | 2020-11-30 | 2021-02-12 | 杭州安恒信息技术股份有限公司 | 一种内网资产风险评估方法、装置、设备及介质 |
CN113630629A (zh) * | 2021-08-05 | 2021-11-09 | 哈尔滨工业大学(威海) | 在线视频内嵌恶意域名获取及危害性评估的方法 |
CN113746953A (zh) * | 2021-09-18 | 2021-12-03 | 恒安嘉新(北京)科技股份公司 | 域名服务器dns处理方法、装置、设备及存储介质 |
CN113839962A (zh) * | 2021-11-25 | 2021-12-24 | 阿里云计算有限公司 | 用户属性确定方法、设备、存储介质及程序产品 |
US11374897B2 (en) | 2018-01-15 | 2022-06-28 | Shenzhen Leagsoft Technology Co., Ltd. | CandC domain name analysis-based botnet detection method, device, apparatus and medium |
CN116760645A (zh) * | 2023-08-22 | 2023-09-15 | 北京长亭科技有限公司 | 一种恶意域名检测方法以及装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140012670A1 (en) * | 2012-07-05 | 2014-01-09 | Adrenalads Llc | System and method for acquiring domain visitors on a parking service and redirecting to optimal advertisers |
CN104601556A (zh) * | 2014-12-30 | 2015-05-06 | 中国科学院信息工程研究所 | 一种面向web的攻击检测方法及系统 |
CN105072119A (zh) * | 2015-08-14 | 2015-11-18 | 中国传媒大学 | 基于域名解析会话模式分析的恶意域名检测方法及装置 |
CN105072120A (zh) * | 2015-08-14 | 2015-11-18 | 中国传媒大学 | 基于域名服务状态分析的恶意域名检测方法及装置 |
CN105141598A (zh) * | 2015-08-14 | 2015-12-09 | 中国传媒大学 | 基于恶意域名检测的apt攻击检测方法及装置 |
-
2016
- 2016-12-01 CN CN201611072150.9A patent/CN106453412A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140012670A1 (en) * | 2012-07-05 | 2014-01-09 | Adrenalads Llc | System and method for acquiring domain visitors on a parking service and redirecting to optimal advertisers |
CN104601556A (zh) * | 2014-12-30 | 2015-05-06 | 中国科学院信息工程研究所 | 一种面向web的攻击检测方法及系统 |
CN105072119A (zh) * | 2015-08-14 | 2015-11-18 | 中国传媒大学 | 基于域名解析会话模式分析的恶意域名检测方法及装置 |
CN105072120A (zh) * | 2015-08-14 | 2015-11-18 | 中国传媒大学 | 基于域名服务状态分析的恶意域名检测方法及装置 |
CN105141598A (zh) * | 2015-08-14 | 2015-12-09 | 中国传媒大学 | 基于恶意域名检测的apt攻击检测方法及装置 |
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107786542A (zh) * | 2017-09-26 | 2018-03-09 | 杭州安恒信息技术有限公司 | 基于大数据智能分析恶意ip的评分方法及装置 |
CN108134776A (zh) * | 2017-11-28 | 2018-06-08 | 厦门白山耘科技有限公司 | 一种定位被ddos攻击的域名的方法和系统 |
WO2019136953A1 (zh) * | 2018-01-15 | 2019-07-18 | 深圳市联软科技股份有限公司 | 基于c&c域名分析的僵尸网络检测方法、装置、设备及介质 |
US11374897B2 (en) | 2018-01-15 | 2022-06-28 | Shenzhen Leagsoft Technology Co., Ltd. | CandC domain name analysis-based botnet detection method, device, apparatus and medium |
CN110213255B (zh) * | 2019-05-27 | 2022-03-04 | 北京奇艺世纪科技有限公司 | 一种对主机进行木马检测的方法、装置及电子设备 |
CN110213255A (zh) * | 2019-05-27 | 2019-09-06 | 北京奇艺世纪科技有限公司 | 一种对主机进行木马检测的方法、装置及电子设备 |
CN111683087A (zh) * | 2020-06-07 | 2020-09-18 | 中信银行股份有限公司 | 访问控制方法、装置、电子设备及计算机可读存储介质 |
CN111866003B (zh) * | 2020-07-27 | 2022-04-08 | 中国联合网络通信集团有限公司 | 一种终端的风险评估方法和装置 |
CN111866003A (zh) * | 2020-07-27 | 2020-10-30 | 中国联合网络通信集团有限公司 | 一种终端的风险评估方法和装置 |
CN112367340A (zh) * | 2020-11-30 | 2021-02-12 | 杭州安恒信息技术股份有限公司 | 一种内网资产风险评估方法、装置、设备及介质 |
CN112367340B (zh) * | 2020-11-30 | 2022-07-05 | 杭州安恒信息技术股份有限公司 | 一种内网资产风险评估方法、装置、设备及介质 |
CN113630629A (zh) * | 2021-08-05 | 2021-11-09 | 哈尔滨工业大学(威海) | 在线视频内嵌恶意域名获取及危害性评估的方法 |
CN113630629B (zh) * | 2021-08-05 | 2023-05-02 | 哈尔滨工业大学(威海) | 在线视频内嵌恶意域名获取及危害性评估的方法 |
CN113746953A (zh) * | 2021-09-18 | 2021-12-03 | 恒安嘉新(北京)科技股份公司 | 域名服务器dns处理方法、装置、设备及存储介质 |
CN113746953B (zh) * | 2021-09-18 | 2024-03-22 | 恒安嘉新(北京)科技股份公司 | 域名服务器dns处理方法、装置、设备及存储介质 |
CN113839962A (zh) * | 2021-11-25 | 2021-12-24 | 阿里云计算有限公司 | 用户属性确定方法、设备、存储介质及程序产品 |
CN116760645A (zh) * | 2023-08-22 | 2023-09-15 | 北京长亭科技有限公司 | 一种恶意域名检测方法以及装置 |
CN116760645B (zh) * | 2023-08-22 | 2023-11-14 | 北京长亭科技有限公司 | 一种恶意域名检测方法以及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106453412A (zh) | 一种基于频次特征的恶意域名判定方法 | |
CN105141598B (zh) | 基于恶意域名检测的apt攻击检测方法及装置 | |
US20170366559A1 (en) | Automatic stability determination and deployment of discrete parts of a profile representing normal behavior to provide fast protection of web applications | |
CN105072119A (zh) | 基于域名解析会话模式分析的恶意域名检测方法及装置 | |
CN105072120A (zh) | 基于域名服务状态分析的恶意域名检测方法及装置 | |
CN105119915A (zh) | 基于情报分析的恶意域名检测方法及装置 | |
Perdisci et al. | Early detection of malicious flux networks via large-scale passive DNS traffic analysis | |
US10778702B1 (en) | Predictive modeling of domain names using web-linking characteristics | |
CN103685174B (zh) | 一种不依赖样本的钓鱼网站检测方法 | |
US20140047543A1 (en) | Apparatus and method for detecting http botnet based on densities of web transactions | |
Leontiadis et al. | A nearly four-year longitudinal study of search-engine poisoning | |
US8244752B2 (en) | Classifying search query traffic | |
CN107332848A (zh) | 一种基于大数据的网络流量异常实时监测系统 | |
Cova et al. | An analysis of rogue AV campaigns | |
Niakanlahiji et al. | Phishmon: A machine learning framework for detecting phishing webpages | |
CN109960729A (zh) | Http恶意流量的检测方法及系统 | |
CN107241352A (zh) | 一种网络安全事件分类与预测方法及系统 | |
CN106354800A (zh) | 一种基于多维度特征的不良网站检测方法 | |
CN105491055B (zh) | 一种基于移动代理的网络主机异常事件检测方法 | |
CN103297433A (zh) | 基于网络数据流的http僵尸网络检测方法及系统 | |
CN107172022A (zh) | 基于入侵途径的apt威胁检测方法和系统 | |
CN109040130A (zh) | 基于属性关系图的主机网络行为模式度量方法 | |
Husák et al. | Predictive cyber situational awareness and personalized blacklisting: a sequential rule mining approach | |
CN108023868A (zh) | 恶意资源地址检测方法和装置 | |
CN102882880A (zh) | 针对DNS服务的DDoS攻击的检测方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20170222 |