CN106657001B - 一种基于Netflow及DNS日志的僵尸网络检测方法 - Google Patents
一种基于Netflow及DNS日志的僵尸网络检测方法 Download PDFInfo
- Publication number
- CN106657001B CN106657001B CN201610993499.XA CN201610993499A CN106657001B CN 106657001 B CN106657001 B CN 106657001B CN 201610993499 A CN201610993499 A CN 201610993499A CN 106657001 B CN106657001 B CN 106657001B
- Authority
- CN
- China
- Prior art keywords
- domain name
- ffsn
- attack
- dns
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于Netflow和DNS日志的僵尸网络检测方法,包括:通过异常流量监测技术对采集到的Netflow数据进行五元组关联分析,分析出运营商网络的被感染主机的IP地址、被感染主机的IP地址所发起的攻击目标的IP地址以及攻击特征;在DNS服务器上,采集DNS查询请求日志,对多个被感染主机的IP地址在攻击运营商网络期间所发起的域名请求情况进行关联分析,查找到共性域名访问记录并排除正常的共性域名,得到FFSN动态恶意域名。本发明可快速定位FFSN动态恶意域名,极大的提高了FFSN动态恶意域名的定位精度与实效性,降低了误判率。
Description
技术领域
本发明涉及网络安全领域,具体涉及一种基于Netflow和DNS日志的僵尸网络检测方法。
背景技术
Fast-Flux用于为一个合法域名(例如flux.example.com)分配多个(几百个甚至几千个)IP地址,这些IP地址的更换频率非常快,通过一个轮转的IP地址资源库及对特定的DNS域名资源设置具有短生命周期的解析映射实现。网站域名可以以每三分钟的间隔指定新的IP地址,当浏览器连接这些相同的网站时,可能实际上连接到的是不同的被感染主机。
随着FFSN僵尸网络不断进化以及针对DNS流量攻击的隐蔽性增强和攻击形式的层出不穷,现有的Netflow流量分析方案仅能够检测出基于FFSN网络发起的DDos(Distributed Denial of Service,分布式拒绝服务)攻击的源IP地址、目标IP地址及攻击特征,但无法发现控制FFSN网络的控制域名,现有的基于DNS日志分析方案通过DGA算法查找异常域名,但此种方法误判率较高,无法精准定位FFSN动态恶意域名。
有鉴于此,急需提高现有僵尸网络检测方法定位FFSN动态恶意域名的定位精度,降低误判率。
发明内容
本发明所要解决的技术问题是提高现有僵尸网络检测方法定位FFSN动态恶意域名的定位精度,降低误判率。
为了解决上述技术问题,本发明所采用的技术方案是提供一种基于Netflow和DNS日志的僵尸网络检测方法,包括以下步骤:
通过异常流量监测技术对采集到的Netflow数据进行五元组关联分析,快速分析出运营商网络的被感染主机的IP地址、被感染主机的IP地址所发起的攻击目标的IP地址以及攻击特征;
在DNS服务器上,采集DNS查询请求日志,对多个被感染主机的IP地址在攻击运营商网络期间所发起的域名请求情况进行关联分析,查找到共性域名访问记录并排除正常的共性域名,得到FFSN动态恶意域名。
在上述技术方案中,通过对DNS多级域名进行限速与防护实现对所述FFSN动态恶意域名的限速或封堵。
在上述技术方案中,用户再次访问所述FFSN动态恶意域名时,对域名解析的结果进行重定向,将用户的HTTP访问流量重定向至Portal提示页面。
在上述技术方案中,通过设置域名白名单,对查找到的所述共性域名访问记录进行白名单过滤,排除正常的共性域名。
在上述技术方案中,通过分光采集方式或镜像采集方式采集所述DNS查询请求日志。
在上述技术方案中,利用FP-growth算法对多个被感染主机的IP地址在攻击运营商网络期间所发起的域名请求情况进行关联分析。
在上述技术方案中,包括通过对所述DNS查询请求日志的请求域名字段进行切分,提取获得多个被感染用户的IP地址在发起攻击期间所访问的域名集合以及基于DNS查询请求的时间序列分析出多个被感染用户的IP地址的域名访问路径,从而查找到僵尸网络。
在上述技术方案中,基于Hadoop集群实时处理数据。
在上述技术方案中,所述攻击特征包括攻击协议、源端口、目的端口和数据包大小。
本发明通过异常流量监测技术对采集到的Netflow数据进行五元组关联分析,快速分析出运营商网络的被感染主机的IP地址、被感染主机的IP地址所发起的攻击目标的IP地址以及攻击特征,对被感染主机的IP地址在攻击运营商网络期间所发起的域名请求情况进行关联分析,可快速定位FFSN动态恶意域名,极大的提高了FFSN动态恶意域名的定位精度与实效性,降低了误判率。
附图说明
图1为本发明的一种基于Netflow和DNS日志的僵尸网络检测方法流程图;
图2为本发明的通过设置域名白名单对共性域名访问记录进行白名单过滤的示意图。
具体实施方式
现有的僵尸网络检测方法通常采用某一维度的检测技术,对FFSN动态恶意域名的识别准确率较低,定位效果不佳,而本发明针对Botnet及Fast-Flux等FFSN网络所产生的大量DDoS攻击,提供了一种基于Netflow和DNS日志的僵尸网络检测方法,采用多维度(包括源IP地址、源端口、目的IP地址、目的端口和协议类型)的融合检测技术,可自动检测FFSN动态恶意域名,极大的提高了FFSN动态恶意域名的定位精度与实效性,并且从源头抑制了FFSN网络的蔓延,减少了运营商及用户的基础网络设施的带宽拥塞、拒绝服务时长与发生几率,保障了互联网基础网络设施安全,避免受到大规模DDoS攻击,同时,减少了因FFSN网络受到DDoS攻击所造成的损失,提升运营商及客户网络服务感知。
下面结合说明书附图和具体实施方式对本发明做出详细的说明。
本发明实施例提供了一种基于Netflow和DNS日志的僵尸网络检测方法,如图1所示,包括以下步骤:
S1、对异常攻击流量进行自动化监测:通过异常流量监测技术采集路由器输出的Netflow数据,并对采集到的Netflow数据进行五元组(源IP地址、源端口、目的IP地址、目的端口和传输层协议)关联分析,快速分析出运营商网络的被感染主机的IP地址、被感染主机的IP地址所发起的攻击目标的IP地址以及攻击特征(攻击协议、端口和数据包大小等)等相关信息。
S2、在DNS服务器上,采集DNS查询请求日志,对多个被感染主机的IP地址进行关联分析,通过分析多个被感染主机的IP地址在攻击运营商网络期间所发起的域名请求情况,查找到共性域名访问记录,排除正常的共性域名即可得到FFSN动态恶意域名。
基于步骤S1中分析运营商网络得到的相关信息,在DNS服务器上,通过分光采集方式或镜像采集方式采集DNS查询请求日志,镜像采集方式具体为:在DNS服务器的上联交换机通过端口镜像方式将DNS请求及应答包进行抓包,采集DNS日志信息,DNS日志信息包括时间戳、用户访问源IP、用户请求域名、域名解析IP和域名解析类型等几个字段,以供后续分析及关联使用。
对多个被感染主机的IP地址进行关联分析包括获取多个被感染用户的IP地址在发起攻击期间所访问的域名集合和对多个被感染用户的IP地址的域名访问路径进行查询,其中,获取多个被感染用户的IP地址在发起攻击期间所访问的域名集合具体为:在被感染主机的IP地址向运营商网络发起攻击期间,通常被感染主机的IP地址会在攻击开始前5分钟通过Fast Flux域名向主控端查询获取攻击目标IP地址及攻击特征以发起异常攻击行为,再通过对DNS查询请求日志的请求域名字段进行切分,提取获得被感染用户的IP地址在发起攻击期间所访问的域名集合,例如www.qq.com\www.baidu.com\www.sina.com\flux.example.com等等。对DNS查询请求日志进行日志切分,例如,DNS查询请求日志切分后格式如下20161013105323|202.105.82.**|www.qq.com|14.123.12.11,14.123.12.12|0,各字段分别代表时间戳|源IP|请求域名|域名解析IP|解析类型。
对多个被感染用户的IP地址的域名访问路径进行查询具体为:基于DNS查询请求的时间序列可以分析出多个被感染用户的IP地址的域名访问路径,例如在时间戳20161013121201发起域名www.evilexample.com的访问请求,在时间戳20161013121203发起域名flux.example.com的访问请求,时间戳20161013121208发起域名www.baidu.com的访问请求,通过对域名访问路径进行分析可查找到僵尸域名网络,从而控制域名的传播途径及传播源。
对监测异常攻击流量过程中发现的被感染主机的IP地址进行关联分析时,如图2所示,为了排除干扰,例如部分正常用户的DNS查询请求行为可能包含www.qq.com,www.baidu.com等域名,通过设置域名白名单对共性域名访问记录进行白名单过滤,排除正常的共性域名,过滤得到的其它共性域名即为FFSN动态恶意域名,进而实现快速精准地定位FFSN动态恶意域名。
本发明利用FP-growth算法对多个被感染主机的IP地址进行关联分析,FP-growth算法基于Apriori算法构建,Apriori算法对于每个潜在的频繁项集都会扫描数据集,以判定给定模式是否频繁,而本发明中的FP-growth算法采用了高级的数据结构,以减少扫描数据集的次数,只需要对数据库进行两次扫描,大大加快了算法速度。采用FP-growth算法针对一些僵尸网络的被感染主机的IP地址进行关联分析,找到高频访问特征,并通过白名单过滤方式剔除干扰因素,最终能够快速精准地定位FFSN动态恶意域名。
上述方法中,基于Hadoop集群实时处理海量数据(可处理100GB级的数据)。
更进一步地,通过对DNS多级域名进行限速与防护实现对FFSN动态恶意域名的限速或封堵,从源头上抑制FFSN网络,减少用户及运营商网络受到DDoS攻击的风险。
更进一步地,用户再次访问FFSN动态恶意域名时,对域名解析的结果进行重定向,将用户的HTTP访问流量重定向至Portal提示页面,告知用户已感染相关蠕虫或木马病毒,并请尽快采取相关安全措施,清除相关恶意程序。
绝大部分主流设备厂商都支持Netflow数据,Netflow数据可以统计的维度包括源IP地址、源端口、目的IP地址、目的端口和协议类型,通过对网络流量进行抽样分析统计,可以快速发现如僵尸、木马或蠕虫等网络攻击行为,结合Netflow计费统计得出在某一网络攻击事件中,FFSN网络的被感染主机的分布情况、被感染主机的IP地址和攻击特征,通过在网络受到攻击时对被感染主机的IP地址进行关联分析,得到在网络受到攻击期间被感染主机的IP地址所发起的DNS查询请求的历史记录,查找到共性域名访问记录,并结合域名白名单对共性域名中的常用域名进行过滤,得到的其它共性域名即为FFSN动态恶意域名,进而实现快速精准地定位FFSN动态恶意域名。
本发明不局限于上述最佳实施方式,任何人在本发明的启示下作出的结构变化,凡是与本发明具有相同或相近的技术方案,均落入本发明的保护范围之内。
Claims (8)
1.一种基于Netflow和DNS日志的僵尸网络检测方法,其特征在于,包括以下步骤:
通过异常流量监测技术对采集到的Netflow数据进行五元组关联分析,快速分析出运营商网络的被感染主机的IP地址、被感染主机的IP地址所发起的攻击目标的IP地址以及攻击特征;
在DNS服务器上,采集DNS查询请求日志,对多个被感染主机的IP地址在攻击运营商网络期间所发起的域名请求情况进行关联分析,查找到共性域名访问记录并排除正常的共性域名,得到FFSN动态恶意域名;
其中,通过对所述DNS查询请求日志的请求域名字段进行切分,各字段分别代表:时间戳|源IP|请求域名|域名解析IP|解析类型,提取获得多个被感染用户的IP地址在发起攻击期间所访问的域名集合以及基于DNS查询请求的时间序列分析出多个被感染用户的IP地址的域名访问路径,从而查找到僵尸网络。
2.如权利要求1所述的方法,其特征在于,通过对DNS多级域名进行限速与防护实现对所述FFSN动态恶意域名的限速或封堵。
3.如权利要求1所述的方法,其特征在于,用户再次访问所述FFSN动态恶意域名时,对域名解析的结果进行重定向,将用户的HTTP访问流量重定向至Portal提示页面。
4.如权利要求1所述的方法,其特征在于,通过设置域名白名单,对查找到的所述共性域名访问记录进行白名单过滤,排除正常的共性域名。
5.如权利要求1所述的方法,其特征在于,通过分光采集方式或镜像采集方式采集所述DNS查询请求日志。
6.如权利要求1所述的方法,其特征在于,利用FP-growth算法对多个被感染主机的IP地址在攻击运营商网络期间所发起的域名请求情况进行关联分析。
7.如权利要求1所述的方法,其特征在于,基于Hadoop集群实时处理数据。
8.如权利要求1所述的方法,其特征在于,所述攻击特征包括攻击协议、端口和数据包大小。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610993499.XA CN106657001B (zh) | 2016-11-10 | 2016-11-10 | 一种基于Netflow及DNS日志的僵尸网络检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610993499.XA CN106657001B (zh) | 2016-11-10 | 2016-11-10 | 一种基于Netflow及DNS日志的僵尸网络检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106657001A CN106657001A (zh) | 2017-05-10 |
| CN106657001B true CN106657001B (zh) | 2019-12-13 |
Family
ID=58806153
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610993499.XA Active CN106657001B (zh) | 2016-11-10 | 2016-11-10 | 一种基于Netflow及DNS日志的僵尸网络检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106657001B (zh) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108768917B (zh) * | 2017-08-23 | 2021-05-11 | 长安通信科技有限责任公司 | 一种基于网络日志的僵尸网络检测方法及系统 |
| CN108040053A (zh) * | 2017-12-13 | 2018-05-15 | 北京明朝万达科技股份有限公司 | 一种基于dns日志数据的网络安全威胁分析方法及系统 |
| CN108040052A (zh) * | 2017-12-13 | 2018-05-15 | 北京明朝万达科技股份有限公司 | 一种基于Netflow日志数据的网络安全威胁分析方法及系统 |
| CN108156174B (zh) * | 2018-01-15 | 2020-03-27 | 深圳市联软科技股份有限公司 | 基于c&c域名分析的僵尸网络检测方法、装置、设备及介质 |
| CN108282786B (zh) * | 2018-04-13 | 2020-10-16 | 上海连尚网络科技有限公司 | 一种用于检测无线局域网中dns欺骗攻击的方法与设备 |
| US10708281B1 (en) * | 2018-04-16 | 2020-07-07 | Akamai Technologies, Inc. | Content delivery network (CDN) bot detection using primitive and compound feature sets |
| CN108965248B (zh) * | 2018-06-04 | 2021-08-20 | 上海交通大学 | 一种基于流量分析的p2p僵尸网络检测系统及方法 |
| CN111953638B (zh) * | 2019-05-17 | 2023-06-27 | 北京京东尚科信息技术有限公司 | 网络攻击行为检测方法、装置及可读存储介质 |
| CN110213255B (zh) * | 2019-05-27 | 2022-03-04 | 北京奇艺世纪科技有限公司 | 一种对主机进行木马检测的方法、装置及电子设备 |
| CN110290156B (zh) * | 2019-07-26 | 2021-09-24 | 济南法诺商贸有限公司 | 一种基于大数据的针对分布式攻击的防御及网络安全装置 |
| CN110730175B (zh) * | 2019-10-16 | 2022-12-06 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的僵尸网络检测方法及检测系统 |
| CN111212063A (zh) * | 2019-12-31 | 2020-05-29 | 北京安码科技有限公司 | 一种基于网关远程控制攻击反制方法 |
| CN111405080A (zh) * | 2020-03-09 | 2020-07-10 | 北京冠程科技有限公司 | 终端ip管理系统和基于该系统的用户行为审计方法 |
| CN111818030A (zh) * | 2020-06-29 | 2020-10-23 | 国网福建省电力有限公司 | 一种恶意域名请求终端的快速定位处置方法及系统 |
| CN112839029B (zh) * | 2020-12-22 | 2023-02-17 | 河南省信息咨询设计研究有限公司 | 一种僵尸网络活跃度的分析方法与系统 |
| CN113766046B (zh) * | 2021-09-09 | 2023-10-13 | 牙木科技股份有限公司 | 迭代流量跟踪方法、dns服务器及计算机可读存储介质 |
| CN114466398A (zh) * | 2021-12-20 | 2022-05-10 | 中盈优创资讯科技有限公司 | 一种通过netflow数据分析5G终端用户行为的方法及装置 |
| CN114244809B (zh) * | 2021-12-24 | 2024-05-17 | 北京天融信网络安全技术有限公司 | 用于检测目标网络中主机失陷等级的方法及装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1760872A (zh) * | 2004-10-13 | 2006-04-19 | 国际商业机器公司 | 处理目的地址的方法和系统 |
| CN101572701A (zh) * | 2009-02-10 | 2009-11-04 | 中科正阳信息安全技术有限公司 | 针对DNS服务的抗DDoS攻击安全网关系统 |
| CN101686239A (zh) * | 2009-05-26 | 2010-03-31 | 中山大学 | 一种木马发现系统 |
| CN102761500A (zh) * | 2011-04-26 | 2012-10-31 | 国基电子(上海)有限公司 | 防御网络钓鱼的网关及方法 |
| CN104135400A (zh) * | 2014-07-14 | 2014-11-05 | 南京烽火星空通信发展有限公司 | 一种基于分布式时空机理的主干网僵尸网络追踪方法 |
| CN105791220A (zh) * | 2014-12-22 | 2016-07-20 | 中国电信股份有限公司 | 用于主动防御分布式拒绝服务攻击的方法和系统 |
| CN105959294A (zh) * | 2016-06-17 | 2016-09-21 | 北京网康科技有限公司 | 一种恶意域名鉴别方法及装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007003818A1 (fr) * | 2005-05-20 | 2007-01-11 | France Telecom | Procede de filtrage par couplage multi-protocolaire sur la base du protocole dns. |
| JP2010081222A (ja) * | 2008-09-25 | 2010-04-08 | Nec Corp | 情報端末、識別子記憶装置、コンテンツ取得方法、およびコンテンツ取得プログラム |
-
2016
- 2016-11-10 CN CN201610993499.XA patent/CN106657001B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1760872A (zh) * | 2004-10-13 | 2006-04-19 | 国际商业机器公司 | 处理目的地址的方法和系统 |
| CN101572701A (zh) * | 2009-02-10 | 2009-11-04 | 中科正阳信息安全技术有限公司 | 针对DNS服务的抗DDoS攻击安全网关系统 |
| CN101686239A (zh) * | 2009-05-26 | 2010-03-31 | 中山大学 | 一种木马发现系统 |
| CN102761500A (zh) * | 2011-04-26 | 2012-10-31 | 国基电子(上海)有限公司 | 防御网络钓鱼的网关及方法 |
| CN104135400A (zh) * | 2014-07-14 | 2014-11-05 | 南京烽火星空通信发展有限公司 | 一种基于分布式时空机理的主干网僵尸网络追踪方法 |
| CN105791220A (zh) * | 2014-12-22 | 2016-07-20 | 中国电信股份有限公司 | 用于主动防御分布式拒绝服务攻击的方法和系统 |
| CN105959294A (zh) * | 2016-06-17 | 2016-09-21 | 北京网康科技有限公司 | 一种恶意域名鉴别方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106657001A (zh) | 2017-05-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106657001B (zh) | 一种基于Netflow及DNS日志的僵尸网络检测方法 | |
| US8935383B2 (en) | Systems, apparatus, and methods for network data analysis | |
| US8578493B1 (en) | Botnet beacon detection | |
| US8990936B2 (en) | Method and device for detecting flood attacks | |
| KR101391781B1 (ko) | 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법 | |
| US9245121B1 (en) | Detecting suspicious network behaviors based on domain name service failures | |
| WO2019136953A1 (zh) | 基于c&c域名分析的僵尸网络检测方法、装置、设备及介质 | |
| CN101924757B (zh) | 追溯僵尸网络的方法和系统 | |
| US20180152468A1 (en) | Processing network data using a graph data structure | |
| US8260914B1 (en) | Detecting DNS fast-flux anomalies | |
| TW201703465A (zh) | 網路異常偵測技術 | |
| CN110401632B (zh) | 一种恶意域名感染主机溯源方法 | |
| US20180139224A1 (en) | Collecting domain name system traffic | |
| CN115134099B (zh) | 基于全流量的网络攻击行为分析方法及装置 | |
| EP3242240B1 (en) | Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program | |
| JP5813810B2 (ja) | ブラックリスト拡充装置、ブラックリスト拡充方法およびブラックリスト拡充プログラム | |
| KR20140035678A (ko) | 학습 가능한 dns 분석기 및 분석 방법 | |
| CN112261029A (zh) | 一种基于养殖的DDoS恶意代码检测及溯源方法 | |
| CN107360198B (zh) | 可疑域名检测方法及系统 | |
| CN106911665B (zh) | 一种识别恶意代码弱口令入侵行为的方法及系统 | |
| Kaushik et al. | Network forensic system for ICMP attacks | |
| KR101072981B1 (ko) | 분산 서비스 거부 공격의 방어 시스템 | |
| Tazaki et al. | MATATABI: multi-layer threat analysis platform with Hadoop | |
| CN112104628B (zh) | 一种自适应特征规则匹配的实时恶意流量检测方法 | |
| CN112217777A (zh) | 攻击回溯方法及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |