CN106657025A - 网络攻击行为检测方法及装置 - Google Patents
网络攻击行为检测方法及装置 Download PDFInfo
- Publication number
- CN106657025A CN106657025A CN201611078093.5A CN201611078093A CN106657025A CN 106657025 A CN106657025 A CN 106657025A CN 201611078093 A CN201611078093 A CN 201611078093A CN 106657025 A CN106657025 A CN 106657025A
- Authority
- CN
- China
- Prior art keywords
- domain name
- data
- attack
- data mining
- analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种网络攻击行为检测方法,首先获取域名系统解析数据;然后采用预设的数据挖掘算法对所述域名系统解析数据进行数据挖掘,获得数据挖掘结果;最后根据所述数据挖掘结果对网络攻击行为进行检测。不同于传统抓包分析的网络攻击行为检测方式,本发明以域名系统解析数据为处理对象,通过对其进行数据挖掘,从而根据挖掘结果能够更加高效、准确地对网络攻击行为进行检测。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种网络攻击行为检测方法及装置。
背景技术
随着互联网技术的发展,各种网络安全问题也层出不穷,如木马、钓鱼网站、钓鱼邮件、针对域名服务器的DDoS(DDoS:Distributed Denial of Service,分布式拒绝服务攻击)、针对特定类型网络的DDoS攻击、大规模DNS(Domain Name System,域名系统)欺骗攻击、僵尸网络等网络攻击行为严重威胁着网络用户的信息和数据安全,由于上述网络攻击行为往往具有很强的欺骗性和伪装性,常规对所有数据进行抓包分析的检测方式效率较低、准确性低,难以对其进行有效的检测。
发明内容
针对现有技术中的缺陷,本发明提供一种网络攻击行为检测方法及装置,以高效、准确的对网络攻击行为进行检测。
第一方面,本发明提供的一种网络攻击行为检测方法,包括:
获取域名系统解析数据;
采用预设的数据挖掘算法对所述域名系统解析数据进行数据挖掘,获得数据挖掘结果;
根据所述数据挖掘结果对网络攻击行为进行检测。
可选的,所述获取域名系统解析数据,包括:
预先在指定网络范围的网络出口或数据交换设备上部署流量捕获设备;
利用所述流量捕获设备捕获指定所述网络范围内的多个客户端发送的域名系统解析数据。
可选的,所述采用预设的数据挖掘算法对所述域名系统解析数据进行数据挖掘,获得数据挖掘结果,包括:
通过将所述域名系统解析数据中的域名IP与预先存储的网络攻击者黑名单或白名单进行比对,判断所述域名IP是否在所述黑名单或白名单中;
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
根据所述域名IP是否在所述黑名单或白名单中,判断是否存在网络攻击行为。
可选的,所述网络攻击行为检测方法,还包括:
若所述域名IP存在于所述黑名单中或所述域名IP不存在于所述白名单中时,对所述域名IP收发的数据进行全包捕获;
对捕获的数据进行还原分析;
根据还原分析结果判断所述域名IP对应的主机是否存在网络攻击行为。
可选的,所述网络攻击行为检测方法,还包括:
在确定所述域名IP对应的主机是否存在网络攻击行为后,根据所述域名IP对应的主机是否存在网络攻击行为,将所述域名IP添加到所述黑名单或白名单中,对所述黑名单或所述白名单进行更新。
可选的,所述采用预设的数据挖掘算法对所述域名系统解析数据进行数据挖掘,获得数据挖掘结果,包括:
根据所述域名系统解析数据计算所述域名系统解析数据中各域名的域名IP变化特征数据;
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
根据所述域名IP变化特征数据是否符合预设的异常域名判定条件分别判断对应的各所述域名是否是异常域名,在确定所述域名为异常域名时,判断存在网络攻击行为。
可选的,所述采用预设的数据挖掘算法对所述域名系统解析数据进行数据挖掘,获得数据挖掘结果,包括:
采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果;
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
根据所述数据挖掘结果对网络攻击行为进行检测。
可选的,所述网络攻击行为检测方法,还包括:
在确定存在网络攻击行为后,获取网络攻击行为中传输的数据;
采用预设的关联分析算法对所述数据进行关联分析,获得关联分析结果;
根据所述关联分析结果确定所述网络攻击行为中的攻击主体。
可选的,所述域名系统解析数据是邮件收发过程中产生的域名系统解析数据;
所述采用预设的数据挖掘算法对所述域名系统解析数据进行数据挖掘,获得数据挖掘结果,包括:
通过对所述域名系统解析数据进行针对邮件数据的数据挖掘;其中,所述针对邮件数据的数据挖掘包括:对用户行为进行画像、钓鱼邮件分析、邮件头部分析、邮件登陆日志分析和邮件收发行为分析中的至少一种。
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
根据所述针对邮件数据的数据挖掘的挖掘结果判断是否存在针对邮件的网络攻击行为。
第二方面,本发明提供的一种网络攻击行为检测装置,包括:
数据获取模块,用于获取域名系统解析数据;
数据挖掘模块,用于采用预设的数据挖掘算法对所述域名系统解析数据进行数据挖掘,获得数据挖掘结果;
攻击行为检测模块,用于根据所述数据挖掘结果对网络攻击行为进行检测。
可选的,所述数据获取模块,包括:
流量捕获设备部署单元,用于预先在指定网络范围的网络出口或数据交换设备上部署流量捕获设备;
域名解析数据捕获单元,用于利用所述流量捕获设备捕获指定所述网络范围内的多个客户端发送的域名系统解析数据。
可选的,所述数据挖掘模块,包括:
黑白名单对比单元,用于通过将所述域名系统解析数据中的域名IP与预先存储的网络攻击者黑名单或白名单进行比对,判断所述域名IP是否在所述黑名单或白名单中;
所述攻击行为检测模块,包括:
黑白名单判断单元,用于根据所述域名IP是否在所述黑名单或白名单中,判断是否存在网络攻击行为。
可选的,所述网络攻击行为检测装置,还包括:
全包数据捕获模块,用于若所述域名IP存在于所述黑名单中或所述域名IP不存在于所述白名单中时,对所述域名IP收发的数据进行全包捕获;
数据还原模块,用于对捕获的数据进行还原分析;
数据还原判断模块,用于根据还原分析结果判断所述域名IP对应的主机是否存在网络攻击行为。
可选的,所述网络攻击行为检测装置,还包括:
黑白名单更新模块,用于在确定所述域名IP对应的主机是否存在网络攻击行为后,根据所述域名IP对应的主机是否存在网络攻击行为,将所述域名IP添加到所述黑名单或白名单中,对所述黑名单或所述白名单进行更新。
可选的,所述数据挖掘模块,包括:
IP变化特征数据计算单元,用于根据所述域名系统解析数据计算所述域名系统解析数据中各域名的域名IP变化特征数据;
所述攻击行为检测模块,包括:
异常域名判断单元,用于根据所述域名IP变化特征数据是否符合预设的异常域名判定条件分别判断对应的各所述域名是否是异常域名,在确定所述域名为异常域名时,判断存在网络攻击行为。
可选的,所述数据挖掘模块,包括:
对应关系挖掘单元,用于采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果;
所述攻击行为检测模块,包括:
对应关系检测单元,用于根据所述数据挖掘结果对网络攻击行为进行检测。
可选的,所述网络攻击行为检测装置,还包括:
网络数据获取模块,用于在确定存在网络攻击行为后,获取网络攻击行为中传输的数据;
关联分析模块,用于采用预设的关联分析算法对所述数据进行关联分析,获得关联分析结果;
攻击主体确定模块,用于根据所述关联分析结果确定所述网络攻击行为中的攻击主体。
可选的,所述域名系统解析数据是邮件收发过程中产生的域名系统解析数据;
所述数据挖掘模块,包括:
邮件数据挖掘单元,用于通过对所述域名系统解析数据进行针对邮件数据的数据挖掘;其中,所述针对邮件数据的数据挖掘包括:对用户行为进行画像、钓鱼邮件分析、邮件头部分析、邮件登陆日志分析和邮件收发行为分析中的至少一种。
所述攻击行为检测模块,包括:
邮件攻击行为检测单元,用于根据所述针对邮件数据的数据挖掘的挖掘结果判断是否存在针对邮件的网络攻击行为。
由上述技术方案可知,本发明提供的一种网络攻击行为检测方法,首先获取域名系统解析数据;然后采用预设的数据挖掘算法对所述域名系统解析数据进行数据挖掘,获得数据挖掘结果;最后根据所述数据挖掘结果对网络攻击行为进行检测。不同于传统抓包分析的网络攻击行为检测方式,本发明以域名系统解析数据为处理对象,通过对其进行数据挖掘,从而根据挖掘结果能够更加高效、准确地对网络攻击行为进行检测。
本发明提供的一种网络攻击行为检测装置,与上述网络攻击行为检测方法出于相同的发明构思,具有相同的有益效果。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。
图1示出了本发明第一实施例所提供的一种网络攻击行为检测方法的流程图;
图2示出了本发明第二实施例所提供的一种网络攻击行为检测装置的示意图。
具体实施方式
下面将结合附图对本发明技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本发明的技术方案,因此只是作为示例,而不能以此来限制本发明的保护范围。
需要注意的是,除非另有说明,本申请使用的技术术语或者科学术语应当为本发明所属领域技术人员所理解的通常意义。
本发明提供一种网络攻击行为检测方法、一种网络攻击行为检测装置和一种网络攻击行为检测系统。下面结合附图对本发明的实施例进行说明。
图1示出了本发明第一实施例所提供的一种网络攻击行为检测方法的流程图。如图1所示,本发明第一实施例提供的一种网络攻击行为检测方法包括以下步骤:
步骤S101:获取域名系统解析数据。
本发明实施例中,所述域名系统解析数据(即DNS数据)可以采用流量捕获设备进行捕获,例如,预先在指定网络范围的网络出口或数据交换设备上部署流量捕获设备;利用所述流量捕获设备捕获指定所述网络范围内的多个客户端发送的域名系统解析数据。
步骤S102:采用预设的数据挖掘算法对所述域名系统解析数据进行数据挖掘,获得数据挖掘结果;
步骤S103:根据所述数据挖掘结果对网络攻击行为进行检测。
本发明实施例中,根据采用的数据挖掘算法的不同,可以对网络攻击行为的不同方面进行检测,例如,在本发明提供的一个实施例中,所述采用预设的数据挖掘算法对所述域名系统解析数据进行数据挖掘,获得数据挖掘结果,包括:
通过将所述域名系统解析数据中的域名IP与预先存储的网络攻击者黑名单或白名单进行比对,判断所述域名IP是否在所述黑名单或白名单中;
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
根据所述域名IP是否在所述黑名单或白名单中,判断是否存在网络攻击行为。
本发明实施例中,黑名单中是已知的恶意程序的反弹域名,通过黑域名,可以迅速发现已知木马的活动线索,并可以迅速定位中马计算机IP,发现攻击行为。
白名单是基于大量的DNS解析请求数据进行统计整理的。一般的用户在日常的网络访问过程中,其域名访问行为95%是存在一致性的,对于获取到的大量DNS记录,可以从中分析得到大量的白域名,同时白域名名单又可以在流量的分析过程中不断自主完善。当从流量中发现少量的、非白域名的DNS记录时,就非常值得重点关注,有可能是恶意程序所使用的反弹域。
根据黑名单或白名单的对比结果,可以对是否存在网络攻击行为进行初步判断,为了保证判断的准确性,在本发明提供的一个实施例中,在上述实施例步骤后,还包括:
若所述域名IP存在于所述黑名单中或所述域名IP不存在于所述白名单中时,对所述域名IP收发的数据进行全包捕获;
对捕获的数据进行还原分析;
根据还原分析结果判断所述域名IP对应的主机是否存在网络攻击行为。
为了增强本发明的检测能力,保证黑名单和白名单的最新,在本发明提供的一个实施例中,在确定所述域名IP对应的主机是否存在网络攻击行为后,根据所述域名IP对应的主机是否存在网络攻击行为,将所述域名IP添加到所述黑名单或白名单中,对所述黑名单或所述白名单进行更新。
在本发明提供的一个实施例中,所述采用预设的数据挖掘算法对所述域名系统解析数据进行数据挖掘,获得数据挖掘结果,包括:
根据所述域名系统解析数据计算所述域名系统解析数据中各域名的域名IP变化特征数据;
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
根据所述域名IP变化特征数据是否符合预设的异常域名判定条件分别判断对应的各所述域名是否是异常域名,在确定所述域名为异常域名时,判断存在网络攻击行为。
例如:
基于域名与IP的历史对应关系的数据,根据统计数据,采用变化次数值或者变化次数排名来发现异常域名。统计特定时间段内(1秒、1分钟、1小时、1天、1个月、1个季度等时间刻度)IP变化次数超过阈值的域名,并发送报警;统计特定时间段内(1秒、1分钟、1小时、1天、1个月、1个季度等时间刻度)IP变化次数,并进行排序,重点关注排名靠前的域名,并发送警报。
例:在后台数据中发现某域名在一个月内解析的域名IP,变换了三次,域名ip的归属地都不是同一个国家或地区,在Ssess ion和HTTP等数据中发现该域名解析的ip都有大流量数据。通过抓包分析,发现该域名为木马使用的域名。
在本发明提供的一个实施例中,所述采用预设的数据挖掘算法对所述域名系统解析数据进行数据挖掘,获得数据挖掘结果,包括:
采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果;
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
根据所述数据挖掘结果对网络攻击行为进行检测。
例如:
针对域名服务器的DDoS攻击、针对特定类型网络的DDoS攻击、大规模DNS欺骗攻击、僵尸网络等攻击行为中,域名与IP的历史对应关系的规律,并利用这种规律进行相应的攻击检测。采用的攻击检测算法包括:
采用聚类分析算法,对相似属性的域名和IP地址信息进行聚类,并进行模式的比较和分析,以发现特定类型的攻击行为。
采用时间序列分析算法,将对象以时间序列的方式进行排列,以发现规律和趋势性线索。例如通过异常变化的DNS请求情况,得到可疑IP之间明确的数据流向、传输路径、连接规律及趋势等。
通过群集分析算法,在大量域名与IP历史记录中寻找关联度较高的群集;通过多层链接分析算法,采用优化深度遍历和广度遍历算法等,从某一异常变化的DNS请求出发,查找相关的IP;
通过路径分析算法,采用优化的最短路径、最佳路径和自适应路径分析算法,在大量域名与IP的历史记录中寻找特定IP间可能存在的关联或路径,如:查找两个IP之间的攻击路径及数据包流向。
例:在后台数据中的域名与域名IP的记录通过不同ip的分组,可以查看到那些域名被多少个IP解析过,IP解析次数的多少,IP归属地的不同,然后通过抓包或者其他方式查看是否在传输数据。
在本发明提供的一个实施例中,所述的网络攻击行为检测方法,还包括:
在确定存在网络攻击行为后,获取网络攻击行为中传输的数据;
采用预设的关联分析算法对所述数据进行关联分析,获得关联分析结果;
根据所述关联分析结果确定所述网络攻击行为中的攻击主体。
例如:
关联分析系统用于对后台的数据进行关联分析和深度挖掘,以便可以进一步发现受控的主机、受控的邮箱、受控的服务器以及对攻击者进行轮廓描绘。具体关联分析方法,如下几种:
木马关联分析(木马来源、木马发送地址、木马接收地址、木马连接地址关联分析)
恶意脚本关联分析(邮件来源、邮件发件人、收件人、主题、恶意脚本连接地址等进行关联分析)
虚拟对象关联分析(能够对IP、MAC、QQ、邮件地址等信息进行关联分析,挖掘出虚拟对象的轮廓及网络关系)
邮件关联分析(对邮件账号、联系人进行级联的关联分析、对主题进行关联分析)
例:在后台的数据中发现一个ip与国外的一个ip存在大量的异常流量数据,通过后台的数据中的日志分析在一条日志中,发现一个请求中带有邮件地址,通过有邮件地址发现该邮箱中一个附件包含恶意程序,该恶意程序记录了用户平时的操作信息,获取了服务器密码,导致服务器上的文件上传到境外服务器中。
在本发明提供的一个实施例中,所述域名系统解析数据是邮件收发过程中产生的域名系统解析数据;
所述采用预设的数据挖掘算法对所述域名系统解析数据进行数据挖掘,获得数据挖掘结果,包括:
通过对所述域名系统解析数据进行针对邮件数据的数据挖掘;其中,所述针对邮件数据的数据挖掘包括:对用户行为进行画像、钓鱼邮件分析、邮件头部分析、邮件登陆日志分析和邮件收发行为分析中的至少一种。
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
根据所述针对邮件数据的数据挖掘的挖掘结果判断是否存在针对邮件的网络攻击行为。
例如:
通过采集邮件的相关流量,可以有效的发现外部APT攻击的邮件入口攻击或者邮件窃听盗取等行为,同时可以有效的发现内部的安全威胁。
对用户行为进行画像
分析邮件日志,通过地理区域、源地址、时间、邮件主题分词、认证成功与失败、客户端信息、主机名等因素建模来进行行为分析。
钓鱼邮件分析
钓鱼邮件是现在不法分子用来骗取密码等个人信息的重要手段,系统可在离线方式下发现有钓鱼行为的邮件。
邮件头部分析
通过邮件头部信息的分析,可以提取出邮件的真实发件时间、时区、IP地址、计算机名等信息,定位发件人的物理位置。
对统一格式邮箱账号的各种登陆日志信息进行智能分析,以确定
是否存在一个邮箱账号被多个IP地址访问
是否存在一个IP地址访问多个邮箱账号
是否有邮箱被Google的IP地址访问
深度分析每个邮箱的邮件收发行为,以确定
是否有邮箱被设置了转发账号,以致这些邮箱收到邮件自动转发到指定的邮箱
是否有邮箱被用于群发邮件
是否有邮件附件被重复下载。
详细分析访问邮箱账户的客户端的属性信息,以发现是否有异常的网络访问行为。
邮件内容还原以及关联分析,以确定邮箱账号被控制的技术方法。
对特殊账号的访问行为进行单独全方位的分析和检测。
本发明实施例中,对根据数据格式、内容的不同,采用全面的协议还原取证方法,如:
识别http、ftp、smtp、pop3、DNS、IMAP、IP会话等主流协议报文并进行数据重组还原。
对doc,xls,ppt,swf,pdf,java,rar,zip,rar,exe,vbs,scr,html等多种文件解析,并标记来源。
对基于木马回连的非法数据传输等行为进行取证分析,包括回连主机IP、服务器IP、传输数据大小、协议类型等。
邮件恶意附件的还原以及行为检测。
此外,本发明提供的一个实施例中,还包括:域名与IP历史记录的可视化展现技术,具体包括:
采用众多图形化分析算法技术从大量图表数据中揭示更深层次的关联信息和线索,实现域名与IP历史记录中的可视化分析展现,采用连接分析、路径分析、时间序列分析等方法来发现和揭示数据中隐含的公共要素和线索关联。从而把异常流量和正常流量用图形方式展现,一目了然的对域名与IP历史记录进行监控。
在本发明提供的另一个实施例中,还包括对数据的追踪溯源,具体包括:
通过回溯分析中心,关联不同的APT攻击线索中的发现时间、攻击类型、家族、POST/GET特征、网络流量特征、端口、备注、浏览器user agent、字符串、MD5、样本、数据包、分析日期、whois信息、相关URL、证书等信息,溯源整个组织的攻击行为。例如通过回溯子系统将沙箱告警中的木马来源IP关联到涉密文件外传解析IP为同一IP,同时目标IP终端的行为分析又关联到存在文件打包行为并且文件名与外传文件名相同,从而确定多个攻击行为的同源性,既为同一组织或个人所为,针对目标为被检网络,以窃取文件为主要目的的APT攻击。同时还能够关联出该APT攻击持续的时间跨度。通过由面到点的深度分析,发现网络中存在的APT攻击。
在本发明提供的另一个实施例中,还包括:对木马的安全检测,具体包括:
高级威胁检测系统通过直连或旁路方式部署在网络出口和核心交换设备上,对全网范围内的木马通信行为进行实时监控、分析、识别、预警和阻断隔离,弥补传统安全软件(防火墙、入侵检测系统、防毒墙等)在网络层对木马检测的技术空白。
在本发明提供的另一个实施例中,还可以采用如下灵活的数据采集方式:
通过直连或旁路方式部署在网络出口和核心交换设备上,对进出口网络和核心交换设备的网络通信数据进行实时采集,根据用户实际网络环境需要,部署灵活的数据采集方式,支持策略采集、支持网桥模式、支持BYPASS模式、支持双机热备、支持数据镜像、支持多机镜像等。
在本发明提供的另一个实施例中,还包括全面的协议分析和还原,包括对主流的TCP/IP、UDP/IP、DNS协议、HTTP协议、HTTP代理协议、POPS协议、SMTP协议、IMAP协议、FTP协议、TELNET协议、QQ协议、MSN协议等通信协议的分析和还原,管理员可以根据自己协议分析需要,自定义分析协议和内容,如只对DNS协议的特定域名进行解析和还原。
在本发明提供的另一个实施例中,还包括:基于行为和特征的检测方法,具体包括:
高级威胁检测系统通过强大的特征库和行为库,使用基于行为和特征的木马检测方法,在网络层对各种已知和未知木马的网络通信行为进行实时监控、分析、识别、预警和阻断隔离,如通过黑域名、黑IP和广谱特征码对已知木马进行检测和发现,通过心跳规律、可疑流出流量、动态域名等木马行为对未知木马进行检测和发现。
在本发明提供的另一个实施例中,还包括:强大的木马追踪和地址定位,具体包括:一旦发现网络内部具有木马行为,则可以对内网的主机和外网的目标地址进行准确定位,判断目标主机所在的国家和地区,并获取与木马相关的深度信息,包括木马名称、木马编号、木马类型、木马家族、制作组织、来源国家、木马特征、危害等级、风险描述和安全建议。
在本发明提供的另一个实施例中,还包括:已知和未知木马检测,具体包括:通过基于特征(如黑域名、黑IP和广谱特征码等)的木马检测方法,发现已知木马的网络通信行为;通过基于行为(动态域名、心跳信号和可疑流出流量等)的木马检测方法,发现未知木马的网络通信行为。
至此,通过步骤S101至步骤S103,完成了本发明第一实施例所提供的一种网络攻击行为检测方法的流程。不同于传统抓包分析的网络攻击行为检测方式,本发明以域名系统解析数据为处理对象,通过对其进行数据挖掘,从而根据挖掘结果能够更加高效、准确地对网络攻击行为进行检测。
在上述的第一实施例中,提供了一种网络攻击行为检测方法,与之相对应的,本申请还提供一种网络攻击行为检测装置。请参考图2,其为本发明第二实施例提供的一种网络攻击行为检测装置的示意图。由于装置实施例基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。下述描述的装置实施例仅仅是示意性的。
本发明第二实施例提供的一种网络攻击行为检测装置,包括:
数据获取模块101,用于获取域名系统解析数据;
数据挖掘模块102,用于采用预设的数据挖掘算法对所述域名系统解析数据进行数据挖掘,获得数据挖掘结果;
攻击行为检测模块103,用于根据所述数据挖掘结果对网络攻击行为进行检测。
可选的,所述数据获取模块101,包括:
流量捕获设备部署单元,用于预先在指定网络范围的网络出口或数据交换设备上部署流量捕获设备;
域名解析数据捕获单元,用于利用所述流量捕获设备捕获指定所述网络范围内的多个客户端发送的域名系统解析数据。
可选的,所述数据挖掘模块102,包括:
黑白名单对比单元,用于通过将所述域名系统解析数据中的域名IP与预先存储的网络攻击者黑名单或白名单进行比对,判断所述域名IP是否在所述黑名单或白名单中;
所述攻击行为检测模块103,包括:
黑白名单判断单元,用于根据所述域名IP是否在所述黑名单或白名单中,判断是否存在网络攻击行为。
可选的,所述网络攻击行为检测装置,还包括:
全包数据捕获模块,用于若所述域名IP存在于所述黑名单中或所述域名IP不存在于所述白名单中时,对所述域名IP收发的数据进行全包捕获;
数据还原模块,用于对捕获的数据进行还原分析;
数据还原判断模块,用于根据还原分析结果判断所述域名IP对应的主机是否存在网络攻击行为。
可选的,所述网络攻击行为检测装置,还包括:
黑白名单更新模块,用于在确定所述域名IP对应的主机是否存在网络攻击行为后,根据所述域名IP对应的主机是否存在网络攻击行为,将所述域名IP添加到所述黑名单或白名单中,对所述黑名单或所述白名单进行更新。
可选的,所述数据挖掘模块102,包括:
IP变化特征数据计算单元,用于根据所述域名系统解析数据计算所述域名系统解析数据中各域名的域名IP变化特征数据;
所述攻击行为检测模块103,包括:
异常域名判断单元,用于根据所述域名IP变化特征数据是否符合预设的异常域名判定条件分别判断对应的各所述域名是否是异常域名,在确定所述域名为异常域名时,判断存在网络攻击行为。
可选的,所述数据挖掘模块102,包括:
对应关系挖掘单元,用于采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果;
所述攻击行为检测模块103,包括:
对应关系检测单元,用于根据所述数据挖掘结果对网络攻击行为进行检测。
可选的,所述网络攻击行为检测装置,还包括:
网络数据获取模块101,用于在确定存在网络攻击行为后,获取网络攻击行为中传输的数据;
关联分析模块,用于采用预设的关联分析算法对所述数据进行关联分析,获得关联分析结果;
攻击主体确定模块,用于根据所述关联分析结果确定所述网络攻击行为中的攻击主体。
可选的,所述域名系统解析数据是邮件收发过程中产生的域名系统解析数据;
所述数据挖掘模块102,包括:
邮件数据挖掘单元,用于通过对所述域名系统解析数据进行针对邮件数据的数据挖掘;其中,所述针对邮件数据的数据挖掘包括:对用户行为进行画像、钓鱼邮件分析、邮件头部分析、邮件登陆日志分析和邮件收发行为分析中的至少一种。
所述攻击行为检测模块103,包括:
邮件攻击行为检测单元,用于根据所述针对邮件数据的数据挖掘的挖掘结果判断是否存在针对邮件的网络攻击行为。
以上,为本发明第二实施例提供的一种网络攻击行为检测装置的实施例说明。
本发明提供的一种网络攻击行为检测装置与上述网络攻击行为检测方法出于相同的发明构思,具有相同的有益效果,此处不再赘述。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
需要说明的是,附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本发明实施例所提供的网络攻击行为检测装置可以是计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。
Claims (10)
1.一种网络攻击行为检测方法,其特征在于,包括:
获取域名系统解析数据;
采用预设的数据挖掘算法对所述域名系统解析数据进行数据挖掘,获得数据挖掘结果;
根据所述数据挖掘结果对网络攻击行为进行检测。
2.根据权利要求1所述的网络攻击行为检测方法,其特征在于,所述获取域名系统解析数据,包括:
预先在指定网络范围的网络出口或数据交换设备上部署流量捕获设备;
利用所述流量捕获设备捕获指定所述网络范围内的多个客户端发送的域名系统解析数据。
3.根据权利要求1所述的网络攻击行为检测方法,其特征在于,所述采用预设的数据挖掘算法对所述域名系统解析数据进行数据挖掘,获得数据挖掘结果,包括:
通过将所述域名系统解析数据中的域名IP与预先存储的网络攻击者黑名单或白名单进行比对,判断所述域名IP是否在所述黑名单或白名单中;
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
根据所述域名IP是否在所述黑名单或白名单中,判断是否存在网络攻击行为。
4.根据权利要求3所述的网络攻击行为检测方法,其特征在于,还包括:
若所述域名IP存在于所述黑名单中或所述域名IP不存在于所述白名单中时,对所述域名IP收发的数据进行全包捕获;
对捕获的数据进行还原分析;
根据还原分析结果判断所述域名IP对应的主机是否存在网络攻击行为。
5.根据权利要求4所述网络攻击行为检测方法,其特征在于,还包括:
在确定所述域名IP对应的主机是否存在网络攻击行为后,根据所述域名IP对应的主机是否存在网络攻击行为,将所述域名IP添加到所述黑名单或白名单中,对所述黑名单或所述白名单进行更新。
6.根据权利要求1所述的网络攻击行为检测方法,其特征在于,所述采用预设的数据挖掘算法对所述域名系统解析数据进行数据挖掘,获得数据挖掘结果,包括:
根据所述域名系统解析数据计算所述域名系统解析数据中各域名的域名IP变化特征数据;
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
根据所述域名IP变化特征数据是否符合预设的异常域名判定条件分别判断对应的各所述域名是否是异常域名,在确定所述域名为异常域名时,判断存在网络攻击行为。
7.根据权利要求1所述的网络攻击行为检测方法,其特征在于,所述采用预设的数据挖掘算法对所述域名系统解析数据进行数据挖掘,获得数据挖掘结果,包括:
采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果;
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
根据所述数据挖掘结果对网络攻击行为进行检测。
8.根据权利要求1所述的网络攻击行为检测方法,其特征在于,还包括:
在确定存在网络攻击行为后,获取网络攻击行为中传输的数据;
采用预设的关联分析算法对所述数据进行关联分析,获得关联分析结果;
根据所述关联分析结果确定所述网络攻击行为中的攻击主体。
9.根据权利要求1所述的网络攻击行为检测方法,其特征在于,所述域名系统解析数据是邮件收发过程中产生的域名系统解析数据;
所述采用预设的数据挖掘算法对所述域名系统解析数据进行数据挖掘,获得数据挖掘结果,包括:
通过对所述域名系统解析数据进行针对邮件数据的数据挖掘;其中,所述针对邮件数据的数据挖掘包括:对用户行为进行画像、钓鱼邮件分析、邮件头部分析、邮件登陆日志分析和邮件收发行为分析中的至少一种。
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
根据所述针对邮件数据的数据挖掘的挖掘结果判断是否存在针对邮件的网络攻击行为。
10.一种网络攻击行为检测装置,其特征在于,包括:
数据获取模块,用于获取域名系统解析数据;
数据挖掘模块,用于采用预设的数据挖掘算法对所述域名系统解析数据进行数据挖掘,获得数据挖掘结果;
攻击行为检测模块,用于根据所述数据挖掘结果对网络攻击行为进行检测。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611078093.5A CN106657025A (zh) | 2016-11-29 | 2016-11-29 | 网络攻击行为检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611078093.5A CN106657025A (zh) | 2016-11-29 | 2016-11-29 | 网络攻击行为检测方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106657025A true CN106657025A (zh) | 2017-05-10 |
Family
ID=58813709
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611078093.5A Withdrawn CN106657025A (zh) | 2016-11-29 | 2016-11-29 | 网络攻击行为检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106657025A (zh) |
Cited By (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107222489A (zh) * | 2017-06-19 | 2017-09-29 | 微梦创科网络科技(中国)有限公司 | 一种挖掘安全信息修改日志中异常流程的方法及装置 |
CN107666490A (zh) * | 2017-10-18 | 2018-02-06 | 中国联合网络通信集团有限公司 | 一种可疑域名检测方法及装置 |
CN107864153A (zh) * | 2017-12-11 | 2018-03-30 | 江苏恒信和安电子科技有限公司 | 一种基于网络安全传感器的网络病毒预警方法 |
CN109005181A (zh) * | 2018-08-10 | 2018-12-14 | 深信服科技股份有限公司 | 一种dns放大攻击的检测方法、系统及相关组件 |
CN109088877A (zh) * | 2018-09-03 | 2018-12-25 | 中新网络信息安全股份有限公司 | 一种适用于攻击监测环境下的溯源排序算法 |
CN109413091A (zh) * | 2018-11-20 | 2019-03-01 | 中国联合网络通信集团有限公司 | 一种基于物联网终端的网络安全监控方法和装置 |
CN109873788A (zh) * | 2017-12-01 | 2019-06-11 | 中国联合网络通信集团有限公司 | 僵尸网络检测的方法及装置 |
CN110225009A (zh) * | 2019-05-27 | 2019-09-10 | 四川大学 | 一种基于通信行为画像的代理使用者检测方法 |
CN110955890A (zh) * | 2018-09-26 | 2020-04-03 | 瑞数信息技术(上海)有限公司 | 恶意批量访问行为的检测方法、装置和计算机存储介质 |
CN111030979A (zh) * | 2019-06-20 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种恶意域名检测方法、装置及存储设备 |
CN111031025A (zh) * | 2019-12-07 | 2020-04-17 | 杭州安恒信息技术股份有限公司 | 一种自动化检测验证Webshell的方法及装置 |
CN112367322A (zh) * | 2020-11-10 | 2021-02-12 | 西安热工研究院有限公司 | 一种基于冒泡排序法的电站工控系统异常流量识别方法 |
CN112738115A (zh) * | 2020-12-31 | 2021-04-30 | 北京天融信网络安全技术有限公司 | 高级持续性攻击检测方法、装置、计算机设备和介质 |
CN113132340A (zh) * | 2020-01-16 | 2021-07-16 | 中国科学院信息工程研究所 | 一种基于视觉与主机特征的钓鱼网站识别方法及电子装置 |
CN113923051A (zh) * | 2021-11-12 | 2022-01-11 | 国网河南省电力公司漯河供电公司 | 一种新型内网异常ip发现技术 |
CN114006771A (zh) * | 2021-12-30 | 2022-02-01 | 北京微步在线科技有限公司 | 一种流量检测方法及装置 |
CN114003903A (zh) * | 2021-12-28 | 2022-02-01 | 北京微步在线科技有限公司 | 一种网络攻击追踪溯源方法及装置 |
CN114143112A (zh) * | 2021-12-08 | 2022-03-04 | 赛尔网络有限公司 | 恶意攻击邮件分析方法、装置、设备及介质 |
CN114553513A (zh) * | 2022-02-15 | 2022-05-27 | 北京华圣龙源科技有限公司 | 一种通信检测方法、装置及设备 |
CN115001868A (zh) * | 2022-08-01 | 2022-09-02 | 北京微步在线科技有限公司 | Apt攻击同源分析方法、装置、电子设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101572701A (zh) * | 2009-02-10 | 2009-11-04 | 中科正阳信息安全技术有限公司 | 针对DNS服务的抗DDoS攻击安全网关系统 |
CN102082836A (zh) * | 2009-11-30 | 2011-06-01 | 中国移动通信集团四川有限公司 | 一种dns安全监控系统及方法 |
CN104994117A (zh) * | 2015-08-07 | 2015-10-21 | 国家计算机网络与信息安全管理中心江苏分中心 | 一种基于dns解析数据的恶意域名检测方法及系统 |
CN105024969A (zh) * | 2014-04-17 | 2015-11-04 | 北京启明星辰信息安全技术有限公司 | 一种实现恶意域名识别的方法及装置 |
CN105072137A (zh) * | 2015-09-15 | 2015-11-18 | 蔡丝英 | 鱼叉式钓鱼邮件的检测方法及装置 |
-
2016
- 2016-11-29 CN CN201611078093.5A patent/CN106657025A/zh not_active Withdrawn
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101572701A (zh) * | 2009-02-10 | 2009-11-04 | 中科正阳信息安全技术有限公司 | 针对DNS服务的抗DDoS攻击安全网关系统 |
CN102082836A (zh) * | 2009-11-30 | 2011-06-01 | 中国移动通信集团四川有限公司 | 一种dns安全监控系统及方法 |
CN105024969A (zh) * | 2014-04-17 | 2015-11-04 | 北京启明星辰信息安全技术有限公司 | 一种实现恶意域名识别的方法及装置 |
CN104994117A (zh) * | 2015-08-07 | 2015-10-21 | 国家计算机网络与信息安全管理中心江苏分中心 | 一种基于dns解析数据的恶意域名检测方法及系统 |
CN105072137A (zh) * | 2015-09-15 | 2015-11-18 | 蔡丝英 | 鱼叉式钓鱼邮件的检测方法及装置 |
Cited By (30)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107222489A (zh) * | 2017-06-19 | 2017-09-29 | 微梦创科网络科技(中国)有限公司 | 一种挖掘安全信息修改日志中异常流程的方法及装置 |
CN107666490A (zh) * | 2017-10-18 | 2018-02-06 | 中国联合网络通信集团有限公司 | 一种可疑域名检测方法及装置 |
CN109873788A (zh) * | 2017-12-01 | 2019-06-11 | 中国联合网络通信集团有限公司 | 僵尸网络检测的方法及装置 |
CN109873788B (zh) * | 2017-12-01 | 2021-10-15 | 中国联合网络通信集团有限公司 | 僵尸网络检测的方法及装置 |
CN107864153A (zh) * | 2017-12-11 | 2018-03-30 | 江苏恒信和安电子科技有限公司 | 一种基于网络安全传感器的网络病毒预警方法 |
CN109005181B (zh) * | 2018-08-10 | 2021-07-02 | 深信服科技股份有限公司 | 一种dns放大攻击的检测方法、系统及相关组件 |
CN109005181A (zh) * | 2018-08-10 | 2018-12-14 | 深信服科技股份有限公司 | 一种dns放大攻击的检测方法、系统及相关组件 |
CN109088877A (zh) * | 2018-09-03 | 2018-12-25 | 中新网络信息安全股份有限公司 | 一种适用于攻击监测环境下的溯源排序算法 |
CN110955890A (zh) * | 2018-09-26 | 2020-04-03 | 瑞数信息技术(上海)有限公司 | 恶意批量访问行为的检测方法、装置和计算机存储介质 |
CN109413091A (zh) * | 2018-11-20 | 2019-03-01 | 中国联合网络通信集团有限公司 | 一种基于物联网终端的网络安全监控方法和装置 |
CN110225009A (zh) * | 2019-05-27 | 2019-09-10 | 四川大学 | 一种基于通信行为画像的代理使用者检测方法 |
CN110225009B (zh) * | 2019-05-27 | 2020-06-05 | 四川大学 | 一种基于通信行为画像的代理使用者检测方法 |
CN111030979A (zh) * | 2019-06-20 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种恶意域名检测方法、装置及存储设备 |
CN111031025B (zh) * | 2019-12-07 | 2022-04-29 | 杭州安恒信息技术股份有限公司 | 一种自动化检测验证Webshell的方法及装置 |
CN111031025A (zh) * | 2019-12-07 | 2020-04-17 | 杭州安恒信息技术股份有限公司 | 一种自动化检测验证Webshell的方法及装置 |
CN113132340A (zh) * | 2020-01-16 | 2021-07-16 | 中国科学院信息工程研究所 | 一种基于视觉与主机特征的钓鱼网站识别方法及电子装置 |
CN113132340B (zh) * | 2020-01-16 | 2022-06-28 | 中国科学院信息工程研究所 | 一种基于视觉与主机特征的钓鱼网站识别方法及电子装置 |
CN112367322A (zh) * | 2020-11-10 | 2021-02-12 | 西安热工研究院有限公司 | 一种基于冒泡排序法的电站工控系统异常流量识别方法 |
CN112367322B (zh) * | 2020-11-10 | 2022-09-30 | 西安热工研究院有限公司 | 一种基于冒泡排序法的电站工控系统异常流量识别方法 |
CN112738115A (zh) * | 2020-12-31 | 2021-04-30 | 北京天融信网络安全技术有限公司 | 高级持续性攻击检测方法、装置、计算机设备和介质 |
CN113923051A (zh) * | 2021-11-12 | 2022-01-11 | 国网河南省电力公司漯河供电公司 | 一种新型内网异常ip发现技术 |
CN114143112B (zh) * | 2021-12-08 | 2024-03-29 | 赛尔网络有限公司 | 恶意攻击邮件分析方法、装置、设备及介质 |
CN114143112A (zh) * | 2021-12-08 | 2022-03-04 | 赛尔网络有限公司 | 恶意攻击邮件分析方法、装置、设备及介质 |
CN114003903A (zh) * | 2021-12-28 | 2022-02-01 | 北京微步在线科技有限公司 | 一种网络攻击追踪溯源方法及装置 |
CN114003903B (zh) * | 2021-12-28 | 2022-03-08 | 北京微步在线科技有限公司 | 一种网络攻击追踪溯源方法及装置 |
CN114006771B (zh) * | 2021-12-30 | 2022-03-29 | 北京微步在线科技有限公司 | 一种流量检测方法及装置 |
CN114006771A (zh) * | 2021-12-30 | 2022-02-01 | 北京微步在线科技有限公司 | 一种流量检测方法及装置 |
CN114553513A (zh) * | 2022-02-15 | 2022-05-27 | 北京华圣龙源科技有限公司 | 一种通信检测方法、装置及设备 |
CN115001868A (zh) * | 2022-08-01 | 2022-09-02 | 北京微步在线科技有限公司 | Apt攻击同源分析方法、装置、电子设备及存储介质 |
CN115001868B (zh) * | 2022-08-01 | 2022-10-11 | 北京微步在线科技有限公司 | Apt攻击同源分析方法、装置、电子设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106657025A (zh) | 网络攻击行为检测方法及装置 | |
Pilli et al. | Network forensic frameworks: Survey and research challenges | |
Zou et al. | The monitoring and early detection of internet worms | |
EP1887754B1 (en) | A system that provides early detection, alert, and response to electronic threats | |
US8171554B2 (en) | System that provides early detection, alert, and response to electronic threats | |
Vukalović et al. | Advanced persistent threats-detection and defense | |
CN105915532B (zh) | 一种失陷主机的识别方法及装置 | |
Ling et al. | TorWard: Discovery of malicious traffic over Tor | |
CN107888607A (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
CN111818103B (zh) | 一种网络靶场中基于流量的溯源攻击路径方法 | |
CN103561004A (zh) | 基于蜜网的协同式主动防御系统 | |
CN108134761A (zh) | 一种apt检测方法、系统及装置 | |
CN108965349A (zh) | 一种监测高级持续性网络攻击的方法和系统 | |
Sekar et al. | Toward a framework for internet forensic analysis | |
Chen et al. | Intrusion detection | |
CN105024977A (zh) | 基于数字水印和蜜罐技术的网络追踪系统 | |
Li et al. | The research and design of honeypot system applied in the LAN security | |
Bartwal et al. | Security orchestration, automation, and response engine for deployment of behavioural honeypots | |
Jeremiah | Intrusion detection system to enhance network security using raspberry pi honeypot in kali linux | |
Do Xuan et al. | Detecting C&C server in the APT attack based on network traffic using machine learning | |
Shrivastava et al. | Network forensics: Today and tomorrow | |
Sibiya et al. | Guidelines for procedures of a harmonised digital forensic process in network forensics | |
Hussain et al. | An adaptive SYN flooding attack mitigation in DDOS environment | |
Buric et al. | Challenges in network forensics | |
Sharma | Honeypots in Network Security |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20170510 |
|
WW01 | Invention patent application withdrawn after publication |