CN106790062A - 一种基于反向dns查询属性聚合的异常检测方法及系统 - Google Patents

一种基于反向dns查询属性聚合的异常检测方法及系统 Download PDF

Info

Publication number
CN106790062A
CN106790062A CN201611186125.3A CN201611186125A CN106790062A CN 106790062 A CN106790062 A CN 106790062A CN 201611186125 A CN201611186125 A CN 201611186125A CN 106790062 A CN106790062 A CN 106790062A
Authority
CN
China
Prior art keywords
address
inquiry
polymerization
target
attribute
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201611186125.3A
Other languages
English (en)
Other versions
CN106790062B (zh
Inventor
刘艇
王利明
罗熙
杨婧
张明扬
周晟
傅慧斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
Institute of Information Engineering of CAS
Information and Telecommunication Branch of State Grid Fujian Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
Institute of Information Engineering of CAS
Information and Telecommunication Branch of State Grid Fujian Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, Institute of Information Engineering of CAS, Information and Telecommunication Branch of State Grid Fujian Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN201611186125.3A priority Critical patent/CN106790062B/zh
Publication of CN106790062A publication Critical patent/CN106790062A/zh
Application granted granted Critical
Publication of CN106790062B publication Critical patent/CN106790062B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于反向DNS查询属性聚合的异常检测方法及系统,通过融合各种设备上反向DNS查询日志,可以快速检测网络的异常行为,比如网段被扫描的频率、垃圾邮件的肆虐程度。并且,反向DNS查询记录数据量较小,可避免大量日志造成设备拥塞,提高设备性能;通过不同设备的反向DNS查询记录,可以对整个监控网络全局进行掌控;反向DNS查询记录是攻击者无法控制日志信息的内容,攻击者无法隐藏其行为,日志记录内容的可靠性更高,可以更准确的反应整个网络的活动状态,从而可以更好的检测网络环境中的异常行为。

Description

一种基于反向DNS查询属性聚合的异常检测方法及系统
技术领域
本发明涉及网络安全和数据聚合领域,特别涉及一种基于反向DNS查询属性聚合的异常检测方法及系统。
背景技术
随着网络入侵和攻击行为正朝着分布化、规模化、复杂化、间接化等趋势发展,当前对安全产品技术提出更高的要求,急需一种高效的网络安全告警技术来提升安全产品的性能。
入侵检测是对入侵行为的检测,入侵检测系统通过收集网络及计算机系统内所有关键节点的信息,检查网络或系统中是否存在违反安全策略行为及被攻击迹象。入侵检测的数据来源是各种网络安全设备(如防火墙、IDS、IPS等)的日志,这些设备会实时的记录每个时间监测点目标网络的活动情况以便分析目标网络的运行情况。
当网络中存在大量攻击时(如攻击者发起拒绝服务攻击),网络安全设备会产生大量的日志,产生并处理这些日志本身就会对网络安全设备的性能造成巨大的影响。因此需要根据某些条件对这些日志进行聚合后再进行处理,这样可以减少大量重复的日志,减轻安全设备的负担,避免由于大量重复的日志而导致网络设备出现拥塞。
当前主要有两大类入侵检测技术,分别是基于误用技术、基于异常技术。基于误用技术是指,假设所有可能出现的网络攻击类别(“DoS”、“信息收集类攻击”、“信息欺骗类攻击”、“利用类攻击”)均已知,将待测记录来匹配这些已知网络攻击类别。基于误用技术的优势在于误报率较低、对于已知类别的网络攻击判断迅速,缺点是对于未知种类网络攻击的辩识率低下。基于异常技术是指,事先根据规则定义好“正常”网络行为的特征,将待测记录来匹配该特征,凡是不匹配的网络行为均认定为网络攻击。基于异常技术的优势在于漏报率较低、对于未知类别网络攻击的判断迅速,缺点是误报率偏高。“漏报”是指将本是攻击的网络行为认定为正常,“误报”是指将本是正常的网络行为认定为攻击。
由于发起者与许多目标主机进行交互,它们的目的有合法的(大的邮件列表或者网络爬虫)、恶意的(垃圾邮件)、或者在这两者之间(扫描和P2P)。我们的目标是对发起者进行推测和分类,并了解发起者与多少目标主机进行了交互。一个发起者是一个单一的IP,但是会与很多目标交互。应用程序类的研究表明,发起者与他们的目标是相互影响的。
发明内容
本发明所要解决的技术问题是:提供一种基于反向DNS查询属性聚合的异常检测方法及系统,只需要使用反向DNS查询记录,可以快速的检测异常,避免大量日志造成设备拥塞,提高设备性能。同时我们的方法是取决于被攻击的目标,是攻击者无法控制的,攻击者无法隐藏其行为,可以更好的检测网络环境中的异常行为。
为了实现上述目的,本发明采用以下技术方案:
一种基于反向DNS查询属性聚合的异常检测方法,具体步骤如下:
1)收集用户网络设备产生的DNS访问日志,将含有PTR字段的反向DNS查询日志过滤出来,并提取反向DNS查询日志的日志特征字段;
2)将提取的日志特征字段以目标IP地址为属性进行聚合,得到相应的聚合信息元组;
3)针对聚合信息元组提取特征向量;
4)根据提取出的特征向量及用户的网络历史数据,训练出正向模型;
5)使用正向模型检测目标IP地址是否存在异常。
更进一步,步骤1)中,所述日志特征字段包括反向DNS查询日志中的每一条访问记录的有效信息元组=<目标IP地址、查询IP地址>。
更进一步,步骤2)中所述聚合分为横向聚合和纵向聚合:
横向聚合是将具有相同目标IP地址的反向DNS查询日志聚合到一起,统计出对应的查询IP,之后根据统计出的查询IP确定查询IP的类型并标示,得到的横向聚合信息元组=<目标IP地址,[<查询IP,标识>]>;
纵向聚合是将具有相同目标IP地址的日志聚合到一起,统计出对应的查询IP以及每个查询IP出现的次数,得到的纵向聚合信息元组=<目标IP地址,[<查询IP,数量>]>。
更进一步,针对聚合信息元组提取特征向量包括:
3‐1)针对横向聚合信息元组提取属性特征,该步骤又包括:
3‐1‐1)统计查询目标IP地址的查询IP地址列表数量,得到查询IP查询方(Querier)数量和查询IP查询方(Querier)/24数量;
3‐1‐2)查询知识库,确认查询IP地址所使用的访问类型,统计单个目标IP地址所访问的类型的数量。
3‐2)针对纵向聚合信息元组提取属性特征,该步骤又包括:
3‐2‐1)计算出查询IP查询单个目标IP地址次数的最大值。
3‐2‐2)计算出查询IP查询单个目标IP地址次数的最小值。
3‐2‐3)计算出所有查询IP查询目标IP地址次数的均值,用来度量访问流量的整体情况。
3‐2‐4)计算出所有查询IP查询目标IP地址次数的中位数,用来度量访问流量的综合情况。
3‐2‐5)计算出所有查询IP查询目标IP地址次数的方差,用来度量访问流量的整体波动状态。
3‐3)提取横向聚合属性特征和纵向聚合属性特征的特征向量。
更进一步,步骤3-1-2)中,查询IP地址所使用的访问类型包括:
A.邮件服务器:发送邮件到大型的邮件列表和邮件服务的服务器。
B.IDS:入侵检测系统。
C.防火墙:安装防火墙的服务器和电脑。
D.电脑:普通使用的台式机和笔记本。
本发明还提出了一种基于反向DNS查询属性聚合的异常检测系统,包括:
日志收集提取模块,用于收集DNS日志,提取DNS日志中含有PTR字段的反向DNS查询日志,并从反向DNS查询日志中提取日志特征字段。
数据聚合模块,用于将提取的日志特征字段以目标IP地址为属性进行聚合,得到相应的聚合信息元组。
特征提取模块,用于提取聚合后信息元组的特征向量。
数据训练模块,用于使用提取出的特征向量及网络内的历史数据,训练出正向模型。
异常检测模块,用于使用正向模型检测目标IP地址是否存在异常行为。
更进一步,所述日志特征字段包括反向DNS查询日志中的每一条访问记录的有效信息元组=<目标IP地址、查询IP地址>。
更进一步,所述聚合信息元组包括横向聚合信息元组=<目标IP地址,[<查询IP,标识>]>和纵向聚合信息元组=<目标IP地址,[<查询IP,数量>]>。
更进一步,所述横向聚合信息元组的特征向量包括:查询IP查询方数量,查询IP查询方/24数量,单个目标IP地址所访问的类型的数量;所述纵向聚合信息元组的特征向量包括:查询IP查询单个目标IP地址次数的最大值和最小值,所有查询IP查询目标IP地址次数的均值,中位数和方差。
本文发明的有益效果如下:
本发明与正向DNS查询不同的是,反向DNS查询是为了获得指定IP对应的域名。这种查询常用于核实指定IP的身份,例如邮件服务器会通过反向DNS查询来验证对方是否同为邮件服务器,IDS会利用反向DNS查询核实某些异常IP(网络爬虫、扫描器)的可靠性,以及一些管理系统反向查询目标IP来记录访问信息。通过融合各种设备上反向DNS查询日志,可以检测网络的异常行为,比如网段被扫描的频率、垃圾邮件的肆虐程度。并且,从反向DNS查询这个角度进行网络的异常行为检测具有以下优势:首先,反向DNS查询记录数据量较小;其次,通过不同设备的反向DNS查询记录,可以对整个监控网络全局进行掌控;最后,反向DNS查询记录是攻击者无法控制日志信息的内容,日志记录内容的可靠性更高,可以更准确的反应整个网络的活动状态。
附图说明
图1为本发明基于反向DNS查询属性聚合的异常检测方法及系统的整体技术架构示意图。
图2为本发明基于反向DNS查询属性聚合的异常检测方法及系统的数据聚合流程示意图。
图3为本发明基于反向DNS查询属性聚合的异常检测方法及系统的数据特征向量提取流程示意图。
具体实施方式
下面结合附图和具体实施方式对本发明作更加详细的描述:
如图1所示,基于反向DNS查询属性聚合的异常检测方法包括日志收集提取、数据聚合、特征向量提取、模型训练、异常检测五个部分。
具体地,首先进行日志收集提取,将含有PTR字段的DNS日志过滤出来,然后收集过滤之后的反向DNS查询日志,提取DNS访问数据中的每一条访问记录的有效信息元组Info=<目标IP地址、查询IP地址>。
然后进行数据聚合,在本发明方案中,首先收集网络安全设备中产生的反向DNS查询日志,提取日志特征之后,基于目标IP地址的属性对日志进行聚合,如图2所示,分为横向聚合和纵向聚合两个过程,横向聚合的具体流程如下:
1)统计{<目标IP地址1,查询IP地址1>,<目标IP地址1,查询IP地址2>,<目标IP地址2,查询IP地址2>,…};
2)根据目标IP地址进行属性聚合,将具有相同目标IP地址的日志聚合到一起,统计出所对应的查询IP<目标IP地址,(查询IP1,查询IP2,…)>,根据统计出的查询IP,查询对应的知识库,确定查询IP的类型,并标示,得到横向聚合信息元组I1=<目标IP地址,[<查询IP,标识>]>;
纵向聚合具体流程如下:
1)统计{<目标IP地址1,查询IP地址1>,<目标IP地址1,查询IP地址2>,<目标IP地址2,查询IP地址2>,…};
2)根据目标IP地址进行属性聚合,对查询同一个目标IP地址的相同查询IP地址,进行计数+1。得到纵向聚合信息元组I2=<目标IP地址,[<查询IP,数量>]>;
再然后分别针对聚合得到的信息元组提取出特征向量V,如图3所示,具体流程如下:
a)横向聚合是为了得到查询IP的分布,建立查询IP的广度信息。
1)统计查询目标IP地址的查询IP地址列表数量,得到查询IP查询方数量Q1和查询IP查询方/24数量Q2;
2)查询知识库,确认查询IP地址所使用的访问类型(主要有A-D这几种类型),统计单个目标IP地址所访问的类型的数量(T1,T2,T3,T4)。
A.邮件服务器(T1):发送邮件到大型的邮件列表和邮件服务的服务器。
B.IDS(T2):入侵检测系统。
C.防火墙(T3):安装防火墙的服务器和电脑。
D.电脑(T4):普通使用的台式机和笔记本。
3)得到横向聚合属性特征向量(Q1,Q2,T1,T2,T3,T4)。这些特征体现了一个目标IP访问了整个企业网络的整体情况。Q1表示了目标IP访问了n个IP的数量,Q2表示了目标IP访问了n个IP地址段的数量,T1,T2,T3,T4分别表示了目标IP访问了企业内部不同的服务类型。
b)纵向聚合是为得到查询IP查询的频率,建立查询IP的流量信息。
1)计算出查询IP查询单个目标IP地址次数的最大值Max。
2)计算出查询IP查询单个目标IP地址次数的最小值Min。
3)计算出所有查询IP查询目标IP地址次数的均值N,用来度量访问流量的整体情况。
4)计算出所有查询IP查询目标IP地址次数的中位数Med,用来度量访问流量的综合情况。
5)计算出所有查询IP查询目标IP地址次数的方差P,用来度量访问流量的整体波动状态。
6)得到纵向聚合属性特征向量(Max,Min,N,Med,P)。
c)提取横向聚合和纵向聚合的属性特征向量V=(Q1,Q2,T1,T2,T3,T4,Max,Min,N,Med,P)。
最后使用提取出的特征向量结合一个月的历史数据训练出正向模型M,当检测目标IP的特征向量不符合训练出的正向模型M时,则存在异常行为。

Claims (10)

1.一种基于反向DNS查询属性聚合的异常检测方法,具体步骤如下:
1)收集用户网络设备产生的DNS访问日志,将含有PTR字段的反向DNS查询日志过滤出来,并提取反向DNS查询日志的日志特征字段;
2)将提取的日志特征字段以目标IP地址为属性进行聚合,得到相应的聚合信息元组;
3)针对聚合信息元组提取特征向量;
4)根据提取出的特征向量及用户的网络历史数据,训练出正向模型;
5)使用正向模型检测目标IP地址是否存在异常。
2.如权利要求1所述的一种基于反向DNS查询属性聚合的异常检测方法,其特征在于,步骤1)中,所述日志特征字段包括反向DNS查询日志中的每一条访问记录的有效信息元组=<目标IP地址、查询IP地址>。
3.如权利要求1所述的一种基于反向DNS查询属性聚合的异常检测方法,其特征在于,步骤2)中所述聚合分为横向聚合和纵向聚合:
横向聚合是将具有相同目标IP地址的反向DNS查询日志聚合到一起,统计出对应的查询IP,之后根据统计出的查询IP确定查询IP的类型并标示,得到的横向聚合信息元组=<目标IP地址,[<查询IP,标识>]>;
纵向聚合是将具有相同目标IP地址的日志聚合到一起,统计出对应的查询IP以及每个查询IP出现的次数,得到的纵向聚合信息元组=<目标IP地址,[<查询IP,数量>]>。
4.如权利要求3所述的一种基于反向DNS查询属性聚合的异常检测方法,其特征在于,针对聚合信息元组提取特征向量包括:
3‐1)针对横向聚合信息元组提取属性特征,该步骤又包括:
3‐1‐1)统计查询目标IP地址的查询IP地址列表数量,得到查询IP查询方数量和查询IP查询方/24数量;
3‐1‐2)查询知识库,确认查询IP地址所使用的访问类型,统计单个目标IP地址所访问的类型的数量;
3‐2)针对纵向聚合信息元组提取属性特征,该步骤又包括:
3‐2‐1)计算出查询IP查询单个目标IP地址次数的最大值;
3‐2‐2)计算出查询IP查询单个目标IP地址次数的最小值;
3‐2‐3)计算出所有查询IP查询目标IP地址次数的均值;
3‐2‐4)计算出所有查询IP查询目标IP地址次数的中位数;
3‐2‐5)计算出所有查询IP查询目标IP地址次数的方差;
3‐3)提取横向聚合属性特征和纵向聚合属性特征的特征向量。
5.如权利要求4所述的一种基于反向DNS查询属性聚合的异常检测方法,其特征在于,步骤3-1-2)中,查询IP地址所使用的访问类型包括邮件服务器,IDS,防火墙和电脑。
6.一种基于反向DNS查询属性聚合的异常检测系统,包括:
日志收集提取模块,用于收集DNS日志,提取DNS日志中含有PTR字段的反向DNS查询日志,并从反向DNS查询日志中提取日志特征字段;
数据聚合模块,用于将提取的日志特征字段以目标IP地址为属性进行聚合,得到相应的聚合信息元组;
特征提取模块,用于提取聚合后信息元组的特征向量;
数据训练模块,用于使用提取出的特征向量及网络历史数据,训练出正向模型;
异常检测模块,用于使用正向模型检测目标IP地址是否存在异常行为。
7.如权利要求6所述的一种基于反向DNS查询属性聚合的异常检测系统,其特征在于,所述日志特征字段包括反向DNS查询日志中的每一条访问记录的有效信息元组=<目标IP地址、查询IP地址>。
8.如权利要求6所述的一种基于反向DNS查询属性聚合的异常检测系统,其特征在于,所述聚合信息元组包括横向聚合信息元组=<目标IP地址,[<查询IP,标识>]>和纵向聚合信息元组=<目标IP地址,[<查询IP,数量>]>。
9.如权利要求6所述的一种基于反向DNS查询属性聚合的异常检测系统,其特征在于,所述横向聚合信息元组的特征向量包括:查询IP查询方数量,查询IP查询方/24数量,单个目标IP地址所访问的类型的数量;所述纵向聚合信息元组的特征向量包括:查询IP查询单个目标IP地址次数的最大值和最小值,所有查询IP查询目标IP地址次数的均值,中位数和方差。
10.如权利要求9所述的一种基于反向DNS查询属性聚合的异常检测系统,其特征在于,查询IP地址所使用的访问类型包括邮件服务器,IDS,防火墙和电脑。
CN201611186125.3A 2016-12-20 2016-12-20 一种基于反向dns查询属性聚合的异常检测方法及系统 Expired - Fee Related CN106790062B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611186125.3A CN106790062B (zh) 2016-12-20 2016-12-20 一种基于反向dns查询属性聚合的异常检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611186125.3A CN106790062B (zh) 2016-12-20 2016-12-20 一种基于反向dns查询属性聚合的异常检测方法及系统

Publications (2)

Publication Number Publication Date
CN106790062A true CN106790062A (zh) 2017-05-31
CN106790062B CN106790062B (zh) 2020-05-08

Family

ID=58896146

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611186125.3A Expired - Fee Related CN106790062B (zh) 2016-12-20 2016-12-20 一种基于反向dns查询属性聚合的异常检测方法及系统

Country Status (1)

Country Link
CN (1) CN106790062B (zh)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108228834A (zh) * 2018-01-04 2018-06-29 北京奇艺世纪科技有限公司 互联网协议地址的查询及存储方法、装置和电子设备
CN110401626A (zh) * 2019-03-14 2019-11-01 腾讯科技(深圳)有限公司 一种黑客攻击分级检测方法及装置
CN110474905A (zh) * 2019-08-16 2019-11-19 北京百度网讯科技有限公司 实体识别方法、装置、电子设备和存储介质
CN111049784A (zh) * 2018-10-12 2020-04-21 北京奇虎科技有限公司 一种网络攻击的检测方法、装置、设备及存储介质
CN111859069A (zh) * 2020-07-15 2020-10-30 北京市燃气集团有限责任公司 一种网络恶意爬虫识别方法、系统、终端及存储介质
CN113032242A (zh) * 2019-12-25 2021-06-25 阿里巴巴集团控股有限公司 数据标记方法及装置,计算机存储介质和电子设备
CN113904843A (zh) * 2021-10-08 2022-01-07 成都天空卫士网络安全技术有限公司 一种终端异常dns行为的分析方法和装置
CN114221809A (zh) * 2021-12-14 2022-03-22 北方工业大学 一种抗异常数据且保隐私的数据聚合系统及方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102685145A (zh) * 2012-05-28 2012-09-19 西安交通大学 一种基于dns数据包的僵尸网络域名发现方法
US20130268675A1 (en) * 2012-04-05 2013-10-10 Institute For Information Industry Method and System for Tracing Domain Names and Computer Readable Storage Medium Storing the Method
CN104348794A (zh) * 2013-07-30 2015-02-11 深圳市腾讯计算机系统有限公司 网络层ddos攻击源识别方法、装置及系统
CN104601556A (zh) * 2014-12-30 2015-05-06 中国科学院信息工程研究所 一种面向web的攻击检测方法及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130268675A1 (en) * 2012-04-05 2013-10-10 Institute For Information Industry Method and System for Tracing Domain Names and Computer Readable Storage Medium Storing the Method
CN102685145A (zh) * 2012-05-28 2012-09-19 西安交通大学 一种基于dns数据包的僵尸网络域名发现方法
CN104348794A (zh) * 2013-07-30 2015-02-11 深圳市腾讯计算机系统有限公司 网络层ddos攻击源识别方法、装置及系统
CN104601556A (zh) * 2014-12-30 2015-05-06 中国科学院信息工程研究所 一种面向web的攻击检测方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
王文鹏: "混合入侵检测模型及关键算法的研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》 *

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108228834B (zh) * 2018-01-04 2022-12-02 北京奇艺世纪科技有限公司 互联网协议地址的查询及存储方法、装置和电子设备
CN108228834A (zh) * 2018-01-04 2018-06-29 北京奇艺世纪科技有限公司 互联网协议地址的查询及存储方法、装置和电子设备
CN111049784A (zh) * 2018-10-12 2020-04-21 北京奇虎科技有限公司 一种网络攻击的检测方法、装置、设备及存储介质
CN110401626A (zh) * 2019-03-14 2019-11-01 腾讯科技(深圳)有限公司 一种黑客攻击分级检测方法及装置
CN110401626B (zh) * 2019-03-14 2022-02-18 腾讯科技(深圳)有限公司 一种黑客攻击分级检测方法及装置
CN110474905A (zh) * 2019-08-16 2019-11-19 北京百度网讯科技有限公司 实体识别方法、装置、电子设备和存储介质
CN110474905B (zh) * 2019-08-16 2022-03-01 北京百度网讯科技有限公司 实体识别方法、装置、电子设备和存储介质
CN113032242A (zh) * 2019-12-25 2021-06-25 阿里巴巴集团控股有限公司 数据标记方法及装置,计算机存储介质和电子设备
CN113032242B (zh) * 2019-12-25 2024-02-09 阿里巴巴集团控股有限公司 数据标记方法及装置,计算机存储介质和电子设备
CN111859069A (zh) * 2020-07-15 2020-10-30 北京市燃气集团有限责任公司 一种网络恶意爬虫识别方法、系统、终端及存储介质
CN113904843A (zh) * 2021-10-08 2022-01-07 成都天空卫士网络安全技术有限公司 一种终端异常dns行为的分析方法和装置
CN113904843B (zh) * 2021-10-08 2023-11-14 成都天空卫士网络安全技术有限公司 一种终端异常dns行为的分析方法和装置
CN114221809B (zh) * 2021-12-14 2024-01-26 北方工业大学 一种抗异常数据且保隐私的数据聚合系统及方法
CN114221809A (zh) * 2021-12-14 2022-03-22 北方工业大学 一种抗异常数据且保隐私的数据聚合系统及方法

Also Published As

Publication number Publication date
CN106790062B (zh) 2020-05-08

Similar Documents

Publication Publication Date Title
CN106790062A (zh) 一种基于反向dns查询属性聚合的异常检测方法及系统
US9032521B2 (en) Adaptive cyber-security analytics
CN108737439B (zh) 一种基于自反馈学习的大规模恶意域名检测系统及方法
CN110830490B (zh) 基于带对抗训练深度网络的恶意域名检测方法及系统
CN106850647B (zh) 基于dns请求周期的恶意域名检测算法
CN101841533A (zh) 分布式拒绝服务攻击检测方法和装置
CN103297433A (zh) 基于网络数据流的http僵尸网络检测方法及系统
CN111131247B (zh) 一种车载内部网络入侵检测系统
CN104135474A (zh) 基于主机出入度的网络异常行为检测方法
CN107070930A (zh) 一种面向主机的可疑网络连接识别方法
CN105743880A (zh) 一种数据分析系统
CN104901962B (zh) 一种网页攻击数据的检测方法及装置
CN108270722A (zh) 一种攻击行为检测方法和装置
CN110602109A (zh) 一种基于多特征熵的应用层DDoS攻击检测与防御方法
CN107231383A (zh) Cc攻击的检测方法及装置
CN113709176A (zh) 基于安全云平台的威胁检测与响应方法及系统
CN106973051A (zh) 建立检测网络威胁模型的方法、装置、存储介质和处理器
CN104021348A (zh) 一种隐匿p2p程序实时检测方法及系统
RU180789U1 (ru) Устройство аудита информационной безопасности в автоматизированных системах
CN111565201B (zh) 一种基于多属性的工业互联网安全评估方法及系统
Phutane et al. A survey of intrusion detection system using different data mining techniques
TW202008758A (zh) 分散式網路流分析惡意行為偵測系統與其方法
Yang et al. [Retracted] Computer User Behavior Anomaly Detection Based on K‐Means Algorithm
CN101197810A (zh) 一种实时检测蠕虫的方法
CN110611636B (zh) 一种基于大数据算法的失陷主机检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20200508

Termination date: 20201220

CF01 Termination of patent right due to non-payment of annual fee