CN106790062B - 一种基于反向dns查询属性聚合的异常检测方法及系统 - Google Patents
一种基于反向dns查询属性聚合的异常检测方法及系统 Download PDFInfo
- Publication number
- CN106790062B CN106790062B CN201611186125.3A CN201611186125A CN106790062B CN 106790062 B CN106790062 B CN 106790062B CN 201611186125 A CN201611186125 A CN 201611186125A CN 106790062 B CN106790062 B CN 106790062B
- Authority
- CN
- China
- Prior art keywords
- address
- query
- target
- aggregation
- reverse dns
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 230000002776 aggregation Effects 0.000 title claims abstract description 57
- 238000004220 aggregation Methods 0.000 title claims abstract description 57
- 238000001514 detection method Methods 0.000 title claims abstract description 27
- 206010000117 Abnormal behaviour Diseases 0.000 claims abstract description 7
- 239000013598 vector Substances 0.000 claims description 24
- 238000000034 method Methods 0.000 claims description 10
- 238000000605 extraction Methods 0.000 claims description 8
- 238000012549 training Methods 0.000 claims description 8
- 230000004931 aggregating effect Effects 0.000 claims description 6
- 238000001914 filtration Methods 0.000 claims description 2
- 230000006399 behavior Effects 0.000 abstract description 10
- 230000000694 effects Effects 0.000 abstract description 3
- 238000012544 monitoring process Methods 0.000 abstract description 3
- 238000005516 engineering process Methods 0.000 description 9
- 239000003999 initiator Substances 0.000 description 5
- 238000006116 polymerization reaction Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于反向DNS查询属性聚合的异常检测方法及系统,通过融合各种设备上反向DNS查询日志,可以快速检测网络的异常行为,比如网段被扫描的频率、垃圾邮件的肆虐程度。并且,反向DNS查询记录数据量较小,可避免大量日志造成设备拥塞,提高设备性能;通过不同设备的反向DNS查询记录,可以对整个监控网络全局进行掌控;反向DNS查询记录是攻击者无法控制日志信息的内容,攻击者无法隐藏其行为,日志记录内容的可靠性更高,可以更准确的反应整个网络的活动状态,从而可以更好的检测网络环境中的异常行为。
Description
技术领域
本发明涉及网络安全和数据聚合领域,特别涉及一种基于反向DNS查询属性聚合的异常检测方法及系统。
背景技术
随着网络入侵和攻击行为正朝着分布化、规模化、复杂化、间接化等趋势发展,当前对安全产品技术提出更高的要求,急需一种高效的网络安全告警技术来提升安全产品的性能。
入侵检测是对入侵行为的检测,入侵检测系统通过收集网络及计算机系统内所有关键节点的信息,检查网络或系统中是否存在违反安全策略行为及被攻击迹象。入侵检测的数据来源是各种网络安全设备(如防火墙、IDS、IPS等)的日志,这些设备会实时的记录每个时间监测点目标网络的活动情况以便分析目标网络的运行情况。
当网络中存在大量攻击时(如攻击者发起拒绝服务攻击),网络安全设备会产生大量的日志,产生并处理这些日志本身就会对网络安全设备的性能造成巨大的影响。因此需要根据某些条件对这些日志进行聚合后再进行处理,这样可以减少大量重复的日志,减轻安全设备的负担,避免由于大量重复的日志而导致网络设备出现拥塞。
当前主要有两大类入侵检测技术,分别是基于误用技术、基于异常技术。基于误用技术是指,假设所有可能出现的网络攻击类别(“DoS”、“信息收集类攻击”、“信息欺骗类攻击”、“利用类攻击”)均已知,将待测记录来匹配这些已知网络攻击类别。基于误用技术的优势在于误报率较低、对于已知类别的网络攻击判断迅速,缺点是对于未知种类网络攻击的辩识率低下。基于异常技术是指,事先根据规则定义好“正常”网络行为的特征,将待测记录来匹配该特征,凡是不匹配的网络行为均认定为网络攻击。基于异常技术的优势在于漏报率较低、对于未知类别网络攻击的判断迅速,缺点是误报率偏高。“漏报”是指将本是攻击的网络行为认定为正常,“误报”是指将本是正常的网络行为认定为攻击。
由于发起者与许多目标主机进行交互,它们的目的有合法的(大的邮件列表或者网络爬虫)、恶意的(垃圾邮件)、或者在这两者之间(扫描和P2P)。我们的目标是对发起者进行推测和分类,并了解发起者与多少目标主机进行了交互。一个发起者是一个单一的IP,但是会与很多目标交互。应用程序类的研究表明,发起者与他们的目标是相互影响的。
发明内容
本发明所要解决的技术问题是:提供一种基于反向DNS查询属性聚合的异常检测方法及系统,只需要使用反向DNS查询记录,可以快速的检测异常,避免大量日志造成设备拥塞,提高设备性能。同时我们的方法是取决于被攻击的目标,是攻击者无法控制的,攻击者无法隐藏其行为,可以更好的检测网络环境中的异常行为。
为了实现上述目的,本发明采用以下技术方案:
一种基于反向DNS查询属性聚合的异常检测方法,具体步骤如下:
1)收集用户网络设备产生的DNS访问日志,将含有PTR字段的反向DNS查询日志过滤出来,并提取反向DNS查询日志的日志特征字段;
2)将提取的日志特征字段以目标IP地址为属性进行聚合,得到相应的聚合信息元组;
3)针对聚合信息元组提取特征向量;
4)根据提取出的特征向量及用户的网络历史数据,训练出正向模型;
5)使用正向模型检测目标IP地址是否存在异常。
更进一步,步骤1)中,所述日志特征字段包括反向DNS查询日志中的每一条访问记录的有效信息元组=<目标IP地址、查询IP地址>。
更进一步,步骤2)中所述聚合分为横向聚合和纵向聚合:
横向聚合是将具有相同目标IP地址的反向DNS查询日志聚合到一起,统计出对应的查询IP,之后根据统计出的查询IP确定查询IP的类型并标示,得到的横向聚合信息元组=<目标IP地址,[<查询IP,标识>]>;
纵向聚合是将具有相同目标IP地址的日志聚合到一起,统计出对应的查询IP以及每个查询IP出现的次数,得到的纵向聚合信息元组=<目标IP地址,[<查询IP,数量>]>。
更进一步,针对聚合信息元组提取特征向量包括:
3‐1)针对横向聚合信息元组提取属性特征,该步骤又包括:
3‐1‐1)统计查询目标IP地址的查询IP地址列表数量,得到查询IP查询方(Querier)数量和查询IP查询方(Querier)/24数量;
3‐1‐2)查询知识库,确认查询IP地址所使用的访问类型,统计单个目标IP地址所访问的类型的数量。
3‐2)针对纵向聚合信息元组提取属性特征,该步骤又包括:
3‐2‐1)计算出查询IP查询单个目标IP地址次数的最大值。
3‐2‐2)计算出查询IP查询单个目标IP地址次数的最小值。
3‐2‐3)计算出所有查询IP查询目标IP地址次数的均值,用来度量访问流量的整体情况。
3‐2‐4)计算出所有查询IP查询目标IP地址次数的中位数,用来度量访问流量的综合情况。
3‐2‐5)计算出所有查询IP查询目标IP地址次数的方差,用来度量访问流量的整体波动状态。
3‐3)提取横向聚合属性特征和纵向聚合属性特征的特征向量。
更进一步,步骤3-1-2)中,查询IP地址所使用的访问类型包括:
A.邮件服务器:发送邮件到大型的邮件列表和邮件服务的服务器。
B.IDS:入侵检测系统。
C.防火墙:安装防火墙的服务器和电脑。
D.电脑:普通使用的台式机和笔记本。
本发明还提出了一种基于反向DNS查询属性聚合的异常检测系统,包括:
日志收集提取模块,用于收集DNS日志,提取DNS日志中含有PTR字段的反向DNS查询日志,并从反向DNS查询日志中提取日志特征字段。
数据聚合模块,用于将提取的日志特征字段以目标IP地址为属性进行聚合,得到相应的聚合信息元组。
特征提取模块,用于提取聚合后信息元组的特征向量。
数据训练模块,用于使用提取出的特征向量及网络内的历史数据,训练出正向模型。
异常检测模块,用于使用正向模型检测目标IP地址是否存在异常行为。
更进一步,所述日志特征字段包括反向DNS查询日志中的每一条访问记录的有效信息元组=<目标IP地址、查询IP地址>。
更进一步,所述聚合信息元组包括横向聚合信息元组=<目标IP地址,[<查询IP,标识>]>和纵向聚合信息元组=<目标IP地址,[<查询IP,数量>]>。
更进一步,所述横向聚合信息元组的特征向量包括:查询IP查询方数量,查询IP查询方/24数量,单个目标IP地址所访问的类型的数量;所述纵向聚合信息元组的特征向量包括:查询IP查询单个目标IP地址次数的最大值和最小值,所有查询IP查询目标IP地址次数的均值,中位数和方差。
本文发明的有益效果如下:
本发明与正向DNS查询不同的是,反向DNS查询是为了获得指定IP对应的域名。这种查询常用于核实指定IP的身份,例如邮件服务器会通过反向DNS查询来验证对方是否同为邮件服务器,IDS会利用反向DNS查询核实某些异常IP(网络爬虫、扫描器)的可靠性,以及一些管理系统反向查询目标IP来记录访问信息。通过融合各种设备上反向DNS查询日志,可以检测网络的异常行为,比如网段被扫描的频率、垃圾邮件的肆虐程度。并且,从反向DNS查询这个角度进行网络的异常行为检测具有以下优势:首先,反向DNS查询记录数据量较小;其次,通过不同设备的反向DNS查询记录,可以对整个监控网络全局进行掌控;最后,反向DNS查询记录是攻击者无法控制日志信息的内容,日志记录内容的可靠性更高,可以更准确的反应整个网络的活动状态。
附图说明
图1为本发明基于反向DNS查询属性聚合的异常检测方法及系统的整体技术架构示意图。
图2为本发明基于反向DNS查询属性聚合的异常检测方法及系统的数据聚合流程示意图。
图3为本发明基于反向DNS查询属性聚合的异常检测方法及系统的数据特征向量提取流程示意图。
具体实施方式
下面结合附图和具体实施方式对本发明作更加详细的描述:
如图1所示,基于反向DNS查询属性聚合的异常检测方法包括日志收集提取、数据聚合、特征向量提取、模型训练、异常检测五个部分。
具体地,首先进行日志收集提取,将含有PTR字段的DNS日志过滤出来,然后收集过滤之后的反向DNS查询日志,提取DNS访问数据中的每一条访问记录的有效信息元组Info=<目标IP地址、查询IP地址>。
然后进行数据聚合,在本发明方案中,首先收集网络安全设备中产生的反向DNS查询日志,提取日志特征之后,基于目标IP地址的属性对日志进行聚合,如图2所示,分为横向聚合和纵向聚合两个过程,横向聚合的具体流程如下:
1)统计{<目标IP地址1,查询IP地址1>,<目标IP地址1,查询IP地址2>,<目标IP地址2,查询IP地址2>,…};
2)根据目标IP地址进行属性聚合,将具有相同目标IP地址的日志聚合到一起,统计出所对应的查询IP<目标IP地址,(查询IP1,查询IP2,…)>,根据统计出的查询IP,查询对应的知识库,确定查询IP的类型,并标示,得到横向聚合信息元组I1=<目标IP地址,[<查询IP,标识>]>;
纵向聚合具体流程如下:
1)统计{<目标IP地址1,查询IP地址1>,<目标IP地址1,查询IP地址2>,<目标IP地址2,查询IP地址2>,…};
2)根据目标IP地址进行属性聚合,对查询同一个目标IP地址的相同查询IP地址,进行计数+1。得到纵向聚合信息元组I2=<目标IP地址,[<查询IP,数量>]>;
再然后分别针对聚合得到的信息元组提取出特征向量V,如图3所示,具体流程如下:
a)横向聚合是为了得到查询IP的分布,建立查询IP的广度信息。
1)统计查询目标IP地址的查询IP地址列表数量,得到查询IP查询方数量Q1和查询IP查询方/24数量Q2;
2)查询知识库,确认查询IP地址所使用的访问类型(主要有A-D这几种类型),统计单个目标IP地址所访问的类型的数量(T1,T2,T3,T4)。
A.邮件服务器(T1):发送邮件到大型的邮件列表和邮件服务的服务器。
B.IDS(T2):入侵检测系统。
C.防火墙(T3):安装防火墙的服务器和电脑。
D.电脑(T4):普通使用的台式机和笔记本。
3)得到横向聚合属性特征向量(Q1,Q2,T1,T2,T3,T4)。这些特征体现了一个目标IP访问了整个企业网络的整体情况。Q1表示了目标IP访问了n个IP的数量,Q2表示了目标IP访问了n个IP地址段的数量,T1,T2,T3,T4分别表示了目标IP访问了企业内部不同的服务类型。
b)纵向聚合是为得到查询IP查询的频率,建立查询IP的流量信息。
1)计算出查询IP查询单个目标IP地址次数的最大值Max。
2)计算出查询IP查询单个目标IP地址次数的最小值Min。
3)计算出所有查询IP查询目标IP地址次数的均值N,用来度量访问流量的整体情况。
4)计算出所有查询IP查询目标IP地址次数的中位数Med,用来度量访问流量的综合情况。
5)计算出所有查询IP查询目标IP地址次数的方差P,用来度量访问流量的整体波动状态。
6)得到纵向聚合属性特征向量(Max,Min,N,Med,P)。
c)提取横向聚合和纵向聚合的属性特征向量V=(Q1,Q2,T1,T2,T3,T4,Max,Min,N,Med,P)。
最后使用提取出的特征向量结合一个月的历史数据训练出正向模型M,当检测目标IP的特征向量不符合训练出的正向模型M时,则存在异常行为。
Claims (10)
1.一种基于反向DNS查询属性聚合的异常检测方法,具体步骤如下:
1)收集用户网络设备产生的DNS访问日志,将含有PTR字段的反向DNS查询日志过滤出来,并提取反向DNS查询日志的日志特征字段;
2)将提取的日志特征字段以目标IP地址为属性进行聚合,得到相应的聚合信息元组;
3)针对聚合信息元组提取特征向量;
4)根据提取出的特征向量及用户的网络历史数据,训练出正向模型;
5)使用正向模型检测目标IP地址是否存在异常。
2.如权利要求1所述的一种基于反向DNS查询属性聚合的异常检测方法,其特征在于,步骤1)中,所述日志特征字段包括反向DNS查询日志中的每一条访问记录的有效信息元组=<目标IP地址、查询IP地址>。
3.如权利要求1所述的一种基于反向DNS查询属性聚合的异常检测方法,其特征在于,步骤2)中所述聚合分为横向聚合和纵向聚合:
横向聚合是将具有相同目标IP地址的反向DNS查询日志聚合到一起,统计出对应的查询IP,之后根据统计出的查询IP确定查询IP的类型并标示,得到的横向聚合信息元组=<目标IP地址,[<查询IP,标识>]>;
纵向聚合是将具有相同目标IP地址的反向DNS查询日志聚合到一起,统计出对应的查询IP以及每个查询IP出现的次数,得到的纵向聚合信息元组=<目标IP地址,[<查询IP,数量>]>。
4.如权利要求3所述的一种基于反向DNS查询属性聚合的异常检测方法,其特征在于,针对聚合信息元组提取特征向量包括:
3-1)针对横向聚合信息元组提取属性特征,该步骤又包括:
3-1-1)统计查询目标IP地址的查询IP地址列表数量,得到查询IP查询方数量和查询IP查询方/24数量;
3-1-2)查询知识库,确认查询IP地址所使用的访问类型,统计单个目标IP地址所访问的类型的数量;
3-2)针对纵向聚合信息元组提取属性特征,该步骤又包括:
3-2-1)计算出查询IP查询单个目标IP地址次数的最大值;
3-2-2)计算出查询IP查询单个目标IP地址次数的最小值;
3-2-3)计算出所有查询IP查询目标IP地址次数的均值;
3-2-4)计算出所有查询IP查询目标IP地址次数的中位数;
3-2-5)计算出所有查询IP查询目标IP地址次数的方差;
3-3)提取横向聚合属性特征和纵向聚合属性特征的特征向量。
5.如权利要求4所述的一种基于反向DNS查询属性聚合的异常检测方法,其特征在于,步骤3-1-2)中,查询IP地址所使用的访问类型包括邮件服务器,IDS,防火墙和电脑。
6.一种基于反向DNS查询属性聚合的异常检测系统,包括:
日志收集提取模块,用于收集DNS日志,提取DNS日志中含有PTR字段的反向DNS查询日志,并从反向DNS查询日志中提取日志特征字段;
数据聚合模块,用于将提取的日志特征字段以目标IP地址为属性进行聚合,得到相应的聚合信息元组;
特征提取模块,用于提取聚合后信息元组的特征向量;
数据训练模块,用于使用提取出的特征向量及网络历史数据,训练出正向模型;
异常检测模块,用于使用正向模型检测目标IP地址是否存在异常行为。
7.如权利要求6所述的一种基于反向DNS查询属性聚合的异常检测系统,其特征在于,所述日志特征字段包括反向DNS查询日志中的每一条访问记录的有效信息元组=<目标IP地址、查询IP地址>。
8.如权利要求6所述的一种基于反向DNS查询属性聚合的异常检测系统,其特征在于,所述聚合信息元组包括横向聚合信息元组=<目标IP地址,[<查询IP,标识>]>和纵向聚合信息元组=<目标IP地址,[<查询IP,数量>]>。
9.如权利要求8所述的一种基于反向DNS查询属性聚合的异常检测系统,其特征在于,所述横向聚合信息元组的特征向量包括:查询IP查询方数量,查询IP查询方/24数量,单个目标IP地址所访问的类型的数量;所述纵向聚合信息元组的特征向量包括:查询IP查询单个目标IP地址次数的最大值和最小值,所有查询IP查询目标IP地址次数的均值,中位数和方差。
10.如权利要求9所述的一种基于反向DNS查询属性聚合的异常检测系统,其特征在于,查询IP地址所使用的访问类型包括邮件服务器,IDS,防火墙和电脑。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611186125.3A CN106790062B (zh) | 2016-12-20 | 2016-12-20 | 一种基于反向dns查询属性聚合的异常检测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611186125.3A CN106790062B (zh) | 2016-12-20 | 2016-12-20 | 一种基于反向dns查询属性聚合的异常检测方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106790062A CN106790062A (zh) | 2017-05-31 |
CN106790062B true CN106790062B (zh) | 2020-05-08 |
Family
ID=58896146
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611186125.3A Expired - Fee Related CN106790062B (zh) | 2016-12-20 | 2016-12-20 | 一种基于反向dns查询属性聚合的异常检测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106790062B (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108228834B (zh) * | 2018-01-04 | 2022-12-02 | 北京奇艺世纪科技有限公司 | 互联网协议地址的查询及存储方法、装置和电子设备 |
CN111049784B (zh) * | 2018-10-12 | 2023-08-01 | 三六零科技集团有限公司 | 一种网络攻击的检测方法、装置、设备及存储介质 |
CN110401626B (zh) * | 2019-03-14 | 2022-02-18 | 腾讯科技(深圳)有限公司 | 一种黑客攻击分级检测方法及装置 |
CN110474905B (zh) * | 2019-08-16 | 2022-03-01 | 北京百度网讯科技有限公司 | 实体识别方法、装置、电子设备和存储介质 |
CN113032242B (zh) * | 2019-12-25 | 2024-02-09 | 阿里巴巴集团控股有限公司 | 数据标记方法及装置,计算机存储介质和电子设备 |
CN111859069B (zh) * | 2020-07-15 | 2021-10-15 | 北京市燃气集团有限责任公司 | 一种网络恶意爬虫识别方法、系统、终端及存储介质 |
CN113904843B (zh) * | 2021-10-08 | 2023-11-14 | 成都天空卫士网络安全技术有限公司 | 一种终端异常dns行为的分析方法和装置 |
CN114221809B (zh) * | 2021-12-14 | 2024-01-26 | 北方工业大学 | 一种抗异常数据且保隐私的数据聚合系统及方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102685145A (zh) * | 2012-05-28 | 2012-09-19 | 西安交通大学 | 一种基于dns数据包的僵尸网络域名发现方法 |
CN104348794A (zh) * | 2013-07-30 | 2015-02-11 | 深圳市腾讯计算机系统有限公司 | 网络层ddos攻击源识别方法、装置及系统 |
CN104601556A (zh) * | 2014-12-30 | 2015-05-06 | 中国科学院信息工程研究所 | 一种面向web的攻击检测方法及系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI478561B (zh) * | 2012-04-05 | 2015-03-21 | Inst Information Industry | 網域追蹤方法與系統及其電腦可讀取記錄媒體 |
-
2016
- 2016-12-20 CN CN201611186125.3A patent/CN106790062B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102685145A (zh) * | 2012-05-28 | 2012-09-19 | 西安交通大学 | 一种基于dns数据包的僵尸网络域名发现方法 |
CN104348794A (zh) * | 2013-07-30 | 2015-02-11 | 深圳市腾讯计算机系统有限公司 | 网络层ddos攻击源识别方法、装置及系统 |
CN104601556A (zh) * | 2014-12-30 | 2015-05-06 | 中国科学院信息工程研究所 | 一种面向web的攻击检测方法及系统 |
Non-Patent Citations (1)
Title |
---|
混合入侵检测模型及关键算法的研究;王文鹏;《中国优秀硕士学位论文全文数据库 信息科技辑》;20130215;正文第三章 * |
Also Published As
Publication number | Publication date |
---|---|
CN106790062A (zh) | 2017-05-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106790062B (zh) | 一种基于反向dns查询属性聚合的异常检测方法及系统 | |
US20200344246A1 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
CN108289088B (zh) | 基于业务模型的异常流量检测系统及方法 | |
WO2018177210A1 (zh) | 防御apt攻击 | |
KR100942456B1 (ko) | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 | |
US9032521B2 (en) | Adaptive cyber-security analytics | |
Agarwal et al. | Hybrid approach for detection of anomaly network traffic using data mining techniques | |
KR101391781B1 (ko) | 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법 | |
CN106027559B (zh) | 基于网络会话统计特征的大规模网络扫描检测方法 | |
CN108632224B (zh) | 一种apt攻击检测方法和装置 | |
EP3469770A1 (en) | Spam classification system based on network flow data | |
CN107682345B (zh) | Ip地址的检测方法、检测装置及电子设备 | |
Sun et al. | Detection and classification of malicious patterns in network traffic using Benford's law | |
CN106850647B (zh) | 基于dns请求周期的恶意域名检测算法 | |
JP2004030286A (ja) | 侵入検知システムおよび侵入検知プログラム | |
CN104135474A (zh) | 基于主机出入度的网络异常行为检测方法 | |
Bortolameotti et al. | Headprint: detecting anomalous communications through header-based application fingerprinting | |
Yassin et al. | Packet header anomaly detection using statistical analysis | |
JP2010250607A (ja) | 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム | |
Qi et al. | Construction and application of machine learning model in network intrusion detection | |
Pramudya et al. | Implementation of signature-based intrusion detection system using SNORT to prevent threats in network servers | |
Zheng et al. | Traffic anomaly detection and containment using filter-ary-sketch | |
Jackins et al. | An anomaly-based network intrusion detection system using ensemble clustering | |
EP3484122A1 (en) | Malicious relay and jump-system detection using behavioral indicators of actors | |
Fan et al. | IoT botnet detection based on the behaviors of DNS queries |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20200508 Termination date: 20201220 |