CN107360198A - 可疑域名检测方法及系统 - Google Patents
可疑域名检测方法及系统 Download PDFInfo
- Publication number
- CN107360198A CN107360198A CN201710818154.5A CN201710818154A CN107360198A CN 107360198 A CN107360198 A CN 107360198A CN 201710818154 A CN201710818154 A CN 201710818154A CN 107360198 A CN107360198 A CN 107360198A
- Authority
- CN
- China
- Prior art keywords
- domain name
- analysis result
- suspicious
- instability
- suspicious domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
Abstract
本发明公开了一种可疑域名检测方法及系统。该可疑域名检测方法包括:获取第一DNS数据报文,第一DNS数据报文包括用户标识信息、域名和域名对应的第一解析结果;根据域名和用户标识信息生成域名的支持度;判断支持度是否小于第一设定值;若判断出支持度小于第一设定值时,将域名确定为第一可疑域名;若判断出域名为第一可疑域名时,根据第一可疑域名对应的第一解析结果生成第一解析结果的不稳定度;判断不稳定度是否大于第二设定值;若判断出不稳定度大于第二设定值时,将第一可疑域名确定为第二可疑域名。本发明实现了对域名的双重验证,并实现了实时地自动更新可疑域名和及时地拦截可疑域名。
Description
技术领域
本发明涉及域名分析技术领域,特别涉及一种可疑域名检测方法及系统。
背景技术
目前,企业网络上的病毒,大部分都是经由电子邮件或浏览网页进入到企业内部网络中传播的,垃圾邮件和各种恶意链接往往容易造成企业网络的拥塞和瘫痪,甚至导致系统崩溃,造成难以弥补的巨大损失。因此,企业的互联网的安全问题对于企业来说极其重要。
域名系统(Domain Name System,简称:DNS)是网络中提供网络域名和IP地址对应关系的一套映射机制。客户端通常通过与服务器之间进行DNS查询报文和应答报文的交互方式实现从域名到IP地址的查询,大多数的Web服务也均通过域名解析获取IP地址。因此,对于可疑域名的监控对于网络的安全性具有重要作用。
现有的网络中,存在许多分析网络域名信息的方法,例如,嗅探技术或者分析还原技术。其中,嗅探技术中,网络封包分析软件(Wireshark)、Winpcap、SRSniffer等嗅探工具都具有强大的协议解析功能,但这些嗅探工具仅仅作为网络封包的分析软件,并不能对DNS报文进行审计监测。而且这些嗅探工具通常是对DNS报文中的每个协议字段进行逐个解析,容易造成计算机资源消耗大,且在大环境网络下,还可能产生丢包或死机的现象。而分析还原技术也仅仅是对DNS数据进行审计,并不能对网络非法行为进行及时而有效地控制。
现有技术中所存在的可疑域名的拦截系统,例如,基于域名重定向的可疑域名拦截系统,通过对于流经网络的DNS域名请求包进行处理,伪造应答包,将DNS域名重定向到目的IP地址,从而实现对某些域名的屏蔽,但该系统无法实现实时自动更新可疑域名。
因此,现有的可疑域名的监测和拦截技术,在DNS域名的分析方法上较为单一,难以实现实时地自动更新可疑域名和及时地拦截可疑域名。
发明内容
本发明提供一种可疑域名检测方法及系统,用于实现对域名的双重验证,并实时地自动更新可疑域名和及时地拦截可疑域名。
为实现上述目的,本发明提供一种可疑域名检测方法,该可疑域名检测方法包括:
获取第一DNS数据报文,所述第一DNS数据报文包括用户标识信息、域名和所述域名对应的第一解析结果;
根据所述域名和用户标识信息生成所述域名的支持度;
判断所述支持度是否小于第一设定值;
若判断出所述支持度小于所述第一设定值时,将所述域名确定为所述第一可疑域名;
根据所述第一可疑域名对应的第一解析结果生成第一解析结果的不稳定度;
判断所述不稳定度是否大于第二设定值;
若判断出所述不稳定度大于所述第二设定值时,将所述第一可疑域名确定为所述第二可疑域名。
可选地,所述根据所述域名和用户标识信息生成所述域名的支持度包括:
根据所述域名和用户标识信息获得所述域名对应的主机数量,所述域名对应的主机数量为设定时间段内访问所述域名的主机的数量;
根据所述域名对应的主机数量和局域网内的有效主机数量生成所述域名的支持度。
可选地,所述根据所述域名对应的主机数量和局域网内的有效主机数量生成所述域名的支持度包括:
将所述域名对应的主机数量除以所述局域网内的有效主机数量,生成所述支持度。
可选地,所述第一解析结果为所述第一可疑域名的在设定时间段内的解析结果,所述根据所述第一可疑域名对应的第一解析结果生成第一解析结果的不稳定度包括:
根据所述第一可疑域名对应的第一解析结果生成第二解析结果;
根据所述第二解析结果生成第一解析结果的不稳定度。
可选地,所述根据所述第一可疑域名对应的第一解析结果生成第二解析结果包括:
通过布隆过滤器对所述第一解析结果进行处理,生成所述第二解析结果。
可选地,所述根据所述第二解析结果生成第一解析结果的不稳定度包括:
根据所述第二解析结果生成所述第二解析结果的期望值;
根据所述第二解析结果和所述第二解析结果的期望值生成所述第二解析结果的方差;
将所述第二解析结果的方差除以所述第二解析结果的期望值,生成所述第一可疑域名对应的第一解析结果的不稳定度。
可选地,所述第一可疑域名对应的第一解析结果的不稳定度为其中,T表示所述设定时间段,表示所述第二解析结果,表示第二解析结果的方差,表示的期望值,θ(T)表示设定时间段T内第一可疑域名对应的第一解析结果的不稳定度。
为实现上述目的,本发明提供一种可疑域名检测系统,包括:
获取模块,用于获取第一DNS数据报文,所述第一DNS数据报文包括用户标识信息、域名和所述域名对应的第一解析结果;
第一生成模块,用于根据所述域名和用户标识信息生成所述域名的支持度;
第一判断模块,用于判断所述支持度是否小于第一设定值;
第一确定模块,用于若第一判断模块判断出所述支持度小于所述第一设定值时,将所述域名确定为所述第一可疑域名;
第二生成模块,用于根据所述第一可疑域名对应的第一解析结果生成第一解析结果的不稳定度;
第二判断模块,用于判断所述不稳定度是否大于第二设定值;
第二确定模块,用于若第二判断模块判断出所述不稳定度大于所述第二设定值时,将所述第一可疑域名确定为所述第二可疑域名。
可选地,所述第一生成模块具体用于根据所述域名和用户标识信息获得所述域名对应的主机数量,所述域名对应的主机数量为设定时间段内访问所述域名的主机的数量;根据所述域名对应的主机数量和局域网内的有效主机数量生成所述域名的支持度。
可选地,所述第一解析结果为所述第一可疑域名的在第二设定时间内的解析结果;
所述第二生成模块具体用于根据所述第一可疑域名对应的第一解析结果生成第二解析结果;根据所述第二解析结果生成所述第一解析结果的不稳定度。
本发明的有益效果:
本发明所提供的可疑域名检测方法及系统,根据域名的支持度判断域名是否为第一可疑域名,根据第一可疑域名对应的第一解析结果的不稳定度判断第一可疑域名是否为第二可疑域名,从而实现了对域名的双重验证,并实现了实时地自动更新可疑域名和及时地拦截可疑域名。
附图说明
图1为本发明实施例一提供的一种可疑域名检测方法的流程图;
图2为本发明实施例二提供的一种可疑域名检测方法的流程图;
图3为本发明实施例三提供的一种可疑域名检测系统的结构示意图。
具体实施方式
为使本领域的技术人员更好地理解本发明的技术方案,下面结合附图对本发明提供的可疑域名检测方法及系统进行详细描述。
图1为本发明实施例一提供的一种可疑域名检测方法的流程图,如图所示,该可疑域名检测方法包括:
步骤101、获取第一DNS数据报文,第一DNS数据报文包括用户标识信息、域名和域名对应的第一解析结果。
步骤102、根据域名和用户标识信息生成域名的支持度。
步骤103、判断支持度是否小于第一设定值,若是,执行步骤104,若否,结束流程。
步骤104、将域名确定为第一可疑域名。
步骤105、根据第一可疑域名对应的第一解析结果生成第一解析结果的不稳定度。
步骤106、判断不稳定度是否大于第二设定值,若是,执行步骤107,若否,结束流程。
步骤107、将第一可疑域名确定为第二可疑域名。
具体地,若判断出第一可疑域名为第二可疑域名时,表明该第一可疑域名为非法域名或非正规网站,若判断出第一可疑域名不是第二可疑域名,表明该第一可疑域名为安全域名,经常被用户访问,因此此时可结束流程。
本实施例中,步骤101至步骤107可重复循环执行,从而可以实现实时自动获得第二可疑域名。
本实施例所提供的可疑域名检测方法,根据域名的支持度判断域名是否为第一可疑域名,根据第一可疑域名对应的第一解析结果的不稳定度判断第一可疑域名是否为第二可疑域名,从而实现了对域名的双重验证,并实现了实时地自动更新第二可疑域名。在实际应用中,使得网络管理员能够对网络的安全性进行实时监控,并能够及时地拦截第二可疑域名,从而避免了网络遭受病毒的攻击和入侵。
图2为本发明实施例二提供的一种可疑域名检测方法的流程图,如图2所示,该可疑域名检测方法包括:
步骤201、获取第二DNS数据报文。
具体地,从网络流量监测设备中获取第二DNS数据报文。其中,网络流量监测设备部署在网络出口处,第二DNS数据报文为网络用户上网产生的报文,网络用户上网产生的报文可通过网络流量监测设备向主机所访问的网络服务器传输。因此,不仅可以从网络流量监测设备中获取网络用户上网产生的报文,还可以通过网络流量监测设备对网络用户的上网行为实施监控和管理,例如,如果管理员不想让用户登录QQ,则可通过找到QQ报文中的关键字,在网络流量监测设备中将该关键字设置为拦截的条件,那么用户将无法登录QQ。
对于获取到的第二DNS数据报文,可将其存储于数据库中以便于作为后续进行分析的基础。
步骤202、对第二DNS数据报文进行清洗和筛选,生成第一DNS数据报文。
由于考虑到数据的庞大性,因此本实施例采用分布式系统基础架构(hadoop)对第二DNS数据报文进行数据清洗和筛选,从而获得结构整齐的数据报文,即第一DNS数据报文。如表1所示,表1示出了清洗和筛选后生成的第一DNS数据报文,其中,第一DNS数据报文包括用户标识信息、域名和与域名对应的第一解析结果,域名即为被用户主机访问和DNS服务器解析的域名。
表1
如上表1所示,每个第一DNS数据报文包括数据的名称、格式及对于名称的说明,用户标识信息包括表1中的用户ID和内网IP地址,用户ID为主机对应的用户的ID,例如,公司的员工编号,每个主机对应一个员工编号,内网IP地址为局域网的IP地址,每个主机对应一个用户ID和一个内网IP地址,DNS服务器地址为解析域名的DNS服务器地址,DNS服务器与域名相对应,DNS请求ID为主机向DNS服务器发送域名访问请求的ID,域名为被DNS服务器所解析的域名,解析时间为主机接收到DNS服务器返回的第一解析结果的时间,生存时间(TimeTo Live,简称:TTL)是指域名解析在DNS服务器中存留的时间,第一解析结果为DNS服务器解析域名的结果。
当用户上网,通过主机访问一个域名时,主机将向域名对应的DNS服务器发送域名访问请求,每个访问请求中包括域名和DNS请求ID,DNS服务器接收到访问请求后,DNS服务器对该域名进行解析,并向主机返回第一解析结果,第一解析结果还包括该DNS请求ID。因此,当用户上网时,主机上将产生用户上网的第二DNS数据报文,第二DNS数据报文将通过网络流量监测设备向主机所访问的网络服务器传输,因此可以从网络流量监测设备中获取第二DNS数据报文,从而可以对第二DNS数据报文进行清洗和筛选,生成如表1所示的第一DNS数据报文。
步骤203、根据域名和用户标识信息获得域名对应的主机数量,域名对应的主机数量为设定时间段T内访问域名的主机的数量。
优选地,第一DNS数据报文还包括表1中的解析时间,由于一个域名可能被多个主机访问,因此,每个域名都可能被DNS服务器解析多次,每个域名可以对应多个解析时间和多个第一解析结果。
其中,设定时间段T可根据解析时间进行设定。例如,可以取域名对应的解析时间中的任意两个时间作为时间区间,那么该时间区间即为设定时间段T,则访问域名的主机数量即为在该设定时间段T内访问该域名的主机的数量。需要说明的是,解析时间采用世界标准时间(Universal Time Coordinated,简称:UTC)格式,对于设定时间段T的设定,本实施例对此不作任何限制。
本实施例中,用户标识信息包括表1中的用户ID和内网IP地址,具体地,域名对应的主机数量是由域名、用户ID以及内网IP地址确定。
步骤204、根据域名对应的主机数量和局域网内的有效主机数量生成域名的支持度。
具体地,步骤204包括:将域名对应的主机数量除以局域网内的有效主机数量,生成支持度。例如,假设在一个局域网中,在设定时间段T内,访问域名j的主机的数量A为10个,而该局域网内的有效主机数量B为100个,那么该域名的支持度为其中,局域网内的有效主机数量可以根据局域网内的所有用户ID和内网IP地址共同确定,一个用户ID和一个内网IP地址对应一个有效主机。
其中,域名对应的主机数量具体是指在一个局域网内,在设定时间段T内,访问域名的主机的数量。也就是说,域名的支持度为在局域网内,在设定时间段T内,被主机访问的域名的支持度。
步骤205、判断支持度是否小于第一设定值,若是,执行步骤206,若否,结束流程。
本实施例中,第一设定值小于1,优选地,第一设定值为0.35。
具体地,若判断出域名的支持度小于第一设定值,则表明在一个局域网中,在设定时间段T内,访问该域名的主机数量较少,该域名为可疑域名的几率就越大,反之,若判断出域名的支持度大于或等于第一设定值,则即可认定该域名并非可疑域名,该域名经常被用户主机访问,那么此时可以结束流程。
步骤206、将域名确定为第一可疑域名。
在确定域名为第一可疑域名后,即步骤206之后,还可以包括:将第一可疑域名列入第一可疑域名列表的步骤。具体地,每确定出一个域名为第一可疑域名,则将该域名即第一可疑域名列入第一可疑域名列表中,以便于对第一可疑域名作进一步地验证。
步骤207、根据第一可疑域名查询出第一可疑域名对应的第一解析结果。
具体地,先从第一可疑域名列表中获取第一可疑域名,再根据表1中的域名和域名所对应的第一解析结果确定出第一可疑域名对应的第一解析结果。本实施例中,第一可疑域名对应的第一解析结果是从第一DNS数据报文获得的。
步骤208、根据第一可疑域名对应的第一解析结果生成第二解析结果。
具体地,步骤208包括:通过布隆过滤器(Bloom Filter)对第一解析结果进行处理,生成第二解析结果。
具体地,第一解析结果为第一可疑域名的在设定时间段T内的解析结果,其中,设定时间段T可根据解析时间进行设定,第一解析结果包括IP地址。需要说明的是,在第一DNS数据报文中,一个域名的有效解析结果包含两种情况:一是该域名的直接的解析结果,即直接被解析成IP地址,二是通过该域名解析到其他域名所对应的解析结果,再接着对该其他域名进行解析,直到解析成IP地址,那么该IP地址即为该域名的解析地址。
具体地,为了分析设定时间段T内的第一可疑域名对应的第一解析结果的不稳定度,首先将设定时间段T分解为若干个时间段tk,其中,k为常数,例如,将T分解为十个时间段,分别是t1、t2、t3、t4、t5、t6、t7、t8、t9和t10。设定时间段T内,第一解析结果的数量为多个,将设定时间段T分解若干个时间段tk,则每个时间段tk可以对应于一个第一解析结果。具体地,对于每一个时间段tk,均对应于第一解析结果的IP地址,例如,域名j在t1时间段内,被解析成一个IP地址,在t1至t10时间段里,域名j被解析成十个IP地址,每个时间段对应一个IP地址。
然后对时间段tk内的第一解析结果进行Bloom Filter处理,从而生成每个时间段tK对应的第二解析结果具体地,通过Bloom Filter对每个时间段tk内的第一解析结果中的IP地址进行处理,生成每个tk对应的随机向量,该随机向量即为第二解析结果换言之,每个时间段tk对应一个第二解析结果
步骤209、根据第二解析结果生成第一可疑域名对应的第一解析结果的不稳定度。
具体地,步骤209包括:
步骤209a、根据第二解析结果生成第二解析结果的期望值。
具体地,根据每个时间段tk对应的第二解析结果生成第二解析结果的期望值
步骤209b、根据第二解析结果和第二解析结果的期望值生成第二解析结果的方差。
本实施例中,第二解析结果为离散型随机变量,第二解析结果的方差为
步骤209c、将第二解析结果的方差除以第二解析结果的期望值,生成第一可疑域名对应的第一解析结果不稳定度。
具体地,第一可疑域名对应的第一解析结果的不稳定度为其中,表示设定时间段T内,第一可疑域名对应的第一解析结果的不稳定度,表示第二解析结果,分子部分表示第二解析结果的方差,分母部分表示第二解析结果的期望值。
根据上述不稳定度的公式,即可得到在设定时间段T内的第一可疑域名对应的第一解析结果的不稳定度。
步骤210、判断不稳定度是否大于第二设定值,若是,执行步骤211,若否,结束流程。
步骤211、将第一可疑域名确定为第二可疑域名。
具体地,若判断出不稳定度大于第二设定值,表明解析第一可疑域名的不稳定度越高,即第一解析结果的不稳定性越高,从而说明第一可疑域名并不被用户主机经常访问和被DNS服务器解析,因此将该第一可疑域名确定为第二可疑域名,从而实现可疑域名的双重验证。
而若判断出不稳定度小于或等于第二设定值,表明第一可疑域名对应的第一解析结果的不稳定度很低,第一可疑域名的第一解析结果的稳定性高,从而说明第一可疑域名经常被主机访问和被DNS服务器解析,因此可确定该第一可疑域名并非是非法域名或非正规的域名,因此此时即可以结束流程。
本实施例中,优选地,第二设定值为0.62。
步骤212、将第二可疑域名列入第二可疑域名列表。
具体地,每确定出一个第一可疑域名为第二可疑域名,则将该第一可疑域名即第二可疑域名列入第二可疑域名列表中。
步骤213、保存第二可疑域名列表。
具体地,将第二可疑域名列表保存至数据库中,以供网络流量监测设备及其他设备或者平台获取使用。
本实施例中,步骤201至步骤213可循环执行,从而可以实现实时自动更新第二可疑域名列表中的第二可疑域名。
在实际应用中,网络管理员可以通过特定的平台,例如,通过hadoop平台对第二可疑域名列表进行查询,特定的平台向管理员展示第二可疑域名列表中的第二可疑域名。从而使得网络管理员能够对网络的安全性问题进行实时监控,并能够根据第二可疑域名列表及时地通过在网络流量监测设备中进行设置拦截第二可疑域名,从而阻止局域网内的用户访问该第二可疑域名,避免了网络遭受病毒的攻击和入侵。
本实施例所提供的可疑域名检测方法,根据域名的支持度判断域名是否为第一可疑域名,根据第一可疑域名对应的第一解析结果的不稳定度判断第一可疑域名是否为第二可疑域名,从而实现了对域名的双重验证,并实现了实时地自动更新第二可疑域名。本实施例所提供的可疑域名检测方法,可使得网络管理员能够对网络的安全性进行实时监控,并能够根据及时地拦截第二可疑域名,从而避免了网络遭受病毒的攻击和入侵。
图3为本发明实施例三提供的一种可疑域名检测系统的结构示意图,该可疑域名检测系统包括获取模块301、第一生成模块302、第一判断模块303、第二生成模块304、第二判断模块305、第一确定模块306。
获取模块301用于获取第一DNS数据报文,第一DNS数据报文包括用户标识信息、域名和域名对应的第一解析结果。
第一生成模块302用于根据域名和用户标识信息生成域名的支持度。具体地,第一生成模块302用于根据域名和用户标识信息获得域名对应的主机数量,域名对应的主机数量为设定时间段内访问域名的主机的数量;根据域名对应的主机数量和局域网内的有效主机数量生成域名的支持度。
第一判断模块303用于判断支持度是否小于第一设定值。
第一确定模块306用于若第一判断模块303判断出支持度小于第一设定值时,将域名确定为第一可疑域名。
第二生成模块304用于根据第一可疑域名对应的第一解析结果生成第一解析结果的不稳定度。具体地,第一解析结果为第一可疑域名的在第二设定时间T内的解析结果,第二生成模块304用于根据第一可疑域名对应的第一解析结果生成第二解析结果;根据第二解析结果生成第一解析结果的不稳定度。
第二判断模块305用于判断不稳定度是否大于第二设定值。
第二确定模块307用于若第二判断模块305判断出不稳定度大于第二设定值时,将第一可疑域名确定为第二可疑域名。
本实施例所提供的可疑域名检测系统,用于实现上述实施例二所提供的可疑域名检测方法,该可疑域名检测方法具体可参见上述实施例二,此处不再具体赘述。
本实施例所提供的可疑域名检测系统,根据域名的支持度判断域名是否为第一可疑域名,根据第一可疑域名对应的第一解析结果的不稳定度判断第一可疑域名是否为第二可疑域名,从而实现了对域名的双重验证,并实现了实时地自动更新第二可疑域名。本实施例所提供的可疑域名检测系统,可使得网络管理员能够对网络的安全性进行实时监控,并能够根据及时地拦截第二可疑域名,从而避免了网络遭受病毒的攻击和入侵。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。
Claims (10)
1.一种可疑域名检测方法,其特征在于,包括:
获取第一DNS数据报文,所述第一DNS数据报文包括用户标识信息、域名和所述域名对应的第一解析结果;
根据所述域名和用户标识信息生成所述域名的支持度;
判断所述支持度是否小于第一设定值;
若判断出所述支持度小于所述第一设定值时,将所述域名确定为所述第一可疑域名;
根据所述第一可疑域名对应的第一解析结果生成第一解析结果的不稳定度;
判断所述不稳定度是否大于第二设定值;
若判断出所述不稳定度大于所述第二设定值时,将所述第一可疑域名确定为所述第二可疑域名。
2.根据权利要求1所述的可疑域名检测方法,其特征在于,所述根据所述域名和用户标识信息生成所述域名的支持度包括:
根据所述域名和用户标识信息获得所述域名对应的主机数量,所述域名对应的主机数量为设定时间段内访问所述域名的主机的数量;
根据所述域名对应的主机数量和局域网内的有效主机数量生成所述域名的支持度。
3.根据权利要求2所述的可疑域名检测方法,其特征在于,所述根据所述域名对应的主机数量和局域网内的有效主机数量生成所述域名的支持度包括:
将所述域名对应的主机数量除以所述局域网内的有效主机数量,生成所述支持度。
4.根据权利要求1所述的可疑域名检测方法,其特征在于,所述第一解析结果为所述第一可疑域名的在设定时间段内的解析结果,所述根据所述第一可疑域名对应的第一解析结果生成第一解析结果的不稳定度包括:
根据所述第一可疑域名对应的第一解析结果生成第二解析结果;
根据所述第二解析结果生成第一解析结果的不稳定度。
5.根据权利要求4所述的可疑域名检测方法,其特征在于,所述根据所述第一可疑域名对应的第一解析结果生成第二解析结果包括:
通过布隆过滤器对所述第一解析结果进行处理,生成所述第二解析结果。
6.根据权利要求5所述的可疑域名检测方法,其特征在于,所述根据所述第二解析结果生成第一解析结果的不稳定度包括:
根据所述第二解析结果生成所述第二解析结果的期望值;
根据所述第二解析结果和所述第二解析结果的期望值生成所述第二解析结果的方差;
将所述第二解析结果的方差除以所述第二解析结果的期望值,生成所述第一可疑域名对应的第一解析结果的不稳定度。
7.根据权利要求6所述的可疑域名检测方法,其特征在于,所述第一可疑域名对应的第一解析结果的不稳定度为其中,T表示所述设定时间段,表示所述第二解析结果,表示第二解析结果的方差,表示第二解析结果的期望值,θ(T)表示设定时间段T内第一可疑域名对应的第一解析结果的不稳定度。
8.一种可疑域名检测系统,其特征在于,包括:
获取模块,用于获取第一DNS数据报文,所述第一DNS数据报文包括用户标识信息、域名和所述域名对应的第一解析结果;
第一生成模块,用于根据所述域名和用户标识信息生成所述域名的支持度;
第一判断模块,用于判断所述支持度是否小于第一设定值;
第一确定模块,用于若第一判断模块判断出所述支持度小于所述第一设定值时,将所述域名确定为所述第一可疑域名;
第二生成模块,用于根据所述第一可疑域名对应的第一解析结果生成第一解析结果的不稳定度;
第二判断模块,用于判断所述不稳定度是否大于第二设定值;
第二确定模块,用于若第二判断模块判断出所述不稳定度大于所述第二设定值时,将所述第一可疑域名确定为所述第二可疑域名。
9.根据权利要求8所述的可疑域名检测系统,其特征在于,
所述第一生成模块具体用于根据所述域名和用户标识信息获得所述域名对应的主机数量,所述域名对应的主机数量为设定时间段内访问所述域名的主机的数量;根据所述域名对应的主机数量和局域网内的有效主机数量生成所述域名的支持度。
10.根据权利要求8所述的可疑域名检测系统,其特征在于,所述第一解析结果为所述第一可疑域名的在设定时间段内的解析结果;
所述第二生成模块具体用于根据所述第一可疑域名对应的第一解析结果生成第二解析结果;根据所述第二解析结果生成所述第一解析结果的不稳定度。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710818154.5A CN107360198B (zh) | 2017-09-12 | 2017-09-12 | 可疑域名检测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710818154.5A CN107360198B (zh) | 2017-09-12 | 2017-09-12 | 可疑域名检测方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107360198A true CN107360198A (zh) | 2017-11-17 |
CN107360198B CN107360198B (zh) | 2020-04-10 |
Family
ID=60291466
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710818154.5A Active CN107360198B (zh) | 2017-09-12 | 2017-09-12 | 可疑域名检测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107360198B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109688236A (zh) * | 2018-01-26 | 2019-04-26 | 北京微步在线科技有限公司 | Sinkhole域名处理方法及服务器 |
CN109873788A (zh) * | 2017-12-01 | 2019-06-11 | 中国联合网络通信集团有限公司 | 僵尸网络检测的方法及装置 |
CN109981806A (zh) * | 2017-12-28 | 2019-07-05 | 北京京东尚科信息技术有限公司 | 域名处理、注册方法及系统、计算机系统 |
CN111030966A (zh) * | 2018-10-10 | 2020-04-17 | 阿里巴巴集团控股有限公司 | 数据处理方法、装置和机器可读介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101753562A (zh) * | 2009-12-28 | 2010-06-23 | 成都市华为赛门铁克科技有限公司 | 僵尸网络的检测方法、装置及网络安全防护设备 |
CN102594825A (zh) * | 2012-02-22 | 2012-07-18 | 北京百度网讯科技有限公司 | 一种内网木马的检测方法和装置 |
CN103152222A (zh) * | 2013-01-05 | 2013-06-12 | 中国科学院信息工程研究所 | 一种基于主机群特征检测速变攻击域名的方法 |
CN103561120A (zh) * | 2013-10-08 | 2014-02-05 | 北京奇虎科技有限公司 | 检测可疑dns的方法、装置和可疑dns的处理方法、系统 |
CN103685293A (zh) * | 2013-12-20 | 2014-03-26 | 北京奇虎科技有限公司 | 拒绝服务攻击的防护方法和装置 |
EP2922041A1 (en) * | 2014-03-19 | 2015-09-23 | Deutsche Telekom AG | System for constructing stopped vehicle-infrastructure communication network |
-
2017
- 2017-09-12 CN CN201710818154.5A patent/CN107360198B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101753562A (zh) * | 2009-12-28 | 2010-06-23 | 成都市华为赛门铁克科技有限公司 | 僵尸网络的检测方法、装置及网络安全防护设备 |
CN102594825A (zh) * | 2012-02-22 | 2012-07-18 | 北京百度网讯科技有限公司 | 一种内网木马的检测方法和装置 |
CN103152222A (zh) * | 2013-01-05 | 2013-06-12 | 中国科学院信息工程研究所 | 一种基于主机群特征检测速变攻击域名的方法 |
CN103561120A (zh) * | 2013-10-08 | 2014-02-05 | 北京奇虎科技有限公司 | 检测可疑dns的方法、装置和可疑dns的处理方法、系统 |
CN103685293A (zh) * | 2013-12-20 | 2014-03-26 | 北京奇虎科技有限公司 | 拒绝服务攻击的防护方法和装置 |
EP2922041A1 (en) * | 2014-03-19 | 2015-09-23 | Deutsche Telekom AG | System for constructing stopped vehicle-infrastructure communication network |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109873788A (zh) * | 2017-12-01 | 2019-06-11 | 中国联合网络通信集团有限公司 | 僵尸网络检测的方法及装置 |
CN109873788B (zh) * | 2017-12-01 | 2021-10-15 | 中国联合网络通信集团有限公司 | 僵尸网络检测的方法及装置 |
CN109981806A (zh) * | 2017-12-28 | 2019-07-05 | 北京京东尚科信息技术有限公司 | 域名处理、注册方法及系统、计算机系统 |
CN109981806B (zh) * | 2017-12-28 | 2022-07-05 | 北京京东尚科信息技术有限公司 | 域名处理、注册方法及系统、计算机系统 |
CN109688236A (zh) * | 2018-01-26 | 2019-04-26 | 北京微步在线科技有限公司 | Sinkhole域名处理方法及服务器 |
CN109688236B (zh) * | 2018-01-26 | 2021-07-30 | 北京微步在线科技有限公司 | Sinkhole域名处理方法及服务器 |
CN111030966A (zh) * | 2018-10-10 | 2020-04-17 | 阿里巴巴集团控股有限公司 | 数据处理方法、装置和机器可读介质 |
Also Published As
Publication number | Publication date |
---|---|
CN107360198B (zh) | 2020-04-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9762543B2 (en) | Using DNS communications to filter domain names | |
KR101010302B1 (ko) | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 | |
US6279113B1 (en) | Dynamic signature inspection-based network intrusion detection | |
US9413777B2 (en) | Detection of network security breaches based on analysis of network record logs | |
AU2020200967A1 (en) | Cybersecurity system | |
CN104219200B (zh) | 一种防范dns缓存攻击的装置和方法 | |
CN109951500A (zh) | 网络攻击检测方法及装置 | |
US20120011590A1 (en) | Systems, methods and devices for providing situational awareness, mitigation, risk analysis of assets, applications and infrastructure in the internet and cloud | |
CN107360198A (zh) | 可疑域名检测方法及系统 | |
WO2002023805A2 (en) | Monitoring network activity | |
US9336396B2 (en) | Method and system for generating an enforceable security policy based on application sitemap | |
JP2019523584A (ja) | ネットワーク攻撃防御システムおよび方法 | |
US20060206615A1 (en) | Systems and methods for dynamic and risk-aware network security | |
US11140178B1 (en) | Methods and system for client side analysis of responses for server purposes | |
Haddadi et al. | Botnet behaviour analysis: How would a data analytics‐based system with minimum a priori information perform? | |
CN109600395A (zh) | 一种终端网络接入控制系统的装置及实现方法 | |
Amann et al. | Count me in: Viable distributed summary statistics for securing high-speed networks | |
Park et al. | Supporting interoperability to heterogeneous IDS in secure networking framework | |
Chen et al. | Dual‐collaborative DoS/DDoS mitigation approach in information‐centric mobile Internet | |
KR101045332B1 (ko) | Irc 및 http 봇넷 정보 공유 시스템 및 그 방법 | |
Selvaraj et al. | Enhancing intrusion detection system performance using firecol protection services based honeypot system | |
Abdulazeez et al. | Hierarchical model for intrusion detection systems in the cloud environment | |
Frye et al. | Tridso: Traffic-based reasoning intrusion detection system using ontology | |
Shen et al. | Implementation of an evaluation platform for unwanted traffic control via trust management | |
Julisch | Intrusion Detection Alarm Clustering |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |