CN108449349B - 防止恶意域名攻击的方法及装置 - Google Patents
防止恶意域名攻击的方法及装置 Download PDFInfo
- Publication number
- CN108449349B CN108449349B CN201810244671.0A CN201810244671A CN108449349B CN 108449349 B CN108449349 B CN 108449349B CN 201810244671 A CN201810244671 A CN 201810244671A CN 108449349 B CN108449349 B CN 108449349B
- Authority
- CN
- China
- Prior art keywords
- host
- malicious domain
- dns
- domain names
- threshold
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及一种防止恶意域名攻击的方法及装置。所述方法应用于服务器,所述方法包括:每隔第一时间段,从主机在所述第一时间段内的域名系统DNS日志中抽取恶意域名,统计所述主机查询的恶意域名的数目;若所述主机查询的恶意域名的数目满足阈值条件,则执行与所述阈值条件对应的操作。通过从主机的DNS日志中抽取恶意域名,并统计主机查询的恶意域名的数目,从而实现恶意域名的检测,及时发现针对DNS的异常行为;根据主机查询的恶意域名的数目满足的阈值条件,执行与阈值条件对应的操作,从而保证DNS的正常运行,提升DNS服务质量。
Description
技术领域
本公开涉及互联网技术领域,尤其涉及一种防止恶意域名攻击的方法及装置。
背景技术
DNS(Domain Name System,域名系统)是万维网上作为域名和IP(InternetProtocol,网际协议)地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。
发明内容
有鉴于此,本公开提出了一种防止恶意域名攻击的方法及装置,及时发现针对DNS的异常行为,根据主机查询的恶意域名的数目满足的阈值条件,执行与阈值条件对应的操作,从而保证DNS的正常运行,提升DNS服务质量。
根据本公开的一方面,提供了一种防止恶意域名攻击的方法,所述方法应用于服务器,所述方法包括:
每隔第一时间段,从主机在所述第一时间段内的域名系统DNS日志中抽取恶意域名,统计所述主机查询的恶意域名的数目;
若所述主机查询的恶意域名的数目满足阈值条件,则执行与所述阈值条件对应的操作。
根据本公开的另一方面,提供了一种防止恶意域名攻击的装置,所述装置应用于服务器,所述装置包括:
统计模块,用于每隔第一时间段,从主机在所述第一时间段内的域名系统DNS日志中抽取恶意域名,统计所述主机查询的恶意域名的数目;
执行模块,用于若所述主机查询的恶意域名的数目满足阈值条件,则执行与所述阈值条件对应的操作。
通过从主机的DNS日志中抽取恶意域名,并统计主机查询的恶意域名的数目,从而实现恶意域名的检测,及时发现针对DNS的异常行为;根据主机查询的恶意域名的数目满足的阈值条件,执行与阈值条件对应的操作,从而保证DNS的正常运行,提升DNS服务质量。
根据下面参考附图对示例性实施例的详细说明,本公开的其它特征及方面将变得清楚。
附图说明
包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本公开的示例性实施例、特征和方面,并且用于解释本公开的原理。
图1示出根据本公开一实施例的防止恶意域名攻击的方法的流程图。
图2示出根据本公开一实施例的步骤S12的方法的流程图。
图3示出根据本公开一实施例的防止恶意域名攻击的方法的流程图。
图4示出根据本公开一实施例的防止恶意域名攻击的装置的框图。
图5示出根据本公开一实施例的防止恶意域名攻击的装置的框图。
图6示出根据本公开一实施例的防止恶意域名攻击的装置的框图。
具体实施方式
以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面,但是除非特别指出,不必按比例绘制附图。
在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
另外,为了更好的说明本公开,在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解,没有某些具体细节,本公开同样可以实施。在一些实例中,对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述,以便于凸显本公开的主旨。
DNS的正常运行,是Web服务、电子邮件服务等众多网络服务正常运行的基础。由于DNS开放、庞大、复杂的特性以及设计之初对于安全性的考虑不足,使得DNS中存在着诸多的潜在错误和威胁,针对DNS的人为攻击和破坏也时有发生,这就对DNS的安全稳定运行提出了严峻挑战。对DNS查询流量进行主动监测,及时发现系统中突发的异常行为,对于保证DNS的正常运行,提升DNS服务质量,具有重要意义。
IT集中管理可以是指有一种IT事务的管理机制,例如,几台服务器专门管理IT事务。举例来说,多台服务器可以集中管理主机的日志,主机可以通过网络向服务器发送日志,服务器对多个主机的日志进行收集与分析。服务器可以对多个主机的日志分析,挖掘出有价值的东西。
图1示出根据本公开一实施例的防止恶意域名攻击的方法的流程图。该方法可以应用于服务器,例如,集中管理多个主机日志的一台或多台服务器(日志管理/审计中心),服务器管理的主机可以通过网络向服务器发送日志,服务器对多个主机的日志进行收集,还可以利用日志分析器对收集的日志进行分析。
在一个示例中,可以由服务器中的日志分析器执行本公开的防止恶意域名攻击的方法;在另一个示例中,也可以在服务器设置应用程序执行本公开的防止恶意域名攻击的方法;本公开对此不做限定。
如图1所示,该方法可以包括:
步骤S11,每隔第一时间段,从主机在所述第一时间段内的域名系统DNS日志中抽取恶意域名,统计所述主机查询的恶意域名的数目。
其中,第一时间段可以是预先设置的固定长度的时间段,例如,第一时间段长度可以为5分钟。在一个示例中,服务器可以每隔5分钟,抽取各主机在这5分钟内的DNS日志中抽取恶意域名,举例来说,服务器可以在8:55分抽取8:50分到8:55分收集的DNS日志中抽取恶意域名。服务器可以根据DNS日志中记录的查询发起的时间获取所有8:50分到8:55分收集的DNS日志。
服务器还可以其他方式从主机的DNS日志中抽取恶意域名,例如,从收集的所有DNS日志中抽取恶意域名,本公开对抽取的时间间隔以及抽取的时间段不作限定,例如,第一时间段的长度可以不是固定的。
主机的DNS日志可以是指某一台主机发起DNS查询的内容,一个主机可以发起针对不同域名的DNS查询。在一个示例中,主机的DNS日志可以包括查询发起的时间、主机的标识、主机查询的域名、DNS服务器的标识等等。其中,主机的标识可以是表示主机唯一性的身份信息,比如主机的IP地址、主机的名称等;DNS服务器的标识同样可以是表示DNS服务器唯一性的身份信息,比如DNS服务器的IP地址。
服务器可以通过流量采集器收集一个或多个主机的DNS日志,通过日志分析器从各主机的DNS日志中抽取该主机查询的恶意域名。
服务器可以通过将DNS日志中记录的主机查询的域名与已存储的恶意域名进行对比,根据对比的结果确定该域名是否为恶意域名。也就是说,本公开是在恶意域名存在的情况下,对恶意域名进行检测。
在一个示例中,服务器可以预先对域名进行分类,并添加分类标识,例如,可以将域名分为恶意域名和非恶意域名,恶意域名对应的分类标识为1、非恶意域名对应的分类标识为0。
服务器从主机的DNS日志中获取主机查询的域名后,可以根据域名的分类标识确定域名是否为恶意域名,如果是恶意域名,则将该主机查询的恶意域名的数目加1。
举例来说,服务器获取到主机1共查询过两个域名:域名1和域名2,域名1对应的分类标识为1,域名1为恶意域名,域名2对应的分类标识为0,域名2为非恶意域名,那么主机1查询的恶意域名的数目为1。
服务器可以从收集的一个或多个主机的DNS日志中抽取恶意域名,并统计各主机查询的恶意域名的数目,例如主机1查询的恶意域名的数目为1、主机2查询的恶意域名的数目为160、主机3查询的恶意域名的数目为8、主机4查询的恶意域名的数目为200,等等。
步骤S12,若所述主机查询的恶意域名的数目满足阈值条件,则执行与所述阈值条件对应的操作。
阈值条件可以是预先设定的对主机查询的恶意域名的数目进行限定的条件,比如说,主机在一定时间内查询的恶意域名的数目不能超过一定的数目。服务器可以设置多个阈值条件,当主机查询的恶意域名的数据满足不同的阈值条件时,可以执行不同的操作,例如发出告警消息、结束主机的DNS进行、结束DNS服务器的服务进程等等。
通过从主机的DNS日志中抽取恶意域名,并统计主机查询的恶意域名的数目,从而实现恶意域名的检测,及时发现针对DNS的异常行为;根据主机查询的恶意域名的数目满足的阈值条件,执行与阈值条件对应的操作,从而保证DNS的正常运行,提升DNS服务质量。
图2示出根据本公开一实施例的步骤S12的方法的流程图。如图2所示,步骤S12可以包括:
步骤S121,若第一主机查询的恶意域名的数目大于第一阈值,则进行告警。
第一阈值可以是预先设定的主机查询的恶意域名的数目的上限值,第一阈值可以与收集的DNS日志的时间、数量有关,还可以与域名的输入频率有关,输入频率可以是统计平均值,在人工和程序输入等不同情况下,输入频率可以不同。
举例来说,以服务器每隔第一时间段,从主机在第一时间段内的DNS日志中抽取恶意域名为例,第一阈值可以根据第一时间段以及输入频率确定。例如第一阈值可以为T×f×w1,即T、f与w1的乘积,其中,T表示第一时间段的长度,例如5分钟;f表示恶意域名的输入频率,例如10个/分钟;w1可以表示第一调整系数,防止误判,例如w1为3,也就是第一阈值可以是第一时间段的长度、输入频率和第一调整系数的乘积,例如5×10×3=150。
第一主机可以是统计到的查询的恶意域名的数目大于第一阈值的任意一个主机。
进行告警可以是指服务器向预先指定的邮箱、移动终端等发送告警消息,或者服务器直接发出告警信号等。
举例来说,服务器可以在8:55分抽取8:50分到8:55分收集的DNS日志中抽取恶意域名,并统计各主机查询的恶意域名的数目,例如主机1查询的恶意域名的数目为1、主机2查询的恶意域名的数目为160、主机3查询的恶意域名的数目为8、主机4查询的恶意域名的数目为200。以第一阈值为150为例,主机2查询的恶意域名的数目大于150,主机4查询的恶意域名的数目大于150。服务器可以发送告警消息,告警消息中可以包括主机2的标识、主机2查询的恶意域名的数目160,以及主机4的标识、主机4查询的恶意域名的数目200等;服务器也可以直接发出告警信号,例如,在显示器显示查询的恶意域名较多的主机2和主机4的标识。
如图2所示,步骤S12还可以包括:
步骤S122,若第二主机查询的恶意域名的数目大于第二阈值,则向第二主机发送命令,以使第二主机结束DNS客户端进程。
其中,第二阈值可以采用与第一阈值类似的方式设置,不同之处在于,第二阈值对应的第二调整系数可以与第一阈值不同,例如,第二调整系数可以大于第一调整系数。比如说,第一阈值为T×f×w1,第二阈值为T×f×w2,w2>w1,例如,w1为3,w2为15。
同样的,第二主机可以是统计到的查询的恶意域名的数目大于第二阈值的任意一个主机。服务器可以根据第二主机的IP地址,向第二主机发送结束DNS客户端进程的命令,例如,kill命令等,第二主机接收到结束DNS客户端进程的命令后,可以结束本主机上运行的DNS客户端进程。这样,在存在更大量的恶意域名攻击时,可以直接使相应的主机结束DNS客户端的进程,保证网络的安全。
举例来说,服务器可以在8:55分抽取8:50分到8:55分收集的DNS日志中抽取恶意域名,并统计各主机查询的恶意域名的数目,例如主机1查询的恶意域名的数目为1、主机2查询的恶意域名的数目为160、主机3查询的恶意域名的数目为8、主机4查询的恶意域名的数目为1000。以第二阈值为750为例,主机4查询的恶意域名的数目大于750。服务器可以向主机4发送kill命令,主机4接收到kill命令后,可以结束本主机上运行的DNS客户端进程。
可选的,服务器也可以同时发送告警消息。
通过设置不同的阈值条件以及不同的阈值条件对应的服务器需要执行的操作,根据本公开的防止恶意域名攻击的方法可以针对不同级别的攻击,采取相应的手段,有效防止恶意域名的攻击,保证DNS的正常运行,提升DNS服务质量。
图3示出根据本公开一实施例的防止恶意域名攻击的方法的流程图。如图3所示,所述方法还可以包括:
步骤S13,若第二主机的个数,与所有主机的个数的比值大于第三阈值,则向与第二主机对应的DNS服务器发送命令,以使所述DNS服务器结束全部DNS服务进程;
其中,所有主机的个数是指第二主机所属的域管理的主机的个数。
第三阈值可以预先设定的对满足阈值条件的主机个数的限定条件,比如说,大于第二阈值的第二主机个数与所有主机的个数的比值的下限等等,例如,该比值的下限可以是0.4。
可选的,第三阈值也可以是大于第二阈值的第二主机个数的上限,也就是说,若第二主机的个数大于第三阈值,则向与第二主机对应的DNS服务器发送命令,以使所述DNS服务器结束全部DNS服务进程。
第二主机对应的DNS服务器可以是指第二主机所属的域对应的DNS服务器。
如上所述,在确定了查询的恶意域名的数目大于第二阈值的第二主机后,可以统计确定第二主机的个数以及确定所有主机的个数。其中,所有主机的个数可以是服务器预先记录的,服务器可以根据预先记录的内容确定第二主机所属的域管理的主机的个数。然后,计算第二主机的个数与所有主机的个数的比值。若所述比值大于第三阈值(例如,0.4),那么服务器可以向第二主机对应的DNS服务器发送kill命令,DNS服务器接收到kill命令后可以结束全部DNS服务进程。
举例来说,服务器可以在8:55分抽取8:50分到8:55分收集的DNS日志中抽取恶意域名,并统计各主机查询的恶意域名的数目,例如主机1查询的恶意域名的数目为1、主机2查询的恶意域名的数目为800、主机3查询的恶意域名的数目为8、主机4查询的恶意域名的数目为1000。以第二阈值为750为例,主机2和主机4查询的恶意域名的数目大于750。查询的恶意域名的数目大于750的主机有2个,服务器记录了所有主机的个数为4,那么2/4=0.5>0.4,则服务器可以向主机2和主机4对应的DNS服务器发送kill命令,DNS服务器接收到kill命令后可以结束全部DNS服务进程。
服务器还可以向主机2和主机4发送kill命令,主机2和主机4接收到kill命令后,可以结束本主机上运行的DNS客户端进程。
根据以上实施方式的恶意域名检测方法,可以在恶意域名大量爆发时,切断第二主机所属的域对应的DNS服务器与第二主机之间的服务,提升DNS服务质量。
图4示出根据本公开一实施例的防止恶意域名攻击的装置的框图。该装置可以应用于服务器,例如,集中管理多个主机日志的一台或多台服务器(日志管理/审计中心),服务器管理的主机可以通过网络向服务器发送日志,服务器对多个主机的日志进行收集,还可以利用日志分析器对收集的日志进行分析。
如图4所示,该装置可以包括:
统计模块41,用于每隔第一时间段,从主机在所述第一时间段内的域名系统DNS日志中抽取恶意域名,统计所述主机查询的恶意域名的数目;
执行模块42,用于若所述主机查询的恶意域名的数目满足阈值条件,则执行与所述阈值条件对应的操作。
通过从主机的DNS日志中抽取恶意域名,并统计主机查询的恶意域名的数目,从而实现恶意域名的检测,及时发现针对DNS的异常行为;根据主机查询的恶意域名的数目满足的阈值条件,执行与阈值条件对应的操作,从而保证DNS的正常运行,提升DNS服务质量。
图5示出根据本公开一实施例的防止恶意域名攻击的装置的框图。
如图5所示,在一种可能的实现方式中,所述执行模块42可以包括:
告警单元421,用于若第一主机查询的恶意域名的数目大于第一阈值,则进行告警;
其中,所述第一阈值为T×f×w1,T表示第一时间段的长度,f表示恶意域名的输入频率,w1表示第一调整系数。
在一种可能的实现方式中,所述执行模块42还可以包括:
发送单元422,用于若第二主机查询的恶意域名的数目大于第二阈值,则向第二主机发送命令,以使第二主机结束DNS客户端进程;
其中,所述第二阈值为T×f×w2,T表示第一时间段的长度,f表示恶意域名的输入频率,w2表示第二调整系数。
在一种可能的实现方式中,所述装置还可以包括:
发送模块43,用于若第二主机的个数,与所有主机的个数的比值大于第三阈值,则向与第二主机对应的DNS服务器发送命令,以使所述DNS服务器结束全部DNS服务进程;
其中,所有主机的个数是指第二主机所属的域管理的主机的个数。
图6是根据一示例性实施例示出的一种用于防止恶意域名攻击的装置900的框图。参照图6,该装置900可包括处理器901、存储有机器可执行指令的机器可读存储介质902。处理器901与机器可读存储介质902可经由系统总线903通信。并且,处理器901通过读取机器可读存储介质902中与防止恶意域名攻击的逻辑对应的机器可执行指令以执行上文所述的防止恶意域名攻击的方法。
本文中提到的机器可读存储介质902可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(Radom Access Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
以上已经描述了本公开的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
Claims (6)
1.一种防止恶意域名攻击的方法,其特征在于,所述方法应用于日志管理服务器,所述方法包括:
每隔第一时间段,从主机在所述第一时间段内的域名系统DNS日志中抽取恶意域名,统计所述主机查询的恶意域名的数目;
若所述主机查询的恶意域名的数目满足阈值条件,则执行与所述阈值条件对应的操作;
若所述主机查询的恶意域名的数目满足阈值条件,则执行与所述阈值条件对应的操作,包括:
若第一主机查询的恶意域名的数目大于第一阈值,则进行告警;
若第二主机查询的恶意域名的数目大于第二阈值,则向第二主机发送命令,以使第二主机结束DNS客户端进程;
所述方法还包括:
若第二主机的个数,与所有主机的个数的比值大于第三阈值,则向与第二主机对应的DNS服务器发送命令,以使所述DNS服务器结束全部DNS服务进程;
其中,所有主机的个数是指第二主机所属的域管理的主机的个数。
2.根据权利要求1所述的方法,其特征在于,
所述第一阈值为T×f×w1,T表示第一时间段的长度,f表示恶意域名的输入频率,w1表示第一调整系数。
3.根据权利要求1所述的方法,其特征在于,
所述第二阈值为T×f×w2,T表示第一时间段的长度,f表示恶意域名的输入频率,w2表示第二调整系数。
4.一种防止恶意域名攻击的装置,其特征在于,所述装置应用于日志管理服务器,所述装置包括:
统计模块,用于每隔第一时间段,从主机在所述第一时间段内的域名系统DNS日志中抽取恶意域名,统计所述主机查询的恶意域名的数目;
执行模块,用于若所述主机查询的恶意域名的数目满足阈值条件,则执行与所述阈值条件对应的操作;
所述执行模块包括:
告警单元,用于若第一主机查询的恶意域名的数目大于第一阈值,则进行告警;
所述执行模块包括:
发送单元,用于若第二主机查询的恶意域名的数目大于第二阈值,则向第二主机发送命令,以使第二主机结束DNS客户端进程;
所述装置还包括:
发送模块,用于若第二主机的个数,与所有主机的个数的比值大于第三阈值,则向与第二主机对应的DNS服务器发送命令,以使所述DNS服务器结束全部DNS服务进程;
其中,所有主机的个数是指第二主机所属的域管理的主机的个数。
5.根据权利要求4所述的装置,其特征在于,
所述第一阈值为T×f×w1,T表示第一时间段的长度,f表示恶意域名的输入频率,w1表示第一调整系数。
6.根据权利要求4所述的装置,其特征在于,
所述第二阈值为T×f×w2,T表示第一时间段的长度,f表示恶意域名的输入频率,w2表示第二调整系数。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810244671.0A CN108449349B (zh) | 2018-03-23 | 2018-03-23 | 防止恶意域名攻击的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810244671.0A CN108449349B (zh) | 2018-03-23 | 2018-03-23 | 防止恶意域名攻击的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108449349A CN108449349A (zh) | 2018-08-24 |
CN108449349B true CN108449349B (zh) | 2021-01-26 |
Family
ID=63196735
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810244671.0A Active CN108449349B (zh) | 2018-03-23 | 2018-03-23 | 防止恶意域名攻击的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108449349B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111162956B (zh) * | 2018-11-08 | 2021-07-30 | 优信数享(北京)信息技术有限公司 | 一种日志记录方法及装置 |
CN110166422B (zh) * | 2019-04-01 | 2021-09-10 | 腾讯科技(深圳)有限公司 | 域名行为识别方法、装置、可读存储介质和计算机设备 |
CN111371747B (zh) * | 2020-02-21 | 2021-11-12 | 中山大学 | 一种防御域名解析服务器信息泄露方法 |
CN112804369A (zh) * | 2020-12-28 | 2021-05-14 | 深信服科技股份有限公司 | 一种网络系统及网络访问安全检测方法、装置和相关设备 |
TWI796706B (zh) * | 2021-06-11 | 2023-03-21 | 安碁資訊股份有限公司 | 資料外洩偵測方法與裝置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102291268A (zh) * | 2011-09-23 | 2011-12-21 | 杜跃进 | 一种安全域名服务器及基于此的恶意域名监控系统和方法 |
CN105024969A (zh) * | 2014-04-17 | 2015-11-04 | 北京启明星辰信息安全技术有限公司 | 一种实现恶意域名识别的方法及装置 |
CN105827594A (zh) * | 2016-03-08 | 2016-08-03 | 北京航空航天大学 | 一种基于域名可读性及域名解析行为的可疑性检测方法 |
CN106713312A (zh) * | 2016-12-21 | 2017-05-24 | 深圳市深信服电子科技有限公司 | 检测非法域名的方法及装置 |
-
2018
- 2018-03-23 CN CN201810244671.0A patent/CN108449349B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102291268A (zh) * | 2011-09-23 | 2011-12-21 | 杜跃进 | 一种安全域名服务器及基于此的恶意域名监控系统和方法 |
CN105024969A (zh) * | 2014-04-17 | 2015-11-04 | 北京启明星辰信息安全技术有限公司 | 一种实现恶意域名识别的方法及装置 |
CN105827594A (zh) * | 2016-03-08 | 2016-08-03 | 北京航空航天大学 | 一种基于域名可读性及域名解析行为的可疑性检测方法 |
CN106713312A (zh) * | 2016-12-21 | 2017-05-24 | 深圳市深信服电子科技有限公司 | 检测非法域名的方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN108449349A (zh) | 2018-08-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108449349B (zh) | 防止恶意域名攻击的方法及装置 | |
US10867034B2 (en) | Method for detecting a cyber attack | |
CN109951500B (zh) | 网络攻击检测方法及装置 | |
CN106713049B (zh) | 一种监控的告警方法及装置 | |
US10721245B2 (en) | Method and device for automatically verifying security event | |
CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
CN110519150B (zh) | 邮件检测方法、装置、设备、系统及计算机可读存储介质 | |
JP2016152594A (ja) | ネットワーク攻撃監視装置、ネットワーク攻撃監視方法、及びプログラム | |
CN110313147B (zh) | 数据处理方法、装置和系统 | |
CN110417747B (zh) | 一种暴力破解行为的检测方法及装置 | |
CN109255237B (zh) | 安全事件关联分析方法及装置 | |
WO2015062541A1 (zh) | 对抗免杀测试的云查杀方法、装置及系统 | |
CN111625841B (zh) | 一种病毒处理方法、装置及设备 | |
CN105471835A (zh) | 提升防火墙处理性能的方法及系统 | |
CN112416895A (zh) | 数据库信息处理方法、装置、可读存储介质及电子设备 | |
CN112769775B (zh) | 一种威胁情报关联分析方法、系统、设备及计算机介质 | |
EP3660719A1 (en) | Method for detecting intrusions in an audit log | |
JP6750457B2 (ja) | ネットワーク監視装置、プログラム及び方法 | |
CN113132311A (zh) | 异常访问检测方法、装置和设备 | |
US20160205118A1 (en) | Cyber black box system and method thereof | |
CN113535823B (zh) | 异常访问行为检测方法、装置及电子设备 | |
Giacinto et al. | Alarm clustering for intrusion detection systems in computer networks | |
EP3809298A1 (en) | System for performing bi-directional inquiry, comparison and tracking on security policies and audit logs, and method therefor | |
CN113923039B (zh) | 攻击设备识别方法、装置、电子设备及可读存储介质 | |
KR101712462B1 (ko) | Ip 위험군 탐지 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |