CN108737385A - 一种基于dns映射ip的恶意域名匹配方法 - Google Patents

一种基于dns映射ip的恶意域名匹配方法 Download PDF

Info

Publication number
CN108737385A
CN108737385A CN201810375367.XA CN201810375367A CN108737385A CN 108737385 A CN108737385 A CN 108737385A CN 201810375367 A CN201810375367 A CN 201810375367A CN 108737385 A CN108737385 A CN 108737385A
Authority
CN
China
Prior art keywords
domain name
malice
dns
data packet
protocol
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201810375367.XA
Other languages
English (en)
Inventor
沈伟
范渊
李凯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Dbappsecurity Technology Co Ltd
Original Assignee
Hangzhou Dbappsecurity Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Dbappsecurity Technology Co Ltd filed Critical Hangzhou Dbappsecurity Technology Co Ltd
Priority to CN201810375367.XA priority Critical patent/CN108737385A/zh
Publication of CN108737385A publication Critical patent/CN108737385A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及网络安全,旨在提供一种基于DNS映射IP的恶意域名匹配方法。该种基于DNS映射IP的恶意域名匹配方法包括步骤:搜集C&C域名、流量采集模块采集流量、DNS解析模块解析DNS流量、恶意域名识别模块识别DNS中的恶意域名、恶意IP识别模块识别恶意IP、数据包保存模块保存数据包、协议解析模块解析识别协议。本发明可以有效地对访问恶意域名的行为进行告警,包括匹配非web的恶意域名访问行为,同时对非常用协议或加密流量进行数据包保存供后续分析研究。

Description

一种基于DNS映射IP的恶意域名匹配方法
技术领域
本发明是关于网络安全领域,特别涉及一种基于DNS映射IP的恶意域名匹配方法。
背景技术
病毒、木马在感染设备后,往往会通过回连访问命令与控制服务器(C&C服务器),以获取新的指令或上传窃取的信息,回连访问C&C服务器通常用有固定域名、固定IP、DGA域名等方式。
传统的恶意域名恶意IP检测手段主要是对使用固定域名和固定IP的回连行为进行域名、IP匹配,而大多数恶意域名匹配系统都只匹配了web中的域名,但是事实上,使用固定域名的回连远不止web协议,还有很多其他的协议甚至自己实现的socket连接。
很多病毒往往是将固定域名通过DNS实时解析成对应的IP,然后直接对这个IP进行访问,所使用的协议、端口各式各样,也可以是完全自己实现的socket连接。通过这种方式实现的回连,尤其是域名对应的IP经常变化的时候,即使是拥有这些已知病毒的固定回连域名,传统只匹配web中域名的方法也依然检测不到。
发明内容
本发明的主要目的在于克服现有技术中的不足,提供一种能对已知恶意域名的访问行为进行匹配告警,同时能对非常用协议或加密流量进行数据包保存的方法。为解决上述技术问题,本发明的解决方案是:
提供一种基于DNS映射IP的恶意域名匹配方法,具体包括下面步骤:
步骤一:搜集C&C域名:
搜集已知的C&C域名(从国内外多个安全网站上搜集已知的C&C域名),形成恶意域名名单库;
所述恶意域名名单库是域名的集合(已知的被黑客利用的域名,后续需要持续更新加入新的恶意域名并删除已经无效的域名);
步骤二:采集流量(流量采集模块):
使用DPDK捕获流经网卡的全部IP协议流量数据包,用于后续分析;
步骤三:解析DNS流量(DNS解析模块):
对步骤二采集的IP协议流量数据包,先判断流量是否属于DNS协议:
如果是DNS协议,则按照DNS协议格式进行解析,解析得到相关信息,相关信息包括请求的域名、请求的时间、域名对应的IP地址和域名对应IP的TTL(域名解析的生命周期),然后进入步骤四;
如果不是DNS协议,则进入步骤五;
步骤四:识别DNS中的恶意域名(恶意域名识别模块):
判断DNS请求的域名是否属于恶意域名:
如果不属于恶意域名,则结束,不再进行后续步骤;
如果属于恶意域名,则判断域名对应的IP地址是否属于公网IP:如果是公网IP,则将该域名对应的IP地址加入恶意IP名单库,并记录有效时间,如果该域名对应的IP地址已经在恶意IP名单库中,则更新有效时间;如果不是公网IP,则结束,不再进行后续步骤;
所述恶意IP名单库是恶意域名对应的IP地址的集合,且每个恶意IP保存有效时间,对应的恶意域名(恶意IP名单库是恶意域名名单库根据DNS流量,把域名和IP对应起来后形成的,这个域名和IP的对应是有有效时间的);
所述有效时间是指请求的时间和域名对应IP的TTL(请求时间+TTL);
步骤五:识别恶意IP(恶意IP识别模块):
对于不是DNS协议的流量,判断数据包中源IP和目的IP是否属于恶意IP名单库:
如果源IP和目的IP中至少有一个属于恶意IP名单库,则判断该数据包的时间是否在该恶意IP的有效时间内:如果在有效时间内,则进入步骤六;如果不在有效时间内,则结束,不再进行后续步骤;
如果源IP和目的IP都不属于恶意IP名单库,则结束,不再进行后续步骤;
步骤六:保存数据包(数据包保存模块):
以IP对为维度保存数据包:将源IP和目的IP相同或相反的数据包保存到同一个文件(数据包文件);
步骤七:解析识别协议(协议解析模块):
先判断数据包是否是常用解析(常用协议包括http、smb、pop、smtp、imap、ftp、telnet等协议):
如果不是常用协议,则直接进行告警,告警信息包括访问时间、访问的源IP、访问的目的IP、恶意IP以及其对应的恶意域名、使用的端口和保存的数据包;
如果是常用协议,则按照相应协议规范进行解析还原,并产生告警,告警信息包括访问时间、访问的源IP、访问的目的IP、恶意IP以及其对应的恶意域名、使用的端口、保存的数据包、使用的协议和解析后的内容。
本发明的工作原理:要成功访问域名必然会产生DNS流量,并且DNS流量中必然存在域名对应的IP。本发明通过DNS流量映射某个时间段内恶意域名对应的恶意IP,并匹配映射后的恶意IP,同时基于全IP流量进行匹配并保存数据包,可以匹配非web的恶意域名访问行为,对于非常用协议或加密的恶意域名访问行为具有保存数据包供后续分析研究。
与现有技术相比,本发明的有益效果是:
本发明通过DNS实时流量实时映射已知恶意域名对应的IP,并对全IP流量进行匹配,能捕获访问恶意域名的具体行为,并且不只是web协议的,其他协议的也能捕获。
本发明可以有效地对访问恶意域名的行为进行告警,包括匹配非web的恶意域名访问行为(非web的恶意域名访问行为是指先通过DNS域名解析获取动态IP,然后直接对该IP进行访问的行为),同时对非常用协议或加密流量进行数据包保存供后续分析研究。
附图说明
图1为本发明的工作流程图。
具体实施方式
下面结合附图与具体实施方式对本发明作进一步详细描述:
如图1所示的一种基于DNS映射IP的恶意域名匹配方法,具体包括下面步骤:
步骤一:搜集C&C域名:
从国内外多个安全网站上搜集已知的C&C域名,形成恶意域名名单库。
所述恶意域名名单库是指:已知的被黑客利用的域名的集合,后续需要持续更新加入新的恶意域名并删除已经无效的域名。
步骤二:流量采集模块采集流量:
采集模块使用DPDK捕获流经网卡的全部IP协议流量数据包,用于后续分析。
步骤三:DNS解析模块解析DNS流量:
对步骤二采集的IP协议流量数据包,DNS解析模块先判断流量是否属于DNS协议:
如果是DNS协议,则按照DNS协议格式进行解析,解析得到请求的域名、请求的时间、域名对应的IP地址和域名对应IP的TTL(域名解析的生命周期)等信息,然后进入步骤四。
如果不是DNS协议,则进入步骤五。
步骤四:恶意域名识别模块识别DNS中的恶意域名:
恶意域名识别模块判断DNS请求的域名是否属于恶意域名:
如果不属于恶意域名,则结束。
如果属于恶意域名,则判断域名对应的IP地址是否属于公网IP:如果是公网IP,则将域名对应的IP地址加入恶意IP名单库,并记录有效时间(请求时间+TTL),如果域名对应的IP地址已经在恶意IP名单库中,则更新有效时间;如果不是公网IP,则结束。
所述恶意IP名单库是指:恶意域名对应的IP地址的集合,每个恶意IP需要保存有效时间,对应的恶意域名。
步骤五:恶意IP识别模块识别恶意IP:
对于不是DNS协议的流量,由恶意IP识别模块判断数据包中源IP和目的IP是否属于恶意IP名单库:
如果源IP和目的IP中至少有一个属于恶意IP名单库,则判断该数据包的时间是否在该恶意IP的有效时间内:如果在有效时间内,则进入步骤六;如果不在有效时间内,则结束。
如果源IP和目的IP都不属于恶意IP名单库,则结束。
步骤六:数据包保存模块保存数据包:
对于识别为恶意IP的数据包,数据包保存模块以IP对为维度保存数据包。以IP对为维度是指将同一IP对之间的数据包保存到同一个数据包文件中。
步骤七:协议解析模块解析识别协议:
协议解析模块先判断数据包是否是常用解析(常用协议包括http、smb、pop、smtp、imap、ftp、telnet等协议):
如果不是常用协议,则直接进行告警,告警信息包括访问时间、访问的源IP、访问的目的IP、恶意IP以及其对应的恶意域名、使用的端口和保存的数据包等信息。
如果是常用协议,则按照相应协议规范进行解析还原,并产生告警,告警信息包括访问时间、访问的源IP、访问的目的IP、恶意IP以及其对应的恶意域名、使用的端口、保存的数据包、使用的协议和解析后的内容等信息。
最后,需要注意的是,以上列举的仅是本发明的具体实施例。显然,本发明不限于以上实施例,还可以有很多变形。本领域的普通技术人员能从本发明公开的内容中直接导出或联想到的所有变形,均应认为是本发明的保护范围。

Claims (1)

1.一种基于DNS映射IP的恶意域名匹配方法,其特征在于,具体包括下面步骤:
步骤一:搜集C&C域名:
搜集已知的C&C域名,形成恶意域名名单库;
所述恶意域名名单库是域名的集合;
步骤二:采集流量:
使用DPDK捕获流经网卡的全部IP协议流量数据包,用于后续分析;
步骤三:解析DNS流量:
对步骤二采集的IP协议流量数据包,先判断流量是否属于DNS协议:
如果是DNS协议,则按照DNS协议格式进行解析,解析得到相关信息,相关信息包括请求的域名、请求的时间、域名对应的IP地址和域名对应IP的TTL,然后进入步骤四;
如果不是DNS协议,则进入步骤五;
步骤四:识别DNS中的恶意域名:
判断DNS请求的域名是否属于恶意域名:
如果不属于恶意域名,则结束,不再进行后续步骤;
如果属于恶意域名,则判断域名对应的IP地址是否属于公网IP:如果是公网IP,则将该域名对应的IP地址加入恶意IP名单库,并记录有效时间,如果该域名对应的IP地址已经在恶意IP名单库中,则更新有效时间;如果不是公网IP,则结束,不再进行后续步骤;
所述恶意IP名单库是恶意域名对应的IP地址的集合,且每个恶意IP保存有效时间,对应的恶意域名;
所述有效时间是指请求的时间和域名对应IP的TTL;
步骤五:识别恶意IP:
对于不是DNS协议的流量,判断数据包中源IP和目的IP是否属于恶意IP名单库:
如果源IP和目的IP中至少有一个属于恶意IP名单库,则判断该数据包的时间是否在该恶意IP的有效时间内:如果在有效时间内,则进入步骤六;如果不在有效时间内,则结束,不再进行后续步骤;
如果源IP和目的IP都不属于恶意IP名单库,则结束,不再进行后续步骤;
步骤六:保存数据包:
以IP对为维度保存数据包:将源IP和目的IP相同或相反的数据包保存到同一个文件;
步骤七:解析识别协议:
先判断数据包是否是常用解析:
如果不是常用协议,则直接进行告警,告警信息包括访问时间、访问的源IP、访问的目的IP、恶意IP以及其对应的恶意域名、使用的端口和保存的数据包;
如果是常用协议,则按照相应协议规范进行解析还原,并产生告警,告警信息包括访问时间、访问的源IP、访问的目的IP、恶意IP以及其对应的恶意域名、使用的端口、保存的数据包、使用的协议和解析后的内容。
CN201810375367.XA 2018-04-24 2018-04-24 一种基于dns映射ip的恶意域名匹配方法 Pending CN108737385A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810375367.XA CN108737385A (zh) 2018-04-24 2018-04-24 一种基于dns映射ip的恶意域名匹配方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810375367.XA CN108737385A (zh) 2018-04-24 2018-04-24 一种基于dns映射ip的恶意域名匹配方法

Publications (1)

Publication Number Publication Date
CN108737385A true CN108737385A (zh) 2018-11-02

Family

ID=63939833

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810375367.XA Pending CN108737385A (zh) 2018-04-24 2018-04-24 一种基于dns映射ip的恶意域名匹配方法

Country Status (1)

Country Link
CN (1) CN108737385A (zh)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109597869A (zh) * 2018-11-30 2019-04-09 杭州芸品绿信息科技有限公司 恶意网站制作的犯罪团伙筛选方法
CN111030979A (zh) * 2019-06-20 2020-04-17 哈尔滨安天科技集团股份有限公司 一种恶意域名检测方法、装置及存储设备
CN111224891A (zh) * 2019-12-24 2020-06-02 北京百卓网络技术有限公司 一种基于动态学习三元组的流量应用识别系统及方法
CN112667875A (zh) * 2020-12-24 2021-04-16 恒安嘉新(北京)科技股份公司 一种数据获取、数据分析方法、装置、设备及存储介质
CN113542202A (zh) * 2020-04-21 2021-10-22 深信服科技股份有限公司 一种域名识别方法、装置、设备及计算机可读存储介质
CN113630409A (zh) * 2021-08-05 2021-11-09 哈尔滨工业大学(威海) 基于dns解析流量和ip流量融合分析的异常流量识别方法
CN113938314A (zh) * 2021-11-17 2022-01-14 北京天融信网络安全技术有限公司 一种加密流量的检测方法及装置、存储介质
US11563754B2 (en) 2019-02-25 2023-01-24 Micro Focus Llc Cyber attack prediction based on dark IP address space network traffic to plural client networks

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102594825A (zh) * 2012-02-22 2012-07-18 北京百度网讯科技有限公司 一种内网木马的检测方法和装置
US20130036468A1 (en) * 2011-08-01 2013-02-07 Visicom Media Inc. Anti-phishing domain advisor and method thereof
CN103634315A (zh) * 2013-11-29 2014-03-12 杜跃进 域名服务器的前端控制方法及系统
GB2512954A (en) * 2013-04-11 2014-10-15 F Secure Corp Detecting and marking client devices
CN105024969A (zh) * 2014-04-17 2015-11-04 北京启明星辰信息安全技术有限公司 一种实现恶意域名识别的方法及装置
CN105959294A (zh) * 2016-06-17 2016-09-21 北京网康科技有限公司 一种恶意域名鉴别方法及装置
CN107172006A (zh) * 2017-03-22 2017-09-15 深信服科技股份有限公司 检测无线网络恶意性的方法及装置
CN107395650A (zh) * 2017-09-07 2017-11-24 杭州安恒信息技术有限公司 基于沙箱检测文件识别木马回连方法及装置
CN107454109A (zh) * 2017-09-22 2017-12-08 杭州安恒信息技术有限公司 一种基于http流量分析的网络窃密行为检测方法
CN107566376A (zh) * 2017-09-11 2018-01-09 中国信息安全测评中心 一种威胁情报生成方法、装置及系统
CN107566420A (zh) * 2017-10-27 2018-01-09 深信服科技股份有限公司 一种被恶意代码感染的主机的定位方法及设备

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130036468A1 (en) * 2011-08-01 2013-02-07 Visicom Media Inc. Anti-phishing domain advisor and method thereof
CN102594825A (zh) * 2012-02-22 2012-07-18 北京百度网讯科技有限公司 一种内网木马的检测方法和装置
GB2512954A (en) * 2013-04-11 2014-10-15 F Secure Corp Detecting and marking client devices
CN103634315A (zh) * 2013-11-29 2014-03-12 杜跃进 域名服务器的前端控制方法及系统
CN105024969A (zh) * 2014-04-17 2015-11-04 北京启明星辰信息安全技术有限公司 一种实现恶意域名识别的方法及装置
CN105959294A (zh) * 2016-06-17 2016-09-21 北京网康科技有限公司 一种恶意域名鉴别方法及装置
CN107172006A (zh) * 2017-03-22 2017-09-15 深信服科技股份有限公司 检测无线网络恶意性的方法及装置
CN107395650A (zh) * 2017-09-07 2017-11-24 杭州安恒信息技术有限公司 基于沙箱检测文件识别木马回连方法及装置
CN107566376A (zh) * 2017-09-11 2018-01-09 中国信息安全测评中心 一种威胁情报生成方法、装置及系统
CN107454109A (zh) * 2017-09-22 2017-12-08 杭州安恒信息技术有限公司 一种基于http流量分析的网络窃密行为检测方法
CN107566420A (zh) * 2017-10-27 2018-01-09 深信服科技股份有限公司 一种被恶意代码感染的主机的定位方法及设备

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109597869A (zh) * 2018-11-30 2019-04-09 杭州芸品绿信息科技有限公司 恶意网站制作的犯罪团伙筛选方法
US11563754B2 (en) 2019-02-25 2023-01-24 Micro Focus Llc Cyber attack prediction based on dark IP address space network traffic to plural client networks
CN111030979A (zh) * 2019-06-20 2020-04-17 哈尔滨安天科技集团股份有限公司 一种恶意域名检测方法、装置及存储设备
CN111224891A (zh) * 2019-12-24 2020-06-02 北京百卓网络技术有限公司 一种基于动态学习三元组的流量应用识别系统及方法
CN111224891B (zh) * 2019-12-24 2023-05-09 北京百卓网络技术有限公司 一种基于动态学习三元组的流量应用识别系统及方法
CN113542202A (zh) * 2020-04-21 2021-10-22 深信服科技股份有限公司 一种域名识别方法、装置、设备及计算机可读存储介质
CN113542202B (zh) * 2020-04-21 2022-09-30 深信服科技股份有限公司 一种域名识别方法、装置、设备及计算机可读存储介质
CN112667875A (zh) * 2020-12-24 2021-04-16 恒安嘉新(北京)科技股份公司 一种数据获取、数据分析方法、装置、设备及存储介质
CN113630409A (zh) * 2021-08-05 2021-11-09 哈尔滨工业大学(威海) 基于dns解析流量和ip流量融合分析的异常流量识别方法
CN113938314A (zh) * 2021-11-17 2022-01-14 北京天融信网络安全技术有限公司 一种加密流量的检测方法及装置、存储介质
CN113938314B (zh) * 2021-11-17 2023-11-28 北京天融信网络安全技术有限公司 一种加密流量的检测方法及装置、存储介质

Similar Documents

Publication Publication Date Title
CN108737385A (zh) 一种基于dns映射ip的恶意域名匹配方法
US10277614B2 (en) Information processing apparatus, method for determining activity and computer-readable medium
CN101924757B (zh) 追溯僵尸网络的方法和系统
RU2634209C1 (ru) Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью
CN109474575B (zh) 一种dns隧道的检测方法及装置
CN104601557B (zh) 一种基于软件定义网络的恶意网站防护方法及系统
Glatz et al. Classifying internet one-way traffic
US11743153B2 (en) Apparatus and process for monitoring network behaviour of Internet-of-things (IoT) devices
US7646728B2 (en) Network monitoring and intellectual property protection device, system and method
CN108769034B (zh) 一种实时在线监测远控木马控制端ip地址的方法及装置
CN103795709A (zh) 一种网络安全检测方法和系统
CN104135474B (zh) 基于主机出入度的网络异常行为检测方法
CN105681250A (zh) 一种僵尸网络分布式实时检测方法和系统
CN101854275A (zh) 一种通过分析网络行为检测木马程序的方法及装置
Xing et al. Research on the defense against ARP spoofing attacks based on Winpcap
CN109565453B (zh) 用于扩充网络流量报告的方法及系统
CN106790073B (zh) 一种Web服务器恶意攻击的阻断方法、装置及防火墙
EP3275150A1 (en) Extracted data classification to determine if a dns packet is malicious
US10187414B2 (en) Differential malware detection using network and endpoint sensors
Čermák et al. Detection of DNS traffic anomalies in large networks
Kshirsagar et al. Network Intrusion Detection based on attack pattern
TWI677803B (zh) 可疑網域之偵測方法、閘道裝置及非暫態電腦可讀取媒體
CN112640392B (zh) 一种木马检测方法、装置和设备
KR101084681B1 (ko) 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템과 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 방법
CN110661799B (zh) 一种arp欺骗行为的检测方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20181102

RJ01 Rejection of invention patent application after publication