CN110431828B - 基于域名系统dns日志和网络数据检测dns隧道 - Google Patents
基于域名系统dns日志和网络数据检测dns隧道 Download PDFInfo
- Publication number
- CN110431828B CN110431828B CN201880018419.6A CN201880018419A CN110431828B CN 110431828 B CN110431828 B CN 110431828B CN 201880018419 A CN201880018419 A CN 201880018419A CN 110431828 B CN110431828 B CN 110431828B
- Authority
- CN
- China
- Prior art keywords
- domain name
- name server
- computing device
- tunnel
- dns
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种用于检测域名服务器隧道的系统,包括处理器和被存储在有形机器可读介质上的机器可读指令,机器可读指令当由处理器执行时,将处理器配置为:在预定时间段期间,收集从域名服务器接收到的对查询的响应,查询由计算设备发送到域名服务器,响应包括因特网协议(IP)地址;在预定时间段期间收集由计算设备访问的IP地址;比较来自域名服务器的响应中的由计算设备接收的IP地址和由计算设备访问的IP地址;以及基于比较检测域名服务器隧道。
Description
技术领域
本公开总体上涉及网络通信,并且更具体地涉及基于域名系统 (DNS)日志和网络数据检测DNS隧道(tunneling)。
背景技术
在此提供的背景描述是为了总体呈现本公开的内容。目前命名的发明者的工作,在本背景部分中描述的工作的程度上,以及在提交申请时可能不具备现有技术资格的描述的方面,既不明示也不暗示地被承认为针对本公开的现有技术。
域名系统(DNS)是因特网上使用的协议和服务。DNS通常用于将域名映射到因特网协议(IP)地址。当用户在web浏览器中输入域名(例如,example.com)时,DNS用于执行转发查找以寻找针对该域名的一个或多个IP地址。
DNS是分层的系统。层级的每个等级可以由具有不同所有权的另一服务器提供。对于因特网,存在13个根DNS服务器,标记为A到 M。这些根DNS服务器通过多于13个物理服务器来实施。DNS的分层特性可以用一个示例来解释。考虑名为my.test.example.com的域的IP地址的示例请求。新的请求将首先去往根DNS服务器寻找哪个 DNS服务器控制.com顶级域。.com DNS服务器将提供控制 example.com域的DNS服务器。接着,example.com DNS服务器将提供控制test.example.com域的DNS服务器。最后,test.example.com DNS 服务器将提供my.test.example.com的IP地址。
利用分层的系统,给定域的所有者可以为其域定义授权服务器。也就是说,用户控制了其域的DNS查询的最终目的地主机。在典型的企业中,端点不会直接向因特网发送DNS请求。因特网DNS服务器将DNS服务提供给端点。然而,由于DNS将转发请求直到授权域名服务器被接触到,具有内部端点访问权限的攻击者可能利用企业用于DNS隧道的DNS基础设施连接到攻击者控制的域。
DNS隧道是在受损的客户端与恶意的DNS服务器之间的DNS查询和响应中嵌入数据的方法,其允许数据泄露和僵尸网络的命令和控制(下文将解释)。通过DNS隧道,另一协议可以通过DNS被隧道。 DNS隧道可以被用于命令和控制、数据泄露、和/或任何IP流量的隧道。DNS隧道允许绕过防火墙网络中的访问和安全策略。这样的安全漏洞会被误用于以下活动,诸如免费的web浏览、命令和控制流量、和/或网络间谍活动。
DNS隧道是可能的,因为DNS请求通常不会在防火墙被过滤掉,有效地打开了安全漏洞。信息绕开第一线网络安全机制的事实使得 DNS隧道在除了免费的web浏览之外非常有吸引力。一些示例包括命令和控制以及网络间谍攻击中的数据泄露,其中攻击者需要DNS提供的可用但不明显的通信信道。
DNS隧道通过将数据封装到DNS包中而工作。通常,隧道客户端(例如,受损的客户端)封装数据在针对特定域名的查询中发送。域名解析器通过启动请求域名的查找过程将隧道流量视为常规请求,可能递归地询问其他域名解析器。在该操作结束时,请求由隧道服务器(例如,恶意的DNS服务器)处理。隧道服务器取回封装的数据并通过封装隧道数据(例如,恶意IP地址和/或数据)在DNS响应消息的回答部分对DNS查询进行响应。
DNS协议还用于感染僵尸病毒的计算机与命令和控制(C&C)服务器之间的僵尸网络通信。“僵尸”是一类恶意软件,其允许攻击者控制受感染的计算机。僵尸网络(术语“僵尸网络”是由词语“机器人”和“网络”形成)是不被计算机所有者所知的、受恶意的软件(恶意软件)感染并由网络罪犯控制的计算机网络,其建立以转发传输(包括垃圾邮件或病毒)到因特网上的其他计算机。由于DNS协议被用于大多数因特网服务,所以基于僵尸网络通信中DNS协议使用的可能性,很难简单地阻塞DNS流量,这就是攻击者在僵尸网络通信中使用DNS协议的原因。
发明内容
一种系统包括处理器和被存储在有形机器可读介质上的机器可读指令,机器可读指令当通过处理器执行时,将处理器配置为:在预定时间段期间,收集从域名服务器接收到的对查询的响应,查询由计算设备发送到域名服务器,响应包括因特网协议(IP)地址;在预定时间段期间,收集由计算设备访问的IP地址;比较来自域名服务器的响应中的由计算设备接收到的IP地址和由计算设备访问的IP地址;以及基于比较检测域名服务器隧道。
在其他特征中,机器可读指令还将处理器配置为:当来自域名服务器的响应中的由计算设备接收到的IP地址与由计算设备访问的IP 地址之间的关联小于或等于预定阈值时,检测域服务器隧道。
在其他特征中,机器可读指令还将处理器配置为:当由计算设备访问的IP地址与来自域名服务器的响应中的由计算设备接收到的IP 地址之间的差异大于或等于预定阈值时,检测域服务器隧道。
在其他特征中,机器可读指令还将处理器配置为:当由计算设备访问的IP地址的数目小于或等于来自域名服务器的响应中的由计算设备接收到的IP地址的数目的预定百分比时,检测域服务器隧道。
在其他特征中,机器可读指令还将处理器配置为:当基于比较检测到域名服务器隧道时,生成指示域名服务器是恶意的指示。
在其他特征中,机器可读指令还将处理器配置为:当基于比较检测到域名服务器隧道时,生成指示计算设备上的数据安全是受损的指示。
在其他特征中,机器可读指令还将处理器配置为:当来自域名服务器的响应中的由计算设备接收到的IP地址与由计算设备访问的IP 地址之间差异大于或等于预定阈值时,生成指示。
在其他特征中,机器可读指令还将处理器配置为:当来自域名服务器的响应中的由计算设备接收到的IP地址与由计算设备访问的IP 地址之间的差异大于或等于预定阈值时,并且当检测到与计算设备和域名服务器中的一个或多个的通信相关联的另一条件时,以预定的置信度水平指示域名服务器隧道的出现。
在其他特征中,其他条件包括从计算设备发送具有大于或等于预定长度的域名的查询。
而在其他特征中,一种用于检测计算设备与域名服务器之间的域名服务器隧道的方法,包括:在预定时间段期间,收集从域名服务器接收到的对查询的响应,查询由计算设备发送到域名服务器,响应包括因特网协议(IP)地址;监测计算设备与除了域名服务器之外的设备之间的通信;在预定时间段期间,基于该监测收集由计算设备访问的IP地址;比较来自域名服务器的响应中的由计算设备接收到的IP 地址与由计算设备访问的IP地址;以及基于比较检测域名服务器隧道。
在其他特征中,该方法还包括:当来自域名服务器的响应中的由计算设备接收到的IP地址与由计算设备访问的IP地址之间的关联小于或等于预定阈值时,确定域名服务器隧道存在。
在其他特征中,该方法还包括:当由计算设备访问的IP地址与来自域名服务器的响应中的由计算设备接收到的IP地址之间的差异大于或等于预定阈值时,确定域名服务器隧道存在。
在其他特征中,该方法还包括:当由计算设备访问的IP地址的数目小于或等于来自域名服务器的响应中的由计算设备接收到的IP 地址的数目的预定百分比时,确定域名服务器隧道存在。
在其他特征中,该方法还包括:当基于比较检测到域名服务器隧道时,生成指示域名服务器是恶意的指示。
在其他特征中,该方法还包括:当基于比较检测到域名服务器隧道时,生成指示计算设备上的数据安全是受损的指示。
在其他特征中,该方法还包括:当来自域名服务器的响应中由计算设备接收到的大于或等于预定数目的IP地址没有被计算设备访问时,生成指示。
在其他特征中,该方法还包括:当来自域名服务器的响应中的由计算设备接收到的IP地址与计算设备访问的IP地址之间的差异大于或等于预定阈值时,并且当检测到与计算设备和域名服务器中的一个或多个的通信相关联的另一条件时,以预定的置信度水平指示域名服务器隧道的出现。
在其他特征中,其他条件包括从计算设备发送的具有大于或等于预定长度的域名的查询。
而在其他特征中,一种用于检测计算设备与域名服务器之间的域名服务器隧道的系统,包括处理器以及被存储在有形机器可读介质上的机器可读指令,机器可读指令当由处理器执行时,将处理器配置为:在预定时间段期间,收集由计算设备从域名服务器接收到的对查询的响应,查询由计算设备发送到域名服务器,响应包括第一组因特网协议(IP)地址;监测计算设备与除了域名服务器之外的设备的通信;在预定时间段期间,基于该监测收集由计算设备访问的第二组IP地址;比较第二组IP地址和第一组IP地址;以及基于比较检测域名服务器隧道。
在其他特征中,机器可读指令还将处理器配置为:当第二组IP 地址包括小于或等于第一组IP地址的预定数目时,检测域名服务器隧道。
本公开应用的进一步领域将从具体实施方式、权利要求和附图变得明显。具体实施方式和具体的示例旨在说明的为目,而不旨在限制本公开的范围。
附图说明
图1是分布式网络系统的简化示例的功能性框图。
图2是在图1的分布式网络系统中使用的客户端设备的简化示例的功能性框图,其可以采用根据本公开的用于检测域名系统(DNS) 隧道的方法。
图3是在图1的分布式网络系统中使用的服务器的简化示例的功能性框图。
图4是根据本公开的用于基于DNS日志和网络数据检测DNS隧道的方法的流程图。
图5是根据本公开的用于训练用于以高置信度检测DNS隧道的分类器的方法的流程图。
在附图中,可重复使用参考数字来标识相似和/或相同的元素。
具体实施方式
本公开涉及一种用于基于客户端(例如,计算设备)的域名系统 (DNS)通信与其他网络通信的比较来检测DNS隧道的系统和方法。该方法利用客户端的DNS查询日志和网络通信数据,来寻找由客户端接收到的在DNS响应中的IP地址与由客户端实际访问的IP地址之间的关联。当域名服务器呈现出反常的行为时,在DNS响应很少导致客户端访问域名服务器返回的域/IP的意义上,该方法检测到DNS 隧道。
用于检测DNS隧道的一些方法聚焦于DNS查询和响应,而没有检查由客户端接收到的在DNS响应中出现的IP地址与客户端的整个网络通信中出现的IP地址之间的连接。相反,根据本公开该方法出于检测DNS隧道的目的,保持追踪由客户端接收到的DNS响应中出现的IP地址与客户端的整个网络通信中出现的IP地址。在DNS隧道中,名称服务器没有用于将域解析为IP地址,而是从受损的计算机滤出数据。
为了实现根据本公开实施该方法,使用两个数据集。第一个数据集包括DNS日志,DNS日志包含由客户端从授权域名服务器接收到的DNS响应。第二个数据集包括客户端的网络通信数据,其中对于由客户端发送或接收的每个数据分组,包括:源和目的地IP地址、以及发送或接收分组的时间。因此,该方法很简单并且容易实现。
特别地,在预定义的时间间隔中(例如,一小时或一天),对于每个名称服务器,收集所有IP地址,这些IP地址在来自名称服务器的响应中(或者来自不同的名称服务器的响应中(由到原始名称服务器的CNAME查询引起))被返回到客户端计算机。这些IP地址可以被称为DNS IP地址。在特定的时间间隔内,每个名称服务器都有自己的一组DNS IP地址。此外,收集所有IP地址,这些IP地址在特定的时间间隔内从客户端计算机访问。这些IP地址可以被称为访问的IP地址。然后对来自每个名称服务器的响应的数目进行计数,这些响应最终导向由客户端访问的IP地址。当名称服务器呈现出异常行为时,由于在DNS IP地址组与访问的IP地址组之间有较大的差异,会触发指示DNS隧道存在的警告。
该方法可以与其他检测模型组合或者可以作为基于机器学习的 DNS隧道检测引擎的特征。例如,该方法可以用于训练分类器,分类器使用基于DNS IP地址与访问的IP地址的比较的特征。还可以基于 DNS IP地址与访问的IP地址的比较创建确定性的规则。例如,可以如下设置确定性的规则:如果存在从DNS响应返回但没有用于后续通信的多于X个IP地址,那么会触发指示DNS隧道存在的警告。规则还可以作为特征被添加来训练分类器,分类器也将使用其他特征。例如,训练的模型可以得知在DNS IP地址与访问的IP地址之间是否存在大的差异、以及是否存在具有长域名的查询,随后以高置信度水平指示出现DNS隧道。因此,该模型将触发指示DNS隧道存在的警告。
根据本公开的用于检测DNS隧道的方法在下文详细描述。下文是分布式计算环境的简化示例,其中可以实施本公开的系统和方法。贯穿整个描述,仅出于说明的目的参考一些术语,诸如服务器、客户端设备、应用,等等。术语服务器和客户端设备要像表示计算设备一样被广泛理解,其包括一个或多个处理器和被配置为执行机器可读指令的存储器。术语应用和计算机程序要像表示可以由计算设备执行的机器可读指令一样被广泛理解,。
图1示出了分布式网络系统100的简化示例。分布式网络系统100 包括网络110、一个或多个客户端设备120-1、120-2、…、和120-M (统称客户端设备120)(其中M是大于或等于1的整数)、以及多个服务器130-1、130-2、…、和130-N(统称服务器130)(其中N是大于或等于1的整数)。
网络110可以包括局域网(LAN)、广域网(WAN)(诸如因特网)、或其他类型的网络(统称为网络110)。客户端设备120通过网络110 与服务器130通信。客户端设备120和服务器130可以使用连接到网络110的有线或无线连接来连接到网络110。
例如,客户端设备可以包括计算设备,诸如智能手机、个人数字助理(PDA)、笔记本电脑、个人电脑(PC),等等。服务器130可以为客户端设备120提供多种服务。服务器130可以托管多个数据库,这些数据库被多个软件应用利用,并由客户端设备120的用户使用。
服务器130(例如,服务器130-N)中至少一个服务器是与客户端设备(例如,客户端设备120-1)120中至少一个客户端设备通信的DNS服务器。尽管仅示出了一个DNS服务器,但是分布式网络系统可以包括多个DNS服务器。一个或多个其他服务器130-1、130-2 等可能属于不同的企业。客户端设备120-1可以与服务器130-1、130-2 等通信。
在使用中(例如,在正常工作期间,在DNS服务器130-N与客户端设备120-1之间没有DNS隧道存在),客户端设备120-1可以如下与服务器130中至少一个(例如,服务器130-1)通信。客户端设备120-1将DNS查询发送到DNS服务器130-N,并在从DNS服务器 130-N接收到的DNS响应中接收服务器130-1的IP地址。然后客户端设备120-1使用接收的服务器130-1的IP地址来访问服务器130-1,该IP地址是在来自DNS服务器130-N的DNS响应中接收的。客户端120-1还可以基于其他服务器的IP地址与其他服务器130-2、130-3 等通信,这些IP地址是在来自DNS服务器130-N的DNS响应中接收的。当在DNS服务器130-N与客户端120-1之间存在DNS隧道时,客户端设备120-1与服务器130之间的通信在下文参考图4和图5描述。
图2示出了客户端设备120的简化示例。客户端设备120通常可以包括中央处理单元(CPU)或处理器150、一个或多个输入设备152 (例如,键盘、触摸板、鼠标等)、包括显示器156的显示子系统154、网络接口158、存储器160、以及大容量存储装置162。
网络接口158通过网络110将客户端设备120连接到分布式网络系统100。例如,网络接口158可以包括有线接口(例如,以太网接口)和/或无线接口(例如,Wi-Fi、蓝牙、近场通信(NFC)、或其他无线接口)。存储器160可以包括易失性或非易失性存储器、缓存、或其他类型的存储器。大容量存储装置162可以包括闪存、硬盘驱动器(HDD)、或其他大容量存储设备。
客户端设备120的处理器150执行操作系统(OS)164和一个或多个客户端应用166。客户端应用166包括通过网络110将客户端设备120连接到服务器130的应用。客户端设备120通过网络110访问由服务器130执行的一个或多个应用。此外,客户端应用166包括一种应用,该应用实现根据本公开的用于检测隧道的方法(例如,见下文参考图4和图5描述的方法200和250)。
图3示出了服务器130的简化示例。服务器130通常包括一个或多个CPU或处理器170、一个或多个输入设备172(例如,键盘、触摸板、鼠标等)、包括显示器176的显示子系统174、网络接口178、存储器180、以及大容量存储装置182。
网络接口178通过网络110将服务器130连接到分布式网络系统 100。例如,网络接口178可以包括有线接口(例如,以太网接口) 和/或无线接口(例如,Wi-Fi、蓝牙、近场通信(NFC)、或其他无线接口)。存储器180可以包括易失性或非易失性存储器、缓存、或其他类型的存储器。大容量存储装置182可以包括闪存、一个或多个硬盘驱动器(HDD)、或其他大容量存储设备。
服务器130的处理器170执行操作系统(OS)184和一个或多个服务器应用186。大容量存储装置182可以存储一个或多个数据库188,其存储由服务器应用186使用的数据结构以执行各自的功能。
图4和图5示出了用于检测DNS隧道的方法,方法由一个或多个客户端设备120(例如,客户端设备120-1)执行,客户端设备是受损的(例如,受恶意软件感染)并被怀疑是DNS隧道的受害者。例如,DNS隧道可以存在于客户端设备120-1与DNS服务器130-N 之间。方法描述根据本公开在下文解释了如何在客户端设备120-1与 DNS服务器130-N之间检测到DNS隧道。
在下文的方法描述中,术语控制指的是上文参考图1和图2描述的一个或多个客户端应用166。换言之,下文方法的描述中使用的术语控制表示图1和图2中示出的客户端设备120的一个或多个部件执行的代码或指令以执行描述的功能。
图4示出了根据本公开的用于检测DNS隧道的方法200。方法 200由计算设备(例如,客户端设备120-1)执行,该设备被怀疑是 DNS隧道的受害者。例如,方法200可以是在客户端设备120-1上运行的客户端应用166之一。在202处,针对预定的时间段,控制收集在从DNS服务器接收到的对查询的响应中接收到的IP地址,查询由计算设备发送到DNS服务器。例如,客户端设备120-1可以将DNS 查询发送到DNS服务器130-N,并响应于该DNS查询,DNS服务器 130-N可以将DNS响应发送到客户端设备120-1。从DNS服务器 130-N接收到的DNS响应可以包括IP地址(称为DNS IP地址),客户端设备可以将IP地址用于后续的通信。
如果客户端设备120-1没有受感染或受损,并且如果DNS服务器 130-N不是恶意DNS服务器,则在客户端设备120-1与DNS服务器 130-N之间就不存在DNS隧道。由客户端120-1发送到DNS服务器 130-N的DNS查询可以包括客户端设备120-1想要访问的域名。响应于该查询,由DNS服务器130-N发送到客户端设备120-1的DNS响应可以包括客户端120-1想要访问的域名的IP地址。在接收DNS响应后,客户端设备120-1可以使用在DNS响应中接收到的IP地址来访问具有域名和IP地址的服务器(例如,服务器130-1)。
然而,如果客户端设备120-1受到感染或受损,并且如果DNS 服务器130-N是恶意DNS服务器,对于客户端设备120-1的拥有者是未知的,在客户端设备120-1与DNS服务器130-N之间形成DNS 隧道。在客户端设备120-1的所有者未知的情况下,在客户端设备 120-1与DNS服务器130-N之间交换的DNS查询和DNS响应将包括恶意域名(在DNS查询中)、恶意IP地址(在DNS响应中)、和恶意数据(在DNS查询和DNS响应中)。在客户端设备120-1的所有者未知的情况下,客户端设备120-1将与恶意命令和控制(C&C)服务器(例如,服务器130-2)通信,除了在DNS查询中从客户端设备 120-1不知不觉地发送到DNS服务器130-N的数据之外,这将会滤出来自客户端设备120-1的额外敏感数据。客户端设备120-1将不使用在DNS响应中接收到的IP地址与期望的域名和服务器进行通信。相反,客户端设备120-1将基于恶意内容(IP地址和/或数据)与C&C 服务器通信,该恶意内容在DNS响应中由客户端设备120-1从DNS 服务器130-N被接收到。
在204处,在预定的时间段期间,控制收集由计算设备访问的所有IP地址。例如,控制收集由客户端设备120-1访问的IP地址,该设备被怀疑受损,并且被怀疑通过DNS隧道与DNS服务器130-N通信。如果客户端设备120-1受损并且通过DNS隧道与DNS服务器 130-N通信,那么在从DNS服务器130-N接收到的DNS响应中由客户端设备120-1接收到的IP地址(例如,DNS IP地址)的数目与客户端设备120-1访问的IP地址(例如,访问的IP地址)的数目之间将会有显著且明显的差异。控制对DNS响应的数目进行计数,这些响应最终导向由客户端设备120-1访问的IP地址。换言之,控制保持追踪由客户端设备120-1接收到的DNS响应中出现的IP地址和客户端设备120-1执行的整个网络通信中出现的IP地址。控制关联两组 IP地址以确定两组IP地址之间是否存在显著差异。
在206处,控制确定在DNS IP地址与访问的IP地址之间是否存在差异。例如,控制确定两组IP地址之间的差异是否大于或等于预定阈值。换言之,控制确定从DNS响应返回到客户端设备120-1但是客户端设备120-1没有后续用于通信的IP地址是否大于预定的数目。如果没有差异,则不存在DNS隧道,并且控制返回202。然而,如果存在差异,那么在208处,控制确定在客户端设备120-1与DNS 服务器130-N之间存在DNS隧道,并且控制触发警告,其指示在客户端设备120-1与DNS服务器130-N之间存在DNS隧道。
图5示出了根据本公开的用于训练用于检测DNS隧道的分类器的方法250。例如,在方法250中,可以设置如下的确定性规则:如果存在大于X个(预定数目)IP地址从DNS响应返回到计算设备但是计算设备没有后续用于通信,那么会触发警告。这样的规则还可以作为特征被添加以训练还基于其他特征的分类器。例如,在方法250 中,经训练的模型可以得知,DNS响应中的IP地址与计算设备的整个通信中的IP地址之间是否存在大的差异,以及是否具有长域名的大的查询,其可能被怀疑,然后以高置信度水平指示出现DNS隧道。因此,该模型将触发警告。与长域名不同,任何其他特点和标准都可以与大的差异结合使用,从而得出以高置信度水平出现DNS隧道的结论。
下文描述了方法250。方法250由计算设备(例如,客户端120-1) 执行,该设备被怀疑是DNS隧道的受害者。例如,方法250可能是运行在客户端设备120-1上的客户端应用166之一。
在252处,针对预定的时间段,控制收集由计算设备(例如,客户端设备120-1)从DNS服务器(例如,DNS服务器130-N)接收到的DNS响应中接收到的IP地址。在预定的时间段期间,控制还收集在由计算设备执行的整个网络通信中出现的所有IP地址。
在254处,控制使用确定性规则以确定在预定的时间段期间收集的两组IP地址之间的差异是否大于或等于预定阈值。如果没有差异,那么控制返回到252。然而,如果在256存在差异,控制确定是否满足由分类器用于检测和指示网络活动的附加条件或标准。例如,控制可以确定源自计算设备的查询是否具有不常见的长域名,其可能是可疑网络活动标记。任何其他标准可以与差异观察一起使用。
在258处,如果还满足除了观测的差异之外的附加条件,控制以高置信度水平指示在计算设备与DNS服务器之间存在DNS隧道。在 260处,如果不满足附加条件,控制仍然指示在计算设备与DNS服务器之间存在DNS隧道。因此,使用用于选择和指示可疑网络活动的一个或多个条件的分类器还可以使用确定性规则和基于确定性规则检测的差异而被训练,从而以高置信度指示在计算设备与DNS服务器之间存在DNS隧道。
在方法200和250中,在检测到DNS隧道之后,执行网络攻击调查,包括例如检查网络活动和操作系统日志以确保攻击实际发生,基于此,能够在防火墙/DNS服务器中隔离恶意域名和名称服务器。
以上描述仅仅是说明性质并且决不旨在限制本公开、其应用、或使用。本公开广泛的教导可以以各种形式实施。因此,尽管本公开包括特定的示例,然而本公开的真实范围不应该被如此限制,因为其他修改通过附图、说明书以及所附权利要求的研究将变得明显。应当理解方法中的一个或多个步骤可以以不同的顺序(或同时)执行而不改变本公开的原理。此外,即使每个实施例在上文被描述为具有某些特征,然而关于本公开的任何实施例所描述的任何一个或多个特征可以在任何其他实施例的特征中实施并且/或者与任何其他实施例的特征组合,即使该组合没有明确描述。换言之,所描述的实施例不是互斥的,并且一个或多个实施例彼此的排列组合在本公开的范围内。
使用各种术语描述元件(例如,在模型、电路元件、半导体层等等)之间的空间与功能关系,包括“连接”、“接合”、“耦合”、“邻近”、“挨着”、“在顶部”、“在上方”、“在下方”、和“布置”。除非明确描述为“直接”,否则当第一元件和第二元件之间的关系在上文公开中描述时,该关系可以是直接关系,其中在第一元件和第二元件之间没有呈现出其他的中介元件;但是该关系也可以是间接关系,其中(空间地或功能地)呈现介于第一元件和第二元件之间的一个或多个元件。如本文所使用的,短语A、B和C中至少一个应该被解释意为一种逻辑(A OR B OR C),使用非排斥的逻辑OR,且不应被解释意为“A中至少一个、B中至少一个、以及C中至少一个”。
在附图中,箭头所指的箭头的方向,通常展示了用于图示的信息 (诸如数据或指令)的流动。例如,当元件A和元件B交换各种信息但是从元件A传输到元件B的信息与图示相关时,箭头可以从元件A指向元件B。该单向的箭头不意味着没有其他信息从元件B传输到元件A。此外,针对从元件A到元件B发送的信息,元件B可以向元件A发送对信息的请求或接收确认。
术语存储器是术语计算机可读介质或机器可读介质的子集。如本文所使用的,术语计算机可读介质或机器可读介质,不包含通过介质 (诸如载波)传播的瞬时电信号或电磁信号;术语计算机可读介质或机器可读介质因此可以被视为有形的和非瞬态的。非瞬态的、有形的计算机可读介质或机器可读介质的非限制性示例是非易失性的存储器电路(诸如闪存电路、可擦除可编程只读存储器电路、或掩模式只读存储器电路)、易失性的存储器电路(诸如静态随机存取存储器电路或动态随机存取存储器电路)、磁存储介质(诸如模拟或数字磁带或硬盘驱动器)、以及光学存储介质(诸如CD、DVD、或蓝光光盘)。
在本申请中,被描述为具有特定属性或执行特定操作的装置元件是被特别地配置为具有那些特定属性并且执行那些特定操作的。具体地,执行动作的元件的描述意味着该元件被配置为执行该动作。元件的配置包括元件的编程,诸如通过在与该元件相关联的非瞬态的、有形的计算机可读介质上编码指令。
本申请中描述的装置和方法可以由专用计算机部分地或全部地实施,该专用计算机通过配置通用计算机执行一个或多个在计算机程序中呈现的特定功能而被创建。功能性框图、流程图部件。以及上文描述的其他元件作为软件说明书,可以通过熟练的技术人员或程序员的常规工作被编译为计算机程序。
计算机程序包括处理器可执行指令,处理器可执行指令被存储在至少一个非瞬态的、有形的计算机可读介质上。计算机程序还可以包括或依赖存储的数据。计算机程序可以涵盖与专用计算机的硬件交互的基本输入/输出系统(BIOS)、与专用计算机的特定设备交互的设备驱动器、一个或多个操作系统、用户应用、后台服务、后台应用,等等。
计算机程序可以包括:(i)要被解析的描述性文本,诸如HTML (超文本标记语言)、XML(可扩展标记语言)、或JSON(JavaScript 对象简谱),(ii)汇编代码,(iii)由编译器从源代码生成的目标代码, (iv)由解释器执行的源代码,(v)由即时编译器编译并执行的源代码,等等。仅作为示例,源代码可以使用来自以下语言的语法编写,包括C、C++、C#、Objective-C、Swift、Haskell、Go、SQL、R、Lisp、Fortran、Perl、Pascal、Curl、OCaml、HTML5 (超文本标记语言第五版)、Ada、ASP(动态服务器页面)、PHP(超文本预处理器)、Scala、Eiffel、Smalltalk、Erlang、Ruby、 VisualLua、MATLAB、SIMULINK、以及
权利要求中记载的元素不旨在成为35U.S.C.§112(f)所指的功能模块构架元素,除非是使用短语“用于…的装置”明确记载的元素,或者在方法权利要求中使用短语“用于…操作”或“用于…步骤”的情况。
Claims (20)
1.一种电子系统,包括:
处理器;以及
机器可读指令,其被存储在有形的机器可读介质上,所述机器可读指令当由所述处理器执行时,将所述处理器配置为:
在预定时间段期间,收集从域名服务器接收到的对查询的响应,所述查询由计算设备发送到所述域名服务器,所述响应包括因特网协议IP地址;
在所述预定时间段期间,收集由所述计算设备访问的IP地址;
比较来自所述域名服务器的所述响应中的由所述计算设备接收到的所述IP地址和由所述计算设备访问的所述IP地址;
基于所述比较检测域名服务器隧道;以及
响应于基于所述比较检测所述域名服务器隧道,触发指示所述域名服务器隧道的存在的警告。
2.根据权利要求1所述的系统,其中所述机器可读指令还将所述处理器配置为:当来自所述域名服务器的所述响应中的由所述计算设备接收到的所述IP地址与由所述计算设备访问的所述IP地址之间的关联小于或等于预定阈值时,检测所述域名服务器隧道。
3.根据权利要求1所述的系统,其中所述机器可读指令还将所述处理器配置为:当由所述计算设备访问的所述IP地址与来自所述域名服务器的所述响应中的由所述计算设备接收到的所述IP地址之间的差异大于或等于预定阈值时,检测所述域名服务器隧道。
4.根据权利要求1所述的系统,其中所述机器可读指令还将所述处理器配置为:当由所述计算设备访问的所述IP地址的数目小于或等于来自所述域名服务器的所述响应中的由所述计算设备接收到的所述IP地址的数目的预定百分比时,检测所述域名服务器隧道。
5.根据权利要求1所述的系统,其中所述机器可读指令还将所述处理器配置为:当所述域名服务器隧道基于所述比较而被检测到时,生成指示所述域名服务器是恶意的指示。
6.根据权利要求1所述的系统,其中所述机器可读指令还将所述处理器配置为:当所述域名服务器隧道基于所述比较而被检测到时,生成指示所述计算设备上的数据安全是受损的指示。
7.根据权利要求1所述的系统,其中所述机器可读指令还将所述处理器配置为:当来自所述域名服务器的所述响应中的由所述计算设备接收到的所述IP地址与由所述计算设备访问的所述IP地址之间的差异大于或等于预定阈值时,生成指示。
8.根据权利要求1所述的系统,其中所述机器可读指令还将所述处理器配置为:当来自所述域名服务器的所述响应中的由所述计算设备接收到的所述IP地址与由所述计算设备访问的所述IP地址之间的差异大于或等于预定阈值时,并且当与所述计算设备和所述域名服务器中的一个或多个的通信相关联的另一条件被检测到时,以预定的置信度水平指示所述域名服务器隧道的出现。
9.根据权利要求8所述的系统,其中所述另一条件包括从所述计算设备发送的具有大于或等于预定长度的域名的查询。
10.一种用于检测计算设备与域名服务器之间的域名服务器隧道的方法,所述方法包括:
在预定时间段期间,收集从域名服务器接收到的对查询的响应,所述查询由计算设备发送到所述域名服务器,所述响应包括因特网协议IP地址;
监测所述计算设备与除了所述域名服务器之外的设备之间的通信;
在所述预定时间段期间,基于所述监测收集由所述计算设备访问的IP地址;
比较来自所述域名服务器的所述响应中的由所述计算设备接收到的所述IP地址和由所述计算设备访问的所述IP地址;
基于所述比较检测域名服务器隧道;以及
响应于基于所述比较检测所述域名服务器隧道,触发指示所述域名服务器隧道的存在的警告。
11.根据权利要求10所述的方法,还包括:当来自所述域名服务器的所述响应中的由所述计算设备接收到的所述IP地址与由所述计算设备访问的所述IP地址之间的关联小于或等于预定阈值时,确定所述域名服务器隧道存在。
12.根据权利要求10所述的方法,还包括:当由所述计算设备访问的所述IP地址与来自所述域名服务器的所述响应中的由所述计算设备接收到的所述IP地址之间的差异大于或等于预定阈值时,确定所述域名服务器隧道存在。
13.根据权利要求10所述的方法,还包括:当由所述计算设备访问的所述IP地址的数目小于或等于来自所述域名服务器的所述响应中的由所述计算设备接收到的所述IP地址的数目的预定百分比时,确定所述域名服务器隧道存在。
14.根据权利要求10所述的方法,还包括:当所述域名服务器隧道基于所述比较而被检测到时,生成指示所述域名服务器是恶意的指示。
15.根据权利要求10所述的方法,还包括:当所述域名服务器隧道基于所述比较而被检测到时,生成指示所述计算设备上的数据安全是受损的指示。
16.根据权利要求10所述的方法,还包括:当来自所述域名服务器的所述响应中的由所述计算设备接收到的大于或等于预定数目个IP地址未由所述计算设备访问时,生成指示。
17.根据权利要求10所述的方法,还包括:当来自所述域名服务器的所述响应中的由所述计算设备接收到的所述IP地址与由所述计算设备访问的所述IP地址之间的差异大于或等于预定阈值时,并且当与所述计算设备和所述域名服务器中的一个或多个的通信相关联的另一条件被检测到时,以预定的置信度水平指示所述域名服务器隧道的出现。
18.根据权利要求17所述的方法,其中所述另一条件包括从所述计算设备发送的具有大于或等于预定长度的域名的查询。
19.一种用于检测计算设备与域名服务器之间的域名服务器隧道的系统,所述系统包括:
处理器;以及
机器可读指令,其被存储在有形的机器可读介质上,所述机器可读指令当由所述处理器执行时,将所述处理器配置为:
在预定时间段期间,收集由所述计算设备从所述域名服务器接收到的对查询的响应,所述查询由所述计算设备发送到所述域名服务器,所述响应包括第一组因特网协议IP地址;
监测所述计算设备与除了所述域名服务器之外的设备的通信;
在所述预定时间段期间,基于所述监测收集由所述计算设备访问的第二组IP地址;
比较所述第二组IP地址和所述第一组IP地址;
基于所述比较检测所述域名服务器隧道;以及
响应于基于所述比较检测所述域名服务器隧道,触发指示所述域名服务器隧道的存在的警告。
20.根据权利要求19所述的系统,其中所述机器可读指令还将所述处理器配置为:当所述第二组IP地址包括小于或等于所述第一组IP地址的预定数目时,检测所述域名服务器隧道。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/466,300 US10412107B2 (en) | 2017-03-22 | 2017-03-22 | Detecting domain name system (DNS) tunneling based on DNS logs and network data |
US15/466,300 | 2017-03-22 | ||
PCT/US2018/022282 WO2018175161A1 (en) | 2017-03-22 | 2018-03-14 | Detecting domain name system (dns) tunneling based on dns logs and network data |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110431828A CN110431828A (zh) | 2019-11-08 |
CN110431828B true CN110431828B (zh) | 2022-04-12 |
Family
ID=61768550
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201880018419.6A Active CN110431828B (zh) | 2017-03-22 | 2018-03-14 | 基于域名系统dns日志和网络数据检测dns隧道 |
Country Status (4)
Country | Link |
---|---|
US (1) | US10412107B2 (zh) |
EP (1) | EP3603032B1 (zh) |
CN (1) | CN110431828B (zh) |
WO (1) | WO2018175161A1 (zh) |
Families Citing this family (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11032127B2 (en) * | 2017-06-26 | 2021-06-08 | Verisign, Inc. | Resilient domain name service (DNS) resolution when an authoritative name server is unavailable |
US10432651B2 (en) * | 2017-08-17 | 2019-10-01 | Zscaler, Inc. | Systems and methods to detect and monitor DNS tunneling |
US11153330B1 (en) * | 2017-11-22 | 2021-10-19 | Cisco Technology, Inc. | Detection of DNS (domain name system) tunneling and exfiltration through DNS query analysis |
US11310257B2 (en) | 2019-02-27 | 2022-04-19 | Microsoft Technology Licensing, Llc | Anomaly scoring using collaborative filtering |
US11106789B2 (en) | 2019-03-05 | 2021-08-31 | Microsoft Technology Licensing, Llc | Dynamic cybersecurity detection of sequence anomalies |
CN112118205B (zh) * | 2019-06-19 | 2022-08-16 | 腾讯科技(深圳)有限公司 | 一种域名信息检测的方法及相关装置 |
US10594658B1 (en) * | 2019-08-27 | 2020-03-17 | Farsight Security, Inc. | Preventing a network protocol over an encrypted channel, and applications thereof |
US11729134B2 (en) | 2019-09-30 | 2023-08-15 | Palo Alto Networks, Inc. | In-line detection of algorithmically generated domains |
US11595357B2 (en) * | 2019-10-23 | 2023-02-28 | Cisco Technology, Inc. | Identifying DNS tunneling domain names by aggregating features per subdomain |
US11483327B2 (en) | 2019-11-17 | 2022-10-25 | Microsoft Technology Licensing, Llc | Collaborative filtering anomaly detection explainability |
US20210266293A1 (en) * | 2020-02-24 | 2021-08-26 | Palo Alto Networks, Inc. | Real-time detection of dns tunneling traffic |
CN111818030A (zh) * | 2020-06-29 | 2020-10-23 | 国网福建省电力有限公司 | 一种恶意域名请求终端的快速定位处置方法及系统 |
US11647034B2 (en) | 2020-09-12 | 2023-05-09 | Microsoft Technology Licensing, Llc | Service access data enrichment for cybersecurity |
WO2022104738A1 (zh) * | 2020-11-20 | 2022-05-27 | 华为技术有限公司 | 一种木马检测方法、装置和设备 |
US20230130232A1 (en) * | 2021-10-26 | 2023-04-27 | Palo Alto Networks, Inc. | Predictive dns cache to improve security and performance |
CN114629822B (zh) * | 2022-04-18 | 2024-06-11 | 北京小米移动软件有限公司 | 链路检测方法、装置、电子设备及存储介质 |
CN115086080B (zh) * | 2022-08-03 | 2024-05-07 | 上海欣诺通信技术股份有限公司 | 一种基于流量特征的dns隐蔽隧道检测方法 |
CN115297083B (zh) * | 2022-08-03 | 2023-09-12 | 左道明 | 基于数据量和行为特征的域名系统隧道检测方法和系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103326894A (zh) * | 2013-05-29 | 2013-09-25 | 深信服网络科技(深圳)有限公司 | Dns隧道检测的方法和装置 |
CN105323210A (zh) * | 2014-06-10 | 2016-02-10 | 腾讯科技(深圳)有限公司 | 一种检测网站安全的方法、装置及云服务器 |
CN105610867A (zh) * | 2016-03-01 | 2016-05-25 | 阿继琛 | 一种dns防劫持方法和装置 |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070083670A1 (en) * | 2005-10-11 | 2007-04-12 | International Business Machines Corporation | Method and system for protecting an internet user from fraudulent ip addresses on a dns server |
US9003518B2 (en) * | 2010-09-01 | 2015-04-07 | Raytheon Bbn Technologies Corp. | Systems and methods for detecting covert DNS tunnels |
US9843601B2 (en) | 2011-07-06 | 2017-12-12 | Nominum, Inc. | Analyzing DNS requests for anomaly detection |
US9185127B2 (en) | 2011-07-06 | 2015-11-10 | Nominum, Inc. | Network protection service |
CN102624706B (zh) | 2012-02-22 | 2015-07-15 | 上海交通大学 | 一种dns隐蔽信道的检测方法 |
US9419992B2 (en) | 2014-08-13 | 2016-08-16 | Palantir Technologies Inc. | Unwanted tunneling alert system |
US9729413B2 (en) | 2014-10-07 | 2017-08-08 | Coudmark, Inc. | Apparatus and method for identifying domain name system tunneling, exfiltration and infiltration |
WO2016069119A1 (en) | 2014-10-31 | 2016-05-06 | Cyber Crucible Inc. | A system and method for network intrusion detection of covert channels based on off-line network traffic |
US20160255012A1 (en) | 2015-02-26 | 2016-09-01 | Check Point Software Technologies Ltd. | Method for mitigation of unauthorized data transfer over domain name service (dns) |
US9794229B2 (en) | 2015-04-03 | 2017-10-17 | Infoblox Inc. | Behavior analysis based DNS tunneling detection and classification framework for network security |
CN106230864A (zh) * | 2016-09-22 | 2016-12-14 | 安徽云图信息技术有限公司 | 网站安全检测系统 |
US10574678B2 (en) * | 2016-12-13 | 2020-02-25 | Forescout Technologies, Inc. | Name translation monitoring |
-
2017
- 2017-03-22 US US15/466,300 patent/US10412107B2/en active Active
-
2018
- 2018-03-14 CN CN201880018419.6A patent/CN110431828B/zh active Active
- 2018-03-14 WO PCT/US2018/022282 patent/WO2018175161A1/en unknown
- 2018-03-14 EP EP18713556.1A patent/EP3603032B1/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103326894A (zh) * | 2013-05-29 | 2013-09-25 | 深信服网络科技(深圳)有限公司 | Dns隧道检测的方法和装置 |
CN105323210A (zh) * | 2014-06-10 | 2016-02-10 | 腾讯科技(深圳)有限公司 | 一种检测网站安全的方法、装置及云服务器 |
CN105610867A (zh) * | 2016-03-01 | 2016-05-25 | 阿继琛 | 一种dns防劫持方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
US20180278633A1 (en) | 2018-09-27 |
WO2018175161A1 (en) | 2018-09-27 |
EP3603032B1 (en) | 2022-03-30 |
CN110431828A (zh) | 2019-11-08 |
US10412107B2 (en) | 2019-09-10 |
EP3603032A1 (en) | 2020-02-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110431828B (zh) | 基于域名系统dns日志和网络数据检测dns隧道 | |
US10491614B2 (en) | Illegitimate typosquatting detection with internet protocol information | |
US8370933B1 (en) | Systems and methods for detecting the insertion of poisoned DNS server addresses into DHCP servers | |
US7970939B1 (en) | Methods and systems for addressing DNS rebinding | |
US10841320B2 (en) | Identifying command and control endpoint used by domain generation algorithm (DGA) malware | |
JP6397932B2 (ja) | エンドポイントからのネットワークリクエストに言語分析を適用するマルウェアに感染しているマシンを識別するためのシステム | |
US10320833B2 (en) | System and method for detecting creation of malicious new user accounts by an attacker | |
US20160269442A1 (en) | Methods and systems for improving analytics in distributed networks | |
US11616812B2 (en) | Deceiving attackers accessing active directory data | |
US11095671B2 (en) | DNS misuse detection through attribute cardinality tracking | |
US20180034837A1 (en) | Identifying compromised computing devices in a network | |
CN109361574B (zh) | 基于JavaScript脚本的NAT检测方法、系统、介质和设备 | |
US11303670B1 (en) | Pre-filtering detection of an injected script on a webpage accessed by a computing device | |
US20140075553A1 (en) | Domain name system rebinding attack protection | |
Shieh et al. | Strategy and tactics against ransomware | |
EP3789890A1 (en) | Fully qualified domain name (fqdn) determination | |
US10484422B2 (en) | Prevention of rendezvous generation algorithm (RGA) and domain generation algorithm (DGA) malware over existing internet services | |
CN115102781A (zh) | 网络攻击处理方法、装置、电子设备和介质 | |
Arul et al. | Supervised deep learning vector quantization to detect MemCached DDOS malware attack on cloud | |
JP6635029B2 (ja) | 情報処理装置、情報処理システム及び通信履歴解析方法 | |
CN112637171A (zh) | 数据流量处理方法、装置、设备、系统和存储介质 | |
US11503046B2 (en) | Cyber attack evaluation method and information processing apparatus | |
JP6055726B2 (ja) | ウェブページ監視装置、ウェブページ監視システム、ウェブページ監視方法およびコンピュータプログラム | |
JP2016057767A (ja) | 解析装置、解析方法およびコンピュータプログラム | |
CN117424741A (zh) | 一种云waf的网络攻击者溯源方法、装置及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |