CN111628961A - 一种dns异常检测方法 - Google Patents

一种dns异常检测方法 Download PDF

Info

Publication number
CN111628961A
CN111628961A CN202010233768.9A CN202010233768A CN111628961A CN 111628961 A CN111628961 A CN 111628961A CN 202010233768 A CN202010233768 A CN 202010233768A CN 111628961 A CN111628961 A CN 111628961A
Authority
CN
China
Prior art keywords
dns
flow
regression
value
baseline
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010233768.9A
Other languages
English (en)
Inventor
李福宜
王平
陈宏伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xi'an Jiaotong University Jump Network Technology Co ltd
Original Assignee
Xi'an Jiaotong University Jump Network Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xi'an Jiaotong University Jump Network Technology Co ltd filed Critical Xi'an Jiaotong University Jump Network Technology Co ltd
Priority to CN202010233768.9A priority Critical patent/CN111628961A/zh
Publication of CN111628961A publication Critical patent/CN111628961A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开一种DNS异常检测方法,获取DNS历史日志,提取流量相关参数,对不同维度的流量进行数据训练,得到相应维度的预测模型,根据预测模型预测流量基线,并定时更新模型与基线,当检测到当前流量偏离所述基线超过预设的阈值,则判断DNS异常。该技术方案,对不同维度的流量进行基线预测,并定时更新,从多维度判断是否异常,有利于提高检测的准确性,为攻击阶段的确定提供可靠依据。

Description

一种DNS异常检测方法
技术领域
本发明属于计算机网络技术领域,尤其是涉及一种基于流量基线的DNS的异常检测方法。
背景技术
计算机网络的主机之间互相通信需要通过IP地址进行。实际中,用户通常使用更直观也便于记忆的域名(如www.baidu.com)代替IP地址,因此需要将用户输入的域名转换为对应的IP地址,这个过程被称为域名解析。为了完成域名解析,需要域名系统(DomainName System,DNS)来配合,其是一种用于TCP/IP应用程序的分布式数据库,提供域名与IP地址之间的转换。DNS递归服务器是DNS解析系统中的重要设备,根据缓存中的域名地址信息,对终端用户发起的DNS查询进行响应。
但是,DNS在实际中经常遭受到恶意攻击,常见的攻击行为发生时,DNS流量通常都表现异常。因此通过对DNS流量异常的检测,能够及时发现DNS攻击行为的发生,从而可以采取有效措施,使损失降到最小。
发明内容
基于上述背景,本发明旨在提出一种DNS异常检测方法,获取DNS日志数据进行数据训练,预测正常流量基线,通过判断流量与基线的偏离度,判断DNS是否发生异常。具体的技术方案如下所述:
DNS异常检测方法,包括,
获取DNS日志历史数据,将所述日志数据存入指定的数据库;
提取DNS流量的特定参数值作为训练集,以不同维度的流量为目标集,利用多元回归分析算法进行数据训练,根据拟合度高的算法建立相应维度的DNS流量基线预测模型;
将待检测的DNS数据输入所述预测模型,得到不同维度的DNS流量预测值,若特定维度的DNS流量实际值与预测值的偏离度超过预设的阈值,则判断DNS异常。
作为优选的,所述训练集包括发送数据字节数与包数量、接收数据字节数与包数量;所述不同维度包括时间段、源IP、目的IP之一。以源IP和/或目的IP的流量为目标集时,将字符串格式的IP地址向量化;以不同时间段的流量为目标集时,将DNS日志数据中的时间戳转换为不同维度的时间,至少包括第一维度“时刻”与第二维度“周”。
优选的,特定时刻DNS流量基线预测模型的确定过程,包括:以特定时刻流量值作为目标集,选择套索回归算法与岭回归算法分别对所述训练集进行数据训练,分别得到第一回归值与第二回归值;对比特定时刻流量的第一回归值与第二回归值和实际观测值的拟合度,选择拟合度高的回归模型作为特定时刻流量基线的预测模型。
周DNS流量基线预测模型的确定过程,包括:以周流量值作为目标集,选择套索回归算法与岭回归算法分别对所述训练集进行数据训练,分别得到第三回归值与第四回归值;对比周流量的第三回归值与第四回归值和实际观测值的拟合度,选择拟合度高的回归模型作为周流量基线的预测模型。周DNS流量基线还可以通过对该周内的特定时刻的DNS流量预测基线进行加权计算得到,所述特定时刻DNS流量的权值用于表示特定时刻DNS流量对本周DNS流量的贡献度。
进一步优选的,通过对所述特定时刻的DNS流量基线进行加权计算得到其他时间维度的DNS流量基线,所述其他时间维度包括日,月,季,年;长时段的DNS流量基线,通过组成该长时段的短时段DNS流量基线进行加权计算得到。
所述获取DNS日志数据,包括从网络设备TCP53端口的数据库进行获取,所述网络设备包括IPS设备;所述将DNS日志数据存入指定数据库,包括存入Elastic Search数据库中。
定时的获取最新的DNS日志数据构建训练集,重新进行数据训练,用于更新所述流量基线预测模型。
本发明实施例提供的一种DNS异常检测方法,获取DNS历史日志,提取流量相关参数,对不同维度的流量进行数据训练,得到相应维度的预测模型,根据预测模型预测流量基线,并定时更新模型与基线,当检测到当前流量偏离所述基线超过预设的阈值,则判断DNS异常。该技术方案,对不同维度的流量进行基线预测,并定时更新,从多维度判断是否异常,有利于提高检测的准确性,为攻击阶段的确定提供可靠依据。
附图说明
附图中的任何元素数量均用于示例而非限制,以及任何命名都仅用于区分,而不具有任何限制含义。
图1为本发明提供的一种DNS异常检测方法实施例,总的工作流程示意图。
具体实施方式
下面将结合附图,对本发明实施例的DNS异常检测方法的技术方案进行清楚、完整的描述,显而易见地,下面所介绍的仅仅是本发明的一部分实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以获得属于本发明保护范围内的其他实施例。
首先,对与本发明实施例的技术方案相关的技术术语进行简要说明:
域名系统(Domain Name System,DNS)是连接整个互联网应用层和网络层的纽带,主要功能是实现IP地址与域名间的转换,以定位和标识互联网的资源,是众多网络应用(网页浏览、电子邮件等)正常运转的基础。常见的针对DNS的攻击有:
流量型拒绝服务攻击,例如基于用户数据包协议(UDP,UserDatagram Protocol)流(flood) 、传输控制协议(TCP,Transmission ControlProtocol)flood、DNS请求flood,或拼(PING)flood等。该种方式下的攻击特征主要是占用和消耗DNS服务器的大量资源(包括CPU、网络等),使其不能及时响应正常的DNS解析请求。
异常请求访问攻击,例如超长域名请求、异常域名请求等。该种方式的攻击特点主要是通过发掘DNS服务器漏洞,通过伪造特定的请求报文,导致DNS服务器软件工作异常而退出或崩溃而无法启动,达到影响DNS服务器正常工作的目的。
第三种,DNS劫持攻击,例如DNS缓存“投毒”、篡改授权域内容、ARP欺骗劫持授权域等。该种方式下的攻击的特点是通过直接篡改解析记录或在解析记录传递过程中篡改其内容或抢先应答,从而达到影响解析结果的目的。
第四种,攻击者利用DNS进行攻击。例如攻击者控制僵尸机群采用被攻击主机的IP地址伪装成被攻击主机发送域名解析请求,大量的域名解析请求被DNS服务器递归查询解析后,DNS服务器发送响应给被攻击者,大量的响应数据包从不同的DNS服务器传回构成了分布式拒绝服务(DDoS,Distributed Denial of Service)攻击。
上述的这些攻击行为都会引起DNS的流量异常。
随着技术的发展,网络攻击也越来越复杂化。其中,APT攻击(AdvancedPersistent Threat)是一种高级持续性威胁,利用社会工程学、零日漏洞、定制恶意软件等对特定目标进行长期持续性网络攻击,其本质主要是针对企业和政府重要信息资产的,对信息系统可用性、可靠性构成极大的信息安全威胁;APT攻击的阶段,主要包括侦查跟踪、载荷投递、突防利用、安装置入、通信控制、渗透破坏等阶段,当攻击处于通信控制阶段时,攻击者在远端部署命令与控制( C&C)服务器与内网主机建立连接,通过DNS服务器来向内网主机发送控制指令,因此通过内网主机与DNS服务器之间的流量检测,能对该阶段的攻击进行相应的告警。
如图1所示,DNS异常检测方法,包括,
获取DNS日志历史数据,将所述日志数据存入指定的数据库;包括从网络设备TCP53端口的数据库进行获取,所述网络设备包括IPS设备;所述将DNS日志数据存入指定数据库,包括存入Elastic Search数据库中。
提取DNS流量的特定参数值作为训练集,以不同维度的流量为目标集,利用多元回归分析算法进行数据训练,根据拟合度高的算法建立相应维度的DNS流量基线预测模型;
作为优选的,所述训练集包括发送数据字节数与包数量、接收数据字节数与包数量;所述不同维度包括时间段、源IP、目的IP之一。以源IP和/或目的IP的流量为目标集时,将字符串格式的IP地址向量化;以不同时间段的流量为目标集时,将DNS日志数据中的时间戳转换为不同维度的时间,至少包括第一维度“时刻”与第二维度“周”。
优选的,特定时刻DNS流量基线预测模型的确定过程,包括:以特定时刻流量值作为目标集,选择套索回归算法与岭回归算法分别对所述训练集进行数据训练,分别得到第一回归值与第二回归值;对比特定时刻流量的第一回归值与第二回归值和实际观测值的拟合度,选择拟合度高的回归模型作为特定时刻流量基线的预测模型。
周DNS流量基线预测模型的确定过程,包括:以周流量值作为目标集,选择套索回归算法与岭回归算法分别对所述训练集进行数据训练,分别得到第三回归值与第四回归值;对比周流量的第三回归值与第四回归值和实际观测值的拟合度,选择拟合度高的回归模型作为周流量基线的预测模型;周DNS流量基线还可以通过对该周内的特定时刻的DNS流量预测基线进行加权计算得到,所述特定时刻DNS流量的权值用于表示特定时刻DNS流量对本周DNS流量的贡献度。
进一步的,通过对所述特定时刻的DNS流量基线进行加权计算得到其他时间维度的DNS流量基线,所述其他时间维度包括日,月,季,年;长时段的DNS流量基线,通过组成该长时段的短时段DNS流量基线进行加权计算得到。
作为优选的,定时的获取最新的DNS日志数据构建训练集,重新进行数据训练,用于更新所述流量基线预测模型。
将待检测的DNS数据输入所述预测模型,得到不同维度的DNS流量预测值,若特定维度的DNS流量实际值与预测值的偏离度超过预设的阈值,则判断DNS异常。
实施例一
在检测DNS流量时,通常需要获取内网的DNS日志,对于连接了网关等设备的内网来说,设备会记录本网络内的主机查询行为的通信信息。
如下表所示,本实施例获取来自IPS(Intrusion Prevention System入侵防御系统)的Mysql中的数据,TCP53端口的DNS请求的相关数据取出,并存入Elastic Search中便于后续的操作。
Figure 662014DEST_PATH_IMAGE002
其中各字段的表头:“create_tsc”表示DNS请求的时间戳,“send_byte_sum”表示上行数据字节数(或请求数据字节数),“s_ip”表示发起请求的内网IP,“recv_pkt_sum”表示下行数据包数(或接收的数据包数量),“d_ip”表示接收请求的DNS服务器IP,“recv_byte_sum” 表示下行数据字节数(或接收数据字节数),“send_pkt_sum”表示上行数据包数(或发送的数据包数量);实践中,可以根据公知的DNS服务器IP从目的IP(表中为字段“d_ip”)筛选出DNS请求的数据。
此处需要说明的是,如果内网中有已知的突发的系统性流量变化,应当将该时间点前后的流量数据作区别对待,比如分开进行分析。例如内网主机在某一时间点开始,均安装并使用了某种软件,则该时间点之前的历史数据与该时间点之后的数据必然会有较大的差别,为了减小这种系统性因素的干预,应当将这两类数据区别分析。
本实施例中,以“时刻”(time)与“周”(week)的流量为目标集,以“send_byte_sum”、“send_pkt_sum”、“recv_byte_sum”与“recv_pkt_sum”为训练集。需要说明的是,由于每天的“时刻”与“周” 均为绝对时间,因此需要将数据表中的时间戳格式的时间转换为对应的绝对时间,即每天的“时刻”,并且为24小时制形式。
本实施例中,对训练集进行数据训练选择套索(Lasso)回归算法与岭回归算法两种回归算法进行。所谓回归算法,即回归分析预测法,是在分析自变量和因变量之间相关关系的基础上,建立变量之间的回归方程,并将回归方程作为预测模型,根据自变量在预测期的变化来预测因变量。回归分析预测法是一种重要的预测方法,当我们在对DNS流量状况和变化进行预测时,如果能将影响预测流量的主要相关参数找到,并且能够取得其足够多的数量资料,就可以采用回归分析预测法进行预测。回归分析预测法有多种类型,依据相关关系中自变量的个数不同分类,可分为一元回归分析预测法和多元回归分析预测法;在多元回归分析预测法中,自变量有两个以上。而依据自变量和因变量之间的相关关系不同,可分为线性回归预测和非线性回归预测。本实施例中,表示与流量请求参数有关的字段包括“send_byte_sum”、“send_pkt_sum”、“recv_byte_sum”与“recv_pkt_sum”四项,因此属于多元回归分析。
进一步的,特定时刻DNS流量基线预测模型的确定过程,包括:以特定时刻流量值作为目标集,选择套索回归算法与岭回归算法分别对所述训练集进行数据训练,分别得到第一回归值与第二回归值;对比特定时刻流量的第一回归值与第二回归值和实际观测值的拟合度,选择拟合度高的回归模型作为特定时刻流量基线的预测模型。
前述的拟合度,用于表示预测模型得到的预测值与实际的观测值之间的接近程度,拟合度越好,表示该模型预测的越准确,也就越适用于该流量基线的预测。常用的拟合度检验方法有:剩余平方和、线性回归检验(参数检验法)等。
周DNS流量基线预测模型的确定过程,包括:以周流量值作为目标集,选择套索回归算法与岭回归算法分别对所述训练集进行数据训练,分别得到第三回归值与第四回归值;对比周流量的第三回归值与第四回归值和实际观测值的拟合度,同样的,选择拟合度高的回归模型作为周流量基线的预测模型。
例如,对每天8点至18点的流量基线进行预测,则从数据表中查询获取处于该时间段内的数据进行训练,经过拟合度对比,最终确定套索回归模型作为该时段流量基线预测模型。当然,实际中可以获取连续的若干天数的数据进行训练,也可以是随机抽取若干天数的数据进行训练;
对每周的流量基线进行预测,则从数据表中查询若干个自然周(即从周一0点至周日24点)的数据进行训练,经过拟合度对比,最终确定岭回归模型作为周流量基线预测模型。当然,实际中可以获取连续的若干周的数据进行训练,也可以是随机抽取若干周的数据进行训练。
周的流量基线,也可以是先对每天的数据进行训练的到每天的流量基线,再对每天流量基线进行加权计算得到周的流量基线,所述加权的权值用于表示短时段流量(天的流量)对长时段流量(周的流量)的贡献度。
同时,作为优选的,可以定时的获取最新的DNS日志数据构建相应维度的训练集,重新进行数据训练,用于更新所述流量基线预测模型。
根据上述的步骤,相应维度的时段流量基线模型与周流量基线模型已经确定,即分别为套索回归模型与岭回归模型。
将待检测的相应维度的DNS数据输入所述预测模型;
例如,将待检测的前一天的8点至18点的流量参数(即相应的上行数据字节数、上行数据包数、下行数据字节数、下行数据包数)输入套索回归模型,即可以得到该时段内的流量预测值;然后对数据表中的实际流量参数进行汇总得到相对应的实际流量值,对比预测值与流量值,例如通过最小二乘法计算两者的偏离度,如果超过了特定的值,则可以判断该待检测的前一天8点至18点间的DNS流量发生异常,可以进一步的做出告警。
将待检测的前一周的流量参数(即相应的上行数据字节数、上行数据包数、下行数据字节数、下行数据包数)输入岭回归模型,即可以得到该周内的流量预测值;然后对数据表中的实际流量参数进行汇总得到相对应的实际流量值,对比预测值与流量值,例如通过最小二乘法计算两者的偏离度,如果超过了特定的值,则可以判断该待检测的周的DNS流量发生异常,可以进一步的做出告警。
实践中,也可以是这样的告警逻辑,即如果天的流量没有发生告警,则进一步检测周的流量;或者先检测周的流量,周流量正常时再进一步检测天的流量;或者天流量与周流量都检测。当然,通过对所述特定时刻的DNS流量基线进行加权计算得到月,季,年等时间维度的DNS流量基线,长时段的DNS流量基线,通过组成该长时段的短时段DNS流量基线进行加权计算得到。如此可以进一步提高DNS流量检测的准确性。
本领域普通技术人员可以理解实现上述实施例中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于计算机可读取存储介质中,如:ROM/RAM、磁碟、光盘等。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“ 包括”、“ 包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“ 包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims (9)

1.一种DNS异常检测方法,其特征在于,包括,
获取DNS日志历史数据,将所述日志数据存入指定的数据库;
提取DNS流量的特定参数值作为训练集,以不同维度的流量为目标集,利用多元回归分析算法进行数据训练,根据拟合度高的算法建立相应维度的DNS流量基线预测模型;
将待检测的DNS数据输入所述预测模型,得到不同维度的DNS流量预测值,若特定维度的DNS流量实际值与预测值的偏离度超过预设的阈值,则判断DNS异常。
2.根据权利要求1所述的检测方法,其特征在于,所述训练集包括发送数据字节数与包数量、接收数据字节数与包数量;所述不同维度包括时间段、源IP、目的IP之一。
3.根据权利要求2所述的检测方法,其特征在于,以源IP和/或目的IP的流量为目标集时,将字符串格式的IP地址向量化;以不同时间段的流量为目标集时,将DNS日志数据中的时间戳转换为不同维度的时间,至少包括第一维度“时刻”与第二维度“周”。
4.根据权利要求3所述的检测方法,其特征在于,特定时刻DNS流量基线预测模型的确定过程,包括:以特定时刻流量值作为目标集,选择套索回归算法与岭回归算法分别对所述训练集进行数据训练,分别得到第一回归值与第二回归值;对比特定时刻流量的第一回归值与第二回归值和实际观测值的拟合度,选择拟合度高的回归模型作为特定时刻流量基线的预测模型。
5.根据权利要求3所述的检测方法,其特征在于,周DNS流量基线预测模型的确定过程,包括:以周流量值作为目标集,选择套索回归算法与岭回归算法分别对所述训练集进行数据训练,分别得到第三回归值与第四回归值;对比周流量的第三回归值与第四回归值和实际观测值的拟合度,选择拟合度高的回归模型作为周流量基线的预测模型。
6.根据权利要求4所述的检测方法,其特征在于,周DNS流量基线还可以通过对该周内的特定时刻的DNS流量预测基线进行加权计算得到,所述特定时刻DNS流量的权值用于表示特定时刻DNS流量对本周DNS流量的贡献度。
7.根据权利要求6所述的检测方法,其特征在于,通过对所述特定时刻的DNS流量基线进行加权计算得到其他时间维度的DNS流量基线,所述其他时间维度包括日,月,季,年;长时段的DNS流量基线,通过组成该长时段的短时段DNS流量基线进行加权计算得到。
8.根据权利要求1所述的检测方法,其特征在于,所述获取DNS日志数据,包括从网络设备TCP53端口的数据库进行获取,所述网络设备包括IPS设备;所述将DNS日志数据存入指定数据库,包括存入Elastic Search数据库中。
9.根据权利要求1任一所述的检测方法,其特征在于,定时的获取最新的DNS日志数据构建训练集,重新进行数据训练,用于更新所述流量基线预测模型。
CN202010233768.9A 2020-03-30 2020-03-30 一种dns异常检测方法 Pending CN111628961A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010233768.9A CN111628961A (zh) 2020-03-30 2020-03-30 一种dns异常检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010233768.9A CN111628961A (zh) 2020-03-30 2020-03-30 一种dns异常检测方法

Publications (1)

Publication Number Publication Date
CN111628961A true CN111628961A (zh) 2020-09-04

Family

ID=72271750

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010233768.9A Pending CN111628961A (zh) 2020-03-30 2020-03-30 一种dns异常检测方法

Country Status (1)

Country Link
CN (1) CN111628961A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113098878A (zh) * 2021-04-06 2021-07-09 哈尔滨工业大学(威海) 一种基于支持向量机的工业互联网入侵检测方法及实现系统
CN113468751A (zh) * 2021-07-05 2021-10-01 河南中烟工业有限责任公司 基于递推Lasso的流量计异常在线监测方法、系统和存储介质
CN114726602A (zh) * 2022-03-29 2022-07-08 中国工程物理研究院计算机应用研究所 一种网络零变更条件下的企业内网自适应威胁阻断方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113098878A (zh) * 2021-04-06 2021-07-09 哈尔滨工业大学(威海) 一种基于支持向量机的工业互联网入侵检测方法及实现系统
CN113468751A (zh) * 2021-07-05 2021-10-01 河南中烟工业有限责任公司 基于递推Lasso的流量计异常在线监测方法、系统和存储介质
CN113468751B (zh) * 2021-07-05 2022-12-27 河南中烟工业有限责任公司 基于递推Lasso的流量计异常在线监测方法、系统和存储介质
CN114726602A (zh) * 2022-03-29 2022-07-08 中国工程物理研究院计算机应用研究所 一种网络零变更条件下的企业内网自适应威胁阻断方法

Similar Documents

Publication Publication Date Title
US11212306B2 (en) Graph database analysis for network anomaly detection systems
JP6894003B2 (ja) Apt攻撃に対する防御
CN110798472B (zh) 数据泄露检测方法与装置
Karasaridis et al. Wide-Scale Botnet Detection and Characterization.
US10129270B2 (en) Apparatus, system and method for identifying and mitigating malicious network threats
US9667589B2 (en) Logical / physical address state lifecycle management
Frazão et al. Denial of service attacks: Detecting the frailties of machine learning algorithms in the classification process
Ni et al. Real‐time detection of application‐layer DDoS attack using time series analysis
WO2016123522A1 (en) Anomaly detection using adaptive behavioral profiles
US9300684B2 (en) Methods and systems for statistical aberrant behavior detection of time-series data
CN111628961A (zh) 一种dns异常检测方法
US20170180402A1 (en) Detection of Coordinated Cyber-Attacks
Ramaki et al. A survey of IT early warning systems: architectures, challenges, and solutions
Anuar et al. Incident prioritisation using analytic hierarchy process (AHP): Risk Index Model (RIM)
Yang et al. Multi-perspective content delivery networks security framework using optimized unsupervised anomaly detection
GhasemiGol et al. E‐correlator: an entropy‐based alert correlation system
Aiello et al. Profiling DNS tunneling attacks with PCA and mutual information
US20230283641A1 (en) Dynamic cybersecurity scoring using traffic fingerprinting and risk score improvement
CN114221804B (zh) 一种基于特征识别和交互验证的蜜罐识别方法
Khan et al. Towards augmented proactive cyberthreat intelligence
Keshri et al. DoS attacks prevention using IDS and data mining
Seo et al. Abnormal behavior detection to identify infected systems using the APChain algorithm and behavioral profiling
CN115567237A (zh) 基于知识图谱的网络安全评估方法
CN112261004B (zh) 一种Domain Flux数据流的检测方法及装置
CN111371917B (zh) 一种域名检测方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination