CN111698260A - 一种基于报文分析的dns劫持检测方法及系统 - Google Patents
一种基于报文分析的dns劫持检测方法及系统 Download PDFInfo
- Publication number
- CN111698260A CN111698260A CN202010582205.0A CN202010582205A CN111698260A CN 111698260 A CN111698260 A CN 111698260A CN 202010582205 A CN202010582205 A CN 202010582205A CN 111698260 A CN111698260 A CN 111698260A
- Authority
- CN
- China
- Prior art keywords
- dns
- message
- hijacking
- data
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Data Mining & Analysis (AREA)
- Computer Hardware Design (AREA)
- Evolutionary Computation (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Medical Informatics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Mathematical Physics (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Computational Biology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于报文分析的DNS劫持检测方法及系统,具体步骤如下:步骤1,网络报文数据解析;步骤2,数据预处理;步骤3,特征提取;步骤4,机器学习模型识别DNS劫持攻击;步骤5,DNS劫持攻击分类;步骤6,模型优化。本发明通过深入研究各种类型DNS劫持攻击的实现原理,针对性地构造出了具有非常强的区分度特征,结合机器学习的方法,通过不断地优化分析,实现了以报文数据为媒介,训练模型使之具备精确的检测能力,有效弥补了传统的规则检测或恶意情报库匹配方法中无法识别新型攻击和易被绕过的问题,同时通过进一步的模型分析,能够将DNS攻击进行细化分类,准确定位DNS劫持行为是产生在DNS请求过程中的哪一个环节。
Description
技术领域
本发明涉及安全技术领域,具体设计一种基于报文分析的DNS劫持检测方法及系统。
背景技术
DNS劫持是一种DNS重定向攻击,攻击者使目标终端DNS查询被错误地解析,从而将用户重定向到恶意站点。为了进行攻击,攻击者一般通过篡改用户计算机上的DNS配置、劫持路由器、入侵局域网内DNS服务器或者拦截或破坏DNS通信等手段来达到DNS劫持的目的。DNS劫持常被用于广告植入和网络钓鱼等,对个人信息的泄露和域名功能的使用造成了较大的影响。
目前,对DNS劫持检测的方法主要为规则判断或恶意情报库匹配的方法。规则判断是设定某些判断规则对DNS劫持行为进行判断,符合要求的定义为DNS劫持行为。恶意情报库匹配则是通过将客户流量里面导出的DNS解析日志与威胁情报的恶意域名情报直接匹配来找出恶意DNS劫持行为。
如申请号为201810551759.7公开的一种用于通过用户设备检测DNS劫持的方法与设备,其通过用户设备向DNS服务器发送关于目标网站的DNS请求,并根据基于DNS请求的DNS响应信息中是否包含目标网站的别名或多个IP地址来确定当前网络中是否存在DNS劫持,进一步的为了排除存在有些运营商的服务器未配置别名或多个IP地址这种情况,用户设备进一步选取目标域名,基于对目标域名发送DNS请求的DNS解析,判断当前网络中是否存在DNS劫持,使得识别DNS劫持更加的高效,同时节约用户资源。但是该方法采用的是规则判断,基于规则判断或恶意情报库匹配的DNS劫持检测方法虽然能够发现部分DNS劫持攻击,但是其针对未知DNS劫持类型的检测能力弱,且该类方法容易被攻击者绕过,因此误报率和漏报率都是比较高的;同时规则库和威胁情报库需要长期不间断地去维护更新造成了大量的成本,而提高准确性的代价就是添加更多精细化规则或优化恶意情报库,由此陷入一个永无止境打补丁的漩涡,拖累了整体性能。
发明内容
本发明所要解决的技术问题在于提供一种基于报文分析的DNS劫持检测方法。
本发明通过以下技术手段实现解决上述技术问题的:
一种基于报文分析的DNS劫持检测方法,包括以下步骤:
S01.对网络报文数据解析,提取其中DNS报文信息;
S02.数据预处理,对DNS报文信息进行数据清洗和筛选,获得目标DNS报文数据;
S03.特征提取,针对所述目标DNS报文数据进行加工处理,提取特征数据;
S04.机器学习模型识别DNS劫持攻击,将特征数据输入预先训练好的机器学习模块,进行DNS劫持攻击识别;
S05.DNS劫持攻击分离,对步骤S04中识别出DNS劫持攻击进行分类;
S06.模型优化,利用检测结果对模型进行优化。
优选的,所述步骤S01中的解析方法具体为:使用递归式逐层解析,按照网络报文的封装思路,逆向对每一层进行解析,并在解析的过程中提取相关信息。
优选的,所述步骤S02中数据预处理包括:
首先需要按照网络报文的类型对数据进行一次筛选,筛选的方法为通过查看最内层所封装的报文类型来剔除未封装DNS报文的数据包;然后再次对数据包中所封装的DNS报文中的请求域名进行筛选,剔除掉包含local域名的数据包。
优选的,所述步骤S04中所述的机器学习模型为异常检测算法孤立森林;通过孤立森林模型计算之后,每条记录都能够返回一个异常得分,通过将异常得分进行降序排列,就能够找出异常的操作记录,从而定位到该条记录所对应的DNS劫持攻击。
优选的,所述步骤S04中,采用聚类分析算法对DNS攻击劫持进行分类,具体分为客户机劫持、路由器劫持、DNS服务器劫持、中间人劫持。
优选的,所述步骤S06中模型优化为通过对DNS劫持攻击检测结果进行验证后,将确认为DNS攻击的行为记入黑名单,同时根据实际需要再建立一个白名单;在后续的模型检测过程中,需要在方法S04特征提取步骤新增两个特征项,其一为当前记录所包含的MAC、IP以及域名是否在黑名单中,另一个特征为当前记录所包含的MAC、IP以及域名是否在白名单中;对于匹配到黑名单的记录,增加其为DNS劫持攻击的预警权重,而对于在白名单中的记录,则适当放行。
本发明还提供一种基于报文分析的DNS劫持检测系统,应用于上述的方法,包括
网络报文数据解析模块,对网络报文数据解析,提取其中DNS报文信息;
数据预处理模块,对DNS报文信息进行数据清洗和筛选,获得目标DNS报文数据;
特征提取模块,针对所述目标DNS报文数据进行加工处理,提取特征数据;
机器学习模型识别DNS劫持攻击模块,将特征数据输入预先训练好的机器学习模块,进行DNS劫持攻击识别;
DNS劫持攻击分类模块,对识别出DNS劫持攻击进行分类;
模型优化模块,利用检测结果对模型进行优化。
优选的,所述数据预处理模块中数据预处理包括:
首先需要按照网络报文的类型对数据进行一次筛选,筛选的方法为通过查看最内层所封装的报文类型来剔除未封装DNS报文的数据包;然后再次对数据包中所封装的DNS报文中的请求域名进行筛选,剔除掉包含local域名的数据包。
优选的,所述机器学习模型识别DNS劫持攻击模块中所述的机器学习模型为异常检测算法孤立森林;通过孤立森林模型计算之后,每条记录都能够返回一个异常得分,通过将异常得分进行降序排列,就能够找出异常的操作记录,从而定位到该条记录所对应的DNS劫持攻击。
优选的,所述模型优化模块通过对DNS劫持攻击检测结果进行验证后,将确认为DNS攻击的行为记入黑名单,同时根据实际需要再建立一个白名单;在后续的模型检测过程中,需要在方法S04特征提取步骤新增两个特征项,其一为当前记录所包含的MAC、IP以及域名是否在黑名单中,另一个特征为当前记录所包含的MAC、IP以及域名是否在白名单中;对于匹配到黑名单的记录,增加其为DNS劫持攻击的预警权重,而对于在白名单中的记录,则适当放行。
本发明的优点在于:
本发明通过深入研究各种类型DNS劫持攻击的实现原理,针对性地构造出了具有非常强的区分度特征,结合机器学习的方法,通过不断地优化分析,实现了以报文数据为媒介,训练模型使之具备精确的检测能力,有效弥补了传统的规则检测或恶意情报库匹配方法中无法识别新型攻击和易被绕过的问题,同时通过进一步的模型分析,能够将DNS攻击进行细化分类,准确定位DNS劫持行为是产生在DNS请求过程中的哪一个环节。
附图说明
图1为本发明实施例中基于报文分析的DNS劫持检测方法总体流程图;
图2为本发明实施例中孤立树中样本x的异常得分s和样本x在孤立树种的路径长度期望E(h(x))的关系;
图3为本发明实施例中孤立森林模型计算之后,每条记录返回一个异常得分的效果展示图;
图4为本发明实施例中聚类的效果展示图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
一种基于报文分析的DNS劫持检测方法,具体步骤如下:
步骤1,网络报文数据解析;
步骤2,数据预处理;
步骤3,特征提取;
步骤4,机器学习模型识别DNS劫持攻击;
步骤5,DNS劫持攻击分类;
步骤6,模型优化。
下面具体说明每个步骤内容:
步骤1中的方法为:
网络报文指的是网络中交换与传输的数据单元,包含了要传送的数据和必要的附加信息,其中附加信息通常包括目的IP、目的端口、源地址、源端口、数据长度、所用协议、加密等内容。
该方法需要对收集到的DNS报文进行解析。所谓DNS报文指的是客户机与DNS服务器之间的DNS请求和应答报文。由于在实际的分析过程中,抓包行为发生在网络层,所以需要通过解析抓包数据来提取其中的DNS报文信息。该方法中使用的解析方式为递归式逐层解析,按照网络报文的封装思路,逆向对每一层进行解析,并在解析的过程中提取相关信息,这些信息包括但不限于以下内容:目标mac(dst_mac)、源mac(src_mac)、报文长度(len)、目标IP(dst_ip)、源IP(src_ip)、生存时间(ttl)、DNS报文ID(dns_id)、DNS报文类型(dns_qr)、DNS报文操作码(dns_opcode)、DNS报文请求计数(qdcount)、DNS报文应答计数(ancount)、DNS请求域名(qname)、DNS应答内容(rdata)等。
步骤2中的方法为:
数据预处理指的是对原始数据进行数据清洗和初步的数据处理加工过程。该方法中,数据预处理主要分为两步:
步骤21由于研究对象是DNS报文,所以首先需要按照网络报文的类型对数据进行一次筛选,筛选的方法为通过查看最内层所封装的报文类型来剔除未封装DNS报文的数据包。
步骤22在方法步骤21中筛选出封装DNS报文的数据包之后,因为客户机系统自身往往也会产生部分DNS报文,所以需要再次对数据包中所封装的DNS报文中的请求域名进行筛选,剔除掉包含local域名的数据包。
步骤3中的方法为:
特征提取指的是对方法步骤2数据预处理之后的数据,进行进一步的数据加工和处理,提取出后续模型所需要的特征数值。所需要提取的特征如下所示:
步骤4中的方法为:
机器学习模型识别DNS劫持攻击,是通过引入机器学习的方法,利用方法步骤3提取到的特征数据,进DNS劫持行为进行模型识别。本方法采用的机器学习模型为异常检测算法孤立森林,该模型能够很好地从大量数据中识别出异常的记录。由于模型的训练数据集特征是根据DNS劫持行为的特点进行针对性设计的,所以模型所检测出的异常结果可以认定为存在DNS劫持行为的记录。
孤立森林是一种适用于连续数据的无监督异常检测方法,即不需要有标记的样本来训练。在孤立森林中,递归地随机分割数据集,直到所有的样本点都是孤立的。在这种随机分割的策略下,异常点通常具有较短的路径。在该算法中,给定一个包含n个样本的数据集,树的平均路径长度为:
其中H(i)为调和数,该值可以被估计为ln(i)+0.5772156649。c(n)为给定样本数n时,路径长度的平均值,用来标准化样本x的路径长度h(x)。
样本x的异常得分定义为:
其中,E(h(x))为样本x在一批孤立树中的路径长度的期望。附图2给出了s和E(h(x))的关系。
在通过上述孤立森林模型计算之后,每条记录都能够返回一个异常得分,效果展示如附图3所示。通过将异常得分进行降序排列,就能够找出异常的操作记录,从而定位到该条记录所对应的DNS劫持攻击。
步骤5中的方法为:
DNS劫持攻击分类,是将方法步骤4中检测出的DNS攻击进行分类,具体划分为客户机劫持、路由劫持、DNS服务器劫持以及中间人劫持四个大类。细分DNS攻击类型可以细化攻击检测结果数据,使得被劫持者能够有针对性地对DNS攻击进行处理和后续的DNS安全防护工作的进行,同时也能够使被劫持者更容易查到自身是在哪个环节被劫持,对DNS安全工作的开展具有重要意义。
本方法对DNS劫持攻击分类所采用的方法为聚类分析算法,聚类指的是按照特征把数据集分割成不同的簇,使得同一个簇内的数据对象的相似性尽可能大,同时不在同一个簇中的数据对象的差异性也尽可能地大。由于不同种类的DNS劫持攻击类型之间往往存在较大的差异,而同种类的DNS劫持攻击则存在较大的相似性,所以使用聚类算法适用于DNS劫持攻击的分类。
本方法采用的聚类算法为K-Means聚类方法,也叫K均值聚类。对于方法步骤4检测出的DNS劫持攻击数据集,按照样本之间的距离大小,将样本集划分为K个簇。让簇内的点尽量紧密的连在一起,而让簇间的距离尽量的大。
假设簇划分为(C1,C2,...Ck),则模型的目标是最小化平方误差E:
其中μi是簇Ci的均值向量,有时也称为质心,表达式为:
求上式的最小值需要采用启发式的迭代方法,如附图4所示,假设k=2。在图b中,随机选择两个类所对应的类别质心,即图中的实心簇质心(图中叉形点)和空心簇质心(图中六角形点),然后分别求样本中所有点到这两个质心的距离,并标记每个样本的类别为和该样本距离最小的质心的类别,在图c中,经过计算样本和实心簇质心(图中叉形点)和空心簇质心(图中六角形点)的距离,可以得到所有样本点的第一轮迭代后的类别。此时对当前标记为实心簇点和空心簇点分别求其新的质心,在图4中,新的实心簇质心(图中叉形点)和空心簇质心(图中六角形点)的位置已经发生了变动。图e和图f重复了在图c和图d的过程,即将所有点的类别标记为距离最近的质心的类别并求新的质心。最终得到的两个类别如图f。
在使用聚类算法对DNS劫持攻击进行聚类之后,需要对每个类的特征进行统计分析,结合DNS劫持攻击原理,就可以将每个类与每种DNS劫持攻击一一对应,从而确定各个类所属的攻击类型。
步骤6中的方法为:
模型优化主要是通过对DNS劫持攻击检测结果进行验证后,将确认为DNS攻击的行为记入黑名单,同时根据实际需要再建立一个白名单。在后续的模型检测过程中,需要再方法步骤4特征提取模块新增两个特征项,其一为当前记录所包含的MAC、IP以及域名是否在黑名单中,另一个特征为当前记录所包含的MAC、IP以及域名是否在白名单中。对于匹配到黑名单的记录,应当增加其为DNS劫持攻击的预警权重,而对于在白名单中的记录,应适当放行。通过结合黑名单以及白名单的机制,能够有效提升模型检测结果的准确性,从而达到优化模型的目的。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种基于报文分析的DNS劫持检测方法,其特征在于:包括以下步骤:
S01.对网络报文数据解析,提取其中DNS报文信息;
S02.数据预处理,对DNS报文信息进行数据清洗和筛选,获得目标DNS报文数据;
S03.特征提取,针对所述目标DNS报文数据进行加工处理,提取特征数据;
S04.机器学习模型识别DNS劫持攻击,将特征数据输入预先训练好的机器学习模块,进行DNS劫持攻击识别;
S05.DNS劫持攻击分离,对步骤S04中识别出DNS劫持攻击进行分类;
S06.模型优化,利用检测结果对模型进行优化。
2.根据权利要求1所述的一种基于报文分析的DNS劫持检测方法,其特征在于:所述步骤S01中的解析方法具体为:使用递归式逐层解析,按照网络报文的封装思路,逆向对每一层进行解析,并在解析的过程中提取相关信息。
3.根据权利要求1所述的一种基于报文分析的DNS劫持检测方法,其特征在于:所述步骤S02中数据预处理包括:
首先需要按照网络报文的类型对数据进行一次筛选,筛选的方法为通过查看最内层所封装的报文类型来剔除未封装DNS报文的数据包;然后再次对数据包中所封装的DNS报文中的请求域名进行筛选,剔除掉包含local域名的数据包。
4.根据权利要求1所述的一种基于报文分析的DNS劫持检测方法,其特征在于:所述步骤S04中所述的机器学习模型为异常检测算法孤立森林;通过孤立森林模型计算之后,每条记录都能够返回一个异常得分,通过将异常得分进行降序排列,就能够找出异常的操作记录,从而定位到该条记录所对应的DNS劫持攻击。
5.根据权利要求1所述的一种基于报文分析的DNS劫持检测方法,其特征在于:所述步骤S04中,采用聚类分析算法对DNS攻击劫持进行分类,具体分为客户机劫持、路由器劫持、DNS服务器劫持、中间人劫持。
6.根据权利要求1所述的一种基于报文分析的DNS劫持检测方法,其特征在于:所述步骤S06中模型优化为通过对DNS劫持攻击检测结果进行验证后,将确认为DNS攻击的行为记入黑名单,同时根据实际需要再建立一个白名单;在后续的模型检测过程中,需要在方法S04特征提取步骤新增两个特征项,其一为当前记录所包含的MAC、IP以及域名是否在黑名单中,另一个特征为当前记录所包含的MAC、IP以及域名是否在白名单中;对于匹配到黑名单的记录,增加其为DNS劫持攻击的预警权重,而对于在白名单中的记录,则适当放行。
7.一种基于报文分析的DNS劫持检测系统,应用于权利要求1至6任一所述的方法,其特征在于:包括
网络报文数据解析模块,对网络报文数据解析,提取其中DNS报文信息;
数据预处理模块,对DNS报文信息进行数据清洗和筛选,获得目标DNS报文数据;
特征提取模块,针对所述目标DNS报文数据进行加工处理,提取特征数据;
机器学习模型识别DNS劫持攻击模块,将特征数据输入预先训练好的机器学习模块,进行DNS劫持攻击识别;
DNS劫持攻击分类模块,对识别出DNS劫持攻击进行分类;
模型优化模块,利用检测结果对模型进行优化。
8.根据权利要求7所述的一种基于报文分析的DNS劫持检测系统,其特征在于:所述数据预处理模块中数据预处理包括:
首先需要按照网络报文的类型对数据进行一次筛选,筛选的方法为通过查看最内层所封装的报文类型来剔除未封装DNS报文的数据包;然后再次对数据包中所封装的DNS报文中的请求域名进行筛选,剔除掉包含local域名的数据包。
9.根据权利要求7所述的一种基于报文分析的DNS劫持检测系统,其特征在于:所述机器学习模型识别DNS劫持攻击模块中所述的机器学习模型为异常检测算法孤立森林;通过孤立森林模型计算之后,每条记录都能够返回一个异常得分,通过将异常得分进行降序排列,就能够找出异常的操作记录,从而定位到该条记录所对应的DNS劫持攻击。
10.根据权利要求7所述的一种基于报文分析的DNS劫持检测系统,其特征在于:所述模型优化模块通过对DNS劫持攻击检测结果进行验证后,将确认为DNS攻击的行为记入黑名单,同时根据实际需要再建立一个白名单;在后续的模型检测过程中,需要在方法S04特征提取步骤新增两个特征项,其一为当前记录所包含的MAC、IP以及域名是否在黑名单中,另一个特征为当前记录所包含的MAC、IP以及域名是否在白名单中;对于匹配到黑名单的记录,增加其为DNS劫持攻击的预警权重,而对于在白名单中的记录,则适当放行。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010582205.0A CN111698260B (zh) | 2020-06-23 | 2020-06-23 | 一种基于报文分析的dns劫持检测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010582205.0A CN111698260B (zh) | 2020-06-23 | 2020-06-23 | 一种基于报文分析的dns劫持检测方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111698260A true CN111698260A (zh) | 2020-09-22 |
CN111698260B CN111698260B (zh) | 2022-10-11 |
Family
ID=72483458
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010582205.0A Active CN111698260B (zh) | 2020-06-23 | 2020-06-23 | 一种基于报文分析的dns劫持检测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111698260B (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113542310A (zh) * | 2021-09-17 | 2021-10-22 | 上海观安信息技术股份有限公司 | 一种网络扫描检测方法、装置及计算机存储介质 |
CN113676379A (zh) * | 2021-09-01 | 2021-11-19 | 上海观安信息技术股份有限公司 | 一种dns隧道检测方法、装置、系统及计算机存储介质 |
CN113794731A (zh) * | 2021-09-17 | 2021-12-14 | 工银科技有限公司 | 识别基于cdn流量伪装攻击的方法、装置、设备和介质 |
CN114244590A (zh) * | 2021-12-07 | 2022-03-25 | 上海观安信息技术股份有限公司 | Dns劫持监测方法及装置 |
CN114268465A (zh) * | 2021-12-02 | 2022-04-01 | 北京安天网络安全技术有限公司 | 一种dns恶意数据检测方法、装置、设备及介质 |
CN114301631A (zh) * | 2021-12-02 | 2022-04-08 | 北京安天网络安全技术有限公司 | 一种dns恶意数据检测方法、装置、设备及介质 |
CN115664848A (zh) * | 2022-12-08 | 2023-01-31 | 北京华云安信息技术有限公司 | 路由器配置的劫持检测方法、装置、电子设备及存储介质 |
CN116668106A (zh) * | 2023-05-22 | 2023-08-29 | 山东鼎夏智能科技有限公司 | 一种威胁情报处理系统以及方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180007088A1 (en) * | 2016-06-29 | 2018-01-04 | AVAST Software s.r.o. | Detection of domain name system hijacking |
CN107786575A (zh) * | 2017-11-11 | 2018-03-09 | 北京信息科技大学 | 一种基于dns流量的自适应恶意域名检测方法 |
CN108040076A (zh) * | 2018-02-06 | 2018-05-15 | 中国互联网络信息中心 | 基于Spark Streaming的DNS水刑攻击处理方法及系统 |
CN108200054A (zh) * | 2017-12-29 | 2018-06-22 | 北京奇安信科技有限公司 | 一种基于dns解析的恶意域名检测方法及装置 |
CN109842588A (zh) * | 2017-11-27 | 2019-06-04 | 腾讯科技(深圳)有限公司 | 网络数据检测方法及相关设备 |
CN110798481A (zh) * | 2019-11-08 | 2020-02-14 | 杭州安恒信息技术股份有限公司 | 基于深度学习的恶意域名检测方法及装置 |
CN111294332A (zh) * | 2020-01-13 | 2020-06-16 | 交通银行股份有限公司 | 一种流量异常检测与dns信道异常检测系统及方法 |
-
2020
- 2020-06-23 CN CN202010582205.0A patent/CN111698260B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180007088A1 (en) * | 2016-06-29 | 2018-01-04 | AVAST Software s.r.o. | Detection of domain name system hijacking |
CN107786575A (zh) * | 2017-11-11 | 2018-03-09 | 北京信息科技大学 | 一种基于dns流量的自适应恶意域名检测方法 |
CN109842588A (zh) * | 2017-11-27 | 2019-06-04 | 腾讯科技(深圳)有限公司 | 网络数据检测方法及相关设备 |
CN108200054A (zh) * | 2017-12-29 | 2018-06-22 | 北京奇安信科技有限公司 | 一种基于dns解析的恶意域名检测方法及装置 |
CN108040076A (zh) * | 2018-02-06 | 2018-05-15 | 中国互联网络信息中心 | 基于Spark Streaming的DNS水刑攻击处理方法及系统 |
CN110798481A (zh) * | 2019-11-08 | 2020-02-14 | 杭州安恒信息技术股份有限公司 | 基于深度学习的恶意域名检测方法及装置 |
CN111294332A (zh) * | 2020-01-13 | 2020-06-16 | 交通银行股份有限公司 | 一种流量异常检测与dns信道异常检测系统及方法 |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113676379A (zh) * | 2021-09-01 | 2021-11-19 | 上海观安信息技术股份有限公司 | 一种dns隧道检测方法、装置、系统及计算机存储介质 |
CN113676379B (zh) * | 2021-09-01 | 2022-08-09 | 上海观安信息技术股份有限公司 | 一种dns隧道检测方法、装置、系统及计算机存储介质 |
CN113542310A (zh) * | 2021-09-17 | 2021-10-22 | 上海观安信息技术股份有限公司 | 一种网络扫描检测方法、装置及计算机存储介质 |
CN113794731A (zh) * | 2021-09-17 | 2021-12-14 | 工银科技有限公司 | 识别基于cdn流量伪装攻击的方法、装置、设备和介质 |
CN114268465A (zh) * | 2021-12-02 | 2022-04-01 | 北京安天网络安全技术有限公司 | 一种dns恶意数据检测方法、装置、设备及介质 |
CN114301631A (zh) * | 2021-12-02 | 2022-04-08 | 北京安天网络安全技术有限公司 | 一种dns恶意数据检测方法、装置、设备及介质 |
CN114244590A (zh) * | 2021-12-07 | 2022-03-25 | 上海观安信息技术股份有限公司 | Dns劫持监测方法及装置 |
CN115664848A (zh) * | 2022-12-08 | 2023-01-31 | 北京华云安信息技术有限公司 | 路由器配置的劫持检测方法、装置、电子设备及存储介质 |
CN115664848B (zh) * | 2022-12-08 | 2023-03-10 | 北京华云安信息技术有限公司 | 路由器配置的劫持检测方法、装置、电子设备及存储介质 |
CN116668106A (zh) * | 2023-05-22 | 2023-08-29 | 山东鼎夏智能科技有限公司 | 一种威胁情报处理系统以及方法 |
CN116668106B (zh) * | 2023-05-22 | 2024-01-09 | 山东鼎夏智能科技有限公司 | 一种威胁情报处理系统以及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN111698260B (zh) | 2022-10-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111698260B (zh) | 一种基于报文分析的dns劫持检测方法及系统 | |
CN109391602B (zh) | 一种僵尸主机检测方法 | |
Shibahara et al. | Efficient dynamic malware analysis based on network behavior using deep learning | |
US10721245B2 (en) | Method and device for automatically verifying security event | |
CN112738015B (zh) | 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法 | |
Hamad et al. | Iot device identification via network-flow based fingerprinting and learning | |
EP3469770B1 (en) | Spam classification system based on network flow data | |
US10033757B2 (en) | Identifying malicious identifiers | |
CN105208037B (zh) | 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法 | |
KR100922582B1 (ko) | 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템 및방법 | |
Zarras et al. | Automated generation of models for fast and precise detection of HTTP-based malware | |
CN110611640A (zh) | 一种基于随机森林的dns协议隐蔽通道检测方法 | |
Rethinavalli et al. | Botnet attack detection in internet of things using optimization techniques | |
CN111107077A (zh) | 一种基于svm的攻击流量分类方法 | |
CN107209834B (zh) | 恶意通信模式提取装置及其系统和方法、记录介质 | |
CN106911665B (zh) | 一种识别恶意代码弱口令入侵行为的方法及系统 | |
Chopra et al. | Evaluating machine learning algorithms to detect and classify DDoS attacks in IoT | |
CN110519228B (zh) | 一种黑产场景下恶意云机器人的识别方法及系统 | |
CN113660267B (zh) | 一种针对IoT环境的僵尸网络检测的系统、方法及存储介质 | |
KR101488271B1 (ko) | Ids 오탐 검출 장치 및 방법 | |
Fries | Classification of network traffic using fuzzy clustering for network security | |
CN112287345A (zh) | 基于智能风险检测的可信边缘计算系统 | |
Sadeghpour et al. | Unsupervised ml based detection of malicious web sessions with automated feature selection: Design and real-world validation | |
CN110958251A (zh) | 一种基于实时流处理检测失陷主机并回溯的方法及装置 | |
CN110912933A (zh) | 一种基于被动测量的设备识别方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |