CN113645240B - 一种基于图结构的恶意域名群落挖掘方法 - Google Patents
一种基于图结构的恶意域名群落挖掘方法 Download PDFInfo
- Publication number
- CN113645240B CN113645240B CN202110916941.XA CN202110916941A CN113645240B CN 113645240 B CN113645240 B CN 113645240B CN 202110916941 A CN202110916941 A CN 202110916941A CN 113645240 B CN113645240 B CN 113645240B
- Authority
- CN
- China
- Prior art keywords
- domain name
- graph
- community
- malicious
- query
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Mining & Analysis (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Artificial Intelligence (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及公开了一种基于图结构的恶意域名群落挖掘方法,包括:将输入的DNS日志进行清洗和规则过滤,并根据基本的三个字段(客户端、时间戳、服务器)数据来构建域名间的依赖关系图;在构建好的图结构的基础上,利用节点的序列相似度和跳转概率从图中发现依赖度高的域名,挖掘域名群落;选择特定的特征进行群落恶意与否的训练学习,得到一个分类器,最终用来判别并筛选出恶意域名群落。通过本发明,可满足互联网安全系统中对恶意域名检测的扩展检测,以及达到恶意域名集群挖掘的效果,提高网络犯罪人员的成本,更加适合于未来日趋复杂的互联网场景。
Description
技术领域
本发明涉及信息安全技术领域,特别是基于图结构的恶意域名群落挖掘方法。
背景技术
随着网络的发展,如今,网络犯罪分子为了进行大量恶意活动,通常会编排一组域名或服务器来构建恶意基础设施,提高恶意活动的抵抗力和灵活性,以支持发起大规模DDoS攻击、传播勒索软件、窃取敏感数据、进行APT持续威胁攻击等。而且,新网络技术的发展,例如物联网(IoT)、信息物理系统和认知无线电网等也带来了各种新的安全漏洞,这显著增加了对互联网用户信息安全的威胁。安全专家们通过识别恶意域名可以有效阻断恶意基础设施的使用,为减轻网络犯罪做出了巨大努力。
现有的恶意域名检测方法主要分为两类,一类是基于对象的方法,比如 公开号为CN107786575B的一种基于DNS流量的自适应恶意域名检测方法,另一类是基于关联的方法,比如公开号为CN110290116B的一种基于知识图谱的恶意域名检测方法。第一类通常使用基于从各种相关数据中提取的特征的分类器来检测未标记的域名。第二类方法则利用不同的关系,如客户端域名和域名-IP来构建图,并在图上制定传播算法以查找恶意域名。然而,这些方法针对的只是单个域名或IP,这使得这些方法缺乏对恶意活动的全景视图。此外,攻击者也可以通过简单地丢弃被检测到的节点并招募新节点来规避这些检测。这些检测方法并不能很好地达到高效阻止继续攻击的效果。
发明内容
本发明的目的在于针对现有的检测恶意域名方法上的不足,提出一种基于图结构的恶意域名群落挖掘方法。这种方法根据现有的DNS流量信息及一些辅助信息或特征,就可以延伸挖掘出恶意域名群落。
为了实现上述目的,本发明提供了一种基于图结构的恶意域名群落挖掘方法,包括以下步骤:
步骤1:将输入的DNS日志进行域名清洗和规则过滤,并根据基本的三个字段(客户端、时间戳、服务器)来构建域名间的依赖关系图;
所述日志中的域名清洗和规则过滤包括且不仅限于以下内容:
不规则的域名:比如不符合域名命名规则的域名(例如google,com),这可能是由于输入错误或配置错误造成的;
无效的域名:也就是,其TLD(顶级域)不在IANA提供的已注册TLD列表中;
过度活跃的客户端:有一些过度活跃的客户端的查询比其他客户端多得多,它们通常是代理或转发器。
然后将预处理后的数据形式化并生成客户端的查询序列,进行时间聚类以生成最终的查询序列,并以此构建依赖关系图。
所述关系图是一个有向图,用G = (V;E)来描述,其中V是域名节点的集合,E是有向边的集合,边e = <vi;vj>表示对两个域名vi和vj的有序查询。
所述节点各有一个标签,记录查询过这个节点的域名。
所述边各有一个权重,代表这个有序查询的出现次数。
我们将日志信息中的查询序列整理后累积在图上。
步骤2:在构建好的图结构的基础上,利用节点的序列相似度和跳转概率从图中发现依赖度高的域名,挖掘域名群落;
在这一步中,从整个图中提取域名群落。
我们通过修剪图中的边来生成群落,处理后得到的是一组相隔离的节点群,具有两个以上的节点的一个组合代表一个群落。
所述边的修剪的策略如下:跳转概率(TRP)衡量了相连接的域名之间的有序查询行为的概率。TRP越高,两个域名之间的依赖性就越高,该值小于阈值的边将被删除。
步骤3:选择特定的特征进行群落恶意与否的训练学习,得到一个分类器,最终用来判别并筛选出恶意域名群落。
所述特征选择和提取中,我们从三个维度中选择了32个群落特征,包括但不限于图的结构信息、节点流量特征和群落历史行为特征。这是基于恶意群体拥有较少的资源和脆弱的服务,即,它们的服务器、客户端和流量是有限的。
所述图的结构信息包括节点数、边数、图的平均度数、图的聚类系数和图密度;
所述节点流量特征包括解析IP、查询客户端和查询时间。具体包括解析IP的总数、最大数、最小数、平均数和数方差;查询客户端的总数、最大数量、最小数量、平均数量和数量方差;查询次数的总数、最大数量、最小数量、平均数量和数量方差。
所述的群落历史行为特征,具体包括过去一段时间内群落解析IP的最大数量、最小数量、数量的平均值和数量的方差;查询客户的最大数量、最小数量、平均数量和变化数量;查询次数的最大数量、最小数量、平均数量和数量方差。
所述得到一个分类器,在这一步中,我们应用监督机器学习算法训练测试得到恶意域名群落的检测器。
所述训练阶段,我们基于标记的恶意和良性群落及其特征来训练模型。
所述测试阶段,我们用训练好的模型计算输入群体的恶意程度,以检测恶意群体。
本发明实施例一种基于图结构的恶意域名群落挖掘方法与现有技术相比,其有益效果在于:
1、可复用性:本方法中可任意添加或减少流量信息,扩大域名关系图结构而不必进行后续整体框架的大量更改,提升了恶意域名群落挖掘方法的可复用性;
2、通用性:本方法通过监控来自本地网络边缘的流量,并且只需要基本字段:客户端,时间戳,服务器和解析ip,这些参数可以保持长期稳定有效,因此可以被应用在大多数企业或网络中。
3、群落挖掘:在恶意域名的发现上,本发明关注于参与同一恶意活动的域名组成的群体。关注群体而不是孤立的域名活动使我们能够从宏观角度观察网络犯罪;
4、打击力强:本方法对恶意域名群落的挖掘,本质上是对恶意活动的集群基础设施进行发现,相比单一恶意域名的发现和封禁,恶意域名集群的挖掘和隔离,非常高地提升了犯罪分子进行恶意网络活动的成本,对犯罪分子的打击力度更强,犯罪行为的制止效果更好。
附图说明
图1为本发明实施例的一种基于图结构的恶意域名群落挖掘方法的流程示意图;
图2为本发明实施例提供的一种基于图结构的恶意域名群落挖掘方法的整体架构示意图;
实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应当理解,文中所使用的步骤编号仅是为了方便描述,不对作为对步骤执行先后顺序的限定。
应当理解,在本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
本发明实施例:
如图1-图2所示,本发明实施例提供的一种基于图结构的恶意域名群落挖掘方法,至少包括如下步骤:
S101、将输入的DNS日志进行清洗和规则过滤,并根据基本的三个字段(客户端、时间戳、服务器)来构建域名间的依赖关系图;
需要说明的是,对于本地网络流量,具体指的是:包括DNS流量数据、流量的相关域名信息等。日志中的域名清洗和规则过滤包括且不仅限于对不规则的域名、无效的域名、过度活跃的客户端的清洗过滤。
然后将这些预处理后的数据形式化并生成客户端的查询序列,进行时间聚类以生成最终的查询序列,并以此构建依赖关系图。
所述关系图是一个有向图,用G = (V;E)来描述,其中V是域名节点的集合,E是边的集合,有向边e = <vi;vj>表示对两个域名vi和vj的有序查询。
所述节点各有一个标签,记录查询过这个节点的域名。
所述边各有一个权重,代表这个有序查询的出现次数。
我们将日志信息中的查询序列整理后累积在图上。
S102、在构建好的图结构的基础上,利用节点的序列相似度和跳转概率从图中发现依赖度高的域名,挖掘域名群落;
需要说明的是,在这一步中,从整个图中提取域名群落,具体指的是通过修剪图中的边来生成群落,处理后得到的是一组相隔离的节点群,具有两个以上的节点的一个组合代表一个群落。
需要说明的是,边的修剪的策略可以选择将跳转概率(TRP)小于阈值的边删除。
S103、选择特定的特征进行群落恶意与否的训练学习,得到一个分类器,最终用来判别并筛选出恶意域名群落。
需要说明的是,对于选择和提取的特征,具体指的是:图的结构信息、节点流量特征和群落历史行为特征。
需要说明的是,对于图的结构信息,具体指的是:节点数、边数、图的平均度数、图的聚类系数和图密度;
需要说明的是,对于节点流量特征,具体指的是:解析IP、查询客户端和查询时间。具体包括解析IP的总数、最大数、最小数、平均数和数方差;查询客户端的总数、最大数量、最小数量、平均数量和数量方差;查询次数的总数、最大数量、最小数量、平均数量和数量方差。
需要说明的是,所述的群落历史行为特征,具体指的是:过去一段时间内群落解析IP的最大数量、最小数量、数量的平均值和数量的方差;查询客户的最大数量、最小数量、平均数量和变化数量;查询次数的最大数量、最小数量、平均数量和数量方差。
本发明实施例的一种基于图结构的恶意域名群落挖掘方法与现有技术相比,其有益效果在于:
1、在恶意域名的集群检测上有很好的可复用性:本方法中可以通过任意添加或减少流量信息,扩大域名关系图结构而不必进行后续整体框架的大量更改,提升了恶意域名群落挖掘方法的可复用性;
2、良好的通用性,可以被广泛应用:本方法通过监控来自本地网络边缘的流量,并且只需要基本字段:客户端,时间戳,服务器和解析ip,这些参数可以保持长期稳定有效,因此可以被应用在大多数企业或网络中;
3、相比原来的单一域名的判断,能够实现恶意域名的群落挖掘,拥有全局视角:在恶意域名的发现上,本发明关注于参与同一恶意活动的域名组成的群体。关注群体而不是孤立的域名活动使我们能够从宏观角度观察网络犯罪;
4、对网络犯罪分子的打击力度更强:本方法对恶意域名群落的挖掘,本质上是对恶意活动的集群基础设施进行发现,相比单一恶意域名的发现和封禁,恶意域名集群的挖掘和隔离,非常高地提升了犯罪分子进行恶意网络活动的成本,对犯罪分子的打击力度更强,犯罪行为的制止效果更好。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和替换,这些改进和替换也应视为本发明的保护范围。
Claims (2)
1.一种基于图结构的恶意域名群落挖掘方法,其特征在于,包括以下步骤:步骤1:建立用于后续检测恶意域名群落的群落挖掘算法的基本关系图结构,该图结构的构建过程包括将输入的DNS日志进行域名清洗和规则过滤,生成客户端的查询序列,并构建域名依赖关系图,所述域名清洗和规则过滤包括且不仅限于对不规则的域名、无效的域名、过度活跃的客户端的过滤,所述客户端的查询序列是由过滤后的数据形式化生成的,进行时间聚类后,生成最终的查询序列,并以此构建依赖关系图,所述关系图是一个有向图,用G = (V;E)来描述,其中V是域名节点的集合,E是边的集合,有向边e = <vi;vj>表示对两个域名vi和vj的有序查询,所述节点各有一个标签,记录查询过这个节点的域名,所述边各有一个权重,代表这个有序查询的出现次数;
步骤2:在构建好的图结构的基础上,利用节点的序列相似度和跳转概率从图中发现依赖度高的域名,挖掘域名群落;所述域名群落具体指的是通过修剪图中的边后得到的一组相连接的节点群,具有两个以上的节点的一个组合代表一个群落,所述跳转概率衡量了相连接的首尾域名之间有序查询行为的概率,跳转概率越高,两个域名之间的依赖性就越高,所述边的修剪的策略可以选择将跳转概率小于阈值的边删除;
步骤3:选择特定的特征进行群落恶意与否的训练学习,得到一个分类器,最终用来判别并筛选出恶意域名群落,特征选择和提取中,包括但不限于图的结构信息、节点流量特征和群落历史行为特征,所述图的结构信息包括但不限于节点数、边数、图的平均度数、图的聚类系数和图密度,所述节点流量特征包括但不限于解析IP、查询客户端和查询时间,具体包括但不限于解析IP的总数、最大数、最小数、平均数和数方差;查询客户端的总数、最大数量、最小数量、平均数量和数量方差;查询次数的总数、最大数量、最小数量、平均数量和数量方差,所述的群落历史行为特征,具体为过去一段时间内群落解析IP的最大数量、最小数量、数量的平均值和数量的方差;查询客户的最大数量、最小数量、平均数量和变化数量;查询次数的最大数量、最小数量、平均数量和数量方差。
2.根据权利要求1所述的基于图结构的恶意域名群落挖掘方法,其特征在于,所述恶意域名群落分类器,应用监督机器学习算法训练测试得到,训练阶段,基于标记的恶意和良性群落及其特征来训练模型,测试阶段,用训练好的模型计算输入群体的恶意程度,以检测恶意群体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110916941.XA CN113645240B (zh) | 2021-08-11 | 2021-08-11 | 一种基于图结构的恶意域名群落挖掘方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110916941.XA CN113645240B (zh) | 2021-08-11 | 2021-08-11 | 一种基于图结构的恶意域名群落挖掘方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113645240A CN113645240A (zh) | 2021-11-12 |
| CN113645240B true CN113645240B (zh) | 2023-05-23 |
Family
ID=78420705
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110916941.XA Active CN113645240B (zh) | 2021-08-11 | 2021-08-11 | 一种基于图结构的恶意域名群落挖掘方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113645240B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114710322B (zh) * | 2022-03-15 | 2023-06-20 | 清华大学 | 基于流量交互图的隐蔽恶意流量检测方法和装置 |
| CN115037532B (zh) * | 2022-05-27 | 2023-03-24 | 中国科学院信息工程研究所 | 基于异构图的恶意域名检测方法、电子装置及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9749336B1 (en) * | 2013-02-26 | 2017-08-29 | Palo Alto Networks, Inc. | Malware domain detection using passive DNS |
| CN108804576A (zh) * | 2018-05-22 | 2018-11-13 | 华中科技大学 | 一种基于链接分析的域名层级结构探测方法 |
| CN111104801A (zh) * | 2019-12-26 | 2020-05-05 | 济南大学 | 基于网址域名的文本分词方法、系统、设备及介质 |
| CN111541645A (zh) * | 2020-03-24 | 2020-08-14 | 国家计算机网络与信息安全管理中心 | 一种VoIP服务知识库构建方法及系统 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101666177B1 (ko) * | 2015-03-30 | 2016-10-14 | 한국전자통신연구원 | 악성 도메인 클러스터 탐지 장치 및 방법 |
| CN104994117A (zh) * | 2015-08-07 | 2015-10-21 | 国家计算机网络与信息安全管理中心江苏分中心 | 一种基于dns解析数据的恶意域名检测方法及系统 |
| CN110324273A (zh) * | 2018-03-28 | 2019-10-11 | 蓝盾信息安全技术有限公司 | 一种基于dns请求行为与域名构成特征相结合的僵尸网络检测法 |
| CN110290116B (zh) * | 2019-06-04 | 2021-06-22 | 中山大学 | 一种基于知识图谱的恶意域名检测方法 |
| CN112822153A (zh) * | 2020-12-18 | 2021-05-18 | 国家计算机网络与信息安全管理中心 | 基于dns日志的可疑威胁发现方法和系统 |
-
2021
- 2021-08-11 CN CN202110916941.XA patent/CN113645240B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9749336B1 (en) * | 2013-02-26 | 2017-08-29 | Palo Alto Networks, Inc. | Malware domain detection using passive DNS |
| CN108804576A (zh) * | 2018-05-22 | 2018-11-13 | 华中科技大学 | 一种基于链接分析的域名层级结构探测方法 |
| CN111104801A (zh) * | 2019-12-26 | 2020-05-05 | 济南大学 | 基于网址域名的文本分词方法、系统、设备及介质 |
| CN111541645A (zh) * | 2020-03-24 | 2020-08-14 | 国家计算机网络与信息安全管理中心 | 一种VoIP服务知识库构建方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113645240A (zh) | 2021-11-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113783896B (zh) | 一种网络攻击路径追踪方法和装置 | |
| Lever et al. | A lustrum of malware network communication: Evolution and insights | |
| Kumar et al. | Intrusion Detection System using decision tree algorithm | |
| US11695794B2 (en) | Method and system for clustering darknet traffic streams with word embeddings | |
| Pouget et al. | Honeypot-based forensics | |
| CN111355697B (zh) | 僵尸网络域名家族的检测方法、装置、设备及存储介质 | |
| Zhu et al. | Alert correlation for extracting attack strategies | |
| KR100623552B1 (ko) | 자동침입대응시스템에서의 위험수준 분석 방법 | |
| CN113645240B (zh) | 一种基于图结构的恶意域名群落挖掘方法 | |
| US20080162397A1 (en) | Method for Analyzing Activities Over Information Networks | |
| CN102685145A (zh) | 一种基于dns数据包的僵尸网络域名发现方法 | |
| CN102984140B (zh) | 基于行为片段共享的恶意软件特征融合分析方法及系统 | |
| Hong et al. | Ctracer: uncover C&C in advanced persistent threats based on scalable framework for enterprise log data | |
| Hostiadi et al. | Hybrid model for bot group activity detection using similarity and correlation approaches based on network traffic flows analysis | |
| Weber et al. | Unsupervised clustering for identification of malicious domain campaigns | |
| Sachan et al. | Identifying malicious accounts in blockchains using domain names and associated temporal properties | |
| Li et al. | A Review: How to detect malicious domains | |
| CN110650157B (zh) | 基于集成学习的Fast-flux域名检测方法 | |
| CN112968870A (zh) | 一种基于频繁项集的网络团伙发现方法 | |
| KR101182793B1 (ko) | 도메인 이름 서비스 질의 데이터를 이용한 봇넷 탐지 방법 및 시스템 | |
| Yang et al. | [Retracted] Computer User Behavior Anomaly Detection Based on K‐Means Algorithm | |
| Jakhale et al. | Anomaly detection system by mining frequent pattern using data mining algorithm from network flow | |
| Wang et al. | A novel technique of recognising multi-stage attack behaviour | |
| Ramaki et al. | Towards event aggregation for reducing the volume of logged events during IKC stages of APT attacks | |
| Pan et al. | Mitigating ddos attacks towards top level domain name service |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 571924 Room 301, 3rd floor, building A09, Hainan Ecological Software Park, Laocheng hi tech Industrial Demonstration Zone, Chengmai County, Haikou City, Hainan Province Applicant after: Jizhi (Hainan) Information Technology Co.,Ltd. Address before: 571924 Room 301, 3rd floor, building A09, Hainan Ecological Software Park, Laocheng hi tech Industrial Demonstration Zone, Chengmai County, Haikou City, Hainan Province Applicant before: Zhongdian Jizhi (Hainan) Information Technology Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |