CN117221273A - 一种异常dns请求解析方法 - Google Patents
一种异常dns请求解析方法 Download PDFInfo
- Publication number
- CN117221273A CN117221273A CN202310980428.6A CN202310980428A CN117221273A CN 117221273 A CN117221273 A CN 117221273A CN 202310980428 A CN202310980428 A CN 202310980428A CN 117221273 A CN117221273 A CN 117221273A
- Authority
- CN
- China
- Prior art keywords
- abnormal
- dns request
- request
- dns
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 149
- 238000000034 method Methods 0.000 title claims description 26
- 238000004458 analytical method Methods 0.000 claims abstract description 16
- 230000008901 benefit Effects 0.000 claims description 17
- 230000004044 response Effects 0.000 claims description 12
- 230000007123 defense Effects 0.000 claims description 7
- 238000010801 machine learning Methods 0.000 claims description 4
- 230000006870 function Effects 0.000 claims description 3
- 238000007405 data analysis Methods 0.000 abstract 1
- 230000007704 transition Effects 0.000 description 4
- 230000005856 abnormality Effects 0.000 description 3
- 230000002547 anomalous effect Effects 0.000 description 3
- 230000008260 defense mechanism Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000001514 detection method Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000001788 irregular Effects 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种异常DNS请求解析方法,涉及数据解析技术领域,包括获取以往异常DNS请求,并根据以往异常DNS请求的日志建立多个异常标准指标;获取待检测DNS请求,并根据待检测DNS请求的日志生成多个异常指标;比对异常指标和异常标准指标,从而确定待检测DNS请求是否为异常DNS请求;若待检测DNS请求为异常DNS请求,分析请求报文,并得到异常信息;根据异常信息确定请求的时间属性,并建立对应的马尔科夫模型;分别建立当前博弈论模型以及未来博弈论模型,从而得到当前最优解以及未来最优解,以调整网络防护策略。提高了解析的准确性,保证了安全防护策略的适应性。
Description
技术领域
本申请涉及数据解析技术领域,更具体地,涉及一种异常DNS请求解析方法。
背景技术
异常DNS请求解析方法涉及多个背景技术和综合的分析方法。在分析异常DNS请求时,以下是一些关键的背景技术和综合阐述:
DNS协议和请求解析:DNS(Domain Name System)是互联网中用于将域名解析为IP 地址的协议。解析 DNS 请求涉及对 DNS 协议的理解,包括报文结构、标志位、查询类型和响应代码等。这是解析请求中的基础。
威胁情报与恶意域名分析:借助威胁情报和恶意域名分析,可以收集和整合来自不同来源的关于已知的恶意域名、IP地址和攻击模式的信息。这些信息可以用于比对和识别异常DNS请求中潜在的恶意行为。
现有技术中,异常DNS请求的解析准确性差,经常出现误判、漏判的问题,从而导致网络安全防护策略适应性差。
因此,如何提高解析准确性和策略适应性,是目前有待解决的技术问题。
发明内容
本发明提供一种异常DNS请求解析方法,用以解决现有技术中解析准确性差、策略适应性低的技术问题。所述方法包括:
获取以往异常DNS请求,并根据以往异常DNS请求的日志建立多个异常标准指标;
获取待检测DNS请求,并根据待检测DNS请求的日志生成多个异常指标;
比对异常指标和异常标准指标,从而确定待检测DNS请求是否为异常DNS请求;
若待检测DNS请求为异常DNS请求,分析请求报文,并得到异常信息;
根据异常信息确定请求的时间属性,并建立对应的马尔科夫模型,从而预测未来DNS请求;
分别建立当前博弈论模型以及未来博弈论模型,从而得到当前最优解以及未来最优解,以调整网络防护策略。
本申请一些实施例中,并根据以往异常DNS请求的日志建立多个异常标准指标,包括:
获取以往异常DNS请求的日志中所有特征数据种类;
获取威胁情报数据,并得到异常的DNS请求的特征和攻击模式,从而确定第一特征集;
对正常的DNS请求数据以及异常的DNS请求数据进行比对,得到差异特征数据,并确定第二特征集;
通过机器学习算法对正常和异常DNS请求的数据特征进行训练分类,识别与异常请求相关的特征数据,并确定第三特征集;
第一特征集、第二特征集和第三特征集中均包含特征的种类以及该种类对应的异常数据范围;
基于第一特征集、第二特征集和第三特征集建立多个异常标准指标。
本申请一些实施例中,基于第一特征集、第二特征集和第三特征集建立多个异常标准指标,包括:
将第一特征集、第二特征集和第三特征集三者共同的交集特征数据种类作为第一异常标准指标种类,并且将第一特征集、第二特征集和第三特征集三者共同的交集特征数据种类所对应的异常数据范围的并集作为第一异常标准指标种类的数据范围;
将第一特征集、第二特征集和第三特征集中两两相交的交集特征数据种类作为第二异常标准指标种类,并且将第一特征集、第二特征集和第三特征集两两相交的交集特征数据种类所对应的异常数据范围平均值作为第二异常标准指标种类的数据范围;
根据第一异常标准指标种类、第一异常标准指标种类的数据范围、第二异常标准指标种类和第二异常标准指标种类的数据范围建立多个异常标准指标。
本申请一些实施例中,分析请求报文,并得到异常信息,包括:
抓取DNS请求报文,解析DNS请求报文结构;
报文结构包括报文头部、查询部分以及响应部分;
分析报文头部,得到请求的性质和特征;
分析查询部分,得到请求的资源和查询类型;
分析响应部分,得到DNS服务器返回的数据;
基于请求的性质、特征、资源和查询类型以及DNS服务器返回的数据检查报文字段和值,从而得到异常信息。
本申请一些实施例中,根据异常信息确定请求的时间属性,并建立对应的马尔科夫模型,从而预测未来DNS请求,包括:
获取多次请求之间的平均时间间隔,并定义时间属性为连续时间和离散时间;
;
其中,T为平均时间间隔,n为请求次数-1,为第i次时间间隔,/>为指数函数,为/>中最小值,/>为/>中最大值,/>为预设常数;
对连续时间上的请求建立第一马尔科夫模型,对离散时间上的请求建立第二马尔科夫模型;
根据第一马尔科夫模型或第二马尔科夫模型预测未来DNS请求。
本申请一些实施例中,并定义时间属性为连续时间和离散时间,包括:
若多次请求中平均时间间隔大于时间间隔的次数超过第一预设次数,则将时间属性定义为连续时间;
若多次请求中平均时间间隔小于时间间隔的次数超过第二预设次数,则将时间属性定义为离散时间。
本申请一些实施例中,分别建立当前博弈论模型以及未来博弈论模型,包括:
确定博弈中的攻击者和防御者;
获取历史攻击记录,并根据历史攻击记录构建攻击者的攻击策略;
根据防御者的DNS请求解析方法构建防御者的防御策略;
定义攻击收益、攻击成本、防御收益和防御成本;
建立信息不对称规则,历史攻击记录与实际攻击者的攻击策略存在预设差异,以保证攻击者攻击先进性。
本申请一些实施例中,从而得到当前最优解以及未来最优解,以调整网络防护策略,包括:
根据当前博弈论模型和未来博弈论模型得到纳什均衡解;
基于纳什均衡解来调整网络防护策略。
本申请一些实施例中,基于纳什均衡解来调整网络防护策略,包括:
若纳什均衡解数量为1,则根据该纳什均衡解调整网络防护策略;
否则,比较多个纳什均衡解的收益,根据收益最大的纳什均衡解调整网络防护策略。
通过应用以上技术方案,获取以往异常DNS请求,并根据以往异常DNS请求的日志建立多个异常标准指标;获取待检测DNS请求,并根据待检测DNS请求的日志生成多个异常指标;比对异常指标和异常标准指标,从而确定待检测DNS请求是否为异常DNS请求;若待检测DNS请求为异常DNS请求,分析请求报文,并得到异常信息;根据异常信息确定请求的时间属性,并建立对应的马尔科夫模型,从而预测未来DNS请求;分别建立当前博弈论模型以及未来博弈论模型,从而得到当前最优解以及未来最优解,以调整网络防护策略。本申请通过根据以往异常DNS请求的日志建立多个异常标准指标,来确定待检测DNS请求是否异常,提高了解析的准确性。通过建立当前博弈论模型以及未来博弈论模型,来调整网络防护策略,保证了安全防护策略的适应性。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本发明实施例提出的一种异常DNS请求解析方法的流程示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供一种异常DNS请求解析方法,如图1所示,该方法包括以下步骤:
步骤S101,获取以往异常DNS请求,并根据以往异常DNS请求的日志建立多个异常标准指标。
本实施例中,异常标准指标是评判DNS请求是否异常的标准。例如,查询请求数量较大、域名长度异常等。
本申请一些实施例中,并根据以往异常DNS请求的日志建立多个异常标准指标,包括:
获取以往异常DNS请求的日志中所有特征数据种类;
获取威胁情报数据,并得到异常的DNS请求的特征和攻击模式,从而确定第一特征集;
对正常的DNS请求数据以及异常的DNS请求数据进行比对,得到差异特征数据,并确定第二特征集;
通过机器学习算法对正常和异常DNS请求的数据特征进行训练分类,识别与异常请求相关的特征数据,并确定第三特征集;
第一特征集、第二特征集和第三特征集中均包含特征的种类以及该种类对应的异常数据范围;
基于第一特征集、第二特征集和第三特征集建立多个异常标准指标。
本申请一些实施例中,基于第一特征集、第二特征集和第三特征集建立多个异常标准指标,包括:
将第一特征集、第二特征集和第三特征集三者共同的交集特征数据种类作为第一异常标准指标种类,并且将第一特征集、第二特征集和第三特征集三者共同的交集特征数据种类所对应的异常数据范围的并集作为第一异常标准指标种类的数据范围;
将第一特征集、第二特征集和第三特征集中两两相交的交集特征数据种类作为第二异常标准指标种类,并且将第一特征集、第二特征集和第三特征集两两相交的交集特征数据种类所对应的异常数据范围平均值作为第二异常标准指标种类的数据范围;
根据第一异常标准指标种类、第一异常标准指标种类的数据范围、第二异常标准指标种类和第二异常标准指标种类的数据范围建立多个异常标准指标。
步骤S102,获取待检测DNS请求,并根据待检测DNS请求的日志生成多个异常指标。
本实施例中,异常指标种类与异常标准指标相同。
步骤S103,比对异常指标和异常标准指标,从而确定待检测DNS请求是否为异常DNS请求。
本实施例中,通过对比异常指标和异常标准指标,来检测待检测DNS请求是否为异常DNS请求。
步骤S104,若待检测DNS请求为异常DNS请求,分析请求报文,并得到异常信息。
本实施例中,一旦检测到异常 DNS 请求,进一步分析请求报文以获取更多信息。这可能涉及查看源IP地址、目标域名、查询类型和其他相关字段等信息,还能获取异常请求的时间信息。
本申请一些实施例中,分析请求报文,并得到异常信息,包括:
抓取DNS请求报文,解析DNS请求报文结构;
报文结构包括报文头部、查询部分以及响应部分;
分析报文头部,得到请求的性质和特征;
分析查询部分,得到请求的资源和查询类型;
分析响应部分,得到DNS服务器返回的数据;
基于请求的性质、特征、资源和查询类型以及DNS服务器返回的数据检查报文字段和值,从而得到异常信息。
本实施例中,异常分析包括以下步骤:
抓取 DNS 请求报文:使用网络抓包工具(如Wireshark)在网络上捕获 DNS 请求报文。这可以帮助获取实际的网络流量数据以供分析。
解析 DNS 请求报文结构DNS请求报文遵循特定的协议结构,包括报文头部和查询部分。使用解析工具或编程语言(如Python的dnspython库)来解析和提取报文的各个字段。
分析报文头部:报文头部包含关于 DNS 请求的重要信息,如标识号、标志位、查询数量、响应数量等。分析这些字段可以了解请求的性质和特征。
分析查询部分:查询部分包含查询的域名、查询类型(如A记录、MX记录等)和查询类别。这些信息可以用于识别所请求的资源和特定查询类型。
解析响应部分(如果有):如果存在响应部分,则需要解析响应报文的结构和字段,以了解 DNS 服务器返回的数据。
检查报文字段和值:检查各个字段的值,如标志位、响应码等,可以帮助判断 DNS请求的成功与否,以及是否存在异常或错误情况。
步骤S105,根据异常信息确定请求的时间属性,并建立对应的马尔科夫模型,从而预测未来DNS请求。
本实施例中,时间属性分为连续和离散,马尔科夫模型可以分为两种主要类型:离散时间马尔科夫链(Discrete-Time Markov Chain)和连续时间马尔科夫过程(Continuous-Time Markov Process)。离散时间马尔科夫链是指在离散的时间点上,系统从一个状态转移到另一个状态。在每个时间点,系统的状态可以根据概率转移矩阵确定。连续时间马尔科夫过程是指在连续的时间上,系统从一个状态转移到另一个状态。它使用转移速率(transition rate)来描述状态转移的速度和概率。
本申请一些实施例中,根据异常信息确定请求的时间属性,并建立对应的马尔科夫模型,从而预测未来DNS请求,包括:
获取多次请求之间的平均时间间隔,并定义时间属性为连续时间和离散时间;
;
其中,T为平均时间间隔,n为请求次数-1,为第i次时间间隔,/>为指数函数,为/>中最小值,/>为/>中最大值,/>为预设常数;
对连续时间上的请求建立第一马尔科夫模型,对离散时间上的请求建立第二马尔科夫模型;
根据第一马尔科夫模型或第二马尔科夫模型预测未来DNS请求。
本实施例中,表示偏差量对平均值的修正。
本申请一些实施例中,并定义时间属性为连续时间和离散时间,包括:
若多次请求中平均时间间隔大于时间间隔的次数超过第一预设次数,则将时间属性定义为连续时间;
若多次请求中平均时间间隔小于时间间隔的次数超过第二预设次数,则将时间属性定义为离散时间。
步骤S106,分别建立当前博弈论模型以及未来博弈论模型,从而得到当前最优解以及未来最优解,以调整网络防护策略。
本申请一些实施例中,分别建立当前博弈论模型以及未来博弈论模型,包括:
确定博弈中的攻击者和防御者;
获取历史攻击记录,并根据历史攻击记录构建攻击者的攻击策略;
根据防御者的DNS请求解析方法构建防御者的防御策略;
定义攻击收益、攻击成本、防御收益和防御成本;
建立信息不对称规则,历史攻击记录与实际攻击者的攻击策略存在预设差异,以保证攻击者攻击先进性。
本实施例中,具体包括以下内容:
策略选择:
攻击者策略:攻击者可以选择使用大量随机生成的恶意域名,以绕过防御机制的检测。他们还可以使用低频率的查询和隐藏技术,使攻击更加隐蔽。
防御者策略:防御者可以选择使用基于机器学习的异常检测算法来识别异常 DNS请求。他们可以监测流量模式、域名长度、非常规查询类型等来判断是否存在异常行为。
收益和成本:
攻击者收益:攻击者的收益可能包括成功劫持用户流量、窃取敏感信息或进行网络钓鱼等活动。这可能带来经济利益或其他不法利益。
攻击者成本:攻击者的成本可能涉及获取或注册大量的恶意域名、开发和维护攻击工具、绕过防御机制的技术开销等。
防御者收益:防御者的收益在于保护网络安全、防止数据泄露和业务中断,维护组织声誉和信任。
防御者成本:防御者的成本包括投资于安全设备和工具、威胁情报收集和分析、培训和教育等方面的费用。
信息不对称:
攻击者优势:攻击者可能具有先进的攻击技术、未知的恶意域名或漏洞,使其能够规避防御机制并保持信息不对称。
防御者努力:防御者需要不断获取威胁情报、参与安全社区和分享信息,以缩小信息不对称的差距,并更新防御策略和工具。
策略平衡:
攻击者和防御者通过不断调整和改进策略,寻求达到一种策略平衡。攻击者可能尝试不断变化的攻击方式,而防御者会根据新的威胁情报和技术进步来改进防御机制。
本申请一些实施例中,从而得到当前最优解以及未来最优解,以调整网络防护策略,包括:
根据当前博弈论模型和未来博弈论模型得到纳什均衡解;
基于纳什均衡解来调整网络防护策略。
本申请一些实施例中,基于纳什均衡解来调整网络防护策略,包括:
若纳什均衡解数量为1,则根据该纳什均衡解调整网络防护策略;
否则,比较多个纳什均衡解的收益,根据收益最大的纳什均衡解调整网络防护策略。
通过应用以上技术方案,获取以往异常DNS请求,并根据以往异常DNS请求的日志建立多个异常标准指标;获取待检测DNS请求,并根据待检测DNS请求的日志生成多个异常指标;比对异常指标和异常标准指标,从而确定待检测DNS请求是否为异常DNS请求;若待检测DNS请求为异常DNS请求,分析请求报文,并得到异常信息;根据异常信息确定请求的时间属性,并建立对应的马尔科夫模型,从而预测未来DNS请求;分别建立当前博弈论模型以及未来博弈论模型,从而得到当前最优解以及未来最优解,以调整网络防护策略。本申请通过根据以往异常DNS请求的日志建立多个异常标准指标,来确定待检测DNS请求是否异常,提高了解析的准确性。通过建立当前博弈论模型以及未来博弈论模型,来调整网络防护策略,保证了安全防护策略的适应性。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施场景所述的方法。
最后应说明的是:以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不驱使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
Claims (9)
1.一种异常DNS请求解析方法,其特征在于,所述方法包括:
获取以往异常DNS请求,并根据以往异常DNS请求的日志建立多个异常标准指标;
获取待检测DNS请求,并根据待检测DNS请求的日志生成多个异常指标;
比对异常指标和异常标准指标,从而确定待检测DNS请求是否为异常DNS请求;
若待检测DNS请求为异常DNS请求,分析请求报文,并得到异常信息;
根据异常信息确定请求的时间属性,并建立对应的马尔科夫模型,从而预测未来DNS请求;
分别建立当前博弈论模型以及未来博弈论模型,从而得到当前最优解以及未来最优解,以调整网络防护策略。
2.如权利要求1所述的异常DNS请求解析方法,其特征在于,并根据以往异常DNS请求的日志建立多个异常标准指标,包括:
获取以往异常DNS请求的日志中所有特征数据种类;
获取威胁情报数据,并得到异常的DNS请求的特征和攻击模式,从而确定第一特征集;
对正常的DNS请求数据以及异常的DNS请求数据进行比对,得到差异特征数据,并确定第二特征集;
通过机器学习算法对正常和异常DNS请求的数据特征进行训练分类,识别与异常请求相关的特征数据,并确定第三特征集;
第一特征集、第二特征集和第三特征集中均包含特征的种类以及该种类对应的异常数据范围;
基于第一特征集、第二特征集和第三特征集建立多个异常标准指标。
3.如权利要求2所述的异常DNS请求解析方法,其特征在于,基于第一特征集、第二特征集和第三特征集建立多个异常标准指标,包括:
将第一特征集、第二特征集和第三特征集三者共同的交集特征数据种类作为第一异常标准指标种类,并且将第一特征集、第二特征集和第三特征集三者共同的交集特征数据种类所对应的异常数据范围的并集作为第一异常标准指标种类的数据范围;
将第一特征集、第二特征集和第三特征集中两两相交的交集特征数据种类作为第二异常标准指标种类,并且将第一特征集、第二特征集和第三特征集两两相交的交集特征数据种类所对应的异常数据范围平均值作为第二异常标准指标种类的数据范围;
根据第一异常标准指标种类、第一异常标准指标种类的数据范围、第二异常标准指标种类和第二异常标准指标种类的数据范围建立多个异常标准指标。
4.如权利要求1所述的异常DNS请求解析方法,其特征在于,分析请求报文,并得到异常信息,包括:
抓取DNS请求报文,解析DNS请求报文结构;
报文结构包括报文头部、查询部分以及响应部分;
分析报文头部,得到请求的性质和特征;
分析查询部分,得到请求的资源和查询类型;
分析响应部分,得到DNS服务器返回的数据;
基于请求的性质、特征、资源和查询类型以及DNS服务器返回的数据检查报文字段和值,从而得到异常信息。
5.如权利要求1所述的异常DNS请求解析方法,其特征在于,根据异常信息确定请求的时间属性,并建立对应的马尔科夫模型,从而预测未来DNS请求,包括:
获取多次请求之间的平均时间间隔,并定义时间属性为连续时间和离散时间;
;
其中,T为平均时间间隔,n为请求次数-1,为第i次时间间隔,/>为指数函数,/>为中最小值,/>为/>中最大值,/>为预设常数;
对连续时间上的请求建立第一马尔科夫模型,对离散时间上的请求建立第二马尔科夫模型;
根据第一马尔科夫模型或第二马尔科夫模型预测未来DNS请求。
6.如权利要求1所述的异常DNS请求解析方法,其特征在于,并定义时间属性为连续时间和离散时间,包括:
若多次请求中平均时间间隔大于时间间隔的次数超过第一预设次数,则将时间属性定义为连续时间;
若多次请求中平均时间间隔小于时间间隔的次数超过第二预设次数,则将时间属性定义为离散时间。
7.如权利要求1所述的异常DNS请求解析方法,其特征在于,分别建立当前博弈论模型以及未来博弈论模型,包括:
确定博弈中的攻击者和防御者;
获取历史攻击记录,并根据历史攻击记录构建攻击者的攻击策略;
根据防御者的DNS请求解析方法构建防御者的防御策略;
定义攻击收益、攻击成本、防御收益和防御成本;
建立信息不对称规则,历史攻击记录与实际攻击者的攻击策略存在预设差异,以保证攻击者攻击先进性。
8.如权利要求7所述的异常DNS请求解析方法,其特征在于,从而得到当前最优解以及未来最优解,以调整网络防护策略,包括:
根据当前博弈论模型和未来博弈论模型得到纳什均衡解;
基于纳什均衡解来调整网络防护策略。
9.如权利要求8所述的异常DNS请求解析方法,其特征在于,基于纳什均衡解来调整网络防护策略,包括:
若纳什均衡解数量为1,则根据该纳什均衡解调整网络防护策略;
否则,比较多个纳什均衡解的收益,根据收益最大的纳什均衡解调整网络防护策略。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310980428.6A CN117221273B (zh) | 2023-08-04 | 2023-08-04 | 一种异常dns请求解析方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310980428.6A CN117221273B (zh) | 2023-08-04 | 2023-08-04 | 一种异常dns请求解析方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117221273A true CN117221273A (zh) | 2023-12-12 |
| CN117221273B CN117221273B (zh) | 2024-11-08 |
Family
ID=89046972
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310980428.6A Active CN117221273B (zh) | 2023-08-04 | 2023-08-04 | 一种异常dns请求解析方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117221273B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104679992A (zh) * | 2015-01-30 | 2015-06-03 | 南京邮电大学 | 基于用户业务使用时间的Markov模型的设计方法 |
| CN108366047A (zh) * | 2018-01-08 | 2018-08-03 | 南京邮电大学 | 基于博弈论的有源配电网数据安全高效传输优化方法及装置 |
| CN109842588A (zh) * | 2017-11-27 | 2019-06-04 | 腾讯科技(深圳)有限公司 | 网络数据检测方法及相关设备 |
| US20210329023A1 (en) * | 2020-04-20 | 2021-10-21 | Prince Mohammad Bin Fahd University | Multi-tiered security analysis method and system |
-
2023
- 2023-08-04 CN CN202310980428.6A patent/CN117221273B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104679992A (zh) * | 2015-01-30 | 2015-06-03 | 南京邮电大学 | 基于用户业务使用时间的Markov模型的设计方法 |
| CN109842588A (zh) * | 2017-11-27 | 2019-06-04 | 腾讯科技(深圳)有限公司 | 网络数据检测方法及相关设备 |
| CN108366047A (zh) * | 2018-01-08 | 2018-08-03 | 南京邮电大学 | 基于博弈论的有源配电网数据安全高效传输优化方法及装置 |
| US20210329023A1 (en) * | 2020-04-20 | 2021-10-21 | Prince Mohammad Bin Fahd University | Multi-tiered security analysis method and system |
Non-Patent Citations (1)
| Title |
|---|
| 朱建明;王秦;: "基于博弈论的网络空间安全若干问题分析", 网络与信息安全学报, no. 01, 15 December 2015 (2015-12-15), pages 43 - 49 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117221273B (zh) | 2024-11-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102046789B1 (ko) | 웹 어플리케이션에 대한 딥러닝 기반의 침입탐지 방법, 시스템 및 컴퓨터 프로그램 | |
| US11212306B2 (en) | Graph database analysis for network anomaly detection systems | |
| US11831785B2 (en) | Systems and methods for digital certificate security | |
| Clincy et al. | Web application firewall: Network security models and configuration | |
| US20210152520A1 (en) | Network Firewall for Mitigating Against Persistent Low Volume Attacks | |
| Oprea et al. | Detection of early-stage enterprise infection by mining large-scale log data | |
| Hoque et al. | An implementation of intrusion detection system using genetic algorithm | |
| Bagui et al. | Using machine learning techniques to identify rare cyber‐attacks on the UNSW‐NB15 dataset | |
| US8015133B1 (en) | Computer-implemented modeling systems and methods for analyzing and predicting computer network intrusions | |
| Ahmed et al. | Novel approach for network traffic pattern analysis using clustering-based collective anomaly detection | |
| US20120084860A1 (en) | System and method for detection of domain-flux botnets and the like | |
| CN102685145A (zh) | 一种基于dns数据包的僵尸网络域名发现方法 | |
| Zhang et al. | User intention-based traffic dependence analysis for anomaly detection | |
| CN116451215A (zh) | 关联分析方法及相关设备 | |
| Zang et al. | Identifying fast-flux botnet with AGD names at the upper DNS hierarchy | |
| CN117294517A (zh) | 解决异常流量的网络安全保护方法及系统 | |
| Soltanaghaei et al. | Detection of fast-flux botnets through DNS traffic analysis | |
| CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
| Hong et al. | Data Auditing for Intelligent Network Security Monitoring | |
| Khan et al. | Towards augmented proactive cyberthreat intelligence | |
| CN117221273B (zh) | 一种异常dns请求解析方法 | |
| Lee et al. | DGA-based malware detection using DNS traffic analysis | |
| CN117354024A (zh) | 基于大数据的dns恶意域名检测系统及方法 | |
| Peleh et al. | Intelligent detection of DDoS attacks in SDN networks | |
| CN115567237A (zh) | 基于知识图谱的网络安全评估方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant |