TW201947442A - 可疑網域之偵測方法、閘道裝置及非暫態電腦可讀取媒體 - Google Patents
可疑網域之偵測方法、閘道裝置及非暫態電腦可讀取媒體 Download PDFInfo
- Publication number
- TW201947442A TW201947442A TW107115767A TW107115767A TW201947442A TW 201947442 A TW201947442 A TW 201947442A TW 107115767 A TW107115767 A TW 107115767A TW 107115767 A TW107115767 A TW 107115767A TW 201947442 A TW201947442 A TW 201947442A
- Authority
- TW
- Taiwan
- Prior art keywords
- domain
- behavior
- malicious
- dns
- network
- Prior art date
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本發明提供一種可疑網域之偵測方法、閘道裝置及非暫態電腦可讀取媒體。此偵測方法包括下列步驟。接收多個被動網域名稱系統日誌,而這些被動網域名稱系統日誌記錄有網域名稱系統查詢行為。自那些被動網域名稱系統日誌中解析出提出查詢的網域、以及反應於那些網域名稱系統查詢行為的行為參數。建立那些網域及那些行為參數的連接關係。基於連接關係及威脅情資建構出惡意網域偵測模型。藉此,可透過此惡意網域偵測模型判斷未知網域的惡意程度,從而提供精確度高的偵測技術。此外,透過風險因子評估,可了解用戶主機的受駭風險程度。
Description
本發明是有關於一種資安技術,且特別是有關於一種可疑網域之偵測方法、閘道裝置及非暫態電腦可讀取媒體。
惡意網域一直以來都是網路犯罪活動(例如,散發垃圾郵件、財務詐欺、釣魚網站等惡意行為)的溫床。企業如何在眾多的對外連線中及早發現可疑網域已成為一件極重要的企業資安問題。
當主機成為網路犯罪者的目標時,甚至利用各種手法(跨網站指令碼(Cross Site Scripting)、網路釣魚(Phishing)等)以使得使用者主機受害(compromised)。而受害主機一般稱為殭屍電腦(bot),網路犯罪者即可利用殭屍電腦進行竊取個資、散播惡意軟體\垃圾郵件,或者以殭屍電腦為跳板進行其它多種網路犯罪的行動。當惡意程式為了避免被查獲而低調潛伏時,一般防毒軟體是難以發現的。因此,如何幫助企業評估其內部是否有受害主機以及找出受害主機已成為一件極重要的企業資安問題。
有鑑於此,本發明提供一種可疑網域之偵測方法、閘道裝置及非暫態電腦可讀取媒體,可有效評估企業內部各台主機遭受攻擊的風險。
本發明的可疑網域之偵測方法,其適用於閘道裝置。而此偵測方法包括下列步驟。接收多個被動(passive)網域名稱系統(Domain Name System,DNS)日誌,而這些被動DNS日誌記錄有DNS查詢行為。自那些被動DNS日誌中解析出提出查詢的網域、以及反應於那些DNS查詢行為的行為參數。建立那些網域及那些行為參數的連接關係。基於連接關係及威脅情資建構出惡意網域偵測模型。透過惡意網域偵測模型判斷未知網域。
本發明的閘道裝置,其包括通訊單元、儲存單元及處理單元。通訊單元收發資料。儲存單元紀錄數個模組。處理單元耦接通訊單元及儲存單元,且存取並執行儲存單元所儲存的那些模組。那些模組包括日誌收容模組及模型建構模組。日誌收容模組接收多個被動DNS日誌,而這些被動DNS記錄有DNS查詢行為。此外,模型建構模組經組態以執行下列步驟。自那些被動DNS日誌中解析出提出查詢的網域、以及反應於那些DNS查詢行為的行為參數。建立那些網域及那些行為參數的連接關係。基於連接關係及威脅情資建構出惡意網域偵測模型。透過惡意網域偵測模型判斷未知網域。
本發明的非暫態電腦可讀取媒體,其紀錄程式,並經由閘道裝置載入並執行下列步驟。接收多個被動DNS日誌,而這些被動DNS日誌記錄有DNS查詢行為。自那些被動DNS日誌中解析出提出查詢的網域、以及反應於那些DNS查詢行為的行為參數。建立那些網域及那些行為參數的連接關係。基於連接關係及威脅情資建構出惡意網域偵測模型。透過惡意網域偵測模型判斷未知網域。
基於上述,本發明實施例的可疑網域之偵測方法、閘道裝置及非暫態電腦可讀取媒體,藉由此連接關係所形成之網域-行為圖,可取得惡意網域及良性網域的行為特徵,再進一步用機器學習建構出惡意網域偵測模型,以利於後續未知網域之判斷。
為讓本發明的上述特徵和優點能更明顯易懂,下文特舉實施例,並配合所附圖式作詳細說明如下。
網域名稱系統(Domain Name System,DNS)是網路中常見且重要的網路服務,其可幫助定位網頁伺服器、郵件主機。而正因為DNS受到廣泛應用,網路攻擊者亦會使用DNS來定位惡意軟體(malware)的指令及控制伺服器。因此,分析DNS的行為將能有助於判斷網域是否為惡意。而使用者主機與網路服務提供者(Internet Service Provider,ISP)的本地DNS解析器之間的DNS訊務也會與主機所提出查詢的網域相關,本發明實施例將基於前述查詢網域的DNS查詢行為來建構惡意網域偵測模型,以評估未知或可疑網域。透過以下內容將可讓讀者了解本發明之創作精神。
圖1是依據本發明一實施例說明通訊系統的架構示意圖。此通訊系統1包括一或更多台用戶主機100處於內部網路150(例如,區域網路(LAN))、一或更多台DNS伺服器130處於外部網路170(例如,網際網路(Internet))及閘道裝置200。
這些用戶主機100可以係桌上型電腦、筆記型電腦、伺服器、智慧型手機、平板電腦等任何具備連網功能的電子裝置。
DNS伺服器130可以係伺服器、工作站、中繼站等提供DNS功能的連網裝置。另須說明的是,本實施例以內、外部網路150, 170主要係用於區分兩個不同網路,然於其他實施例中其二者亦可能屬於相同網路,即內部DNS伺服器130。
閘道裝置200介於內、外部網路150, 170之間。閘道裝置200可以是閘道器、路由器、交換機等網路存取設備或伺服器。閘道裝置200並包括通訊單元210、儲存單元230及處理單元250。通訊單元210可以係具備諸如乙太網路(Ethernet)、光纖(optical fiber)或其他具備通訊傳輸功能的任何類型的網路介面,以連線至內、外部網路150, 170。
儲存單元230可以是任何型態的固定或可移動隨機存取記憶體(RAM)、唯讀記憶體(ROM)、快閃記憶體(flash memory)、傳統硬碟(hard disk drive)、固態硬碟(solid-state drive)或類似元件、或是上述元件的組合而形成網路連接儲存設備(Network Attached Storage),並用以記錄情資分享模組231、情資收集模組233、模型建構模組234、日誌收容模組235、網路流量日誌收容模組236、及風險因子分析模組237等程式、網路訊務、DNS訊務、網路訊務日誌、被動DNS日誌、網域-行為圖、特徵值、威脅情資資料庫232等相關資訊,且其詳細內容待後續實施例說明。
處理單元250與通訊單元210及儲存單元230連接,並可以是中央處理單元(CPU),或是其他可程式化之一般用途或特殊用途的微處理器(Microprocessor)、數位信號處理器(DSP)、可程式化控制器、特殊應用積體電路(ASIC)或其他類似元件或上述元件的組合。在本發明實施例中,處理單元250用以執行閘道裝置200的所有作業,且可存取並執行上述儲存單元230中記錄的模組。
為了方便理解本發明實施例的操作流程,以下將舉諸多實施例詳細說明本發明實施例中閘道裝置200對於可疑網域的偵測方法。圖2是依據本發明一實施例說明一種偵測方法流程圖。請參照圖2,本實施例的方法適用於圖1中通訊系統1中的各裝置。下文中,將搭配閘道裝置200的各項元件及模組說明本發明實施例所述之方法。本方法的各個流程可依照實施情形而隨之調整,且並不僅限於此。
日誌收容模組235透過通訊單元210側錄用戶主機100與DNS伺服器130之間DNS訊務,以接收被動(passive)DNS日誌(步驟S21)。這些被動DNS日誌記錄有DNS查詢行為(即,要求查詢特定網域名稱之網路位址的行為)。例如,表(1)是一範例說明被動DNS日誌。 表(1)
而網路流量日誌收容模組236則側錄這些用戶主機100的對外閘道口網路訊務所產生的封包擷取(PCAP)或代理伺服器日誌等網路訊務資料。
另一方面,情資收集模組233接收不同來源(例如,http://www.malware-traffic-analysis.net/、VirusTotal、Bluecoat等來源)所提供的諸如惡意程式、病毒、不當網路行為、網路威脅相關資安情資資訊,並整合新產生的網路威脅情資,以豐富威脅情資資料庫232,進而讓後續分類更加準確。
模型建構模組234自那些被動DNS日誌中解析出提出查詢的網域、以及反應於那些DNS查詢行為的行為參數(步驟S23)。具體而言,查詢的網域例如是表(1)所示“詢問”,而行為參數包括反應於所查詢之網域的答覆網路位址(例如,表(1)所示“答覆(answer)”)、子網(subnet)(例如是前述答覆網路位址取特定長度(例如,16、24等)的網路遮罩(mask))、及存活時間(TTL) (例如,表(1)所示“TTL”)。
模型建構模組234接著建立那些網域及那些行為參數的連接關係(步驟S25)。具體而言,藉由步驟S23決定網域及行為參數後,則網域的清單組合可視為C
。另一方面,一個特定個別的答覆網路位址-行為參數組合的清單視為TA
,子網-行為參數組合的清單視為TS
,TTL-行為參數組合的清單視為TT
。模型學習模組232便將各網域作為一個網域節點(),並將各行為參數作為一個行為節點(、、及)。請參照圖3,模型建構模組234基於各被動DNS日誌而將對應網路節點及分別針對三組行為參數的行為節點連線,即可形成三組網域-行為圖。於本實施例中,這些網域-行為圖屬於二分圖(bipartite graph),而這三組二分圖便稱為答覆-詢問二分圖(Answer-Query Bipartite Graph)、子網-詢問二分圖(Subnet-Query Bipartite Graph)、及TTL-詢問二分圖(TTL-Query Bipartite Graph)(步驟S310)。
舉例而言,圖5係一範例說明答覆-詢問二分圖,其中,DNS詢問行為查詢網域1時有分別得到答覆1及答覆2的紀錄,其餘依此類推。圖6係一範例說明子網-詢問二分圖,其中,DNS詢問行為查詢網域2有子網1及子網2的紀錄,其餘依此類推。圖7係一範例說明TTL-詢問二分圖,其中,DNS詢問行為查詢網域4有子網3及子網4的紀錄,其餘依此類推。
須說明的是,本實施例使用網域-行為圖係為了便於後續分析及察看,然於其他實施例中,可改利用對照表、陣列等方式記錄那些網域及行為參數的連接關係。
產生網域-行為圖之後,模型建構模組234便可基於產生網域-行為圖所形成連接關係及情資收集模組233所收集之威脅情資,建構出惡意網域偵測模型(步驟S27)。具體而言,模型建構模組234係基於威脅情資資料庫232而分別將三組網域-行為圖中所有網域節點標記為惡意\良性\未知等網域(步驟S330),並將連線受標記為惡意之網域節點的各行為節點標記為惡意。例如,圖5-7中以〝✽〞表示惡意,〝?〞表示未知,〝○〞表示良性。行為節點於圖5中的答覆1及答覆2、圖6中的子網1及子網2、以及圖7中的TTL1及TTL2經被標記為惡意。此外,模型建構模組234亦將連線到受標記為良性之網域節點的行為節點標記為良性。例如,行為節點於圖5中的答覆1及答覆2、圖6中的子網1及子網2、以及圖7中的TTL1及TTL2經被標記為惡意。
接著,針對不同行為參數,模型建構模組234基於標記結果(即,已標記之連接關係)分別計算各網域之三個特徵值(步驟S350)。這三個特徵值係已知受駭分數m
、未知受駭分數u
及各行為參數的行為節點所有總數。已知受駭分數,X
係連線至受標記為惡意之網域節點之一組行為參數的集合,T
係某一組行為參數的所有行為節點的集合;未知受駭分數,U係連線至受標記為未知之網域節點之一組行為參數的集合;而某一組行為參數的所有行為節點的總數。模型學習模組232會分別不同行為參數而對所有網域計算其對應的三個特徵值。
舉例而言,針對受駭答覆簡介(black answer profile)的三個特徵值:已知受駭分數,IA
係連線至受標記為惡意之網域節點之答覆的集合,TA
係答覆的所有行為節點的集合;未知受駭分數,UA
係連線至受標記為未知之網域節點之答覆的集合;而答覆的所有行為節點的總數。
針對受駭子網簡介(black subnet profile)的三個特徵值:已知受駭分數,IS
係連線至受標記為惡意之網域節點之子網的集合,TS
係子網的所有行為節點的集合;未知受駭分數,US
係連線至受標記為未知之網域節點之子網的集合;而子網的所有行為節點的總數。
針對受駭TTL簡介(black TTL profile)的三個特徵值:已知受駭分數,IA
係連線至受標記為惡意之網域節點之TTL的集合,TT
係TTL的所有行為節點的集合;未知受駭分數,UA
係連線至受標記為未知之網域節點之TTL的集合;而TTL的所有行為節點的總數。
模型建構模組234便可將已知惡意\良性的網域搭配其個別的三個特徵值輸入機器學習演算法(例如,類神經網路、隨機森林、支援向量等)進行訓練(步驟S370),以產生惡意網域偵測模型(步驟S390)。需說明的是,本實施例是同時採用三組行為參數的特徵來訓練,以獲得較為精準分類,然其他實施例中亦可能僅任選其中一組或二組來訓練。
模型建構模組234即可透過此惡意網域偵測模型判斷未知網域相似於惡意/良性網域的程度(步驟S29)。請參照圖4,如表(2)所示,模型建構模組234將標記為未知的網域及其特徵值輸入之惡意網域偵測模組(步驟S410),以判斷此未知網域為良性\惡意的機率(步驟S430)。藉此,原本被標記為未知的網域,經惡意網域偵測模型評斷後會依照「機率(probability)」(例如,惡意機率大於特定值或大於良性機率)而歸類到惡意(Malicious),此機率表示網域為惡意的機率(程度),機率的資訊可以讓第三方協防設備或者風險因子分析模組237使用網域情資時更有彈性。而佈署在不同企業的模型建構模組234可以藉由機率選擇是否選用某一網域的情資,因此模型建構模組234可將得出的機率連同其它情資透過情資收集模組234整合其它來源的情資,且一併儲存到威脅情資資料庫232。而當受標記的網域越多,就表示模型建構模組234在進行惡意網域偵測模型建構時可以獲得的網域情資越多,進行訓練時的模型也就會建構得越準確。此外,情資分享模組231亦可分享模型建構模組234所得出的網路威脅情資(即前述評斷之結果(惡意/良性網域對應之機率))給第三方協防系統或設備。 表(2)
值得說明的是,表(2)除了呈現可疑惡意網域之機率,亦呈現此網域在外部威脅情資(以VirusTotal為例)之偵測結果。若將未在外部威脅情資之可疑網域「vmsy.com」利用威脅關聯驗證,可疑網域「vmsy.com」被解析為「72.52.4.120」,外部威脅情報顯示惡意文件與此網際網路協定(Internet Protocol,IP)地址通信。然後,IP解析結果得知「72.52.4.120」和「69.172.201.153」已經關聯到同一個域「comw.xxnx.com」。此外,域名「www.seriall.com」、「subdomain.yourdomain.com」、「bt3.yourdomain.com」和「autodiscover.yourdomain.com」也被解析為相同的IP地址「69.172.201.153」。本發明實施例可發現這些域與惡意文件進行通信,「subdomain.yourdomain.com」、「bt3.yourdomain.com」和「autodiscover.yourdomain.com」具有域兄弟關係。一系列對外關係,域名「vmsy.com」即可以被判定為惡意域名。因此,可以證明本發明實施例可以檢測到其他信譽服務不能識別的惡意域。
請參照圖8,風險因子分析模組237利用被動DNS日誌中記載的用戶主機100的“用戶位址”與“詢問”,網路流量日誌中記載的“用戶位址”與“目的位址”,此兩種日誌搭配威脅情資資料庫232與情資收集模組233所記載的網域惡意機率(即,相似於惡意網域的程度)與連線惡意機率(即,相似於惡意IP位址的程度),可分別統計被動DNS日誌中的客戶端(用戶主機100)有查詢惡意機率大於第一門檻值(例如,75、80、或85等)的惡意網站的個數(步驟S810),以計算惡意網域風險因子(步驟S830),並可統計網路流量日誌中的用戶主機有連線惡意機率大於第二門檻值(例如,75、80、或85等) 之IP黑名單的IP個數、以及受駭答覆對應大於第三門檻值(例如,3、5、或9等)之惡意網域的IP個數(步驟S850),以計算IP風險因子(步驟S870)。接著,風險因子分析模組237排序此兩風險因子統計數值後,即可得到企業內部所有具對外網路活動之用戶主機100的受駭風險程度(步驟S890)。
例如,表(3)是一範例說明排序之惡意網域風險因子與對應IP風險因子,其中惡意網域風險因子是由大至小排序,進而可幫助使用者判斷排序前幾位者或兩風險因子超過特定數值者恐遭受攻擊(例如,可提供警示訊息)。 表(3)
值得說明的是,前述可疑網域的偵測方法亦可作為程式,並記錄在諸如等硬碟、軟碟、隨身碟、CD等非暫態電腦可讀取媒體中,且能透過任何類型的處理單元(例如,處理單元250)執行此程式。
綜上所述,本發明實施例利用被動DNS日誌及威脅情資來辨識惡意\良性\未知網域,並據以得出受駭答覆簡介、受駭子網簡介及受駭TTL簡介的對應特徵值,再基於前述資訊得出惡意網域偵測模型,即可透過此惡意網域偵測模型來辨識未知網域。透過主機風險因子計算方法,可以有效辨識主機是否為受駭主機。此外,產生之惡意網域情資經整合後,可當作第三方可信賴之黑名單並提供給防火牆、代理伺服器等網路設備進行黑名單比對,從而阻斷惡意連線。
雖然本發明已以實施例揭露如上,然其並非用以限定本發明,任何所屬技術領域中具有通常知識者,在不脫離本發明的精神和範圍內,當可作些許的更動與潤飾,故本發明的保護範圍當視後附的申請專利範圍所界定者為準。
100‧‧‧用戶主機
150‧‧‧內部網路
170‧‧‧外部網路
200‧‧‧閘道裝置
210‧‧‧通訊單元
230‧‧‧儲存單元
231‧‧‧情資分享模組
232‧‧‧威脅情資資料庫
233‧‧‧情資收集模組
234‧‧‧模型建構模組
235‧‧‧日誌收容模組
236‧‧‧網路流量日誌收容模組
237‧‧‧風險因子分析模組
S21~S29、S310~S390、S410~S430、S810~S890‧‧‧步驟
圖1是依據本發明一實施例說明通訊系統的架構示意圖。 圖2是依據本發明一實施例說明可疑網域之偵測方法的流程圖。 圖3是依據本發明一實施例之模型建構步驟之流程圖。 圖4是依據本發明一實施例之惡意網域評估步驟之流程圖。 圖5是一範例說明針對答覆(answer)-詢問(query)二分圖(bipartite graph)。 圖6是一範例說明針對子網(subnet)-詢問二分圖。 圖7是一範例說明針對存活時間(Time to Live,TTL)-詢問二分圖。 圖8是依據本發明一實施例之風險評估的流程圖。
Claims (10)
- 一種可疑網域之偵測方法,適用於一閘道裝置,該偵測方法包括: 接收多個被動(passive)網域名稱系統(Domain Name System,DNS)日誌,其中該些被動DNS日誌記錄有多個DNS查詢行為; 自該些被動DNS日誌中解析出提出查詢的多個網域、以及反應於該些DNS查詢行為的多個行為參數; 建立該些網域及該些行為參數的連接關係; 基於該連接關係及一威脅情資建構出一惡意網域偵測模型;以及 透過該惡意網域偵測模型判斷一未知網域。
- 如申請專利範圍第1項所述的偵測方法,其中該連接關係為一網域-行為圖,而建立該些蹤跡及該些通道的連接關係的步驟包括: 將每一該網域作為一網域節點,並將每一該行為參數作為一行為節點;以及 依據接收的每一該被動DNS日誌將對應的網域節點及行為節點連線,以形成該網域-行為圖,其中該網域-行為圖屬於二分圖。
- 如申請專利範圍第1項所述的偵測方法,其中該些行為參數包括反應於所查詢之網域的答覆網路位址、子網(subnet)、及存活時間(Time to Live,TTL)。
- 如申請專利範圍第1項所述的偵測方法,其中基於該連接關係及該威脅情資建構出該惡意網域偵測模型的步驟包括: 基於該威脅情資將對應的網域節點標記為惡意或良性; 將連線到受標記為惡意之網域節點的行為節點標記為惡意;以及 基於標記結果訓練該惡意網域偵測模型。
- 如申請專利範圍第1項所述的偵測方法,其中基於標記結果訓練該惡意網域偵測模型的步驟包括: 基於該標記結果並針對每一該行為參數,計算三特徵值,該三特徵值係一已知受駭分數m 、一未知受駭分數u 及每一該行為參數的行為節點的總數,其中,X 係連線至受標記為惡意之網域節點之一該行為參數的集合,T 係一該行為參數的所有行為節點的集合,,U係連線至受標記為未知之網域節點之一該行為參數的集合;以及 依據受標記為惡意及良性之網域節點及每一該行為參數的該三特徵值而透過機器學習演算法訓練該惡意網域偵測模型。
- 如申請專利範圍第1項所述的偵測方法,其中透過該惡意網域偵測模型判斷該未知網域之後,更包括: 針對多個用戶主機,分別判斷該些被動DNS日誌中經判斷為高於一門檻值之惡意機率的網域之惡意網域個數;以及 依據該些用戶主機的惡意網域個數排序該些用戶主機。
- 一種閘道裝置,包括: 一通訊單元,收發資料; 一儲存單元,紀錄多個模組、及一威脅情資資料庫;以及 一處理單元,耦接該通訊單元及該儲存單元,且存取並執行該儲存單元所儲存的該些模組,該些模組包括: 一日誌收容模組,透過該網路單元接收該內部網路及該外部網路之間的多個被動DNS日誌,其中該些被動DNS日誌記錄有多個DNS查詢行為;以及 一模型建構模組,經組態以執行: 自該些被動DNS日誌中解析出提出查詢的多個網域、以及反應於該些DNS查詢行為的多個行為參數; 建立該些網域及該些行為參數的連接關係; 基於該連接關係及該威脅情資庫建構出一惡意網域偵測模型;以及 透過該惡意網域偵測模型判斷一未知網域。
- 如申請專利範圍第7項所述的閘道裝置,其中該連接關係為一網域-行為圖,該些行為參數包括反應於所查詢之網域的答覆網路位址、子網、及存活時間,而該模型建構模組經組態以執行: 將每一該網域作為一網域節點,並將每一該行為參數作為一行為節點;以及 依據接收的每一該被動DNS日誌將對應的網域節點及行為節點連線,以形成該網域-行為圖,其中該網域-行為圖屬於二分圖。
- 如申請專利範圍第7項所述的閘道裝置,其中該模型建構模組經組態以執行: 基於該威脅情資將對應的網域節點標記為惡意或良性; 將連線到受標記為惡意之網域節點的行為節點標記為惡意; 基於該標記結果並針對每一該行為參數,計算三特徵值,該三特徵值係一已知受駭分數m 、一未知受駭分數u 及每一該行為參數的行為節點的總數,其中,X 係連線至受標記為惡意之網域節點之一該行為參數的集合,T 係一該行為參數的所有行為節點的集合,,U係連線至受標記為未知之網域節點之一該行為參數的集合;以及 依據受標記為惡意及良性之網域節點及每一該行為參數的該三特徵值而透過機器學習演算法訓練該惡意網域偵測模型。
- 一種非暫態電腦可讀取媒體,紀錄一程式,並經由一閘道裝置載入並執行下列步驟: 接收多個被動DNS日誌,其中該些被動DNS日誌記錄有多個DNS查詢行為; 自該些被動DNS日誌中解析出提出查詢的多個網域、以及反應於該些DNS查詢行為的多個行為參數; 建立該些網域及該些行為參數的連接關係; 基於該連接關係及一威脅情資建構出一惡意網域偵測模型;以及 透過該惡意網域偵測模型判斷一未知網域。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW107115767A TWI677803B (zh) | 2018-05-09 | 2018-05-09 | 可疑網域之偵測方法、閘道裝置及非暫態電腦可讀取媒體 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW107115767A TWI677803B (zh) | 2018-05-09 | 2018-05-09 | 可疑網域之偵測方法、閘道裝置及非暫態電腦可讀取媒體 |
Publications (2)
Publication Number | Publication Date |
---|---|
TWI677803B TWI677803B (zh) | 2019-11-21 |
TW201947442A true TW201947442A (zh) | 2019-12-16 |
Family
ID=69188973
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW107115767A TWI677803B (zh) | 2018-05-09 | 2018-05-09 | 可疑網域之偵測方法、閘道裝置及非暫態電腦可讀取媒體 |
Country Status (1)
Country | Link |
---|---|
TW (1) | TWI677803B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI811545B (zh) * | 2020-05-18 | 2023-08-11 | 安碁資訊股份有限公司 | 域名系統中惡意域名的偵測方法與偵測裝置 |
TWI777766B (zh) * | 2021-09-10 | 2022-09-11 | 中華電信股份有限公司 | 偵測惡意網域查詢行為的系統及方法 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TW201002008A (en) * | 2008-06-18 | 2010-01-01 | Acer Inc | Method and system for preventing from communication by hackers |
KR101666177B1 (ko) * | 2015-03-30 | 2016-10-14 | 한국전자통신연구원 | 악성 도메인 클러스터 탐지 장치 및 방법 |
TWI524207B (zh) * | 2015-06-18 | 2016-03-01 | Chunghwa Telecom Co Ltd | Method of detecting suspicious botnet relay station domain name |
CN104994117A (zh) * | 2015-08-07 | 2015-10-21 | 国家计算机网络与信息安全管理中心江苏分中心 | 一种基于dns解析数据的恶意域名检测方法及系统 |
-
2018
- 2018-05-09 TW TW107115767A patent/TWI677803B/zh active
Also Published As
Publication number | Publication date |
---|---|
TWI677803B (zh) | 2019-11-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI648650B (zh) | 閘道裝置、其惡意網域與受駭主機的偵測方法及非暫態電腦可讀取媒體 | |
US10587636B1 (en) | System and method for bot detection | |
US10462159B2 (en) | Botnet detection system and method | |
US10721244B2 (en) | Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program | |
Zhang et al. | A survey on latest botnet attack and defense | |
Almutairi et al. | Hybrid botnet detection based on host and network analysis | |
US8561177B1 (en) | Systems and methods for detecting communication channels of bots | |
EP2579176B1 (en) | System and method for restricting pathways to harmful hosts in computer networks | |
Shue et al. | Abnormally malicious autonomous systems and their internet connectivity | |
Zhang et al. | BotDigger: Detecting DGA Bots in a Single Network. | |
CN110166480B (zh) | 一种数据包的分析方法及装置 | |
Kondracki et al. | Catching transparent phish: Analyzing and detecting mitm phishing toolkits | |
Shiaeles et al. | FHSD: an improved IP spoof detection method for web DDoS attacks | |
Husák et al. | Security monitoring of http traffic using extended flows | |
TWI677209B (zh) | 網名過濾方法 | |
TWI684113B (zh) | 閘道裝置、惡意網域與受駭主機的偵測方法及其非暫態電腦可讀取媒體 | |
Saad et al. | ICMPv6 flood attack detection using DENFIS algorithms | |
TWI656778B (zh) | Malicious domain detection method combining network information and network traffic | |
TWI677803B (zh) | 可疑網域之偵測方法、閘道裝置及非暫態電腦可讀取媒體 | |
Yen | Detecting stealthy malware using behavioral features in network traffic | |
Prieto et al. | Botnet detection based on DNS records and active probing | |
Shafee | Botnets and their detection techniques | |
TWI634769B (zh) | Method for detecting domain name transformation botnet through proxy server log | |
Huang et al. | A Hybrid Association Rule‐Based Method to Detect and Classify Botnets | |
Chen et al. | Doctrina: annotated bipartite graph mining for malware-control domain detection |