CN110266739A - 结合威胁情报的Fast-Flux僵尸网络的检测方法 - Google Patents
结合威胁情报的Fast-Flux僵尸网络的检测方法 Download PDFInfo
- Publication number
- CN110266739A CN110266739A CN201910720897.8A CN201910720897A CN110266739A CN 110266739 A CN110266739 A CN 110266739A CN 201910720897 A CN201910720897 A CN 201910720897A CN 110266739 A CN110266739 A CN 110266739A
- Authority
- CN
- China
- Prior art keywords
- domain name
- resolved
- fast
- flux
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种结合威胁情报的Fast‑Flux僵尸网络的检测方法,通过获取DNS流量包,并对DNS流量包进行解析得到待解析域名;然后对待解析域名进行过滤生成过滤结果;并基于过滤结果确定待解析域名是否为疑似Fast‑Flux域名;如果待解析域名为疑似Fast‑Flux域名,基于待解析域名在威胁情报库中进行查询,生成查询结果;最后基于查询结果确定待解析域名是否为Fast‑Flux僵尸网络。该方法采用威胁情报库检测Fast‑Flux域名,以此来减少CDN域名产生的误报,有利于提高检测准确度。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种结合威胁情报的Fast-Flux僵尸网络的检测方法、装置、电子设备和计算机可读存储介质。
背景技术
在早期的僵尸网络中,控制者通常会把C&C(Command and Control命令和控制)服务器的域名或者IP(Internet Protocol,网络协议)地址写入恶意程序中,僵尸主机通过这些C&C服务器域名或者IP访问C&C主机获取命令。但安全人员在捕获到这些C&C域名和IP后,可以定位出C&C主机,可以隔离C&C主机从而破坏僵尸网络;不少控制者为了保护C&C主机,使用Fast-Flux技术来提高C&C服务器的健壮性,其原理在于:Fast-Flux会不断将域名映射到不同的僵尸主机IP上,也就是说在短时间内查询使用Fast-Flux技术部署的域名,会得到不同的结果。
目前,现有技术中Fast-Flux僵尸网络的检测方法为通过机器学***均值、DNS查询响应IP相似度等条件进行过滤得到可疑的DNS数据来识别Fast-Flux僵尸网络;而Fast-Flux僵尸网络的域名与CDN(Content DeliveryNetwork,内容分发网络)域名非常相似,因此上述方法中会产生误报。
发明内容
第一方面,本发明实施例提供一种结合威胁情报的Fast-Flux僵尸网络的检测方法,包括:获取DNS(Domain Name System,网域名称***)流量包,并对所述DNS流量包进行解析得到待解析域名;对所述待解析域名进行过滤生成过滤结果;基于所述过滤结果确定所述待解析域名是否为疑似Fast-Flux域名;如果所述待解析域名为疑似Fast-Flux域名,基于所述待解析域名在威胁情报库中进行查询,生成查询结果;基于所述查询结果确定所述待解析域名是否为Fast-Flux僵尸网络。
在可选的实施方式中,所述对所述待解析域名进行过滤生成过滤结果,包括:获取所述待解析域名的标志信息,所述标志信息用于指示所述待解析域名的域名解析是否成功;基于所述标志信息对所述待解析域名进行过滤。
在可选的实施方式中,所述方法还包括:如果所述标志信息指示域名解析成功,获取所述待解析域名解析出来的IP信息;基于所述IP信息对所述待解析域名进行过滤。
在可选的实施方式中,所述IP信息包括IP地址的数量以及每个IP地址的TTL(TimeTo Live,生存时间)。
在可选的实施方式中,所述基于所述过滤结果确定所述待解析域名是否为疑似Fast-Flux域名,包括:如果所述过滤结果指示所述待解析域名为目标域名,在预设时间段内对所述待解析域名进行统计,得到所述待解析域名解析出来的IP地址的总数量;基于所述待解析域名解析出来的IP地址的总数量确定所述待解析域名是否为疑似Fast-Flux域名。
在可选的实施方式中,所述基于所述待解析域名解析出来的IP地址的总数量确定所述待解析域名是否为疑似Fast-Flux域名,包括:判断所述待解析域名解析出来的IP地址的总数量是否达到预设总数阈值;如果所述待解析域名解析出来的IP地址的总数量达到预设总数阈值,判断所述待解析域名解析出来的IP地址所在的网段的数量是否达到预设网段数阈值;如果所述待解析域名解析出来的IP地址所在网段的数量达到预设网段数阈值,确定所述待解析域名为疑似Fast-Flux域名。
在可选的实施方式中,所述方法还包括:如果所述查询结果指示所述待解析域名为Fast-Flux域名,基于所述待解析域名生成告警信息。
第二方面,本发明实施例提供一种结合威胁情报的Fast-Flux僵尸网络的检测装置,包括:
解析模块,用于获取DNS流量包,并对所述DNS流量包进行解析得到待解析域名;
过滤模块,用于对所述待解析域名进行过滤生成过滤结果;基于所述过滤结果确定所述待解析域名是否为疑似Fast-Flux域名;
查询模块,用于如果所述待解析域名为疑似Fast-Flux域名,基于所述待解析域名在威胁情报库中进行查询,生成查询结果;
确定模块,用于基于所述查询结果确定所述待解析域名是否为Fast-Flux僵尸网络。
第三方面,本发明实施例提供一种电子设备,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当计算机设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行前述实施方式任一项所述的结合威胁情报的Fast-Flux僵尸网络的检测方法的步骤。
第四方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行前述实施方式任一项所述的结合威胁情报的Fast-Flux僵尸网络的检测方法的步骤。
本发明实施例提供的结合威胁情报的Fast-Flux僵尸网络的检测方法、装置、电子设备和计算机可读存储介质,通过获取DNS流量包,并对DNS流量包进行解析得到待解析域名;然后对待解析域名进行过滤生成过滤结果;并基于过滤结果确定待解析域名是否为疑似Fast-Flux域名;如果待解析域名为疑似Fast-Flux域名,基于待解析域名在威胁情报库中进行查询,生成查询结果;最后基于查询结果确定待解析域名是否为Fast-Flux僵尸网络。因此,本发明实施例提供的技术方案,结合威胁情报库检测Fast-Flux域名,以此来减少CDN域名产生的误报,有利于提高检测准确度。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对本发明保护范围的限定。在各个附图中,类似的构成部分采用类似的编号。
图1示出了本发明实施例提供的一种结合威胁情报的Fast-Flux僵尸网络的检测方法的流程图;
图2示出了本发明实施例提供的另一种结合威胁情报的Fast-Flux僵尸网络的检测方法的流程图;
图3示出了本发明实施例提供的一种结合威胁情报的Fast-Flux僵尸网络的检测方法的具体示例的流程图;
图4示出了本发明实施例提供的一种结合威胁情报的Fast-Flux僵尸网络的检测装置的示意图;
图5示出了本发明实施例提供的一种电子设备的示意图。
具体实施方式
下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。
通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
在下文中,可在本发明的各种实施例中使用的术语“包括”、“具有”及其同源词仅意在表示特定特征、数字、步骤、操作、元件、组件或前述项的组合,并且不应被理解为首先排除一个或更多个其它特征、数字、步骤、操作、元件、组件或前述项的组合的存在或增加一个或更多个特征、数字、步骤、操作、元件、组件或前述项的组合的可能性。
此外,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
除非另有限定,否则在这里使用的所有术语(包括技术术语和科学术语)具有与本发明的各种实施例所属领域普通技术人员通常理解的含义相同的含义。所述术语(诸如在一般使用的词典中限定的术语)将被解释为具有与在相关技术领域中的语境含义相同的含义并且将不被解释为具有理想化的含义或过于正式的含义,除非在本发明的各种实施例中被清楚地限定。
目前,现有技术中Fast-Flux僵尸网络的检测方法为通过机器学***均值、DNS查询响应IP相似度等条件进行过滤得到可疑的DNS数据来识别Fast-Flux僵尸网络;而Fast-Flux僵尸网络的域名与CDN域名非常相似,因此上述方法中会产生误报。
基于此,本发明实施例提供的一种结合威胁情报的Fast-Flux僵尸网络的检测方法,可以减少将CDN域名误报为Fast-Flux域名,提高了检测准确度。
这里首先对本申请中提及的术语进行说明:
Fast-Flux:Fast-Flux僵尸网络由一些被控制的计算机***组成,其不断改变域名与IP之间的映射关系,并且域名映射的IP都是其控制的僵尸主机IP地址。
CDN:CDN的全称是Content Delivery Network,即内容分发网络。CDN是构建在网络之上的内容分发网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率。
威胁情报:威胁情报旨在为面临威胁的资产主体(通常为资产所属企业或机构)提供全面的、准确的、与其相关的、并且能够执行和决策的知识和信息。
实施例1
本发明实施例提供了一种结合威胁情报的Fast-Flux僵尸网络的检测方法,应用于僵尸网络的检测领域,由该领域的电子设备执行,电子设备例如可以是检测终端或者检测设备的主控器等。
参照图1,该方法包括:
步骤S102,获取DNS流量包,并对DNS流量包进行解析得到待解析域名;
步骤S104,对待解析域名进行过滤生成过滤结果;
步骤S106,基于过滤结果确定待解析域名是否为疑似Fast-Flux域名;
步骤S108,如果待解析域名为疑似Fast-Flux域名,基于待解析域名在威胁情报库中进行查询,生成查询结果;
步骤S110,基于查询结果确定待解析域名是否为Fast-Flux僵尸网络。
在上述步骤S102中,从DNS流量包中可以解析得到多种数据信息,例如源IP地址、请求解析的域名(本实施例中称为待解析域名)、域名解析是否成功的字段、域名解析出来的IP信息,IP信息包括诸如IP地址、返回该IP地址的TTL等。
示例性的,该步骤S102可以通过以下步骤实现:
使用数据平面开发套件(Data Plane Development Kit,DPDK)捕获流经网卡的DNS流量,然后按照DNS协议格式进行解析,解析得到待解析域名。
示例性的,上述步骤S104主要包括以下方式的任一种实现:
方式A:
A1、获取所述待解析域名的标志信息,所述标志信息用于指示所述待解析域名的域名解析是否成功;基于所述标志信息对所述待解析域名进行过滤。
这里的标志信息包括flags字段,通过flags字段的数值来确定域名解析是否成功,例如flags的字段的数值为0时,表示域名解析成功,flags的字段的数值为其他值(如3)时,表示域名解析失败。
当标志信息指示待解析域名的域名解析失败时,此时,待解析域名不满足非过滤条件,则将所述待解析域名过滤掉,运行结束;当标志信息指示待解析域名的域名解析成功时,则认为所述待解析域名通过第一过滤,可以直接判定过滤结果指示待解析域名为目标域名,此时执行直接确定待解析域名为疑似Fast-Flux域名,或者执行后续的统计后确定的步骤:即在预设时间段内对所述待解析域名进行统计,得到所述待解析域名解析出来的IP地址的总数量;然后基于所述待解析域名解析出来的IP地址的总数量确定所述待解析域名是否为疑似Fast-Flux域名。
方式B:
B1、获取所述待解析域名的标志信息,所述标志信息用于指示所述待解析域名的域名解析是否成功;基于所述标志信息对所述待解析域名进行过滤。
当标志信息指示待解析域名的域名解析失败时,此时,待解析域名不满足非过滤条件,则将所述待解析域名过滤掉,运行结束;当标志信息指示待解析域名的域名解析成功时,则认为所述待解析域名通过第一过滤,执行步骤B2进行再过滤。
B2、如果所述标志信息指示域名解析成功,获取所述待解析域名解析出来的IP信息;基于所述IP信息对所述待解析域名进行过滤。
具体的,如果所述标志信息指示域名解析成功,对DNS流量包进行解析得到待解析域名解析出来的IP信息(可以在步骤S102中一并解析得到,也可以后续使用时获取,对此本实施例不作限定),上述的IP信息包括IP地址的数量以及每个IP地址的生存时间值TTL;然后基于IP地址的数量以及每个IP地址的生存时间值TTL对所述待解析域名进行再过滤。
示例性的,该步骤B2进行通过以下步骤实现:
B21判断待解析域名解析出来的IP地址的数量是否小于第一预设阈值;
如果待解析域名解析出来的IP地址的数量小于第一预设阈值,则待解析域名不满足非过滤条件,将该待解析域名过滤掉;如果待解析域名解析出来的IP地址的数量达到第一预设阈值,执行步骤B22;
B22判断解析出来的IP地址中生存时间值TTL在第二预设阈值范围内(即小于等于第二预设阈值)的IP地址的数量是否小于第一预设阈值;
具体的,首先判断解析出来的IP地址中的每个IP地址的生存时间值TTL是否小于第二预设阈值,然后根据判断的结果确定生存时间值TTL小于第二预设阈值的IP地址的数量;最后判断生存时间值TTL小于第二预设阈值的IP地址的数量是否小于上述第一预设阈值。
如果解析出来的IP地址中生存时间值TTL在第二预设阈值范围内的IP地址的数量小于第一预设阈值,则待解析域名不满足非过滤条件,将所述待解析域名过滤掉;如果解析出来的IP地址中生存时间值TTL在第二预设阈值范围内的IP地址的数量不小于第一预设阈值,则认为所述待解析域名通过再过滤,此时判定过滤结果指示待解析域名为目标域名,执行直接确定待解析域名为疑似Fast-Flux域名,或者执行后续的统计后确定的步骤:即在预设时间段内对所述待解析域名进行统计,得到所述待解析域名解析出来的IP地址的总数量;然后基于所述待解析域名解析出来的IP地址的总数量确定所述待解析域名是否为疑似Fast-Flux域名。
方式C:
C1、获取所述待解析域名的标志信息,所述标志信息用于指示所述待解析域名的域名解析是否成功;基于所述标志信息对所述待解析域名进行过滤。
当标志信息指示待解析域名的域名解析失败时,此时,待解析域名不满足非过滤条件,则将所述待解析域名过滤掉,运行结束;当标志信息指示待解析域名的域名解析成功时,则认为所述待解析域名通过第一过滤,执行步骤C2进行第二过滤。
C2、如果所述标志信息指示域名解析成功,获取所述待解析域名解析出来的IP信息;基于所述IP信息对所述待解析域名进行过滤。
具体的,如果所述标志信息指示域名解析成功,对DNS流量包进行解析得到待解析域名解析出来的IP地址的数量;然后基于IP地址的数量对所述待解析域名进行第二过滤。
示例性的,该步骤C2进行通过以下步骤实现:
C21判断待解析域名解析出来的IP地址的数量是否小于第一预设阈值;
如果待解析域名解析出来的IP地址的数量小于第一预设阈值,则待解析域名不满足非过滤条件,将该待解析域名过滤掉;如果待解析域名解析出来的IP地址的数量达到第一预设阈值,则认为所述待解析域名通过第二过滤,此时可以判定过滤结果指示待解析域名为目标域名,执行直接确定待解析域名为疑似Fast-Flux域名,或者执行后续的统计后确定的步骤:即在预设时间段内对所述待解析域名进行统计,得到所述待解析域名解析出来的IP地址的总数量;然后基于所述待解析域名解析出来的IP地址的总数量确定所述待解析域名是否为疑似Fast-Flux域名。
方式D
D1、获取所述待解析域名的标志信息,所述标志信息用于指示所述待解析域名的域名解析是否成功;基于所述标志信息对所述待解析域名进行过滤。
当标志信息指示待解析域名的域名解析失败时,此时,待解析域名不满足非过滤条件,则将所述待解析域名过滤掉,运行结束;当标志信息指示待解析域名的域名解析成功时,则认为所述待解析域名通过第一过滤,执行步骤D2进行第三过滤。
D2、如果所述标志信息指示域名解析成功,获取所述待解析域名解析出来的IP地址的生存时间值TTL;基于IP地址的生存时间值TTL对所述待解析域名进行第三过滤;
具体的,如果所述标志信息指示域名解析成功,对DNS流量包进行解析得到待解析域名解析出来的返回的IP地址的生存时间值TTL;然后基于返回的IP地址的生存时间值TTL对所述待解析域名进行第三过滤。
示例性的,该步骤D2进行通过以下方式之一实现:
D2-1判断解析出来的IP地址的生存时间值TTL是否小于第二预设阈值;
如果解析出来的IP地址中生存时间值TTL大于等于第二预设阈值,则待解析域名不满足非过滤条件,将所述待解析域名过滤掉;如果解析出来的IP地址中生存时间值TTL小于第二预设阈值,则认为所述待解析域名通过第三过滤,此时判定过滤结果指示待解析域名为目标域名,执行直接确定待解析域名为疑似Fast-Flux域名,或者执行后续的统计后确定的步骤:即在预设时间段内对所述待解析域名进行统计,得到所述待解析域名解析出来的IP地址的总数量;然后基于所述待解析域名解析出来的IP地址的总数量确定所述待解析域名是否为疑似Fast-Flux域名。
D2-2判断解析出来的IP地址中生存时间值TTL在第二预设阈值范围内(即小于等于第二预设阈值)的IP地址的数量是否小于第一预设阈值;
具体的,首先判断解析出来的IP地址中的每个IP地址的生存时间值TTL是否小于第二预设阈值,然后根据判断的结果确定生存时间值TTL小于第二预设阈值的IP地址的数量;最后判断生存时间值TTL小于第二预设阈值的IP地址的数量是否小于上述第一预设阈值。
如果解析出来的IP地址中生存时间值TTL在第二预设阈值范围内的IP地址的数量小于第一预设阈值,则待解析域名不满足非过滤条件,将所述待解析域名过滤掉;如果解析出来的IP地址中生存时间值TTL在第二预设阈值范围内的IP地址的数量不小于第一预设阈值,则认为所述待解析域名通过第三过滤,此时判定过滤结果指示待解析域名为目标域名,执行直接确定待解析域名为疑似Fast-Flux域名,或者执行后续的统计后确定的步骤:即在预设时间段内对所述待解析域名进行统计,得到所述待解析域名解析出来的IP地址的总数量;然后基于所述待解析域名解析出来的IP地址的总数量确定所述待解析域名是否为疑似Fast-Flux域名。
应当理解的是,上述方式C为仅根据待解析域名解析出来的IP地址的数量对待解析域名进行过滤(这里称为第二过滤),方式D为仅根据解析出来的IP地址中的每个IP地址的生存时间值TTL对待解析域名进行第三过滤(这里称为第三过滤),其中第二过滤和第三过滤为再过滤的一部分。
对于步骤S106:基于所述过滤结果确定所述待解析域名是否为疑似Fast-Flux域名,该步骤S106可以通过以下方式之一执行:
方式一、直接根据过滤结果确定待解析域名是否为疑似Fast-Flux域名;
具体的,如果所述过滤结果指示所述待解析域名为目标域名,上述的目标域名是指满足非过滤条件的域名,即待解析域名没被过滤掉,直接根据该过滤结果确定待解析域名为疑似Fast-Flux域名。而如果所述过滤结果指示所述待解析域名为非目标域名,非目标域名是指不满足非过滤条件的域名,也就是说,待解析域名被过滤掉,此时,确定待解析域名不是疑似Fast-Flux域名。
方式二、
1)如果所述过滤结果指示所述待解析域名为目标域名,在预设时间段内对所述待解析域名进行统计,得到所述待解析域名解析出来的IP地址的总数量;
这里的待解析域名解析出来的IP地址的总数量是指在预设时间段内对该待解析域名的多次请求中解析出来的IP地址的数量的总和。
2)基于所述待解析域名解析出来的IP地址的总数量确定所述待解析域名是否为疑似Fast-Flux域名。
示例性的,步骤2)可以通过以下子步骤执行:
2.1判断所述待解析域名解析出来的IP地址的总数量是否达到预设总数阈值;
2.2如果所述待解析域名解析出来的IP地址的总数量达到预设总数阈值,判断所述待解析域名解析出来的IP地址所在的网段的数量是否达到预设网段数阈值;
具体的,在判断所述待解析域名解析出来的IP地址所在的网段的数量是否达到预设网段数阈值时,首先对待解析域名解析出来的所有IP地址进行网段划分,得到网段的数量;然后将网段的数量与预设网段数阈值进行比较。
2.3如果所述待解析域名解析出来的IP地址所在网段的数量达到预设网段数阈值,确定所述待解析域名为疑似Fast-Flux域名。
上述的过滤结果指示所述待解析域名为目标域名的情况有以下几种:
第一种情况:待解析域名通过上文所述的第一过滤。
第二种情况:待解析域名通过上文所述的第一过滤并通过了上文提及的再过滤。
第三种情况:待解析域名通过上文所述的第一过滤,并通过了上文提及的第二过滤。
第四种情况:待解析域名通过上文所述的第一过滤,并通过了上文提及的第三过滤。
在步骤S108中,上述的威胁情报库包括安全的域名,例如白名单域名或者CDN域名。
需要指出的是,威胁情报库是预先导入的或预先构建的;例如威胁情报库可以是将已有的威胁情报预先导入到电子设备的存储单元中生成的数据库,也可以是利用爬虫技术从其他网站爬取自行搭建得到的。
在步骤S110中,如果所述查询结果指示所述待解析域名为安全的域名,例如查询结果显示待解析域名是CDN域名或者是白名单域名,则确定所述待解析域名不是Fast-Flux僵尸网络,否则将所述待解析域名确定为Fast-Flux僵尸网络。
本发明实施例提供的结合威胁情报的Fast-Flux僵尸网络的检测方法,通过获取DNS流量包,并对DNS流量包进行解析得到待解析域名;然后对待解析域名进行过滤生成过滤结果;并基于过滤结果确定待解析域名是否为疑似Fast-Flux域名;如果待解析域名为疑似Fast-Flux域名,基于待解析域名在威胁情报库中进行查询,生成查询结果;最后基于查询结果确定待解析域名是否为Fast-Flux僵尸网络。因此,本发明实施例提供的技术方案,结合威胁情报库检测Fast-Flux域名,以此来减少CDN域名产生的误报,有利于提高检测准确度。
进一步的,在前述方案的基础上,如图2所示,与前述方法的区别在于,该方法还包括:
步骤S202,如果查询结果指示待解析域名为Fast-Flux域名,基于待解析域名生成告警信息。
具体的,对于确定出来的Fast-Flux域名,基于待解析域名生成告警信息,并将告警信息保存至本地数据库中。保存的告警信息包括识别出来的Fast-Flux域名(待解析域名)、请求解析该域名的IP列表(源IP地址列表)、该待解析域名解析出来的IP信息,这里的IP信息包括IP地址、返回的同一IP地址的TTL最小值、IP地址所在地理位置。上述返回的同一IP的TTL最小值是指对于某一个IP地址,在预设时间段待解析域名的统计数据中,产生了对待解析域名的多次请求,然后在多次请求中都返回了该IP,但是每次返回的该IP的TTL不同,这里取最小的TTL;上述的IP地址所在地理位置是根据IP查地理库得到的,这里的地理库和威胁情报库可以一样是预先导入的。
通过上述步骤S202可以对用户进行提醒,同时,便于用户进行后续检查核验,有利于提高用户的体验度;此外,还有利于威胁情报库的威胁情报的拓展和完善。
实施例2
如图3所示,本申请实施例还提供一种结合威胁情报的Fast-Flux僵尸网络的检测方法的具体示例,包括以下步骤:
步骤S302:捕获DNS流量并解析。
具体的,使用DPDK捕获流经网卡的DNS流量,然后按照DNS协议格式进行解析,解析得到源IP、请求解析的域名、域名解析是否成功、域名解析出来的IP信息(包括IP、返回该IP的TTL)等。
步骤S304:判断是否被过滤。
根据步骤S302的域名解析结果进行过滤。
具体的,该步骤S304包括:
1.判断域名是否解析成功;
如果域名解析失败,则过滤,如果域名解析成功进入下一步判断。
2.判断域名解析出来的IP数量是否小于设定的阈值X1;
如果域名解析出来的IP数量小于设定的阈值X1(本实例中阈值X1设为5),则过滤,如果域名解析出来的大于等于阈值X1,则进入下一步判断。
3.判断域名解析出来的IP的TTL在设定的阈值X2内的IP的个数是否小于设定的阈值X1,如果TTL小于等于设定的阈值X2(本实例中阈值X2设置为600)的IP个数小于阈值X1,则过滤,否则进入步骤S306。
步骤S306:统计域名解析结果。
对于步骤S304判断为符合的域名,即未被过滤的域名,则以域名为维度进行统计。统计包括域名解析出来的IP、请求解析该域名的IP(即源IP地址)等信息。
步骤S308:判断是否为疑似Fast-Flux域名。
具体的,该步骤S308通过以下步骤实现:
(1)每隔预设时间周期(本实例中预设时间周期设置为1800秒)进行一次判断,对每个请求解析的域名,分别进行下列判断:
(2)判断域名解析出来的IP数是否达到设定的阈值X3(本实例中设定的阈值X3设置为200)。
对于一个请求解析的域名,如果该请求解析的域名没有达到阈值X3则结束判断,否则,进入步骤(3)判断。
(3)判断域名解析出来的IP所在网段的数量是否达到设定的阈值X4(本实例中阈值X4设置为20),如果达到设定的阈值X4则视为疑似Fast-Flux域名,并进入下一步,否则结束判断。
其中,域名解析出来的IP所在网段的数量可以通过掩码计算确定。例如本实例中以掩码255.255.0.0计算域名解析出来的IP是否在同一个网段,则为61.164.3.3的IP和61.164.2.2的IP视为在一个网段61.164.1.1/16中。
(4)对于所有请求解析的域名完成上述的步骤(2)-(3)判断后,清理保存的统计信息。
步骤S310,判断是否是CDN域名。
对于步骤S308判断的疑似Fast-Flux域名,查询该域名在威胁情报库中的信息,如果在威胁情报库中能够查询到,且查询结果的情报显示是CDN域名或者是白名单域名,则结束判断,否则将该疑似Fast-Flux域名识别为Fast-Flux域名,并执行步骤S312。
步骤S312:保存告警消息。
具体的,对于识别出来的Fast-Flux域名,进行保存告警信息操作。保存的告警信息包括识别出来的Fast-Flux域名、请求解析该域名的IP列表、该域名解析出来的IP信息(包括IP地址、返回的该IP的最新小TTL、该IP所在地理位置)。
本发明提供的结合威胁情报的Fast-Flux僵尸网络的检测方法可以有效的检测发现Fast-Flux僵尸网络,大大的降低了CDN域名对检测结果的影响,减少了误报,提高了检测准确性。
实施例3
基于同一发明构思,本申请实施例中还提供了与结合威胁情报的Fast-Flux僵尸网络的检测方法对应的结合威胁情报的Fast-Flux僵尸网络的检测装置,由于本申请实施例中的装置解决问题的原理与本申请实施例上述移动状态控制方法相似,因此装置的实施可以参见方法的实施,重复之处不再赘述。
图4为本申请实施例提供的结合威胁情报的Fast-Flux僵尸网络的检测装置的示意图。
参照图4,该装置包括:解析模块401、过滤模块402、查询模块403以及确定模块404;
其中,解析模块401,用于获取DNS流量包,并对所述DNS流量包进行解析得到待解析域名;
过滤模块402,用于对所述待解析域名进行过滤生成过滤结果;基于所述过滤结果确定所述待解析域名是否为疑似Fast-Flux域名;
查询模块403,用于如果所述待解析域名为疑似Fast-Flux域名,基于所述待解析域名在威胁情报库中进行查询,生成查询结果;
确定模块404,用于基于所述查询结果确定所述待解析域名是否为Fast-Flux僵尸网络。
一种可选实施方式中,过滤模块402,在对所述待解析域名进行过滤生成过滤结果时,具体用于:获取所述待解析域名的标志信息,所述标志信息用于指示所述待解析域名的域名解析是否成功;基于所述标志信息对所述待解析域名进行过滤。
一种可选实施方式中,过滤模块402,在对所述待解析域名进行过滤生成过滤结果时,具体用于:如果所述标志信息指示域名解析成功,获取所述待解析域名解析出来的IP信息;基于所述IP信息对所述待解析域名进行过滤。
一种可选实施方式中,所述IP信息包括IP地址的数量以及每个IP地址的生存时间值TTL。
一种可选实施方式中,过滤模块402,在基于所述过滤结果确定所述待解析域名是否为疑似Fast-Flux域名时,具体用于:如果所述过滤结果指示所述待解析域名为目标域名,在预设时间段内对所述待解析域名进行统计,得到所述待解析域名解析出来的IP地址的总数量;基于所述待解析域名解析出来的IP地址的总数量确定所述待解析域名是否为疑似Fast-Flux域名。
一种可选实施方式中,过滤模块402,在基于所述待解析域名解析出来的IP地址的总数量确定所述待解析域名是否为疑似Fast-Flux域名时,具体用于:判断所述待解析域名解析出来的IP地址的总数量是否达到预设总数阈值;如果所述待解析域名解析出来的IP地址的总数量达到预设总数阈值,判断所述待解析域名解析出来的IP地址所在的网段的数量是否达到预设网段数阈值;如果所述待解析域名解析出来的IP地址所在网段的数量达到预设网段数阈值,确定所述待解析域名为疑似Fast-Flux域名。
一种可选实施方式中,该装置还可以包括:
告警模块405,用于如果所述查询结果指示所述待解析域名为Fast-Flux域名,基于所述待解析域名生成告警信息。
本申请实施例提供的结合威胁情报的Fast-Flux僵尸网络的检测装置,与上述实施例提供的结合威胁情报的Fast-Flux僵尸网络的检测方法具有相同的技术特征,所以也能解决相同的技术问题,达到相同的技术效果。
参见图5,本发明实施例还提供一种电子设备100,包括:
处理器41、存储器42、和总线43;存储器42用于存储执行指令,包括内存421和外部存储器422;这里的内存421也称内存储器,用于暂时存放处理器41中的运算数据,以及与硬盘等外部存储器422交换的数据,处理器41通过内存421与外部存储器422进行数据交换,当所述计算机设备400运行时,所述处理器41与所述存储器42之间通过总线43通信,使得所述处理器41在用户态执行以下指令:
获取DNS流量包,并对所述DNS流量包进行解析得到待解析域名;
对所述待解析域名进行过滤生成过滤结果;
基于所述过滤结果确定所述待解析域名是否为疑似Fast-Flux域名;
如果所述待解析域名为疑似Fast-Flux域名,基于所述待解析域名在威胁情报库中进行查询,生成查询结果;
基于所述查询结果确定所述待解析域名是否为Fast-Flux僵尸网络。
可选地,处理器41执行的指令中,所述对所述待解析域名进行过滤生成过滤结果,包括:
获取所述待解析域名的标志信息,所述标志信息用于指示所述待解析域名的域名解析是否成功;
基于所述标志信息对所述待解析域名进行过滤。
可选地,处理器41执行的指令中,还包括:
如果所述标志信息指示域名解析成功,获取所述待解析域名解析出来的IP信息;
基于所述IP信息对所述待解析域名进行过滤。
可选地,处理器41执行的指令中,所述IP信息包括IP地址的数量以及每个IP地址的生存时间值TTL。
可选地,处理器41执行的指令中,所述基于所述过滤结果确定所述待解析域名是否为疑似Fast-Flux域名,包括:
如果所述过滤结果指示所述待解析域名为目标域名,在预设时间段内对所述待解析域名进行统计,得到所述待解析域名解析出来的IP地址的总数量;
基于所述待解析域名解析出来的IP地址的总数量确定所述待解析域名是否为疑似Fast-Flux域名。
可选地,处理器41执行的指令中,所述基于所述待解析域名解析出来的IP地址的总数量确定所述待解析域名是否为疑似Fast-Flux域名,包括:
判断所述待解析域名解析出来的IP地址的总数量是否达到预设总数阈值;
如果所述待解析域名解析出来的IP地址的总数量达到预设总数阈值,判断所述待解析域名解析出来的IP地址所在的网段的数量是否达到预设网段数阈值;
如果所述待解析域名解析出来的IP地址所在网段的数量达到预设网段数阈值,确定所述待解析域名为疑似Fast-Flux域名。
可选地,处理器41执行的指令中,还包括:
如果所述查询结果指示所述待解析域名为Fast-Flux域名,基于所述待解析域名生成告警信息。
本发明实施例还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器运行时执行上述实施例提供的基于ICMP协议进行隐蔽信道通信的检测方法的步骤。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和结构图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,结构图和/或流程图中的每个方框、以及结构图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本发明各个实施例中的各功能模块或单元可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或更多个模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是智能手机、个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。
Claims (10)
1.一种结合威胁情报的Fast-Flux僵尸网络的检测方法,其特征在于,包括:
获取DNS流量包,并对所述DNS流量包进行解析得到待解析域名;
对所述待解析域名进行过滤生成过滤结果;
基于所述过滤结果确定所述待解析域名是否为疑似Fast-Flux域名;
如果所述待解析域名为疑似Fast-Flux域名,基于所述待解析域名在威胁情报库中进行查询,生成查询结果;
基于所述查询结果确定所述待解析域名是否为Fast-Flux僵尸网络。
2.根据权利要求1所述的方法,其特征在于,所述对所述待解析域名进行过滤生成过滤结果,包括:
获取所述待解析域名的标志信息,所述标志信息用于指示所述待解析域名的域名解析是否成功;
基于所述标志信息对所述待解析域名进行过滤。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
如果所述标志信息指示域名解析成功,获取所述待解析域名解析出来的IP信息;
基于所述IP信息对所述待解析域名进行过滤。
4.根据权利要求3所述的方法,其特征在于,所述IP信息包括IP地址的数量以及每个IP地址的生存时间值TTL。
5.根据权利要求1所述的方法,其特征在于,所述基于所述过滤结果确定所述待解析域名是否为疑似Fast-Flux域名,包括:
如果所述过滤结果指示所述待解析域名为目标域名,在预设时间段内对所述待解析域名进行统计,得到所述待解析域名解析出来的IP地址的总数量;
基于所述待解析域名解析出来的IP地址的总数量确定所述待解析域名是否为疑似Fast-Flux域名。
6.根据权利要求5所述的方法,其特征在于,所述基于所述待解析域名解析出来的IP地址的总数量确定所述待解析域名是否为疑似Fast-Flux域名,包括:
判断所述待解析域名解析出来的IP地址的总数量是否达到预设总数阈值;
如果所述待解析域名解析出来的IP地址的总数量达到预设总数阈值,判断所述待解析域名解析出来的IP地址所在的网段的数量是否达到预设网段数阈值;
如果所述待解析域名解析出来的IP地址所在网段的数量达到预设网段数阈值,确定所述待解析域名为疑似Fast-Flux域名。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果所述查询结果指示所述待解析域名为Fast-Flux域名,基于所述待解析域名生成告警信息。
8.一种结合威胁情报的Fast-Flux僵尸网络的检测装置,其特征在于,包括:
解析模块,用于获取DNS流量包,并对所述DNS流量包进行解析得到待解析域名;
过滤模块,用于对所述待解析域名进行过滤生成过滤结果;基于所述过滤结果确定所述待解析域名是否为疑似Fast-Flux域名;
查询模块,用于如果所述待解析域名为疑似Fast-Flux域名,基于所述待解析域名在威胁情报库中进行查询,生成查询结果;
确定模块,用于基于所述查询结果确定所述待解析域名是否为Fast-Flux僵尸网络。
9.一种电子设备,其特征在于,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当计算机设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行上述权利要求1至7任一项所述的方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,其特征在于,所述计算机程序被处理器运行时执行上述权利要求1至7任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910720897.8A CN110266739A (zh) | 2019-08-06 | 2019-08-06 | 结合威胁情报的Fast-Flux僵尸网络的检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910720897.8A CN110266739A (zh) | 2019-08-06 | 2019-08-06 | 结合威胁情报的Fast-Flux僵尸网络的检测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110266739A true CN110266739A (zh) | 2019-09-20 |
Family
ID=67912890
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910720897.8A Pending CN110266739A (zh) | 2019-08-06 | 2019-08-06 | 结合威胁情报的Fast-Flux僵尸网络的检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110266739A (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110730175A (zh) * | 2019-10-16 | 2020-01-24 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的僵尸网络检测方法及检测*** |
| CN110855632A (zh) * | 2019-10-24 | 2020-02-28 | 新华三信息安全技术有限公司 | 报文检测方法、装置、网络设备和计算机可读存储介质 |
| CN110868418A (zh) * | 2019-11-18 | 2020-03-06 | 杭州安恒信息技术股份有限公司 | 一种威胁情报生成方法、装置 |
| CN111031026A (zh) * | 2019-12-09 | 2020-04-17 | 杭州安恒信息技术股份有限公司 | 一种dga恶意软件感染主机检测方法 |
| CN111371917A (zh) * | 2020-02-28 | 2020-07-03 | 北京信息科技大学 | 一种域名检测方法及*** |
| CN111625700A (zh) * | 2020-05-25 | 2020-09-04 | 北京世纪家天下科技发展有限公司 | 防抓取的方法、装置、设备及计算机存储介质 |
| CN112839054A (zh) * | 2021-02-02 | 2021-05-25 | 杭州安恒信息技术股份有限公司 | 一种网络攻击检测方法、装置、设备及介质 |
| CN114172861A (zh) * | 2021-12-07 | 2022-03-11 | 北京天融信网络安全技术有限公司 | 一种网络地址转换设备的识别方法及装置 |
| CN114172707A (zh) * | 2021-11-29 | 2022-03-11 | 北京恒安嘉新安全技术有限公司 | Fast-Flux僵尸网络检测方法、装置、设备及存储介质 |
| CN116112230A (zh) * | 2022-12-30 | 2023-05-12 | 安天科技集团股份有限公司 | 一种ip白名单确定方法、装置、设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102045215A (zh) * | 2009-10-21 | 2011-05-04 | 成都市华为赛门铁克科技有限公司 | 僵尸网络检测方法及装置 |
| US8260914B1 (en) * | 2010-06-22 | 2012-09-04 | Narus, Inc. | Detecting DNS fast-flux anomalies |
| CN102938769A (zh) * | 2012-11-22 | 2013-02-20 | 国家计算机网络与信息安全管理中心 | 一种Domain flux僵尸网络域名检测方法 |
| CN109413079A (zh) * | 2018-11-09 | 2019-03-01 | 四川大学 | 一种高速网络下Fast-Flux僵尸网络检测方法和*** |
-
2019
- 2019-08-06 CN CN201910720897.8A patent/CN110266739A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102045215A (zh) * | 2009-10-21 | 2011-05-04 | 成都市华为赛门铁克科技有限公司 | 僵尸网络检测方法及装置 |
| US8260914B1 (en) * | 2010-06-22 | 2012-09-04 | Narus, Inc. | Detecting DNS fast-flux anomalies |
| CN102938769A (zh) * | 2012-11-22 | 2013-02-20 | 国家计算机网络与信息安全管理中心 | 一种Domain flux僵尸网络域名检测方法 |
| CN109413079A (zh) * | 2018-11-09 | 2019-03-01 | 四川大学 | 一种高速网络下Fast-Flux僵尸网络检测方法和*** |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110730175A (zh) * | 2019-10-16 | 2020-01-24 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的僵尸网络检测方法及检测*** |
| CN110855632A (zh) * | 2019-10-24 | 2020-02-28 | 新华三信息安全技术有限公司 | 报文检测方法、装置、网络设备和计算机可读存储介质 |
| CN110855632B (zh) * | 2019-10-24 | 2022-03-11 | 新华三信息安全技术有限公司 | 报文检测方法、装置、网络设备和计算机可读存储介质 |
| CN110868418A (zh) * | 2019-11-18 | 2020-03-06 | 杭州安恒信息技术股份有限公司 | 一种威胁情报生成方法、装置 |
| CN111031026A (zh) * | 2019-12-09 | 2020-04-17 | 杭州安恒信息技术股份有限公司 | 一种dga恶意软件感染主机检测方法 |
| CN111371917A (zh) * | 2020-02-28 | 2020-07-03 | 北京信息科技大学 | 一种域名检测方法及*** |
| CN111625700B (zh) * | 2020-05-25 | 2023-04-07 | 北京世纪家天下科技发展有限公司 | 防抓取的方法、装置、设备及计算机存储介质 |
| CN111625700A (zh) * | 2020-05-25 | 2020-09-04 | 北京世纪家天下科技发展有限公司 | 防抓取的方法、装置、设备及计算机存储介质 |
| CN112839054A (zh) * | 2021-02-02 | 2021-05-25 | 杭州安恒信息技术股份有限公司 | 一种网络攻击检测方法、装置、设备及介质 |
| CN114172707A (zh) * | 2021-11-29 | 2022-03-11 | 北京恒安嘉新安全技术有限公司 | Fast-Flux僵尸网络检测方法、装置、设备及存储介质 |
| CN114172707B (zh) * | 2021-11-29 | 2024-04-26 | 北京恒安嘉新安全技术有限公司 | Fast-Flux僵尸网络检测方法、装置、设备及存储介质 |
| CN114172861A (zh) * | 2021-12-07 | 2022-03-11 | 北京天融信网络安全技术有限公司 | 一种网络地址转换设备的识别方法及装置 |
| CN114172861B (zh) * | 2021-12-07 | 2024-04-19 | 北京天融信网络安全技术有限公司 | 一种网络地址转换设备的识别方法及装置 |
| CN116112230A (zh) * | 2022-12-30 | 2023-05-12 | 安天科技集团股份有限公司 | 一种ip白名单确定方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110266739A (zh) | 结合威胁情报的Fast-Flux僵尸网络的检测方法 | |
| CN106656991B (zh) | 一种网络威胁检测***及检测方法 | |
| CN109951500B (zh) | 网络攻击检测方法及装置 | |
| CN108696473B (zh) | 攻击路径还原方法及装置 | |
| CN104967629B (zh) | 网络攻击检测方法及装置 | |
| US7454523B2 (en) | Geographic location determination including inspection of network address | |
| CN108460278A (zh) | 一种威胁情报处理方法及装置 | |
| CN102075365B (zh) | 一种网络攻击源定位及防护的方法、装置 | |
| CN108701187A (zh) | 混合硬件软件分布式威胁分析 | |
| CN109600363A (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
| CN103023906B (zh) | 针对远程过程调用协议进行状态跟踪的方法及*** | |
| CN114666162B (zh) | 一种流量检测方法、装置、设备及存储介质 | |
| CN111401416A (zh) | 异常网站的识别方法、装置和异常对抗行为的识别方法 | |
| CN107465648A (zh) | 异常设备的识别方法及装置 | |
| CN108600003A (zh) | 一种面向视频监控网络的入侵检测方法、装置及*** | |
| CN106779278A (zh) | 资产信息的评价***及其信息的处理方法和装置 | |
| CN106685984A (zh) | 一种基于数据包捕获技术的网络威胁分析***及方法 | |
| CN110213124A (zh) | 基于tcp多会话的被动操作***识别方法及装置 | |
| CN106686020A (zh) | 域名安全性的检测方法、装置及*** | |
| CN110149319A (zh) | Apt组织的追踪方法及装置、存储介质、电子装置 | |
| CN113726780A (zh) | 基于态势感知的网络监控方法、装置、电子设备 | |
| CN111865982A (zh) | 基于态势感知告警的威胁评估***及方法 | |
| CN108809926A (zh) | 入侵检测规则优化方法、装置、电子设备及存储介质 | |
| CN108881271A (zh) | 一种代理主机的反向追踪溯源方法及装置 | |
| CN110430212A (zh) | 多元数据融合的物联网威胁感知方法和*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190920 |
|
| RJ01 | Rejection of invention patent application after publication |