CN103916406A - 一种基于dns日志分析的apt攻击检测系统和方法 - Google Patents
一种基于dns日志分析的apt攻击检测系统和方法 Download PDFInfo
- Publication number
- CN103916406A CN103916406A CN201410172549.9A CN201410172549A CN103916406A CN 103916406 A CN103916406 A CN 103916406A CN 201410172549 A CN201410172549 A CN 201410172549A CN 103916406 A CN103916406 A CN 103916406A
- Authority
- CN
- China
- Prior art keywords
- dns
- ssh
- dns query
- log
- log analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 42
- 238000000034 method Methods 0.000 title description 12
- 238000001514 detection method Methods 0.000 claims abstract description 38
- 230000008520 organization Effects 0.000 claims description 8
- 238000005336 cracking Methods 0.000 claims description 5
- 230000009191 jumping Effects 0.000 claims 2
- 230000000149 penetrating effect Effects 0.000 claims 1
- 230000009471 action Effects 0.000 description 3
- 238000005422 blasting Methods 0.000 description 3
- 230000002085 persistent effect Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000007123 defense Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000002860 competitive effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000011017 operating method Methods 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000004083 survival effect Effects 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一种基于DNS日志分析的APT攻击检测系统,包括DNS查询日志记录模块、日志分析模块和攻击检测检测模块;同时,利用该检测系统实现了APT的攻击检测:首先,通过DNS查询日志记录模块采集DNS查询请求,形成DNS查询日志;其次,日志分析模块对DNS查询日志与SSH登录尝试信息进行模式匹配,分析计算时间密度、覆盖范围和时间关联;然后,按照源IP地址对SSH登录尝试信息进行分组;最后,攻击检测模块根据日志分析模块的结果判断是否发生攻击并确定攻击类型。本发明是一种轻量级的攻击检测方式,消耗的资源远远小于分析整个网络流量所需资源,且采用日志分析的方式,不需要实时对网络进行监听,从而对网络几乎不产生影响。
Description
技术领域
本发明涉及计算机网络安全领域的高持续攻击的检测系统和方法,尤其涉及一种针对SSH扫描和密码爆破的基于DNS日志分析的APT攻击检测系统和方法。
背景技术
计算机网络已成为实现资源、信息共享的重要设施,网络的广泛运用已经导致了新的社会、伦理和政治问题。APT(Advanced Persistent Threat,高级持续性威胁)是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。
DNS(Domain Name System,域名系统)是因特网的一项核心服务,它作为可以将域名和IP地址相互映射的个分布式数据库,能够使人更便的访问互联网,而不用去记住能够被机器直接读取的IP数串。DNS查询从大的方向上讲,有两种查询模式:一种是正向解析,客户端给出一个域名,例如www.example.com的查询请求,服务器返回其对应的IP地址,例如1.2.3.4;相对的是rDNS,即DNS反向解析,则是将IP解析成其对应域名。
SSH为Secure Shell的缩写,由IETF的网络工作小组(Network WorkingGroup)所制定;SSH是建立在应用层和传输层基础上的安全协议。SSH是目前较可靠、专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。通过SSH可连接到开放SSH登陆的主机并获得相应权限,也成为渗透攻击的切入点之一。
目前,对APT危机所采取的措施主要是用户主动防御,即提高企业用户的信息安全意识,防患于未然;暗转网络安全预警系统。然而,网络安全预警系统是一种基于硬件的网络安全技术,能够针对局域网内的安全事件自动进行归纳总结,并根据这些数据对全忘安全进行预警。但是,对于从海量数据中分析潜伏的威胁,上述防御措施存在漏洞,并且很难对所有海量数据进行分析,可能会错过潜伏的APT攻击。
因此,本领域的技术人员致力于开发一种针对SSH扫描和密码爆破的基于DNS日志分析的APT攻击检测系统和方法。
发明内容
有鉴于现有技术的上述缺陷,本发明所要解决的技术问题是提供一种针对SSH扫描和密码爆破的基于DNS日志分析的APT攻击检测系统和方法。
为实现上述目的,本发明提供了一种基于DNS日志分析的APT攻击检测系统,其特征在于,包括DNS查询日志记录模块、日志分析模块和攻击检测检测模块;
所述DNS查询日志记录模块用于记录DNS查询请求,所述DNS查询日志包括查询时间、源IP地址和查询内容;
所述日志分析模块用于根据所述DNS查询日志记录模块记录的所述DNS查询日志计算源IP地址关联、时间关联和查询内容关联;
所述攻击检测模块用于根据所述日志分析模块分析的结果判断是否存在攻击以及确定攻击来源和类型。
一种基于DNS日志分析的APT攻击检测方法,其特征在于,包括:
步骤一,所述DNS查询日志记录模块采集DNS查询请求,并形成相应的DNS查询日志;
步骤二,在所述日志分析模块中,对所述DNS查询日志与SSH登录尝试信息进行模式匹配,并分析计算时间密度、覆盖范围和时间关联;
步骤三,对所述SSH登录尝试信息按照源IP地址进行分组,每一个源IP地址对应一个SSH登录尝试信息组;
步骤四,在所述攻击检测模块中,根据所述时间密度、所述覆盖范围和所述时间关联判断是否发生攻击并确定攻击类型。
进一步地,所述步骤二中,所述DNS查询请求与所述SSH登录尝试信息之间的模式匹配包括按时间顺序读取所述DNS查询日志;并对所述DNS查询日志中的每一条DNS查询请求进行如下操作:
步骤21,判断DNS查询请求是否为反解请求:如果是,则跳转至步骤22,如果不是,则放弃DNS查询请求;
步骤22,判断DNS反解是否成功:如果DNS反解失败,则DNS查询请求是SSH尝试登陆,并跳转至步骤24;如果DNS反解成功,则跳转至步骤23;如果DNS反解超出TTL时间,则丢弃DNS查询请求;
步骤23,对DNS查询请求继续向后搜索,并判断是否存在反解结果的正向解析请求:如果存在,则认为DNS查询请求是SSH登录尝试,并跳转至步骤24;如果不存在,则丢弃DNS查询请求;
步骤24,DNS反解请求中的查询内容所对应的IP地址即SSH登陆源IP地址,发出DNS查询的IP地址即SSH登陆的目标。
进一步地,所述步骤四还包括:计算每一个源IP地址对应的SSH登录尝试信息组的体积比和密度比,并将体积比和密度比分别与体积比阈值和密度比阈值进行比较,以判断是否发生攻击和确定攻击类型。
进一步地,所述体积比和所述密度比按照RPCL算法计算的。
进一步地,判断是否发生攻击和确定攻击类型:
(1)当所述体积比大于体积比阈值、SSH登录源IP地址为内网IP,则判定内网IP进行SSH扫描。
(2)当所述密度比大于密度比阈值、SSH登录源IP地址为内网IP,则判定内网IP进行SSH暴力破解。
(3)当所述体积比大于体积比阈值、SSH登录源IP地址为外网IP,则判定为外网IP进行SSH扫描。
(4)当所述密度比大于密度比阈值、SSH登录源IP地址为外网IP,则判定为外网IP进行SSH暴力破解。
(5)满足(1)、(2)之一时,认为该内网主机被非法控制;满足(3)、(4)之一时,认为受到外网攻击,有组织或个人在尝试进入内网;当某内网IP满足(1)、(2)之一,且为SSH登录源IP,同时满足(3)、(4)之一,且为SSH登录的目标,则认为已有组织或个人通过攻击该主机渗透进入了内网。进一步地,所述体积比阈值为0.2,密度比阈值为2。
本发明提供了一种轻量级的攻击检测方式,相比较流量监测而言,由于分析的数据为DNS请求,消耗的资源远远小于分析整个网络流量所需资源。并且采用日志分析的方式,不需要实时对网络进行监听,从而对网络几乎不产生影响。
以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明,以充分地了解本发明的目的、特征和效果。
附图说明
图1是本发明的一种基于DNS日志分析的APT攻击检测系统的结构示意图;
图2是本发明的日志分析模块中的DNS查询日志与SSH登录尝试信息的模式匹配流程图;
图3是本发明的攻击检测模块中对SSH登录尝试信息组的攻击检测流程图。
具体实施方式
下面结合附图对本发明的实施例作详细说明,本实施例在以本发明技术方案前提下进行实施,给出了详细的实施方式和具体的操作过程,但本发明的保护范围不限于下述的实施例。
本发明的一种基于DNS日志分析的APT攻击检测系统具体如图1所示,包括DNS查询日志记录模块、日志分析模块和攻击检测模块。其中,
DNS查询日志记录模块:其是用于记录DNS的查询动作DNS以形成DNS日志,查询动作主要包括查询时间time、源IP地址ipsrc和查询内容qname;
日志分析模块:用于将DNS的查询动作请求转换为SSH登录尝试信息,并计算SSH登录尝试的时间密度、覆盖范围和时间关联;
攻击检测模块:用于根据日志分析模块分析计算得到SSH登录尝试的时间密度、覆盖范围和时间关联,判断是否产生攻击并确定攻击类型。
本发明的一种基于DNS日志分析的APT攻击检测方法的流程也是如图1所示:
步骤一,DNS查询日志记录模块采集DNS查询请求,即DNS Query,并形成相应的DNS查询日志,即DNS log;
步骤二,在日志分析模块中,对DNS查询请求进行模式匹配,将其转换为SSH登录尝试信息,即SSH Log,并分析计算每一个SSH登录尝试的时间密度、覆盖范围和时间关联;
步骤三,对SSH登录尝试信息按照SSH客户端的源IP地址进行分组,每一个源IP地址对应一组SSH登录尝试信息组,即DNS反解请求中的qname。在本发明的一个较佳实施例中,SSH登录尝试包括源IP1、源IP2、源IP3;
步骤四,在攻击检测模块中,根据SSH登录尝试的时间密度、覆盖范围和时间关联判断是否发生攻击并确定攻击类型。
其中,步骤二当中,将DNS查询日志中的DNS查询请求转换为SSH登录尝试信息,是按照时间顺序读取DNS查询日志DNS Log内的查询请求,DNS查询日志内的每一条DNS查询请求具体是按照如图2所示的流程与SSH登录尝试信息进行匹配的:
(1),以生存时间为限,进行DNS反解,即向后搜索查询结果;
(2),判断DNS反解是否成功:如果DNS反解失败,则认为此条DNS查询请求是SSH登陆尝试;如果DNS反解成功,则跳转至(3);如果DNS反解超出TTL时间,则丢弃此条DNS查询请求;
(3),对此条DNS查询请求继续向后搜索,并判断是否存在反解结果的正向解析请求:如果存在,则认为此条DNS查询请求是SSH登录尝试;如果不存在,则丢弃此条DNS查询请求。
其中,DNS反解请求中的查询内容所对应的IP地址即SSH登陆源IP地址,发出DNS查询的IP地址即SSH登陆的目标。
步骤四当中,对每一组SSH登录尝试信息组进行攻击判断和攻击类型确定是按照图3所示进行的:
1,对SSH登录尝试信息组进行统计,并计算体积比和密度比:
(1)将点分制IP作为4维空间坐标,放入4维空间;
(2)采用RPCL(Rival Penalized Competitive Learning,竞争学习)算法进行聚类,聚类标准是各点之间欧氏距离;
(3) 其中Sp为各类的请求密度,Sa为总请求密度,Vp为各类地址空间大小,Va为总地址空间大小;
(4)Sp=Cp/Vp,Cp为该类中请求总数,Vp为该类地址空间体积;
(5)Sa=Ca/Va,Ca为对应请求总数,Va为地址空间总体积。
2,将体积比和密度比分别于体积比阈值和密度比阈值进行比较,以判定是否发生攻击并确定攻击类型:
(1)当体积比大于体积比阈值,且SSH登录源IP地址为内网IP,则判定内网IP进行SSH扫描,并且,内网主机已被非法控制。
(2)当密度比大于密度比阈值、且SSH登录源IP地址为内网IP,则判定内网IP进行SSH暴力破解,并且,内网主机已被非法控制。
(3)当体积比大于体积比阈值、且SSH登录源IP地址为外网IP,则判定外网IP进行SSH扫描,并且,有组织或个人在尝试进入内网。
(4)当密度比大于密度比阈值、且SSH源登录IP地址为外网IP,则判定外网IP进行SSH暴力破解,并且有组织或个人在尝试进入内网。
(5)当内网IP满足(1)、(2)之一,且为SSH登录源IP地址,同时满足(3)、(4)之一,且为SSH登录的目标,则认为已有组织或个人通过攻击该主机渗透进入了内网。
在本发明的较佳实施例中,体积比阈值为0.2,密度比阈值为2。
以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此,凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案,皆应在由权利要求书所确定的保护范围内。
Claims (10)
1.一种基于DNS日志分析的APT攻击检测系统,其特征在于,包括DNS查询日志记录模块、日志分析模块和攻击检测检测模块;
所述DNS查询日志记录模块用于记录DNS查询请求,所述DNS查询日志包括查询时间、源IP地址和查询内容;
所述日志分析模块用于根据所述DNS查询日志记录模块记录的所述DNS查询日志计算源IP地址关联、时间关联和查询内容关联;
所述攻击检测模块用于根据所述日志分析模块分析的结果判断是否存在攻击以及确定攻击来源和类型。
2.使用如权利要求1所述的基于DNS日志分析的APT攻击检测系统的基于DNS日志分析的APT攻击检测方法,其特征在于,包括:
步骤一,所述DNS查询日志记录模块采集DNS查询请求,并形成相应的DNS查询日志;
步骤二,在所述日志分析模块中,对所述DNS查询日志与SSH登录尝试信息进行模式匹配,并分析计算时间密度、覆盖范围和时间关联;
步骤三,对所述SSH登录尝试信息按照源IP地址进行分组,每一个源IP地址对应一个SSH登录尝试信息组;
步骤四,在所述攻击检测模块中,根据所述时间密度、所述覆盖范围和所述时间关联判断是否发生攻击并确定攻击类型。
3.如权利要求2所述的基于DNS日志分析的APT攻击检测方法,其中,所述步骤二中,所述DNS查询请求与所述SSH登录尝试信息之间的模式匹配包括按时间顺序读取所述DNS查询日志;并对所述DNS查询日志中的每一条DNS查询请求进行如下操作:
步骤21,判断DNS查询请求是否为反解请求:如果是,则跳转至步骤22,如果不是,则放弃DNS查询请求;
步骤22,判断DNS反解是否成功:如果DNS反解失败,则DNS查询请求是SSH尝试登陆,并跳转至步骤24;如果DNS反解成功,则跳转至步骤23;如果DNS反解超出TTL时间,则丢弃DNS查询请求;
步骤23,对DNS查询请求继续向后搜索,并判断是否存在反解结果的正向解析请求:如果存在,则认为DNS查询请求是SSH登录尝试,并跳转至步骤24;如果不存在,则丢弃DNS查询请求。
步骤24,DNS反解请求中的查询内容所对应的IP地址即SSH登陆源IP地址,发出DNS查询的IP地址即SSH登陆的目标。
4.如权利要求3所述的基于DNS日志分析的APT攻击检测方法,其中,所述步骤四还包括:计算每一个源IP地址对应的SSH登录尝试信息组的体积比和密度比,并将体积比和密度比分别与体积比阈值和密度比阈值进行比较,以判断是否发生攻击和确定攻击类型。
5.如权利要求4所述的基于DNS日志分析的APT攻击检测方法,其中,所述体积比和所述密度比按照RPCL算法计算的。
6.如权利要求4所述的基于DNS日志分析的APT攻击检测方法,其中,当所述体积比大于体积比阈值、且SSH登录源IP地址为内网IP,则判定内网IP进行SSH扫描,并且,内网主机已被非法控制。
7.如权利要求4所述的基于DNS日志分析的APT攻击检测方法,其中,当所述密度比大于密度比阈值、且SSH登录源IP地址为内网IP,则判定内网IP进行SSH暴力破解,并且,内网主机已被非法控制。
8.如权利要求4所述的基于DNS日志分析的APT攻击检测方法,其中,当所述体积比大于体积比阈值、且SSH登录源IP地址为外网IP,则判定为外网IP进行SSH扫描,并且,有组织或个人在尝试进入内网。
9.如权利要求4所述的基于DNS日志分析的APT攻击检测方法,其中,当所述密度比大于密度比阈值、SSH源登录IP地址为外网IP,则判定为外网IP进行SSH暴力破解,并且有组织或个人在尝试进入内网。
10.如权利要求6~9中任一所述的基于DNS日志分析的APT攻击检测方法,其中,内网IP进行SSH扫描或SSH暴力破解,且内网IP为SSH源IP地址,同时外网IP进行SSH扫描或SSH暴力破解,且外网IP为SSH登录的目标,则判定有组织或个人渗透进入内网。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410172549.9A CN103916406B (zh) | 2014-04-25 | 2014-04-25 | 一种基于dns日志分析的apt攻击检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410172549.9A CN103916406B (zh) | 2014-04-25 | 2014-04-25 | 一种基于dns日志分析的apt攻击检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103916406A true CN103916406A (zh) | 2014-07-09 |
| CN103916406B CN103916406B (zh) | 2017-10-03 |
Family
ID=51041813
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410172549.9A Expired - Fee Related CN103916406B (zh) | 2014-04-25 | 2014-04-25 | 一种基于dns日志分析的apt攻击检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103916406B (zh) |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104811447A (zh) * | 2015-04-21 | 2015-07-29 | 深信服网络科技(深圳)有限公司 | 一种基于攻击关联的安全检测方法和系统 |
| CN105141598A (zh) * | 2015-08-14 | 2015-12-09 | 中国传媒大学 | 基于恶意域名检测的apt攻击检测方法及装置 |
| CN105357041A (zh) * | 2015-10-30 | 2016-02-24 | 上海帝联信息科技股份有限公司 | 边缘节点服务器及日志文件上传方法和系统 |
| WO2016082371A1 (zh) * | 2014-11-25 | 2016-06-02 | 中国科学院声学研究所 | 一种基于ssh协议的会话解析方法及系统 |
| CN108076006A (zh) * | 2016-11-09 | 2018-05-25 | 华为技术有限公司 | 一种查找被攻击主机的方法及日志管理服务器 |
| CN108259449A (zh) * | 2017-03-27 | 2018-07-06 | 新华三技术有限公司 | 一种防御apt攻击的方法和系统 |
| CN108322444A (zh) * | 2017-12-29 | 2018-07-24 | 山石网科通信技术有限公司 | 命令与控制信道的检测方法、装置和系统 |
| CN108494735A (zh) * | 2018-02-13 | 2018-09-04 | 北京明朝万达科技股份有限公司 | 一种非法破解登录分析告警方法及装置 |
| CN110912887A (zh) * | 2019-11-22 | 2020-03-24 | 上海交通大学 | 一种基于Bro的APT监测系统和方法 |
| CN110933032A (zh) * | 2019-10-25 | 2020-03-27 | 湖南麒麟信安科技有限公司 | 一种ssh路径追踪方法、系统及介质 |
| CN111225002A (zh) * | 2020-03-18 | 2020-06-02 | 深圳市腾讯计算机系统有限公司 | 一种网络攻击溯源方法、装置、电子设备和存储介质 |
| CN112165451A (zh) * | 2020-08-31 | 2021-01-01 | 新浪网技术(中国)有限公司 | Apt攻击分析方法、系统及服务器 |
| CN112333180A (zh) * | 2020-10-30 | 2021-02-05 | 北京安信天行科技有限公司 | 一种基于数据挖掘的apt攻击检测方法及系统 |
| CN115022056A (zh) * | 2022-06-09 | 2022-09-06 | 国网湖南省电力有限公司 | 针对电网系统的网络攻击行为智能处置方法 |
| CN115412357A (zh) * | 2022-09-02 | 2022-11-29 | 中国电信股份有限公司 | 异常设备检测方法、装置、电子设备和存储介质 |
| US11601442B2 (en) | 2018-08-17 | 2023-03-07 | The Research Foundation For The State University Of New York | System and method associated with expedient detection and reconstruction of cyber events in a compact scenario representation using provenance tags and customizable policy |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101841533A (zh) * | 2010-03-19 | 2010-09-22 | 中国科学院计算机网络信息中心 | 分布式拒绝服务攻击检测方法和装置 |
| US20120159623A1 (en) * | 2010-12-17 | 2012-06-21 | Electronics And Telecommunications Research Institute | Method and apparatus for monitoring and processing dns query traffic |
-
2014
- 2014-04-25 CN CN201410172549.9A patent/CN103916406B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101841533A (zh) * | 2010-03-19 | 2010-09-22 | 中国科学院计算机网络信息中心 | 分布式拒绝服务攻击检测方法和装置 |
| US20120159623A1 (en) * | 2010-12-17 | 2012-06-21 | Electronics And Telecommunications Research Institute | Method and apparatus for monitoring and processing dns query traffic |
Non-Patent Citations (7)
| Title |
|---|
| AKIHIRO SATOH等: "SSH Dictionary Attack Detection based on Flow Analysis", 《2012 IEEE/IPSJ 12TH INTERNATIONAL SYMPOSIUM ON APPLICATIONS AND THE INTERNET》 * |
| KAZUYA TAKEMORI等: "Detection of NS Resource Record based DNS Query Request Packet Traffic and SSH Dictionary Attack Activity", 《2009 SECOND INTERNATIONAL CONFERENCE ON INTELLIGENT NETWORKS AND INTELLIGENT SYSTEMS》 * |
| KAZUYA TAKEMORI等: "Detection of NS Resource Record DNS Resolution Traffic, Host Search, and SSH Dictionary Attack Activities", 《INTERNATIONAL JOURNAL OF INTELLIGENT ENGINEERING AND SYSTEMS》 * |
| MASAYA KUMAGAI等: "SSH Dictionary Attack and DNS Reverse Resolution Traffic in Campus Network", 《2010 THIRD INTERNATIONAL CONFERENCE ON INTELLIGENT NETWORKS AND INTELLIGENT SYSTEMS》 * |
| 李静: "基于蜜罐日志分析的主动防御研究和实现", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
| 段凯元,等: "基于Kippo蜜罐的SSH暴力破解行为分析", 《信息安全与通信保密》 * |
| 邹福泰: "校园网的DNS安全问题", 《中国教育网络》 * |
Cited By (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016082371A1 (zh) * | 2014-11-25 | 2016-06-02 | 中国科学院声学研究所 | 一种基于ssh协议的会话解析方法及系统 |
| CN104811447B (zh) * | 2015-04-21 | 2018-08-21 | 深信服网络科技(深圳)有限公司 | 一种基于攻击关联的安全检测方法和系统 |
| CN104811447A (zh) * | 2015-04-21 | 2015-07-29 | 深信服网络科技(深圳)有限公司 | 一种基于攻击关联的安全检测方法和系统 |
| CN105141598A (zh) * | 2015-08-14 | 2015-12-09 | 中国传媒大学 | 基于恶意域名检测的apt攻击检测方法及装置 |
| CN105141598B (zh) * | 2015-08-14 | 2018-11-20 | 中国传媒大学 | 基于恶意域名检测的apt攻击检测方法及装置 |
| CN105357041A (zh) * | 2015-10-30 | 2016-02-24 | 上海帝联信息科技股份有限公司 | 边缘节点服务器及日志文件上传方法和系统 |
| CN108076006A (zh) * | 2016-11-09 | 2018-05-25 | 华为技术有限公司 | 一种查找被攻击主机的方法及日志管理服务器 |
| CN108259449A (zh) * | 2017-03-27 | 2018-07-06 | 新华三技术有限公司 | 一种防御apt攻击的方法和系统 |
| WO2018177210A1 (zh) * | 2017-03-27 | 2018-10-04 | 新华三技术有限公司 | 防御apt攻击 |
| CN108259449B (zh) * | 2017-03-27 | 2020-03-06 | 新华三技术有限公司 | 一种防御apt攻击的方法和系统 |
| US11405419B2 (en) | 2017-03-27 | 2022-08-02 | New H3C Technologies Co., Ltd. | Preventing advanced persistent threat attack |
| CN108322444A (zh) * | 2017-12-29 | 2018-07-24 | 山石网科通信技术有限公司 | 命令与控制信道的检测方法、装置和系统 |
| CN108322444B (zh) * | 2017-12-29 | 2021-05-14 | 山石网科通信技术股份有限公司 | 命令与控制信道的检测方法、装置和系统 |
| CN108494735A (zh) * | 2018-02-13 | 2018-09-04 | 北京明朝万达科技股份有限公司 | 一种非法破解登录分析告警方法及装置 |
| CN108494735B (zh) * | 2018-02-13 | 2021-02-05 | 北京明朝万达科技股份有限公司 | 一种非法破解登录分析告警方法及装置 |
| US11601442B2 (en) | 2018-08-17 | 2023-03-07 | The Research Foundation For The State University Of New York | System and method associated with expedient detection and reconstruction of cyber events in a compact scenario representation using provenance tags and customizable policy |
| CN110933032A (zh) * | 2019-10-25 | 2020-03-27 | 湖南麒麟信安科技有限公司 | 一种ssh路径追踪方法、系统及介质 |
| CN110933032B (zh) * | 2019-10-25 | 2022-04-05 | 湖南麒麟信安科技股份有限公司 | 一种ssh路径追踪方法、系统及介质 |
| CN110912887A (zh) * | 2019-11-22 | 2020-03-24 | 上海交通大学 | 一种基于Bro的APT监测系统和方法 |
| CN110912887B (zh) * | 2019-11-22 | 2021-08-20 | 上海交通大学 | 一种基于Bro的APT监测系统和方法 |
| CN111225002A (zh) * | 2020-03-18 | 2020-06-02 | 深圳市腾讯计算机系统有限公司 | 一种网络攻击溯源方法、装置、电子设备和存储介质 |
| CN111225002B (zh) * | 2020-03-18 | 2022-05-27 | 深圳市腾讯计算机系统有限公司 | 一种网络攻击溯源方法、装置、电子设备和存储介质 |
| CN112165451A (zh) * | 2020-08-31 | 2021-01-01 | 新浪网技术(中国)有限公司 | Apt攻击分析方法、系统及服务器 |
| CN112165451B (zh) * | 2020-08-31 | 2023-07-18 | 新浪技术(中国)有限公司 | Apt攻击分析方法、系统及服务器 |
| CN112333180A (zh) * | 2020-10-30 | 2021-02-05 | 北京安信天行科技有限公司 | 一种基于数据挖掘的apt攻击检测方法及系统 |
| CN115022056A (zh) * | 2022-06-09 | 2022-09-06 | 国网湖南省电力有限公司 | 针对电网系统的网络攻击行为智能处置方法 |
| CN115022056B (zh) * | 2022-06-09 | 2023-11-21 | 国网湖南省电力有限公司 | 针对电网系统的网络攻击行为智能处置方法 |
| CN115412357A (zh) * | 2022-09-02 | 2022-11-29 | 中国电信股份有限公司 | 异常设备检测方法、装置、电子设备和存储介质 |
| CN115412357B (zh) * | 2022-09-02 | 2024-03-19 | 中国电信股份有限公司 | 异常设备检测方法、装置、电子设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103916406B (zh) | 2017-10-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103916406B (zh) | 一种基于dns日志分析的apt攻击检测方法 | |
| Khalil et al. | Discovering malicious domains through passive DNS data graph analysis | |
| Fabian et al. | My botnet is bigger than yours (maybe, better than yours): why size estimates remain challenging | |
| Bilge et al. | Exposure: Finding malicious domains using passive DNS analysis. | |
| Sun et al. | Deepdom: Malicious domain detection with scalable and heterogeneous graph convolutional networks | |
| CN111490970A (zh) | 一种网络攻击的溯源分析方法 | |
| CN113783896A (zh) | 一种网络攻击路径追踪方法和装置 | |
| Zawoad et al. | OCF: an open cloud forensics model for reliable digital forensics | |
| Singh et al. | Detecting bot-infected machines using DNS fingerprinting | |
| Niu et al. | Identifying APT malware domain based on mobile DNS logging | |
| CN102685145A (zh) | 一种基于dns数据包的僵尸网络域名发现方法 | |
| Sivaguru et al. | Inline detection of DGA domains using side information | |
| Paulauskas et al. | Local outlier factor use for the network flow anomaly detection | |
| Nguyen et al. | DGA botnet detection using collaborative filtering and density-based clustering | |
| Bao et al. | Using passive DNS to detect malicious domain name | |
| Alageel et al. | Hawk-eye: holistic detection of apt command and control domains | |
| Koukis et al. | On the privacy risks of publishing anonymized IP network traces | |
| Debashi et al. | Sonification of network traffic for detecting and learning about botnet behavior | |
| Sachan et al. | DNS based in-browser cryptojacking detection | |
| Ren et al. | A hybrid intelligent system for insider threat detection using iterative attention | |
| Liberatore et al. | Strengthening forensic investigations of child pornography on p2p networks | |
| Gates | Co-ordinated port scans: a model, a detector and an evaluation methodology | |
| CN115643087B (zh) | 一种基于编码特征与统计行为特征融合的dns隧道检测方法 | |
| CN117354024A (zh) | 基于大数据的dns恶意域名检测系统及方法 | |
| Hananto et al. | Detecting network security threats using domain name system and NetFlow traffic |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20171003 |