-
公开(公告)号:CN101702660A
公开(公告)日:2010-05-05
申请号:CN200910237594.7
申请日:2009-11-12
Applicant: 中国科学院计算技术研究所 , 国家计算机网络与信息安全管理中心
Abstract: 本发明涉及一种异常域名检测方法及其系统,方法包括:步骤1,接收并解析DNS响应报文,以预设的统计时间间隔为统计周期进行统计,在所述统计周期内生成包含DNS响应报文的信息和个数统计值的DNS解析统计向量集;步骤2,以预设的检测时间间隔为检测周期进行检测,在所述检测周期内按预设的检测特征对所述检测周期内生成的DNS解析统计向量集中的DNS解析统计向量进行检测特征统计,生成检测特征向量集,所述检测特征向量集中每个检测特征向量同一个域名对应;步骤3,对检测特征向量集中的检测特征向量进行检测,生成异常域名。本发明能够对未知异常域名进行检测。
-
公开(公告)号:CN101702660B
公开(公告)日:2011-12-14
申请号:CN200910237594.7
申请日:2009-11-12
Applicant: 中国科学院计算技术研究所 , 国家计算机网络与信息安全管理中心
Abstract: 本发明涉及一种异常域名检测方法及系统,方法包括:步骤1,接收并解析DNS响应报文,以预设的统计时间间隔为统计周期进行统计,在所述统计周期内生成包含DNS响应报文的信息和个数统计值的DNS解析统计向量集;步骤2,以预设的检测时间间隔为检测周期进行检测,在所述检测周期内按预设的检测特征对所述检测周期内生成的DNS解析统计向量集中的DNS解析统计向量进行检测特征统计,生成检测特征向量集,所述检测特征向量集中每个检测特征向量同一个域名对应;步骤3,对检测特征向量集中的检测特征向量进行检测,生成异常域名。本发明能够对未知异常域名进行检测。
-
公开(公告)号:CN101635658B
公开(公告)日:2011-08-17
申请号:CN200910091605.5
申请日:2009-08-26
Applicant: 中国科学院计算技术研究所
Abstract: 本发明提供一种网络失窃密行为的异常检测方法,包括:接收网络数据包,并对所得到的网络数据包做协议还原;将所述网络数据包与关注目标做相关性判断,抛弃不具有相关性的网络数据包,对具有相关性的网络数据包执行下一步;判定与所述关注目标相关的网络数据包所属的连接;其中,所述连接包括TCP连接或UDP连接;对与所述关注目标相关的所有连接上的检测特征向量进行统计;根据统计结果,计算与所述关注目标相关的连接所对应的检测特征向量中各个检测特征的值;根据所述检测特征的值判断对应连接是否存在异常。本发明不需要分析和提取固定特征,能够及时地发现未知网络失窃密行为;不需要处理网络数据包的数据负载,提高了检测效率,适合于大规模网络环境的应用部署。
-
公开(公告)号:CN101635658A
公开(公告)日:2010-01-27
申请号:CN200910091605.5
申请日:2009-08-26
Applicant: 中国科学院计算技术研究所
Abstract: 本发明提供一种网络失窃密行为的异常检测方法,包括:接收网络数据包,并对所得到的网络数据包做协议还原;将所述网络数据包与关注目标做相关性判断,抛弃不具有相关性的网络数据包,对具有相关性的网络数据包执行下一步;判定与所述关注目标相关的网络数据包所属的连接;其中,所述连接包括TCP连接或UDP连接;对与所述关注目标相关的所有连接上的检测特征向量进行统计;根据统计结果,计算与所述关注目标相关的连接所对应的检测特征向量中各个检测特征的值;根据所述检测特征的值判断对应连接是否存在异常。本发明不需要分析和提取固定特征,能够及时地发现未知网络失窃密行为;不需要处理网络数据包的数据负载,提高了检测效率,适合于大规模网络环境的应用部署。
-
-
-
Search Results
4
records
(took 0.01 seconds)
