基于DNS日志的可疑威脅發(fā)現(xiàn)方法和系統(tǒng)

基本信息

申請?zhí)?/td> CN202011500912.7 申請日 -
公開(公告)號 CN112822153A 公開(公告)日 2021-05-18
申請公布號 CN112822153A 申請公布日 2021-05-18
分類號 H04L29/06;G06F16/9535 分類 電通信技術(shù);
發(fā)明人 周昊;李明哲;徐劍;郭晶;嚴寒冰;丁麗;李志輝;朱天;饒毓;賀錚;呂志泉;韓志輝;馬莉雅;雷君;高川;賈世琳;呂卓航;黃亮;劉偉;郝帥;楊云龍 申請(專利權(quán))人 長安通信科技有限責(zé)任公司
代理機構(gòu) 北京惠智天成知識產(chǎn)權(quán)代理事務(wù)所(特殊普通合伙) 代理人 周建
地址 100029 北京市朝陽區(qū)裕民路甲3號
法律狀態(tài) -

摘要

摘要 本發(fā)明公開了一種基于DNS日志的可疑威脅發(fā)現(xiàn)方法和系統(tǒng),該方法包括:從DNS日志數(shù)據(jù)中抽取統(tǒng)計特征,獲得特征數(shù)據(jù);可疑域名發(fā)現(xiàn),調(diào)用異常檢測模型對所述特征數(shù)據(jù)進行處理,獲得可疑域名;異常IP發(fā)現(xiàn),對所述特征數(shù)據(jù)進行統(tǒng)計研判,發(fā)現(xiàn)異常請求IP、異常服務(wù)IP和異常解析IP。該系統(tǒng)包括:統(tǒng)計特征抽取單元,可疑域名發(fā)現(xiàn)單元,異常IP發(fā)現(xiàn)單元。本發(fā)明以層次化、插件化形式部署檢測模型,能夠解決威脅檢測中數(shù)據(jù)量和資源量壓力大的問題,有助于實現(xiàn)功能的可擴展性,啟用多個具有不同資源特點的運算環(huán)境,并集中管理不同類型的模型插件,能夠適應(yīng)資源條件的變化,以便能夠發(fā)現(xiàn)網(wǎng)絡(luò)中的安全威脅。