基于DNS日志的可疑威胁发现方法和系统
基本信息
| 申请号 | CN202011500912.7 | 申请日 | - |
| 公开(公告)号 | CN112822153A | 公开(公告)日 | 2021-05-18 |
| 申请公布号 | CN112822153A | 申请公布日 | 2021-05-18 |
| 分类号 | H04L29/06;G06F16/9535 | 分类 | 电通信技术; |
| 发明人 | 周昊;李明哲;徐剑;郭晶;严寒冰;丁丽;李志辉;朱天;饶毓;贺铮;吕志泉;韩志辉;马莉雅;雷君;高川;贾世琳;吕卓航;黄亮;刘伟;郝帅;杨云龙 | 申请(专利权)人 | 长安通信科技有限责任公司 |
| 代理机构 | 北京惠智天成知识产权代理事务所(特殊普通合伙) | 代理人 | 周建 |
| 地址 | 100029 北京市朝阳区裕民路甲3号 | ||
| 法律状态 | - | ||
摘要
| 摘要 | 本发明公开了一种基于DNS日志的可疑威胁发现方法和系统,该方法包括:从DNS日志数据中抽取统计特征,获得特征数据;可疑域名发现,调用异常检测模型对所述特征数据进行处理,获得可疑域名;异常IP发现,对所述特征数据进行统计研判,发现异常请求IP、异常服务IP和异常解析IP。该系统包括:统计特征抽取单元,可疑域名发现单元,异常IP发现单元。本发明以层次化、插件化形式部署检测模型,能够解决威胁检测中数据量和资源量压力大的问题,有助于实现功能的可扩展性,启用多个具有不同资源特点的运算环境,并集中管理不同类型的模型插件,能够适应资源条件的变化,以便能够发现网络中的安全威胁。 |
