-
公开(公告)号:CN103001825B
公开(公告)日:2016-03-02
申请号:CN201210461766.0
申请日:2012-11-15
Applicant: 中国科学院计算机网络信息中心
Abstract: 本发明提供一种DNS流量异常的检测方法和系统,对待处理的DNS流量数据提取相应的特征值,并对每个特征赋予不同的权重,通过W-Kmeans算法和增设的欧氏距离阈值Dthreshold检测在训练集中标记过的异常类簇,并可以发现新的未知特征的异常。本发明的算法收敛速度快,运算量小,新的待检测样本只需与处理好的训练聚类中心进行比较,无需与大量的原始训练数据进行计算部署成本低,并具有较强的泛化能力,特别适合部署在大型DNS服务器上,能够快速有效地发现DNS流量的异常。
-
公开(公告)号:CN101729288B
公开(公告)日:2014-02-05
申请号:CN200810225462.8
申请日:2008-10-31
Applicant: 中国科学院计算机网络信息中心
Abstract: 本发明提供了一种统计分析互联网用户网络访问行为的方法,依据根域名服务器日志,获取用于统计分析的域名,分析用户访问这些域名对应的网络资源时,对域名服务系统的查询信息与对目标网络服务器访问信息之间的映射关系;这样,依据根域名服务器的查询日志,即可实时推导出用户的全局网络访问行为。满足对用户网络访问行为分析的全局性和实时性需求。
-
公开(公告)号:CN102572011A
公开(公告)日:2012-07-11
申请号:CN201210023186.3
申请日:2012-02-02
Applicant: 中国科学院计算机网络信息中心
Abstract: 本发明提供一种数据处理方法、装置和系统,其中,该方法包括:本地DNS服务器将通过查询其余DNS服务器所获取的域名与IP地址的映射信息存储到本地存储模块中的快取缓存单元;若判断获知到达预设的存储周期,则将快取缓存单元中在存储周期内存储的域名与IP地址的映射信息备份到集中存储模块,以便在本地DNS服务器初始化后,将集中存储模块中的域名与IP地址的映射信息重新导入到快取缓存单元,以供根据域名从快取缓存单元获取对应的IP地址。通过本发明提供的数据处理方法、装置和系统,实现了在DNS服务器初始化后,保证系统的有效性和稳定性,提高解析的性能,减少带宽的消耗。
-
公开(公告)号:CN101826996A
公开(公告)日:2010-09-08
申请号:CN201010129301.6
申请日:2010-03-19
Applicant: 中国科学院计算机网络信息中心
CPC classification number: H04L41/00 , H04L29/12066 , H04L61/1511
Abstract: 本发明提供一种域名系统流量检测方法与域名服务器,其中方法包括:获取检测周期内接收到的域名查询请求的数量和测量指标类型的实际值;根据所述域名查询请求与测量指标的映射关系和所述域名查询请求的数量,获取所述测量指标类型的预测值;确定所述测量指标类型的实际值和所述测量指标类型的预测值的第一差值;在判断出所述第一差值大于预先获取的阈值时,输出域名系统流量异常报警信息。域名服务器可用于执行域名系统流量检测方法。本发明的域名系统流量检测方法与域名服务器,降低了判定DNS流量异常时的误报率,提高了检测DNS流量异常的准确性。
-
公开(公告)号:CN103491074A
公开(公告)日:2014-01-01
申请号:CN201310407649.0
申请日:2013-09-09
Applicant: 中国科学院计算机网络信息中心
Inventor: 尉迟学彪
Abstract: 本发明公开了一种僵尸网络检测方法及装置,通过将受僵尸网络感染的主机的网络行为抽象为对域名查询的频率,形成主机一域名交互矩阵;对主机-域名交互矩阵进行聚类;并根据聚类结果划分主机集合;划分后的各个主机集合与已知感染主机进行比对,由此判断划分后的各个主机集合是否涉嫌感染僵尸网络。本发明可以实现对僵尸网络的主动检测,检测规模不存在限制,可以任意设定,检测过程只涉及主机和域名之间的访问行为,检测效果不受僵尸网络种类、行为特征变化的影响,且通用性较高,计算代价小,能够对大规模僵尸网络实施高效的检测。
-
Patent Agency Ranking
公开(公告)号:CN102572011B
公开(公告)日:2014-09-03
申请号:CN201210023186.3
申请日:2012-02-02
Applicant: 中国科学院计算机网络信息中心
Abstract: 本发明提供一种数据处理方法、装置和系统,其中,该方法包括:本地DNS服务器将通过查询其余DNS服务器所获取的域名与IP地址的映射信息存储到本地存储模块中的快取缓存单元;若判断获知到达预设的存储周期,则将快取缓存单元中在存储周期内存储的域名与IP地址的映射信息备份到集中存储模块,以便在本地DNS服务器初始化后,将集中存储模块中的域名与IP地址的映射信息重新导入到快取缓存单元,以供根据域名从快取缓存单元获取对应的IP地址。通过本发明提供的数据处理方法、装置和系统,实现了在DNS服务器初始化后,保证系统的有效性和稳定性,提高解析的性能,减少带宽的消耗。
-
公开(公告)号:CN102523311B
公开(公告)日:2014-08-06
申请号:CN201110382578.4
申请日:2011-11-25
Applicant: 中国科学院计算机网络信息中心
IPC: H04L29/12
Abstract: 本发明提供一种非法域名识别方法及装置,该非法域名识别方法包括:获取域名访问行为信息,根据所述域名访问行为信息生成共现矩阵,所述共现矩阵中的元素用以指示所述元素所在的行对应的用户对所述元素所在的列对应的域名的访问次数;根据聚类算法对所述共现矩阵进行聚类分析,将所述共现矩阵中各列对应的域名划分为多个域名子集;根据非法域名列表确定各所述域名子集中域名的合法性。该非法域名识别装置包括共现矩阵生成模块、域名子集划分模块和合法性确定模块。本发明提供的非法域名识别方法及装置,针对了非法域名的特殊性,对域名间潜在的关联进行分析,以将非法域名和合法域名区分开,提高了非法网站的识别效率。
-
公开(公告)号:CN103001825A
公开(公告)日:2013-03-27
申请号:CN201210461766.0
申请日:2012-11-15
Applicant: 中国科学院计算机网络信息中心
Abstract: 本发明提供一种DNS流量异常的检测方法和系统,对待处理的DNS流量数据提取相应的特征值,并对每个特征赋予不同的权重,通过W-Kmeans算法和增设的欧氏距离阈值Dthreshold检测在训练集中标记过的异常类簇,并可以发现新的未知特征的异常。本发明的算法收敛速度快,运算量小,新的待检测样本只需与处理好的训练聚类中心进行比较,无需与大量的原始训练数据进行计算部署成本低,并具有较强的泛化能力,特别适合部署在大型DNS服务器上,能够快速有效地发现DNS流量的异常。
-
公开(公告)号:CN102523311A
公开(公告)日:2012-06-27
申请号:CN201110382578.4
申请日:2011-11-25
Applicant: 中国科学院计算机网络信息中心
IPC: H04L29/12
Abstract: 本发明提供一种非法域名识别方法及装置,该非法域名识别方法包括:获取域名访问行为信息,根据所述域名访问行为信息生成共现矩阵,所述共现矩阵中的元素用以指示所述元素所在的行对应的用户对所述元素所在的列对应的域名的访问次数;根据聚类算法对所述共现矩阵进行聚类分析,将所述共现矩阵中各列对应的域名划分为多个域名子集;根据非法域名列表确定各所述域名子集中域名的合法性。该非法域名识别装置包括共现矩阵生成模块、域名子集划分模块和合法性确定模块。本发明提供的非法域名识别方法及装置,针对了非法域名的特殊性,对域名间潜在的关联进行分析,以将非法域名和合法域名区分开,提高了非法网站的识别效率。
-
公开(公告)号:CN101826996B
公开(公告)日:2012-05-23
申请号:CN201010129301.6
申请日:2010-03-19
Applicant: 中国科学院计算机网络信息中心
CPC classification number: H04L41/00 , H04L29/12066 , H04L61/1511
Abstract: 本发明提供一种域名系统流量检测方法与域名服务器,其中方法包括:获取检测周期内接收到的域名查询请求的数量和测量指标类型的实际值;根据所述域名查询请求与测量指标的映射关系和所述域名查询请求的数量,获取所述测量指标类型的预测值;确定所述测量指标类型的实际值和所述测量指标类型的预测值的第一差值;在判断出所述第一差值大于预先获取的阈值时,输出域名系统流量异常报警信息。域名服务器可用于执行域名系统流量检测方法。本发明的域名系统流量检测方法与域名服务器,降低了判定DNS流量异常时的误报率,提高了检测DNS流量异常的准确性。
-
-
-
-
-
-
-
-
-
Search Results
11
records
(took 0.031 seconds)
