发明名称 |
一种基于DNS日志分析的APT攻击检测系统和方法 |
摘要 |
一种基于DNS日志分析的APT攻击检测系统,包括DNS查询日志记录模块、日志分析模块和攻击检测检测模块;同时,利用该检测系统实现了APT的攻击检测:首先,通过DNS查询日志记录模块采集DNS查询请求,形成DNS查询日志;其次,日志分析模块对DNS查询日志与SSH登录尝试信息进行模式匹配,分析计算时间密度、覆盖范围和时间关联;然后,按照源IP地址对SSH登录尝试信息进行分组;最后,攻击检测模块根据日志分析模块的结果判断是否发生攻击并确定攻击类型。本发明是一种轻量级的攻击检测方式,消耗的资源远远小于分析整个网络流量所需资源,且采用日志分析的方式,不需要实时对网络进行监听,从而对网络几乎不产生影响。 |
申请公布号 |
CN103916406A |
申请公布日期 |
2014.07.09 |
申请号 |
CN201410172549.9 |
申请日期 |
2014.04.25 |
申请人 |
上海交通大学 |
发明人 |
邹福泰;刘鹏焜;谷雨昊;易平;李建华 |
分类号 |
H04L29/06(2006.01)I;H04L12/26(2006.01)I |
主分类号 |
H04L29/06(2006.01)I |
代理机构 |
上海旭诚知识产权代理有限公司 31220 |
代理人 |
郑立 |
主权项 |
一种基于DNS日志分析的APT攻击检测系统,其特征在于,包括DNS查询日志记录模块、日志分析模块和攻击检测检测模块;所述DNS查询日志记录模块用于记录DNS查询请求,所述DNS查询日志包括查询时间、源IP地址和查询内容;所述日志分析模块用于根据所述DNS查询日志记录模块记录的所述DNS查询日志计算源IP地址关联、时间关联和查询内容关联;所述攻击检测模块用于根据所述日志分析模块分析的结果判断是否存在攻击以及确定攻击来源和类型。 |
地址 |
200240 上海市闵行区东川路800号 |