公开(公告)号：CN107707487A

公开(公告)日：2018-02-16

申请号：CN201710850731.9

申请日：2017-09-20

申请人： 杭州安恒信息技术有限公司

发明人： 蔡福杰 ,  范渊 ,  刘元 ,  李凯

IPC分类号： H04L12/851 ,  G06F17/30

CPC分类号： H04L47/2483 ,  G06F16/2272 ,  G06F16/2462 ,  G06F16/25 ,  H04L47/24

摘要： 本发明涉及一种网络业务流量的实时检索系统及实时检索方法，实时索引构建模块和普通索引更新模块构建普通索引库，检索信息接收模块接收检索信息，索引模块构建检索条件，并获取检索结果，索引清理模块定期删除关注时间段外的业务流量记录。本发明通过对每一条网络业务流量的记录补全上下文信息，建立实时索引信息，并每天将实时索引信息更替为普通索引，在用户检索时，即能提供完整、实时的检索信息。本发明在大数据量的情况下能获得更具有实时性的统计结果，耗时短，补全了上下文信息后，检索准确度更高，可以及时帮助用户了解当前网络环境中各种业务流量使用情况，对于网络带宽资源的合理分配以及网络环境中关键业务开展有着重要的意义。

公开(公告)号：CN107612911A

公开(公告)日：2018-01-19

申请号：CN201710850732.3

申请日：2017-09-20

申请人： 杭州安恒信息技术有限公司

发明人： 蔡福杰 ,  范渊 ,  刘元 ,  李凯

IPC分类号： H04L29/06 ,  H04L29/12

摘要： 本发明涉及一种基于DNS流量检测受感染主机和C&C服务器的方法，构建训练集并训练识别随机域名的算法，采集经过任一网卡的DNS流量并解析得到DNS信息；利用识别随机域名的算法判断DNS信息中的域名是否为随机域名，是则判断域名是否解析成功的信息，解析失败则识别受感染主机，对受感染的主机进行信息保存，识别C&C服务器，对C&C服务器，进行信息保存，告警并保存告警信息、展现。本发明通过DNS流量信息有效识别被使用DGA算法进行回连的病毒、木马感染的主机以及其背后的C&C服务器，精确度高，相比通过其他流量的检测手段，DNS流量要小很多，因而本发明的成本更低且效率更高。