CN106411951A - 网络攻击行为检测方法及装置 - Google Patents

网络攻击行为检测方法及装置 Download PDF

Info

Publication number
CN106411951A
CN106411951A CN201611077922.8A CN201611077922A CN106411951A CN 106411951 A CN106411951 A CN 106411951A CN 201611077922 A CN201611077922 A CN 201611077922A CN 106411951 A CN106411951 A CN 106411951A
Authority
CN
China
Prior art keywords
domain name
data
data mining
attack
cluster
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201611077922.8A
Other languages
English (en)
Other versions
CN106411951B (zh
Inventor
宋超
杨洪国
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhou Cloud (beijing) Information Technology Co Ltd
Original Assignee
Shenzhou Cloud (beijing) Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhou Cloud (beijing) Information Technology Co Ltd filed Critical Shenzhou Cloud (beijing) Information Technology Co Ltd
Priority to CN201611077922.8A priority Critical patent/CN106411951B/zh
Publication of CN106411951A publication Critical patent/CN106411951A/zh
Application granted granted Critical
Publication of CN106411951B publication Critical patent/CN106411951B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • G06F16/2458Special types of queries, e.g. statistical queries, fuzzy queries or distributed queries
    • G06F16/2465Query processing support for facilitating data mining operations in structured databases
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Probability & Statistics with Applications (AREA)
  • Software Systems (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Fuzzy Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明提供一种网络攻击行为检测方法,首先获取域名系统解析数据;然后,采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果;最后根据所述数据挖掘结果对网络攻击行为进行检测。不同于传统抓包分析的网络攻击行为检测方式,本发明以域名系统解析数据为处理对象,通过对其进行数据挖掘,从而根据挖掘结果能够更加有效、快速地对网络攻击行为进行检测。

Description

网络攻击行为检测方法及装置
技术领域
本发明涉及网络安全技术领域,具体涉及一种网络攻击行为检测方法及装置。
背景技术
随着互联网技术的发展,域名解析系统被广泛的应用,由域名解析系统所带来的网络安全问题也不断增多,比如针对域名服务器的DDoS(DDoS:Distributed Denial ofService,分布式拒绝服务攻击)、针对特定类型网络的DDoS攻击、大规模DNS(Domain NameSystem,域名系统)欺骗攻击、僵尸网络等等,由于上述网络攻击行为往往具有很强的欺骗性和伪装性,常规对所有数据进行抓包分析的检测方式效率较低,难以对其进行有效的检测。
发明内容
针对现有技术中的缺陷,本发明提供一种网络攻击行为检测方法及装置,以高效的对网络攻击行为进行检测。
第一方面,本发明提供的一种网络攻击行为检测方法,包括:
获取域名系统解析数据;
采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果;
根据所述数据挖掘结果对网络攻击行为进行检测。
可选的,所述获取域名系统解析数据,包括:
利用流量捕获设备捕获指定网络范围内的多个客户端发送的域名系统解析数据。
可选的,所述数据挖掘算法包括聚类分析算法;
所述采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果,包括:
采用聚类分析算法,对所述域名系统解析数据中记载的域名和域名IP的对应关系进行聚类,将聚类后的域名与域名IP的对应关系作为数据挖掘结果;
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
对所述聚类后的域名与域名IP的对应关系进行模式分析,根据模式分析结果确定网络攻击行为的类型。
可选的,所述数据挖掘算法包括群集分析算法;
所述采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果,包括:
采用群集分析算法,在所述域名系统解析数据中记载的域名和域名IP的对应关系中寻找关联度较高的群集,将寻找出的关联度较高的所述群集作为数据挖掘结果;
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
对寻找出的关联度较高的所述群集,采用多层链接分析算法检测与网络攻击行为相关的域名IP。
可选的,所述数据挖掘算法包括时间序列分析算法;
所述采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果,包括:
采用时间序列分析算法,将所述域名系统解析数据中记载的域名IP与客户端IP的对应关系以时间序列的方式进行排序,根据排序结果确定所述域名IP与客户端IP的对应关系的规律和趋势,将所述域名IP与客户端IP的对应关系的规律和趋势作为数据挖掘结果;
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
根据所述域名IP与客户端IP的对应关系的规律和趋势确定网络攻击行为的攻击路径和数据流向。
可选的,所述数据挖掘算法包括路径分析算法;
所述采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果,包括:
采用路径分析算法,在所述域名系统解析数据中寻找域名IP与客户端IP之间的关联或路径,将寻找出的域名IP与客户端IP之间的关联或路径作为数据挖掘结果;
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
根据寻找出的域名IP与客户端IP之间的关联或路径确定网络攻击行为的攻击路径和数据流向。
第二方面,本发明提供的一种网络攻击行为检测装置,包括:
数据获取模块,用于获取域名系统解析数据;
数据挖掘模块,用于采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果;
攻击行为检测模块,用于根据所述数据挖掘结果对网络攻击行为进行检测。
可选的,所述数据获取模块,包括:
数据捕获单元,用于利用流量捕获设备捕获指定网络范围内的多个客户端发送的域名系统解析数据。
可选的,所述数据挖掘算法包括聚类分析算法;
所述数据挖掘模块,包括:
聚类分析单元,用于采用聚类分析算法,对所述域名系统解析数据中记载的域名和域名IP的对应关系进行聚类,将聚类后的域名与域名IP的对应关系作为数据挖掘结果;
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
攻击类型检测单元,用于对所述聚类后的域名与域名IP的对应关系进行模式分析,根据模式分析结果确定网络攻击行为的类型。
可选的,所述数据挖掘算法包括群集分析算法;
所述数据挖掘模块,包括:
群集分析单元,用于采用群集分析算法,在所述域名系统解析数据中记载的域名和域名IP的对应关系中寻找关联度较高的群集,将寻找出的关联度较高的所述群集作为数据挖掘结果;
所述攻击行为检测模块,包括:
群集检测单元,用于对寻找出的关联度较高的所述群集,采用多层链接分析算法检测与网络攻击行为相关的域名IP。
可选的,所述数据挖掘算法包括时间序列分析算法;
所述数据挖掘模块,包括:
时间序列分析单元,用于采用时间序列分析算法,将所述域名系统解析数据中记载的域名IP与客户端IP的对应关系以时间序列的方式进行排序,根据排序结果确定所述域名IP与客户端IP的对应关系的规律和趋势,将所述域名IP与客户端IP的对应关系的规律和趋势作为数据挖掘结果;
所述攻击行为检测模块,包括:
时间序列检测单元,用于根据所述域名IP与客户端IP的对应关系的规律和趋势确定网络攻击行为的攻击路径和数据流向。
可选的,所述数据挖掘算法包括路径分析算法;
所述数据挖掘模块,包括:
路径分析单元,用于采用路径分析算法,在所述域名系统解析数据中寻找域名IP与客户端IP之间的关联或路径,将寻找出的域名IP与客户端IP之间的关联或路径作为数据挖掘结果;
所述攻击行为检测模块,包括:
路径检测单元,用于根据寻找出的域名IP与客户端IP之间的关联或路径确定网络攻击行为的攻击路径和数据流向。
由上述技术方案可知,本发明提供的一种网络攻击行为检测方法,首先获取域名系统解析数据;然后,采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果;最后根据所述数据挖掘结果对网络攻击行为进行检测。不同于传统抓包分析的网络攻击行为检测方式,本发明以域名系统解析数据为处理对象,通过对其进行数据挖掘,从而根据挖掘结果能够更加有效、快速地对网络攻击行为进行检测。
本发明提供的一种网络攻击行为检测装置,与上述网络攻击行为检测方法出于相同的发明构思,具有相同的有益效果。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。
图1示出了本发明第一实施例所提供的一种网络攻击行为检测方法的流程图;
图2示出了本发明第二实施例所提供的一种网络攻击行为检测装置的示意图。
具体实施方式
下面将结合附图对本发明技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本发明的技术方案,因此只是作为示例,而不能以此来限制本发明的保护范围。
需要注意的是,除非另有说明,本申请使用的技术术语或者科学术语应当为本发明所属领域技术人员所理解的通常意义。
本发明提供一种网络攻击行为检测方法、一种网络攻击行为检测装置和一种网络攻击行为检测系统。下面结合附图对本发明的实施例进行说明。
图1示出了本发明第一实施例所提供的一种网络攻击行为检测方法的流程图。如图1所示,本发明第一实施例提供的一种网络攻击行为检测方法包括以下步骤:
步骤S101:获取域名系统解析数据。
本发明实施例中,所述域名系统解析数据(即DNS数据)可以采用流量捕获设备进行捕获,例如,在网关处布置一流量捕获设备,利用该流量捕获设备捕获指定网络范围内的多个客户端发送的域名系统解析数据。
步骤S102:采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果。
步骤S103:根据所述数据挖掘结果对网络攻击行为进行检测。
本发明实施例中,根据采用的数据挖掘算法的不同,可以对网络攻击行为的不同方面进行检测,例如,在本发明提供的一个实施例中,所述数据挖掘算法包括聚类分析算法;
所述采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果,包括:
采用聚类分析算法,对所述域名系统解析数据中记载的域名和域名IP的对应关系进行聚类,将聚类后的域名与域名IP的对应关系作为数据挖掘结果;
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
对所述聚类后的域名与域名IP的对应关系进行模式分析,根据模式分析结果确定网络攻击行为的类型。
又如,在本发明提供的一个实施例中,所述数据挖掘算法包括群集分析算法;
所述采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果,包括:
采用群集分析算法,在所述域名系统解析数据中记载的域名和域名IP的对应关系中寻找关联度较高的群集,将寻找出的关联度较高的所述群集作为数据挖掘结果;
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
对寻找出的关联度较高的所述群集,采用多层链接分析算法检测与网络攻击行为相关的域名IP。
其中,所述多层链接分析算法包括优化深度遍历和广度遍历算法等算法,可以从某一异常变化的DNS请求出发,查找相关的域名IP。
再如,在本发明提供的一个实施例中,所述数据挖掘算法包括时间序列分析算法;
所述采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果,包括:
采用时间序列分析算法,将所述域名系统解析数据中记载的域名IP与客户端IP的对应关系以时间序列的方式进行排序,根据排序结果确定所述域名IP与客户端IP的对应关系的规律和趋势,将所述域名IP与客户端IP的对应关系的规律和趋势作为数据挖掘结果;
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
根据所述域名IP与客户端IP的对应关系的规律和趋势确定网络攻击行为的攻击路径和数据流向。
在本发明提供的另一个实施例中,所述数据挖掘算法包括路径分析算法;
所述采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果,包括:
采用路径分析算法,在所述域名系统解析数据中寻找域名IP与客户端IP之间的关联或路径,将寻找出的域名IP与客户端IP之间的关联或路径作为数据挖掘结果;
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
根据寻找出的域名IP与客户端IP之间的关联或路径确定网络攻击行为的攻击路径和数据流向。
例如通过异常变化的DNS请求情况,可以得到可疑域名IP与客户端IP之间明确的数据流向、传输路径、连接规律及趋势等。
需要说明的是,上述四种数据挖掘算法可以单独使用,也可以组合使用,以对网络攻击行为进行更加全面和准确的检测,其均在本发明的保护范围之内。
例如,在域名系统解析数据中的域名与域名IP的记录,通过不同域名IP的分组,可以查看到那些域名被多少个域名IP解析过,域名IP解析次数的多少,域名IP归属地的不同,然后通过抓包或者其他方式查看是否在传输数据,进而确定网络攻击行为的攻击路径和数据流向。
至此,通过步骤S101至步骤S103,完成了本发明第一实施例所提供的一种网络攻击行为检测方法的流程。不同于传统抓包分析的网络攻击行为检测方式,本发明以域名系统解析数据为处理对象,通过对其进行数据挖掘,从而根据挖掘结果能够更加有效、快速地对网络攻击行为进行检测。
在上述的第一实施例中,提供了一种网络攻击行为检测方法,与之相对应的,本申请还提供一种网络攻击行为检测装置。请参考图2,其为本发明第二实施例提供的一种网络攻击行为检测装置的示意图。由于装置实施例基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。下述描述的装置实施例仅仅是示意性的。
本发明第二实施例提供的一种网络攻击行为检测装置,包括:
数据获取模块101,用于获取域名系统解析数据;
数据挖掘模块102,用于采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果;
攻击行为检测模块103,用于根据所述数据挖掘结果对网络攻击行为进行检测。
在本发明提供的一个实施例中,所述数据获取模块101,包括:
数据捕获单元,用于利用流量捕获设备捕获指定网络范围内的多个客户端发送的域名系统解析数据。
在本发明提供的一个实施例中,所述数据挖掘算法包括聚类分析算法;
所述数据挖掘模块102,包括:
聚类分析单元,用于采用聚类分析算法,对所述域名系统解析数据中记载的域名和域名IP的对应关系进行聚类,将聚类后的域名与域名IP的对应关系作为数据挖掘结果;
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
攻击类型检测单元,用于对所述聚类后的域名与域名IP的对应关系进行模式分析,根据模式分析结果确定网络攻击行为的类型。
在本发明提供的一个实施例中,所述数据挖掘算法包括群集分析算法;
所述数据挖掘模块102,包括:
群集分析单元,用于采用群集分析算法,在所述域名系统解析数据中记载的域名和域名IP的对应关系中寻找关联度较高的群集,将寻找出的关联度较高的所述群集作为数据挖掘结果;
所述攻击行为检测模块103,包括:
群集检测单元,用于对寻找出的关联度较高的所述群集,采用多层链接分析算法检测与网络攻击行为相关的域名IP。
在本发明提供的一个实施例中,所述数据挖掘算法包括时间序列分析算法;
所述数据挖掘模块102,包括:
时间序列分析单元,用于采用时间序列分析算法,将所述域名系统解析数据中记载的域名IP与客户端IP的对应关系以时间序列的方式进行排序,根据排序结果确定所述域名IP与客户端IP的对应关系的规律和趋势,将所述域名IP与客户端IP的对应关系的规律和趋势作为数据挖掘结果;
所述攻击行为检测模块103,包括:
时间序列检测单元,用于根据所述域名IP与客户端IP的对应关系的规律和趋势确定网络攻击行为的攻击路径和数据流向。
在本发明提供的一个实施例中,所述数据挖掘算法包括路径分析算法;
所述数据挖掘模块102,包括:
路径分析单元,用于采用路径分析算法,在所述域名系统解析数据中寻找域名IP与客户端IP之间的关联或路径,将寻找出的域名IP与客户端IP之间的关联或路径作为数据挖掘结果;
所述攻击行为检测模块103,包括:
路径检测单元,用于根据寻找出的域名IP与客户端IP之间的关联或路径确定网络攻击行为的攻击路径和数据流向。
以上,为本发明第二实施例提供的一种网络攻击行为检测装置的实施例说明。
本发明提供的一种网络攻击行为检测装置与上述网络攻击行为检测方法出于相同的发明构思,具有相同的有益效果,此处不再赘述。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
需要说明的是,附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本发明实施例所提供的网络攻击行为检测装置可以是计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。

Claims (10)

1.一种网络攻击行为检测方法,其特征在于,包括:
获取域名系统解析数据;
采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果;
根据所述数据挖掘结果对网络攻击行为进行检测。
2.根据权利要求1所述的网络攻击行为检测方法,其特征在于,所述获取域名系统解析数据,包括:
利用流量捕获设备捕获指定网络范围内的多个客户端发送的域名系统解析数据。
3.根据权利要求1所述的网络攻击行为检测方法,其特征在于,所述数据挖掘算法包括聚类分析算法;
所述采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果,包括:
采用聚类分析算法,对所述域名系统解析数据中记载的域名和域名IP的对应关系进行聚类,将聚类后的域名与域名IP的对应关系作为数据挖掘结果;
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
对所述聚类后的域名与域名IP的对应关系进行模式分析,根据模式分析结果确定网络攻击行为的类型。
4.根据权利要求1所述的网络攻击行为检测方法,其特征在于,所述数据挖掘算法包括群集分析算法;
所述采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果,包括:
采用群集分析算法,在所述域名系统解析数据中记载的域名和域名IP的对应关系中寻找关联度较高的群集,将寻找出的关联度较高的所述群集作为数据挖掘结果;
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
对寻找出的关联度较高的所述群集,采用多层链接分析算法检测与网络攻击行为相关的域名IP。
5.根据权利要求1所述的网络攻击行为检测方法,其特征在于,所述数据挖掘算法包括时间序列分析算法;
所述采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果,包括:
采用时间序列分析算法,将所述域名系统解析数据中记载的域名IP与客户端IP的对应关系以时间序列的方式进行排序,根据排序结果确定所述域名IP与客户端IP的对应关系的规律和趋势,将所述域名IP与客户端IP的对应关系的规律和趋势作为数据挖掘结果;
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
根据所述域名IP与客户端IP的对应关系的规律和趋势确定网络攻击行为的攻击路径和数据流向。
6.根据权利要求1所述的网络攻击行为检测方法,其特征在于,所述数据挖掘算法包括路径分析算法;
所述采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果,包括:
采用路径分析算法,在所述域名系统解析数据中寻找域名IP与客户端IP之间的关联或路径,将寻找出的域名IP与客户端IP之间的关联或路径作为数据挖掘结果;
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
根据寻找出的域名IP与客户端IP之间的关联或路径确定网络攻击行为的攻击路径和数据流向。
7.一种网络攻击行为检测装置,其特征在于,包括:
数据获取模块,用于获取域名系统解析数据;
数据挖掘模块,用于采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果;
攻击行为检测模块,用于根据所述数据挖掘结果对网络攻击行为进行检测。
8.根据权利要求7所述的网络攻击行为检测装置,其特征在于,所述数据获取模块,包括:
数据捕获单元,用于利用流量捕获设备捕获指定网络范围内的多个客户端发送的域名系统解析数据。
9.根据权利要求7所述的网络攻击行为检测装置,其特征在于,所述数据挖掘算法包括聚类分析算法;
所述数据挖掘模块,包括:
聚类分析单元,用于采用聚类分析算法,对所述域名系统解析数据中记载的域名和域名IP的对应关系进行聚类,将聚类后的域名与域名IP的对应关系作为数据挖掘结果;
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
攻击类型检测单元,用于对所述聚类后的域名与域名IP的对应关系进行模式分析,根据模式分析结果确定网络攻击行为的类型。
10.根据权利要求7所述的网络攻击行为检测装置,其特征在于,所述数据挖掘算法包括群集分析算法;
所述数据挖掘模块,包括:
群集分析单元,用于采用群集分析算法,在所述域名系统解析数据中记载的域名和域名IP的对应关系中寻找关联度较高的群集,将寻找出的关联度较高的所述群集作为数据挖掘结果;
所述攻击行为检测模块,包括:
群集检测单元,用于对寻找出的关联度较高的所述群集,采用多层链接分析算法检测与网络攻击行为相关的域名IP。
CN201611077922.8A 2016-11-29 2016-11-29 网络攻击行为检测方法及装置 Active CN106411951B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611077922.8A CN106411951B (zh) 2016-11-29 2016-11-29 网络攻击行为检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611077922.8A CN106411951B (zh) 2016-11-29 2016-11-29 网络攻击行为检测方法及装置

Publications (2)

Publication Number Publication Date
CN106411951A true CN106411951A (zh) 2017-02-15
CN106411951B CN106411951B (zh) 2020-03-27

Family

ID=58084704

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611077922.8A Active CN106411951B (zh) 2016-11-29 2016-11-29 网络攻击行为检测方法及装置

Country Status (1)

Country Link
CN (1) CN106411951B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106411922A (zh) * 2016-10-31 2017-02-15 四川长虹电器股份有限公司 一种安全的身份认证方法及系统
CN109462612A (zh) * 2018-12-27 2019-03-12 北京神州绿盟信息安全科技股份有限公司 一种僵尸网络中的攻击域名的确定方法及装置
CN109743339A (zh) * 2019-03-22 2019-05-10 中国南方电网有限责任公司 电力厂站的网络安全监测方法和装置、计算机设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101572701A (zh) * 2009-02-10 2009-11-04 中科正阳信息安全技术有限公司 针对DNS服务的抗DDoS攻击安全网关系统
CN102780791A (zh) * 2012-07-18 2012-11-14 广东睿江科技有限公司 一种自适应ip的方法、装置以及系统
US20130219502A1 (en) * 2004-09-14 2013-08-22 International Business Machines Corporation Managing a ddos attack
CN105072120A (zh) * 2015-08-14 2015-11-18 中国传媒大学 基于域名服务状态分析的恶意域名检测方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130219502A1 (en) * 2004-09-14 2013-08-22 International Business Machines Corporation Managing a ddos attack
CN101572701A (zh) * 2009-02-10 2009-11-04 中科正阳信息安全技术有限公司 针对DNS服务的抗DDoS攻击安全网关系统
CN102780791A (zh) * 2012-07-18 2012-11-14 广东睿江科技有限公司 一种自适应ip的方法、装置以及系统
CN105072120A (zh) * 2015-08-14 2015-11-18 中国传媒大学 基于域名服务状态分析的恶意域名检测方法及装置

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
(美)塞奇(SAGE,A.P.),(美)阿姆斯特朗(ARMSTRONG,J.E.): "《系统工程导论》", 30 September 2006 *
李爱国: "《数据挖掘原理、算法及应用》", 31 January 2012 *
樊重俊,刘臣,霍良安: "《大数据分析与应用》", 31 January 2016 *
胡学钢,张先宜: "《数据结构》", 28 February 2015 *
葛方振: "《基于混沌蚂蚁的群集协同求解算法及应用》", 31 January 2014 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106411922A (zh) * 2016-10-31 2017-02-15 四川长虹电器股份有限公司 一种安全的身份认证方法及系统
CN109462612A (zh) * 2018-12-27 2019-03-12 北京神州绿盟信息安全科技股份有限公司 一种僵尸网络中的攻击域名的确定方法及装置
CN109462612B (zh) * 2018-12-27 2021-06-11 绿盟科技集团股份有限公司 一种僵尸网络中的攻击域名的确定方法及装置
CN109743339A (zh) * 2019-03-22 2019-05-10 中国南方电网有限责任公司 电力厂站的网络安全监测方法和装置、计算机设备
CN109743339B (zh) * 2019-03-22 2020-06-02 中国南方电网有限责任公司 电力厂站的网络安全监测方法和装置、计算机设备

Also Published As

Publication number Publication date
CN106411951B (zh) 2020-03-27

Similar Documents

Publication Publication Date Title
Javed et al. A comprehensive survey on computer forensics: State-of-the-art, tools, techniques, challenges, and future directions
US10560471B2 (en) Detecting web exploit kits by tree-based structural similarity search
CN108183916B (zh) 一种基于日志分析的网络攻击检测方法及装置
CN104219316B (zh) 一种分布式系统中的调用请求处理方法及装置
CN107241296B (zh) 一种Webshell的检测方法及装置
CN111818103B (zh) 一种网络靶场中基于流量的溯源攻击路径方法
CN106453438B (zh) 一种网络攻击的识别方法及装置
CN106161451A (zh) 防御cc攻击的方法、装置及系统
CN110505241A (zh) 一种网络攻击面检测方法及系统
Taylor et al. Detecting malicious exploit kits using tree-based similarity searches
RU2757597C1 (ru) Системы и способы сообщения об инцидентах компьютерной безопасности
CN109104421B (zh) 一种网站内容篡改检测方法、装置、设备及可读存储介质
CN103077250B (zh) 一种网页内容抓取方法及装置
CN106295348A (zh) 应用程序的漏洞检测方法及装置
CN106534042A (zh) 基于数据分析的服务器入侵识别方法、装置和云安全系统
CN104935601B (zh) 基于云的网站日志安全分析方法、装置及系统
CN106973047A (zh) 一种异常流量检测方法和装置
CN106534146A (zh) 一种安全监测系统及方法
CN102790706A (zh) 海量事件安全分析方法及装置
CN106411951A (zh) 网络攻击行为检测方法及装置
CN116566674A (zh) 自动化渗透测试方法、系统、电子设备及存储介质
Khobragade et al. Data generation and analysis for digital forensic application using data mining
CN108184146A (zh) 一种计算直播平台人气的方法及相关设备
Najafabadi et al. A text mining approach for anomaly detection in application layer DDoS attacks
CN117454376A (zh) 工业互联网数据安全检测响应与溯源方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
PE01 Entry into force of the registration of the contract for pledge of patent right
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: Network attack behavior detection method and device

Effective date of registration: 20220330

Granted publication date: 20200327

Pledgee: Haidian Beijing science and technology enterprise financing Company limited by guarantee

Pledgor: SHENZHOU WANGYUN (BEIJING) INFORMATION TECHNOLOGY CO.,LTD.

Registration number: Y2022110000071

PC01 Cancellation of the registration of the contract for pledge of patent right
PC01 Cancellation of the registration of the contract for pledge of patent right

Date of cancellation: 20230330

Granted publication date: 20200327

Pledgee: Haidian Beijing science and technology enterprise financing Company limited by guarantee

Pledgor: SHENZHOU WANGYUN (BEIJING) INFORMATION TECHNOLOGY CO.,LTD.

Registration number: Y2022110000071

PE01 Entry into force of the registration of the contract for pledge of patent right
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: Method and device for detecting network attack behavior

Effective date of registration: 20230403

Granted publication date: 20200327

Pledgee: Haidian Beijing science and technology enterprise financing Company limited by guarantee

Pledgor: SHENZHOU WANGYUN (BEIJING) INFORMATION TECHNOLOGY CO.,LTD.

Registration number: Y2023110000146