CN107071084B - 一种dns的评价方法和装置 - Google Patents

一种dns的评价方法和装置 Download PDF

Info

Publication number
CN107071084B
CN107071084B CN201710214360.5A CN201710214360A CN107071084B CN 107071084 B CN107071084 B CN 107071084B CN 201710214360 A CN201710214360 A CN 201710214360A CN 107071084 B CN107071084 B CN 107071084B
Authority
CN
China
Prior art keywords
domain name
dns
element group
dns system
characteristic dimension
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710214360.5A
Other languages
English (en)
Other versions
CN107071084A (zh
Inventor
刘威歆
折宇超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
Original Assignee
NSFOCUS Information Technology Co Ltd
Beijing NSFocus Information Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NSFOCUS Information Technology Co Ltd, Beijing NSFocus Information Security Technology Co Ltd filed Critical NSFOCUS Information Technology Co Ltd
Priority to CN201710214360.5A priority Critical patent/CN107071084B/zh
Publication of CN107071084A publication Critical patent/CN107071084A/zh
Priority to JP2019553903A priority patent/JP6894528B2/ja
Priority to US16/498,900 priority patent/US11431742B2/en
Priority to PCT/CN2017/113183 priority patent/WO2018176874A1/zh
Application granted granted Critical
Publication of CN107071084B publication Critical patent/CN107071084B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/28Databases characterised by their database models, e.g. relational or object models
    • G06F16/284Relational databases
    • G06F16/285Clustering or classification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明实施例涉及网络安全领域,尤其涉及一种DNS的评价方法和装置,用于提高DNS评价的准确性。本发明实施例中,根据DNS流量日志确定出DNS系统中的M个域名,以及M个域名中每个域名对应的预设类别中每个类别的多个特征维度信息;M为大于等于1的整数;确定出M个域名中每个域名关联的关联标识信息;其中,关联标识信息包括IP地址和/或身份信息;根据M个域名中每个域名与关联标识信息之间的关联关系,或者M个域名中每个域名的属性信息,确定出DNS系统的预设类别的每个类别的聚类评分;根据DNS系统的预设类别的每个类别的聚类评分,确定出DNS系统的总系统评分。如此,提高了DNS评价的准确性。

Description

一种DNS的评价方法和装置
技术领域
本发明实施例涉及网络安全领域;尤其涉及一种DNS的评价方法和装置。
背景技术
在网络通信中,要访问互联网中的服务器必须通过IP地址来进行访问,但是IP地址不容易记忆,因此,通常是在访问某服务器的时候输入的是相应的输入域名,如此,需要将域名解析为相应的IP地址,客户端服务器获得所述域名对应的IP地址之后,才可以访问相应域名对应的服务器,从域名到IP地址的映射关系是通过域名解析系统来完成的。
域名解析系统(Domain Name Service,简称DNS),是因特网上作为域名和IP地址相互映射的一个分布式数据库,域名系统不仅用于解决IP地址对应的问题,也是各种应用和网络建设的基础,其关系着整个互联网的可用性,因此,DNS自身的安全性至关重要。在实际使用过程中,黑客可能通过篡改计算机或路由器上的DNS设置,把正常网址解析到钓鱼网站或受黑客控制的主机上,以骗取用户钱财或窃取隐私。恶意DNS的危害性高,会造成用户的财产损失,严重时甚至可能导致网站或网络瘫痪。
目前,对DNS的评价是基于单个域名进行分析的,即针对单个域名仅从客户端的访问数量进行恶意度的评价,由于对DNS的评价仅依据单个域名的一个维度,从恶意度一个评价方向进行评价会造成评价结果可信度较低。
综上,亟需一种DNS的评价的方案,用于提高DNS评价的准确性。
发明内容
本发明实施例提供一种NDS的评价方法和装置,用以提高DNS评价的准确性。
本发明实施例提供一种NDS的评价方法,包括:
根据DNS流量日志确定出DNS系统中的M个域名,以及所述M个域名中每个域名对应的预设类别中每个类别的多个特征维度信息;所述M为大于等于1的整数;确定出所述M个域名中每个域名关联的关联标识信息;其中,所述关联标识信息包括IP地址和/或身份信息;根据所述M个域名中每个域名与所述关联标识信息之间的关联关系,或者所述M个域名中每个域名的属性信息,确定出所述DNS系统的所述预设类别的每个类别的聚类评分;根据所述DNS系统的所述预设类别的每个类别的聚类评分,确定出所述DNS系统的总系统评分。
可选地,所述根据所述M个域名中每个域名与所述关联标识信息之间的关联关系,或者所述M个域名中每个域名的属性信息,确定出所述DNS系统的聚类评分,包括:将所述M个域名中每个域名所关联的关联标识信息划分为一个第一实体元素组,得到N个第一实体元素组;根据所述N个第一实体元素组,确定出所述DNS系统的预设类别的第一聚类评分;其中,N为大于等于1且小于等于M的整数;将所述M个域名中属性信息之间的差异小于预设属性阈值的域名,以及所述域名所关联的关联标识信息划分为一个第二实体元素组,得到K个第二实体元素组;根据所述K个第二实体元素组,确定出所述DNS系统的预设类别的第二聚类评分;其中,K为大于等于1的整数;根据所述预设类别的第一聚类评分和所述预设类别的第二聚类评分,确定出所述DNS系统的预设类别的聚类评分。
可选地,所述根据所述N个第一实体元素组,确定出所述DNS系统的第一聚类评分,包括:针对所述N个第一实体元素组中的每个第一实体元素组,执行:对所述第一实体元素组中包括的目标域名对应的多个特征维度信息中的每个特征维度信息进行归一化;其中,所述目标域名为所述M个域名中的任一个;确定出所述第一实体元素组中所述关联标识信息对应的特征维度信息;根据所述第一实体元素组的目标域名对应的归一化后的所述多个特征维度信息中的每个特征维度信息,以及所述第一实体元素组中所述关联标识信息对应的特征维度信息,确定出所述DNS系统的所述第一聚类评分;所述根据所述K个第二实体元素组,确定出所述DNS系统的第二聚类评分,包括:针对所述K个第二实体元素组中的每个第二实体元素组,执行:对所述第二实体元素组中包括的域名对应的多个属性信息中的每个属性信息进行归一化;确定出所述第二实体元素组中所述关联标识信息对应的特征维度信息;根据所述第二实体元素组的域名对应的归一化后的所述多个属性信息中的每个属性信息,以及所述第二实体元素组中所述关联标识信息对应的特征维度信息,确定出所述DNS系统的所述第二聚类评分。
可选地,所述根据所述DNS系统的所述预设类别的每个类别的聚类评分,确定出所述DNS系统的总系统评分,包括:将目标域名对应的预设类别的多个特征维度信息中的每个特征维度信息进行归一化;其中,所述目标域名为所述M个域名中的任一个;根据所述目标域名对应的预设类别的归一化后的所述多个特征维度信息,确定出所述DNS系统的预设类别的个体评分;根据所述DNS系统的所述预设类别的每个类别的聚类评分,以及所述DNS系统的所述预设类别的每个类别的所述个体评分,确定出所述DNS系统的所述总系统评分。
可选地,所述预设类别包括:恶意度、流行度或异常度;所述根据所述DNS系统的所述预设类别的每个类别的聚类评分,确定出所述DNS系统的总系统评分,包括:根据所述DNS系统的恶意度的聚类评分,以及所述DNS系统的恶意度的所述个体评分,确定出所述DNS系统的恶意度的系统评分;根据所述DNS系统的流行度的聚类评分,以及所述DNS系统的流行度的所述个体评分,确定出所述DNS系统的流行度的系统评分;根据所述DNS系统的异常度的聚类评分,以及所述DNS系统的异常度的所述个体评分,确定出所述DNS系统的异常度的系统评分;根据所述DNS系统的恶意度的系统评分、流行度的系统评分和异常度的系统评分,确定出所述DNS系统的总系统评分。
本发明实施例提供一种域名解析系统DNS的评价装置,包括:
确定单元,用于根据DNS流量日志确定出DNS系统中的M个域名,以及所述M个域名中每个域名对应的预设类别中每个类别的多个特征维度信息;所述M为大于等于1的整数;确定出所述M个域名中每个域名关联的关联标识信息;其中,所述关联标识信息包括IP地址和/或身份信息;根据所述M个域名中每个域名与所述关联标识信息之间的关联关系,或者所述M个域名中每个域名的属性信息,确定出所述DNS系统的所述预设类别的每个类别的聚类评分;评分单元,用于根据所述DNS系统的所述预设类别的每个类别的聚类评分,确定出所述DNS系统的总系统评分。
可选地,还包括处理单元,用于:将所述M个域名中每个域名所关联的关联标识信息划分为一个第一实体元素组,得到N个第一实体元素组;其中,N为大于等于1且小于等于M的整数;将所述M个域名中属性信息之间的差异小于预设属性阈值的域名,以及所述域名所关联的关联标识信息划分为一个第二实体元素组,得到K个第二实体元素组;其中,K为大于等于1的整数;所述评分单元,用于:根据所述N个第一实体元素组,确定出所述DNS系统的预设类别的第一聚类评分;根据所述K个第二实体元素组,确定出所述DNS系统的预设类别的第二聚类评分;根据所述预设类别的第一聚类评分和所述预设类别的第二聚类评分,确定出所述DNS系统的预设类别的聚类评分。
可选地,所述评分单元,用于:针对所述N个第一实体元素组中的每个第一实体元素组,执行:对所述第一实体元素组中包括的目标域名对应的多个特征维度信息中的每个特征维度信息进行归一化;其中,所述目标域名为所述M个域名中的任一个;确定出所述第一实体元素组中所述关联标识信息对应的特征维度信息;根据所述第一实体元素组的所述目标域名对应的归一化后的所述多个特征维度信息中的每个特征维度信息,以及所述第一实体元素组中所述关联标识信息对应的特征维度信息,确定出所述DNS系统的所述第一聚类评分;所述根据所述K个第二实体元素组,确定出所述DNS系统的第二聚类评分,包括:针对所述K个第二实体元素组中的每个第二实体元素组,执行:对所述第二实体元素组中包括的域名对应的多个特征维度信息中的每个特征维度信息进行归一化;确定出所述第二实体元素组中所述关联标识信息对应的特征维度信息;根据所述第二实体元素组的域名对应的归一化后的所述多个特征维度信息中的每个特征维度信息,以及所述第二实体元素组中所述关联标识信息对应的特征维度信息,确定出所述DNS系统的所述第二聚类评分。
可选地,所述评分单元,包括:将目标域名对应的预设类别的多个特征维度信息中的每个特征维度信息进行归一化;其中,所述目标域名为所述M个域名中的任一个;根据目标域名对应的预设类别的归一化后的所述多个特征维度信息,确定出所述DNS系统的预设类别的个体评分;根据所述DNS系统的所述预设类别的每个类别的聚类评分,以及所述DNS系统的所述预设类别的每个类别的所述个体评分,确定出所述DNS系统的所述总系统评分。
可选地,所述预设类别包括:恶意度、流行度或异常度;所述评分单元,用于:根据所述DNS系统的恶意度的聚类评分,以及所述DNS系统的恶意度的所述个体评分,确定出所述DNS系统的恶意度的系统评分;根据所述DNS系统的流行度的聚类评分,以及所述DNS系统的流行度的所述个体评分,确定出所述DNS系统的流行度的系统评分;根据所述DNS系统的异常度的聚类评分,以及所述DNS系统的异常度的所述个体评分,确定出所述DNS系统的异常度的系统评分;根据所述DNS系统的恶意度的系统评分、流行度的系统评分和异常度的系统评分,确定出所述DNS系统的总系统评分。
本发明实施例中,根据DNS流量日志确定出DNS系统中的M个域名,以及所述M个域名中每个域名对应的预设类别中每个类别的多个特征维度信息;所述M为大于等于1的整数;确定出所述M个域名中每个域名关联的关联标识信息;其中,所述关联标识信息包括IP地址和/或身份信息;根据所述M个域名中每个域名与所述关联标识信息之间的关联关系,或者所述M个域名中每个域名的属性信息,确定出所述DNS系统的所述预设类别的每个类别的聚类评分;根据所述DNS系统的所述预设类别的每个类别的聚类评分,确定出所述DNS系统的总系统评分。由于本发明实施例中是根据M个域名和所述M个域名中每个域名对应的预设类别中每个类别的多个特征维度信息,因此,在进行DNS评价时增加了评价依据的特征维度;如此,提高了DNS评价的准确性;进一步,DNS系统的总系统评分是根据DNS系统的所述预设类别的每个类别的聚类评分来确定的,进一步提高了DNS评价的准确性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍。
图1为本发明实施例提供的一种通信系统架构示意图;
图2为本发明实施例提供的一种DNS的评价方法流程示意图;
图3为本发明实施例提供的一种域名、IP、邮箱以及之间关联关系的子图;
图4为本发明实施例提供的一种DNS的评价装置的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及有益效果更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
应理解,本发明实施例的技术方案可以应用于各种通信系统,例如:全球移动通讯(Global System of Mobile Communication,简称GSM)系统、码分多址(Code DivisionMultiple Access,简称CDMA)系统、宽带码分多址(Wideband Code Division MultipleAccess,简称WCDMA)通用分组无线业务(General Packet Radio Service,简称GPRS)系统、长期演进(Long Term Evolution,简称LTE)系统、LTE频分双工(Frequency DivisionDuplex,简称FDD)系统、LTE时分双工(Time Division Duplex,简称TDD)、通用移动通信系统(Universal MobileTelecommunication System,简称UMTS)、全球互联微波接入(Worldwide Interoperability for Microwave Access,简称WiMAX)通信系统,以及未来的5G通信系统等。
图1示例性示出了本发明实施例适用的一种通信系统架构示意图,如图1所示,该系统架构可以包括客户端101,本地域名服务器102,域名服务器103,域名服务器104。客户端和域名服务器通过无线连接或有线连接或其它连接方式。
每一个客户端用于接收用户输入的域名解析请求,客户端101将接收到的域名解析请求发送到本地域名服务器102,如果本地域名服务器102能够解析该域名,则本地域名服务器102直接返回客户端结果;如果本地域名服务器102不能解析该域名,则本地域名服务器102向其上级域名服务器103发出域名解析请求,如果域名服务器103能解析,则将解析结果发给客户端,如果域名服务器103无法解析,则将该域名解析请求发给再上一级域名服务器104,如此下去,直至解析出该域名的IP地址为止。
每一个域名服务器用于对对接收到的域名机解析请求进行解析,每个域名服务器包含了它所管理的DNS命名空间的所有资源记录。其中,资源记录是一个域名到值的绑定,它包括以下字段:域名、值、类型、分类和生存时间。域名字段和值字段分别用来表示解析的内容和解析返回的结果。类型字段代表了值的种类:类型为A代表值字段是一个IP地址,即用户所要的最终答案;类型为域名服务器(Name Server,简称NS)代表值字段是另一个域名服务器的域名,所述域名服务器能够知道如何解析域名字段所指定的域名;类型为别名记录(CNAME)代表值字段是由域名所指定的主机的一个别名;类型为邮件交换记录(MailExchanger,简称MX)代表值字段是一个邮件服务器的域名,所述邮件服务器接收由域名字段所指定的域的邮件;类型PTR用于域名反解等。分类字段允许指定其他的记录类型。生存时间字段用于指出所述资源记录的有效期是多少。为减少域名解析时间,域名服务器会缓存一些曾经查询过的、来自其他域名服务器的资源记录。由于这些资源记录会因为更改而失效,因此域名服务器设置了生存时间,到期的资源记录会被清除出缓存。
基于图1所示的系统架构,图2示例性示出了本发明实施例提供的一种DNS的评价方法流程示意图,如图2所示,该DNS的评价方法包括以下步骤:
步骤S201,根据DNS流量日志确定出DNS系统中的M个域名,以及M个域名中每个域名对应的预设类别中每个类别的多个特征维度信息;M为大于等于1的整数;
步骤S202,确定出M个域名中每个域名关联的关联标识信息;其中,关联标识信息包括IP地址和/或身份信息;
步骤S203,根据M个域名中每个域名与关联标识信息之间的关联关系,或者M个域名中每个域名的属性信息,确定出DNS系统的预设类别的每个类别的聚类评分;
步骤S204,根据DNS系统的预设类别的每个类别的聚类评分,确定出DNS系统的总系统评分。
由于本发明实施例中是根据M个域名和所述M个域名中每个域名对应的预设类别中每个类别的多个特征维度信息,因此,在进行DNS评价时增加了评价依据的特征维度;如此,提高了DNS评价的准确性;进一步,DNS系统的总系统评分是根据DNS系统的所述预设类别的每个类别的聚类评分来确定的,进一步提高了DNS评价的准确性。
可选地,本发明实施例中,在步骤S201之前,包括在预设的时长内获取DNS流量日志。DNS流量日志可以包括DNS请求报文的解析日志和DNS回复报文的解析日志,DNS请求报文和DNS回复报文包括5个部分,即DNS首部(Header Section),查询问题部分(QuestionSection),回答部分(Answer Section),授权部分(Authority Section),额外信息部分(Additional Section)。DNS请求报文的解析日志和DNS回复报文的解析日志包括DNS的资源记录,如主机(Address简称A)记录、A A AA记录、NS记录、CNAME记录等信息,其中,A记录是域名解析的重要记录,它用于将特定的主机名映射到对应主机的IP地址上;NS记录此记录指定负责此DNS区域的权威名称服务器,是域名服务器记录,用来指定所述域名由那个DNS服务器来进行解析的。
本发明实施例中,在获取到DNS流量日志之后,对该DNS流量日志进行数据预处理,包括筛选掉无用、无效的DNS流量日志。例如筛选掉通常在内网DNS记录中出现的域名、用于交换内网主机名等信息的域名,如“localhost”、“bogon.”、“arpa.”、“localdom.”等字符结尾的域名,由于该类域名出现在内网中,与互联网行为无关;筛选掉白名单中域名,白名单中的域名通常为较大机构、组织所有,访问量较大,安全性较高,发生异常的概率较低,白名单中的域名如AlexaTop 100M中的主域名,如baidu.com,google.com和qq.com。通过对DNS流量日志进行数据预处理,可以获得有效的DNS流量日志,进而减少数据的处理量。
可选地,本发明实施例中,根据DNS流量日志确定出DNS系统中的M个域名,M个域名可以包括单个域名、以某种规则聚合的域名的集合、包含特定字符的域名的集合。确定M个域名中每个域名对应的预设类别中每个类别的多个特征维度信息,其中,多个特征维度包括:域名长度;生存时间((Time To Live,简称TTL)的统计量,如TTL的最大值、TTL的最小值、TTL的平均值、TTL的方差;域名层级数;请求发送时间间隔;请求客户端IP地址数量;响应状态;域名对应的解析IP的数量;空域名周期性;解析IP的数量;初次出现的时间;访问周期;域名字符特性,如相异元音的数量、相异辅音的数量、元音辅音交替的频率;数字数量;域名主题特性,如域名主题为电信、资讯、门户、游戏等;客户端访问区域特性,如国家范围、经纬度范围、省市范围等;访问频度;客户端访问解析为空的域名的统计特性,如请求数量、相异域名数量、访问周期性、访问频度等。
可选地,本发明实施例中,所述根据所述M个域名中每个域名与所述关联标识信息之间的关联关系,或者所述M个域名中每个域名的属性信息,确定出所述DNS系统的聚类评分,包括:将所述M个域名中每个域名所关联的关联标识信息划分为一个第一实体元素组,得到N个第一实体元素组;根据所述N个第一实体元素组,确定出所述DNS系统的预设类别的第一聚类评分;将所述M个域名中属性信息之间的差异小于预设属性阈值的域名,以及所述域名所关联的关联标识信息划分为一个第二实体元素组,得到K个第二实体元素组;根据所述K个第二实体元素组,确定出所述DNS系统的预设类别的第二聚类评分;根据所述预设类别的第一聚类评分和所述预设类别的第二聚类评分,确定出所述DNS系统的预设类别的聚类评分。
可选地,本发明实施例中,确定出M个域名中每个域名与所述关联标识信息,与每个域名关联的关联标识信息可以为客户端IP、解析IP、身份信息等;每个域名与所述关联标识信息之间的关联关系可以包括:客户端IP与域名的关联关系,域名与身份信息的关联关系,域名与解析IP的关联关系、客户端IP与DNS服务器IP的关联关系;关联关系可以从DNS流量日志和身份信息库中获取四类关联关系。其中,域名与身份信息的关联关系是根据DNS请求报文中的Question Section中的QNAME或从DNS回复报文中的Answer Section中提取NAME,确定出客户端IP和域名形成的关联关系。域名与解析IP的关联关系是根据DNS回复报文中Answer Section、Authority Section、Additional Section中的资源记录(ResourceRecords简称RR)中获取域名和解析IP的关联关系。客户端IP与DNS服务器IP的关联关系,根据DNS请求报文和DNS回复报文的UDP头部获取客户端IP和DNS服务器IP的关联关系。域名与身份信息的关联关系是从身份信息库中获取的,身份信息可以为Whois信息,Whois可以用来查询域名是否被注册、以及注册该域名的详细信息:比如域名所有人、域名注册商等信息;其中,身份信息可以包括RegistrantName,RegistrantOrganization,RegistrantEmail,Admin Name,Admin Organization,Admin Email等。本发明实施例中对DNS的评价,不仅基于DNS的流量日志,而且结合了现实身份信息,增加了DNS评价的现实依据;如此,获得的DNS评价更准确和实用。而且,通过从关联关系分组和属性信息两个方面进行分组,减少了人工分析和查找工作量,并能够通过关联关系分组,发现域名关联中的集群特性。
可选地,本发明实施例中提供了一种将所述M个域名中每个域名所关联的关联标识信息划分为一个第一实体元素组的方式实现,具体过程如下:
根据M个域名中每个域名与所述关联标识信息之间的四类关联关系,构建知识图谱,形成的知识图谱可表示为G(V,E),V代表知识图谱的节点,E代表知识图谱的边。V={vi(ID、值、类型、该节点的属性},vi表示知识图谱中的任一节点,ID表示该节点在知识图谱中分配的唯一编号,一个节点可以属于多个集合。E={ei(源节点、目标节点、类型、该边的属性集合},ei表示知识图谱中的任一条边。知识图谱中的任一节点vi表示的是四类关联关系中的任一实体元素,知识图谱中的每个节点包括两个属性:该实体元素的类型和该实体元素对应的值;实体元素的类型可以包括:域名、客户端IP、DNS服务器IP、解析IP、身份信息;值为不同类型实体元素对应的值;比如域名为baidu.com对应的节点(类型=域名,值=baidu.com);比如Google提供的免费的DNS服务器的IP地址:8.8.8.8,该节点为(类型=域名服务器,值=8.8.8.8);知识图谱中的边表示实体元素节点之间的关联关系和边相关属性信息,其中,相关的属性信息包括类型:域名→IP;客户端→域名;客户端→DNS服务器;域名→身份信息;时间跨度信息,例如一个客户端对baidu.com的DNS请求发生在一天的12:00到14:00之间,则时间跨度为12:00-14:00;初次发生时间;发生频率;发生数量等。
用一个具体的例子来说明知识图谱的构建方法,例如在预设时长内,获取到的DNS流量日志中,域名为baidu.com在2016.10.17 23:00-2016.10.18 09:00之间的解析结果中均包括一个解析IP为220.181.57.217,发生的数量为1000,发生的频率为10,根据该DNS流量日志构建知识图谱的中的节点V为:v1(类型=域名,值=baidu.com),v2(类型=域名服务器,值=8.8.8.8),知识图谱的中的边E为e1(类型=域名→IP,开始时间=2016.10.17 23:00,结束时间=2016.10.1809:00,发生的数量=1000,发生的频率=10)。
可选地,将M个域名中每个域名所关联的关联标识信息划分为一个第一实体元素组。本发明实施例提供了一种实现方式,根据形成的知识图谱来进行分组;在知识图谱中的节点表示关联关系中的实体元素,节点的类型主要包括:域名、IP、身份信息三大类,因此,第一实体元素组的组合方式可以有三种组合类型:域名和IP,域名和身份信息,域名、IP和身份信息;域名和IP的组表示组内的实体元素域名和IP之间的关联关系,域名和身份信息的组表示组内实体元素域名和身份信息之间的关联关系,域名、IP和身份信息的组表示组内实体元素域名、IP和身份信息两两之间的关联关系。
可选地,将M个域名中每个域名所关联的关联标识信息划分为一个第一实体元素组,本发明实施例提供了一种可选的实现方式,如下:
假设需要聚合域名、IP、邮箱;
首先定义初始(节点/边)的过滤条件:节点vi的初始过滤条件为:类型=域名或者类型=IP或者类型=邮箱,边ei的初始过滤条件为:类型=域名→IP或者域名→邮箱;定义DNS的解析类型为:解析类型=A,或者解析类型=AAAA,根据上述定义的两个初始过滤条件,可以从知识图谱中过滤得到包括实体元素域名、IP、邮箱和之间的关联关系的子图。
为了便于说明,图3示例性示出了本发明实施例提供的一种域名、IP、邮箱以及之间关联关系的子图。如图3所示,逗号前面的1,2,3,4,5,6表示对应的节点在子图中的ID,是分配的标识相应节点的唯一编号。比如:1,邮箱1中,逗号前面的1表示邮箱1这个节点在子图中的ID,是为该节点分配的唯一编号;邮箱1标识子图中的一个节点。针对获得域名、IP、邮箱以及之间关联关系的子图进行分组;可选地,本发明实施例中可以运用多表join的方式或者基于Spark中的GraphX图计算套件或者GraphLab图计算库进行关联关系分组。
本发明实施例以最常见的多表join的方式为例子来说明具体分组的方式,根据图3中所述的子图,可以将域名与邮箱的关联关系,域名与IP的关联关系形成两张表:域名与邮箱的关联关系用表A表示,域名与IP的关联关系用表B表示。
表A:域名与邮箱的关联关系表
域名 邮箱 域名ID 邮箱ID
域名1 邮箱1 2 1
域名2 邮箱1 3 1
表B:域名与IP的关联关系表
域名 IP 域名ID IPID
域名1 IP 1 2 4
域名2 IP 3 3 6
域名1 IP 2 2 5
在表A和表B中,域名ID表示域名在子图中的全局唯一编号,邮箱ID表示邮箱在子图中的全局唯一编号,IPID标识IP在子图中的全局唯一编号。
将表A和表B以域名作为主键进行右连接,形成表C。
表C:表A和表B以域名为主键进行右连接获得的表
域名 邮箱 IP 域名ID 邮箱ID IPID
域名1 邮箱1 IP1 2 1 4
域名1 邮箱1 IP 2 2 1 5
域名2 邮箱1 IP 3 3 1 6
基于表C可以进行分组,共有三种分类方式,分别是:域名&IP分组group域名&Ip,域名&邮箱分组group域名&邮箱和域名&邮箱&IP分组group域名&邮箱&Ip
以域名&IP分组group域名&Ip为例说明,即将具有相同域名的IP分为一个第一实体元素组,分组之后,取域名ID和IPID中的最小值作为标识符来标记这个组,表示为group域名&Ip=MIN(域名ID,IPID)。举例来说,如表C中,域名1对应一个IP1和一个IP2,分组的时候将具有相同域名(域名1)的IP(IP1,IP2)分成一组{2,域名1;4,IP1;5,IP2}。可选地,确定组标识符group域名&Ip=MIN(域名ID,IPID),首先确定出IP(IP1,IP2)对应的域名ID(2,2)和IPID(4,5)中的最小值为2,则2作为这一组的标识符group域名&Ip(2);即确定出具有相同域名的IP组为:group域名&Ip(2)={2,域名1;4,IP1;5,IP2},group域名&Ip(3)={3,域名2;6,IP3}
同样的方法可以得到以域名&邮箱进行分组的第一实体元素组;即将具有相同域名的邮箱进行分组,根据子图可以确定出group域名&邮箱(1)={2,域名1;1,邮箱1},group域名&邮箱(1)={3,域名2;1,邮箱1}。以域名&邮箱&IP进行分组的第一实体元素组group域名&邮箱&ip,将具有相同域名的邮箱、IP划分为一个组,即针对一个域名既连接过邮箱又连接过IP的情况进行分组。根据子图可以确定出group域名&邮箱&Ip(1)={2,域名1;1,邮箱1;4,IP1;5,IP2},group域名&邮箱&Ip(1)={2,域名2;1,邮箱1;6,IP3}。
可选地,本发明实施例中,将所述M个域名中属性信息之间的差异小于预设属性阈值的域名,以及所述域名所关联的关联标识信息划分为一个第二实体元素组,得到K个第二实体元素组;
可选地,本发明实施例中可以根据M个域名中每个域名的属性信息进行分组,可以根据属性信息中一个或者属性信息组合来进行分组;M个域名中每个域名的属性信息包括:解析IP的数量;初次出现的时间;访问周期;域名字符特性,如相异元音的数量、相异辅音的数量、易读性、元音辅音交替的频率;数字数量;域名主题特性,如域名主题为电信、资讯、门户、游戏等;客户端访问区域特性,如国家范围、经纬度范围、省市范围等;访问频度;客户端访问解析为空的域名的统计特性,如请求数量、相异域名数量、访问周期性、访问频度,解析时间跨度等。可以根据不同属性信息或属性信息的组合形成特征向量;之后对属性信息或属性信息组合归一化后使用Xmeans/Kmeans等聚类算法进行分组,对分组后的每个第二实体元素组分配全局唯一标签。以具体的例子来说明,假设以域名属性信息组合,即客户端对域名的访问行为进行分组,获得组1={客户端1访问域名1;客户端1访问域名3},组2={客户端1访问域名2},则客户端1的分组标签的集合为{组1,组2};域名1的分组标签的集合为{组1},域名2的分组标签的集合为{组2},域名3的分组标签的集合为{组1},即若对域名进行分组,则每个域名都会从属于一个第二实体元素,该组的标签即为域名的分组标签。
可选地,所述根据所述N个第一实体元素组,确定出所述DNS系统的第一聚类评分,包括:针对所述N个第一实体元素组中的每个第一实体元素组,执行:对所述第一实体元素组中包括的目标域名对应的多个特征维度信息中的每个特征维度信息进行归一化;确定出所述第一实体元素组中所述关联标识信息对应的特征维度信息;其中,所述目标域名为所述M个域名中的任一个;根据所述第一实体元素组的目标域名对应的归一化后的所述多个特征维度信息中的每个特征维度信息,以及所述第一实体元素组中所述关联标识信息对应的特征维度信息,确定出所述DNS系统的所述第一聚类评分;述根据所述K个第二实体元素组,确定出所述DNS系统的第二聚类评分,包括:针对所述K个第二实体元素组中的每个第二实体元素组,执行:对所述第二实体元素组中包括的域名对应的多个属性信息中的每个属性信息进行归一化;确定出所述第二实体元素组中所述关联标识信息对应的特征维度信息;根据所述第二实体元素组的域名对应的归一化后的所述多个属性信息中的每个属性信息,以及所述第二实体元素组中所述关联标识信息对应的特征维度信息,确定出所述DNS系统的所述第二聚类评分。
本发明实施例中,针对所述N个第一实体元素组中的每个第一实体元素组,对每个第一实体组中包括的域名对应的多个特征维度信息中的每个维度信息进行归一化;本发明实施例提供了一种可选地归一化的方法:确定出每个第一实体元素组中多个特征维度信息中的最大值和最小值,根据公式(1)对每个第一实体元素组中的每个特征维度信息进行归一化:
其中,χ′表示归一化后的特征维度信息,χ表示当前特征维度信息,min表示该组中的特征维度信息的最小值,max表示该组中特征维度信息的最大值。
确定出所述每个第一实体元素组中所述关联标识信息对应的特征维度信息,包括确定出IP和/或身份信息对应的特征维度信息。其中,关联标识信息的特征维度信息根据外部威胁情报数据获得,比如IP的特征维度信息可以根据用户反馈,保存在威胁情报数据库,根据用户反馈的统计结果,在外部威胁情报数据库中标记相应的IP的特征维度信息,可以用0或者1表示,0表示IP安全,1表示IP危险。身份信息对应的特征维度信息可以根据身份信息数据库来获得。
根据所述第一实体元素组的域名对应的归一化后的所述多个特征维度信息中的每个特征维度信息,确定出所述DNS系统的所述第一聚类评分。可选地,本发明实施例中给出了一种可选地的确定DNS系统的第一聚类评分的方法,根据所述第一实体元素组中的域名对应的归一化后的所述多个特征维度信息中的每个特征维度信息,所述第一实体元素组中所述关联标识信息对应的特征维度信息,以及预设的每个特征维度信息从高到低的顺序,根据公式(2)确定所每个第一实体元素组的第一聚类评分;其中预设类别中每个类别中多个特征维度信息从高到低的顺序是根据研究这重视程度确定。
在公式(2)中,mg表示第一实体元素组的第一聚类评分,m1,mi,mj表示预设类别中每个类别对应的多个特征维度信息从高到低的多个特征维度归一化后的特征维度信息,m1表示多个特征维度中最高的,mi,mj表示多个特征维度中的任一个特征维度,n表示一共有n个特征维度信息。
根据确定出的N个第一实体元素组中的每个第一实体元素组的第一聚类评分,确定出最大的第一聚类评分作为DNS系统的所述第一聚类评分。
本发明实施例中,根据所述K个第二实体元素组,确定出所述DNS系统的第二聚类评分,包括:针对所述K个第二实体元素组中的每个第二实体元素组,执行:对所述第二实体元素组中包括的域名对应的多个属性信息中的每个属性信息进行归一化;本发明实施例提供了一种可选地归一化的方法:确定出每个第二实体元素组中多个属性信息中的最大值和最小值,针对K个第二实体元素组中的每个实体元素组中的每个属性信息,根据公式(1)对每个实体元素组中的每个属性信息进行归一化:
确定出所述每个第二实体元素组中所述关联标识信息对应的特征维度信息;包括确定出IP和/或身份信息对应的特征维度信息。其中,关联标识信息的特征维度信息根据外部威胁情报数据获得,比如IP的特征维度信息可以根据用户反馈,保存在威胁情报数据库,根据用户反馈的统计结果,在外部威胁情报数据库中标记相应的IP的特征维度信息,可以用0或者1表示,0表示IP安全,1表示IP危险。身份信息对应的特征维度信息可以根据身份信息数据库来获得。根据所述第二实体元素组的域名对应的归一化后的所述多个属性信息中的每个属性信息,以及所述第二实体元素组中所述关联标识信息对应的特征维度信息,确定出所述DNS系统的所述第二聚类评分。可选地,本发明实施例中给出了一种可选地的确定DNS系统的第二聚类评分的方法,根据所述第二实体元素组的域名对应的归一化后的所述多个属性信息中的每个属性信息,所述第二实体元素组中所述关联标识信息对应的特征维度信息,以及预设的每个特征维度信息从高到低的顺序,根据公式(2)确定所每个第二实体元素组的第二聚类评分;其中预设类别中每个类别中多个特征维度信息从高到低的顺序是根据研究这重视程度确定。
根据确定出的K个第二实体元素组的第二聚类评分,确定出最大的第二聚类评分作为DNS系统的所述第二聚类评分。
可选地,本发明实施例中确定DNS系统的所述第一聚类评分和DNS系统的所述第二聚类评分中的最大值最为DNS系统的聚类评分。
可选地,所述根据所述DNS系统的所述预设类别的每个类别的聚类评分,确定出所述DNS系统的总系统评分,包括:将目标域名对应的预设类别的多个特征维度信息中的每个特征维度信息进行归一化;其中,所述目标域名为所述M个域名中的任一个;根据所述目标域名域名对应的预设类别的归一化后的所述多个特征维度信息,确定出所述DNS系统的预设类别的个体评分;根据所述DNS系统的所述预设类别的每个类别的聚类评分,以及所述DNS系统的所述预设类别的每个类别的所述个体评分,确定出所述DNS系统的所述总系统评分。
可选地,本发明实施例中提供了另一种对多个域名中每个目标域名对应的预设类别的多个特征维度信息中的每个特征维度信息进行归一化的方法,以其中一种预设类别的对应的多个特征维度进行归一化为例来说明;比如,预设类别中的一种预设类别对应的多个特征维度信息为{a=2.5,b=3.5,c=0.5,d=1.5},对该四个特征维度信息进行归一化的过程为:
对四个特征维度信息求和,即2.5+3.5+0.5+1.5=8;确定每个特征维度信息与四个特征维度信息的和的比值,即2.5/8=0.3125,3.5/8=0.4375,0.5/8=0.0625,1.5/8=0.1875;则归一化后的四个特征维度信息为{a=0.3125,b=0.4375,c=0.0625,d=0.1875};根据公式(3)以及预设的每个特征维度信息从高到低的顺序确定出所述DNS系统的预设类别的个体评分;
在公式(3)中,md表示个体评分,m1,mi,mj表示预设类别中每个类别对应的多个特征维度信息从高到低的多个特征维度归一化后的特征维度信息,m1表示多个特征维度中最高的,mi,mj表示多个特征维度中的任一个特征维度,n表示一共有n个特征维度信息。
可选地,若确定DNS系统的预设类别的个体评分时针对的是目标域名,则统计出该域名相关的域名和或与该域名关联的关联信息的特征维度的信息,对每个统计出的特征维度信息进行归一化,根据公式(3)以及预设的每个特征维度信息从高到低的顺序确定出所述DNS系统的预设类别的个体评分。可选地,在确定DNS系统的预设类别的个体评分,由于关联信息的特征维度信息是根据外部威胁情报数据获得的,外部威胁情报数据的情报源和评价的标准可能会不同,进而会造成一个关联信息的特征维度对应多个信息,即可能一个特征维度对应多个值,此时,需要对这个特征维度的所有信息求中位数或者平均值,将确定出的中位数或者平均值作为该特征维度的特征维度信息。
可选地,本发明实施例中提供了一种根据所述DNS系统的所述预设类别的每个类别的聚类评分,以及所述DNS系统的所述预设类别的每个类别的个体评分,根据公式(4)确定出所述DNS系统的所述总系统评分。
m=mg+amd 公式(4)
在公式(4)中,m表示DNS系统的总系统评分,mg表示每个类别的聚类评分,md表示每个类别的个体评分,α为任意数。
可选地,所述预设类别包括:恶意度、流行度或异常度;所述根据所述DNS系统的所述预设类别的每个类别的聚类评分,确定出所述DNS系统的总系统评分,包括:根据所述DNS系统的恶意度的聚类评分,以及所述DNS系统的恶意度的所述个体评分,确定出所述DNS系统的恶意度的系统评分;根据所述DNS系统的流行度的聚类评分,以及所述DNS系统的流行度的所述个体评分,确定出所述DNS系统的流行度的系统评分;根据所述DNS系统的异常度的聚类评分,以及所述DNS系统的异常度的所述个体评分,确定出所述DNS系统的异常度的系统评分;根据所述DNS系统的恶意度的系统评分、流行度的系统评分和异常度的系统评分,确定出所述DNS系统的总系统评分。
可选地,本发明实施例中预设类别包括:恶意度、流行度或异常度;其中恶意度的特征维度可以包括:域名长度、生存时间值(TTL)、域名层级数、请求发送的时间间隔、请求客户端的IP数量、响应状态、域名对应的IP地址数量、空域名周期性,IP的恶意度,身份信息的恶意度。流行度的特征维度可以包括:DNS请求数量、相异请求客户端IP数量、同一集群中域名的数量、同一集群中域名目标跟踪(TLD)的数量、相异请求客户端地域的数量,IP的恶意度,身份信息的恶意度;流行度的特征维度信息根据获取的DNS流量日志、身份信息数据库和威胁情报进行统计获得。异常度的特征维度可以包括:同域名请求数量异常、同域名相异子域名数量异常、解析IP数量异常、同IP被指向域名异常,IP的恶意度,身份信息的恶意度,流行度的特征维度信息根据获取的DNS流量日志、身份信息数据库和威胁情报进行统计获得;其中,IP的恶意度,身份信息的恶意度通过威胁情报数据和身份信息数据库获得。
可选地,本发明实施例中,对DNS系统评价包括从恶意度、流行度、异常度三个预设类别中的任一个或任多个进行评价。针对多个进行评价时,可以根据所述DNS系统的恶意度的系统评分、流行度的系统评分和异常度的系统评分的加权值来确定确定出所述DNS系统的总系统评分。可以根据如此可以进一步实现对DNS评价的准确性。
由于本发明实施例中是根据M个域名和所述M个域名中每个域名对应的预设类别中每个类别的多个特征维度信息,因此,在进行DNS评价时增加了评价依据的特征维度;如此,提高了DNS评价的准确性;进一步,DNS系统的总系统评分是根据DNS系统的所述预设类别的每个类别的聚类评分来确定的,进一步提高了DNS评价的准确性。
图4示例性示出了本发明实施例提供的一种DNS的评价装置的结构示意图。
基于相同构思,本发明实施例提供一种DNS的评价装置,如图4所示,DNS的评价装置400包括确定单元401、评分单元402;还包括处理单元403。其中:
确定单元,用于根据DNS流量日志确定出DNS系统中的M个域名,以及所述M个域名中每个域名对应的预设类别中每个类别的多个特征维度信息;所述M为大于等于1的整数;确定出所述M个域名中每个域名关联的关联标识信息;其中,所述关联标识信息包括IP地址和/或身份信息;根据所述M个域名中每个域名与所述关联标识信息之间的关联关系,或者所述M个域名中每个域名的属性信息,确定出所述DNS系统的所述预设类别的每个类别的聚类评分;评分单元,用于根据所述DNS系统的所述预设类别的每个类别的聚类评分,确定出所述DNS系统的总系统评分。
可选地,还包括处理单元,用于:将所述M个域名中每个域名所关联的关联标识信息划分为一个第一实体元素组,得到N个第一实体元素组;其中,N为大于等于1且小于等于M的整数;将所述M个域名中属性信息之间的差异小于预设属性阈值的域名,以及所述域名所关联的关联标识信息划分为一个第二实体元素组,得到K个第二实体元素组;其中,K为大于等于1的整数;
所述评分单元,用于:根据所述N个第一实体元素组中的每一个第一实体元素组,确定出所述DNS系统的预设类别的第一聚类评分;根据所述K个第二实体元素组,确定出所述DNS系统的预设类别的第二聚类评分;根据所述预设类别的第一聚类评分和所述预设类别的第二聚类评分,确定出所述DNS系统的预设类别的聚类评分。
可选地,所述评分单元,用于:针对所述N个第一实体元素组中的每个第一实体元素组,执行:对所述第一实体元素组中包括的目标域名对应的多个特征维度信息中的每个特征维度信息进行归一化;其中,所述目标域名为所述M个域名中的任一个;确定出所述第一实体元素组中所述关联标识信息对应的特征维度信息;根据所述第一实体元素组的目标域名对应的归一化后的所述多个特征维度信息中的每个特征维度信息,以及所述第一实体元素组中所述关联标识信息对应的特征维度信息,确定出所述DNS系统的所述第一聚类评分;所述根据所述K个第二实体元素组,确定出所述DNS系统的第二聚类评分,包括:针对所述K个第二实体元素组中的每个第二实体元素组,执行:对所述第二实体元素组中包括的域名对应的多个特征维度信息中的每个特征维度信息进行归一化;确定出所述第二实体元素组中所述关联标识信息对应的特征维度信息;根据所述第二实体元素组的域名对应的归一化后的所述多个特征维度信息中的每个特征维度信息,以及所述第二实体元素组中所述关联标识信息对应的特征维度信息,确定出所述DNS系统的所述第二聚类评分。
可选地,所述评分单元,包括:将目标域名对应的预设类别的多个特征维度信息中的每个特征维度信息进行归一化;其中,所述目标域名为所述M个域名中的任一个;根据所述目标域名对应的预设类别的归一化后的所述多个特征维度信息,确定出所述DNS系统的预设类别的个体评分;根据所述DNS系统的所述预设类别的每个类别的聚类评分,以及所述DNS系统的所述预设类别的每个类别的所述个体评分,确定出所述DNS系统的所述总系统评分。
可选地,所述预设类别包括:恶意度、流行度或异常度;所述评分单元,用于:根据所述DNS系统的恶意度的聚类评分,以及所述DNS系统的恶意度的所述个体评分,确定出所述DNS系统的恶意度的系统评分;根据所述DNS系统的流行度的聚类评分,以及所述DNS系统的流行度的所述个体评分,确定出所述DNS系统的流行度的系统评分;根据所述DNS系统的异常度的聚类评分,以及所述DNS系统的异常度的所述个体评分,确定出所述DNS系统的异常度的系统评分;根据所述DNS系统的恶意度的系统评分、流行度的系统评分和异常度的系统评分,确定出所述DNS系统的总系统评分。
从上述内容可以看出:本发明实施例中,由于本发明实施例中是根据M个域名和所述M个域名中每个域名对应的预设类别中每个类别的多个特征维度信息,因此,在进行DNS评价时增加了评价依据的特征维度;如此,提高了DNS评价的准确性;进一步,DNS系统的总系统评分是根据DNS系统的所述预设类别的每个类别的聚类评分来确定的,进一步提高了DNS评价的准确性。
本领域内的技术人员应明白,本发明实施例可提供为方法、系统、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本发明实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (8)

1.一种域名解析系统DNS的评价方法,其特征在于,包括:
根据DNS流量日志确定出DNS系统中的M个域名,以及所述M个域名中每个域名对应的预设类别中每个类别的多个特征维度信息;所述M为大于等于1的整数;
确定出所述M个域名中每个域名关联的关联标识信息;其中,所述关联标识信息包括IP地址和/或身份信息;
将所述M个域名中每个域名所关联的关联标识信息划分为一个第一实体元素组,得到N个第一实体元素组;根据所述N个第一实体元素组,确定出所述DNS系统的预设类别的第一聚类评分;其中,N为大于等于1且小于等于M的整数;
将所述M个域名中属性信息之间的差异小于预设属性阈值的域名,以及所述域名所关联的关联标识信息划分为一个第二实体元素组,得到K个第二实体元素组;根据所述K个第二实体元素组,确定出所述DNS系统的预设类别的第二聚类评分;其中,K为大于等于1的整数;
根据所述预设类别的第一聚类评分和所述预设类别的第二聚类评分,确定出所述DNS系统的预设类别的聚类评分;
根据所述DNS系统的所述预设类别的每个类别的聚类评分,确定出所述DNS系统的总系统评分。
2.如权利要求1所述的方法,其特征在于,所述根据所述N个第一实体元素组,确定出所述DNS系统的第一聚类评分,包括:
针对所述N个第一实体元素组中的每个第一实体元素组,执行:
对所述第一实体元素组中包括的目标域名对应的多个特征维度信息中的每个特征维度信息进行归一化;其中,所述目标域名为所述M个域名中的任一个;
确定出所述第一实体元素组中所述关联标识信息对应的特征维度信息;
根据所述第一实体元素组的目标域名对应的归一化后的所述多个特征维度信息中的每个特征维度信息,以及所述第一实体元素组中所述关联标识信息对应的特征维度信息,确定出所述DNS系统的所述第一聚类评分;
所述根据所述K个第二实体元素组,确定出所述DNS系统的第二聚类评分,包括:
针对所述K个第二实体元素组中的每个第二实体元素组,执行:
对所述第二实体元素组中包括的所述域名对应的多个属性信息中的每个属性信息进行归一化;
确定出所述第二实体元素组中所述关联标识信息对应的特征维度信息;
根据所述第二实体元素组的域名对应的归一化后的所述多个属性信息中的每个属性信息,以及所述第二实体元素组中所述关联标识信息对应的特征维度信息,确定出所述DNS系统的所述第二聚类评分。
3.如权利要求1所述的方法,其特征在于,所述根据所述DNS系统的所述预设类别的每个类别的聚类评分,确定出所述DNS系统的总系统评分,包括:
将目标域名对应的预设类别的多个特征维度信息中的每个特征维度信息进行归一化;其中,所述目标域名为所述M个域名中的任一个;
根据所述目标域名对应的预设类别的归一化后的所述多个特征维度信息,确定出所述DNS系统的预设类别的个体评分;
根据所述DNS系统的所述预设类别的每个类别的聚类评分,以及所述DNS系统的所述预设类别的每个类别的所述个体评分,确定出所述DNS系统的所述总系统评分。
4.如权利要求3所述的方法,其特征在于,所述预设类别包括:恶意度、流行度或异常度;
所述根据所述DNS系统的所述预设类别的每个类别的聚类评分,确定出所述DNS系统的总系统评分,包括:
根据所述DNS系统的恶意度的聚类评分,以及所述DNS系统的恶意度的所述个体评分,确定出所述DNS系统的恶意度的系统评分;
根据所述DNS系统的流行度的聚类评分,以及所述DNS系统的流行度的所述个体评分,确定出所述DNS系统的流行度的系统评分;
根据所述DNS系统的异常度的聚类评分,以及所述DNS系统的异常度的所述个体评分,确定出所述DNS系统的异常度的系统评分;
根据所述DNS系统的恶意度的系统评分、流行度的系统评分和异常度的系统评分,确定出所述DNS系统的总系统评分。
5.一种域名解析系统DNS的评价装置,其特征在于,包括:
确定单元,用于根据DNS流量日志确定出DNS系统中的M个域名,以及所述M个域名中每个域名对应的预设类别中每个类别的多个特征维度信息;所述M为大于等于1的整数;确定出所述M个域名中每个域名关联的关联标识信息;其中,所述关联标识信息包括IP地址和/或身份信息;将所述M个域名中每个域名所关联的关联标识信息划分为一个第一实体元素组,得到N个第一实体元素组;其中,N为大于等于1且小于等于M的整数;将所述M个域名中属性信息之间的差异小于预设属性阈值的域名,以及所述域名所关联的关联标识信息划分为一个第二实体元素组,得到K个第二实体元素组;
评分单元,用于根据所述N个第一实体元素组,确定出所述DNS系统的预设类别的第一聚类评分;根据所述K个第二实体元素组,确定出所述DNS系统的预设类别的第二聚类评分;其中,K为大于等于1的整数;根据所述预设类别的第一聚类评分和所述预设类别的第二聚类评分,确定出所述DNS系统的预设类别的聚类评分,根据所述DNS系统的所述预设类别的每个类别的聚类评分,确定出所述DNS系统的总系统评分。
6.如权利要求5所述的装置,其特征在于,所述评分单元,用于:
针对所述N个第一实体元素组中的每个第一实体元素组,执行:对所述第一实体元素组中包括的目标域名对应的多个特征维度信息中的每个特征维度信息进行归一化;其中,所述目标域名为所述M个域名中的任一个;确定出所述第一实体元素组中所述关联标识信息对应的特征维度信息;根据所述第一实体元素组的目标域名对应的归一化后的所述多个特征维度信息中的每个特征维度信息,以及所述第一实体元素组中所述关联标识信息对应的特征维度信息,确定出所述DNS系统的所述第一聚类评分;所述根据所述K个第二实体元素组,确定出所述DNS系统的第二聚类评分,包括:针对所述K个第二实体元素组中的每个第二实体元素组,执行:对所述第二实体元素组中包括的域名对应的多个特征维度信息中的每个特征维度信息进行归一化;确定出所述第二实体元素组中所述关联标识信息对应的特征维度信息;根据所述第二实体元素组的域名对应的归一化后的所述多个特征维度信息中的每个特征维度信息,以及所述第二实体元素组中所述关联标识信息对应的特征维度信息,确定出所述DNS系统的所述第二聚类评分。
7.如权利要求5所述的装置,其特征在于,所述评分单元,包括:
将目标域名对应的预设类别的多个特征维度信息中的每个特征维度信息进行归一化;其中,所述目标域名为所述M个域名中的任一个;根据所述目标域名对应的预设类别的归一化后的所述多个特征维度信息,确定出所述DNS系统的预设类别的个体评分;根据所述DNS系统的所述预设类别的每个类别的聚类评分,以及所述DNS系统的所述预设类别的每个类别的所述个体评分,确定出所述DNS系统的所述总系统评分。
8.如权利要求7所述的装置,其特征在于,所述预设类别包括:恶意度、流行度或异常度;
所述评分单元,用于:
根据所述DNS系统的恶意度的聚类评分,以及所述DNS系统的恶意度的所述个体评分,确定出所述DNS系统的恶意度的系统评分;根据所述DNS系统的流行度的聚类评分,以及所述DNS系统的流行度的所述个体评分,确定出所述DNS系统的流行度的系统评分;根据所述DNS系统的异常度的聚类评分,以及所述DNS系统的异常度的所述个体评分,确定出所述DNS系统的异常度的系统评分;根据所述DNS系统的恶意度的系统评分、流行度的系统评分和异常度的系统评分,确定出所述DNS系统的总系统评分。
CN201710214360.5A 2017-04-01 2017-04-01 一种dns的评价方法和装置 Active CN107071084B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN201710214360.5A CN107071084B (zh) 2017-04-01 2017-04-01 一种dns的评价方法和装置
JP2019553903A JP6894528B2 (ja) 2017-04-01 2017-11-27 Dnsを評価するための方法及び装置
US16/498,900 US11431742B2 (en) 2017-04-01 2017-11-27 DNS evaluation method and apparatus
PCT/CN2017/113183 WO2018176874A1 (zh) 2017-04-01 2017-11-27 一种dns的评价方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710214360.5A CN107071084B (zh) 2017-04-01 2017-04-01 一种dns的评价方法和装置

Publications (2)

Publication Number Publication Date
CN107071084A CN107071084A (zh) 2017-08-18
CN107071084B true CN107071084B (zh) 2019-07-26

Family

ID=59601484

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710214360.5A Active CN107071084B (zh) 2017-04-01 2017-04-01 一种dns的评价方法和装置

Country Status (4)

Country Link
US (1) US11431742B2 (zh)
JP (1) JP6894528B2 (zh)
CN (1) CN107071084B (zh)
WO (1) WO2018176874A1 (zh)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107360185B (zh) * 2017-08-18 2020-09-25 中国移动通信集团海南有限公司 一种基于dns行为特征的网络评价方法及装置
CN108040053A (zh) * 2017-12-13 2018-05-15 北京明朝万达科技股份有限公司 一种基于dns日志数据的网络安全威胁分析方法及系统
CN110198292B (zh) * 2018-03-30 2021-12-07 腾讯科技(深圳)有限公司 域名识别方法和装置、存储介质及电子装置
CN108933695B (zh) * 2018-06-25 2021-05-25 百度在线网络技术(北京)有限公司 用于处理信息的方法和装置
US11086909B2 (en) 2018-11-27 2021-08-10 International Business Machines Corporation Partitioning knowledge graph
CN109361575A (zh) * 2018-12-20 2019-02-19 哈尔滨工业大学(威海) 一种获取分析dns流量数据的方法及其系统
CN109639744A (zh) * 2019-02-27 2019-04-16 深信服科技股份有限公司 一种dns隧道的检测方法及相关设备
CN111651591B (zh) * 2019-03-04 2023-03-21 腾讯科技(深圳)有限公司 一种网络安全分析方法和装置
CN110138720B (zh) * 2019-03-21 2021-08-24 秒针信息技术有限公司 网络流量的异常分类检测方法、装置、存储介质和处理器
US20200314107A1 (en) * 2019-03-29 2020-10-01 Mcafee, Llc Systems, methods, and media for securing internet of things devices
CN110611651B (zh) * 2019-07-19 2022-05-27 中国工商银行股份有限公司 网络监控方法、网络监控装置和电子设备
CN110995880B (zh) * 2019-11-29 2022-08-16 北京工业大学 一种dns数据质量评价方法
CN111131260B (zh) * 2019-12-24 2020-09-15 邑客得(上海)信息技术有限公司 一种海量网络恶意域名识别和分类方法及系统
CN114257565B (zh) * 2020-09-10 2023-09-05 中国移动通信集团广东有限公司 挖掘潜在威胁域名的方法、系统和服务器
CN112565007A (zh) * 2020-11-27 2021-03-26 中盈优创资讯科技有限公司 一种系统健康度评价方法及装置
CN113472914B (zh) * 2021-06-28 2023-09-26 北京天地互连信息技术有限公司 Dns定向预取缓存方法及系统
CN113904843B (zh) * 2021-10-08 2023-11-14 成都天空卫士网络安全技术有限公司 一种终端异常dns行为的分析方法和装置
US11606383B1 (en) * 2022-03-03 2023-03-14 Uab 360 It Securing against network vulnerabilities
CN114866342B (zh) * 2022-06-30 2023-01-17 广东睿江云计算股份有限公司 流量特征识别方法、装置、计算机设备及存储介质
CN115396163B (zh) * 2022-08-10 2023-04-11 广州天懋信息系统股份有限公司 一种恶意周期行为检测方法
CN115795143B (zh) * 2022-10-10 2024-02-13 深圳市网盾信息安全有限公司 一种基于计算机的信息评价系统及方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101572701A (zh) * 2009-02-10 2009-11-04 中科正阳信息安全技术有限公司 针对DNS服务的抗DDoS攻击安全网关系统
CN102685145A (zh) * 2012-05-28 2012-09-19 西安交通大学 一种基于dns数据包的僵尸网络域名发现方法
CN104639388A (zh) * 2014-12-30 2015-05-20 中国科学院计算机网络信息中心 一种基于用户感知的dns服务器可用性检测方法
CN105357335A (zh) * 2015-11-25 2016-02-24 中国互联网络信息中心 一种dns权威日志信息挖掘处理方法
CN105634845A (zh) * 2014-10-30 2016-06-01 任子行网络技术股份有限公司 一种用于对海量dns日志进行多维统计分析的方法及系统
CN105812204A (zh) * 2016-03-14 2016-07-27 中国科学院信息工程研究所 一种基于连接度估计的递归域名服务器在线识别方法
CN106060067A (zh) * 2016-06-29 2016-10-26 上海交通大学 基于Passive DNS迭代聚类的恶意域名检测方法

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8521908B2 (en) * 2009-04-07 2013-08-27 Verisign, Inc. Existent domain name DNS traffic capture and analysis
US20150365305A1 (en) * 2009-04-07 2015-12-17 Verisign, Inc. Domain name system traffic analysis
US8631489B2 (en) 2011-02-01 2014-01-14 Damballa, Inc. Method and system for detecting malicious domain names at an upper DNS hierarchy
JP5639535B2 (ja) * 2011-06-10 2014-12-10 日本電信電話株式会社 良性ドメイン名除外装置、良性ドメイン名除外方法、及びプログラム
US10742591B2 (en) * 2011-07-06 2020-08-11 Akamai Technologies Inc. System for domain reputation scoring
US20160065534A1 (en) * 2011-07-06 2016-03-03 Nominum, Inc. System for correlation of domain names
US9450840B2 (en) * 2013-07-10 2016-09-20 Cisco Technology, Inc. Domain classification using domain co-occurrence information
US9245121B1 (en) * 2013-08-09 2016-01-26 Narus, Inc. Detecting suspicious network behaviors based on domain name service failures
CN103929330B (zh) * 2014-04-22 2017-11-03 中国科学院计算技术研究所 域名服务质量评估方法及系统
US20170041332A1 (en) * 2015-08-07 2017-02-09 Cisco Technology, Inc. Domain classification based on domain name system (dns) traffic
CN105119915A (zh) * 2015-08-14 2015-12-02 中国传媒大学 基于情报分析的恶意域名检测方法及装置
CN112104498B (zh) * 2016-11-17 2023-04-07 贵州白山云科技股份有限公司 一种dns服务质量评定方法、装置、介质及设备
CN107360185B (zh) * 2017-08-18 2020-09-25 中国移动通信集团海南有限公司 一种基于dns行为特征的网络评价方法及装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101572701A (zh) * 2009-02-10 2009-11-04 中科正阳信息安全技术有限公司 针对DNS服务的抗DDoS攻击安全网关系统
CN102685145A (zh) * 2012-05-28 2012-09-19 西安交通大学 一种基于dns数据包的僵尸网络域名发现方法
CN105634845A (zh) * 2014-10-30 2016-06-01 任子行网络技术股份有限公司 一种用于对海量dns日志进行多维统计分析的方法及系统
CN104639388A (zh) * 2014-12-30 2015-05-20 中国科学院计算机网络信息中心 一种基于用户感知的dns服务器可用性检测方法
CN105357335A (zh) * 2015-11-25 2016-02-24 中国互联网络信息中心 一种dns权威日志信息挖掘处理方法
CN105812204A (zh) * 2016-03-14 2016-07-27 中国科学院信息工程研究所 一种基于连接度估计的递归域名服务器在线识别方法
CN106060067A (zh) * 2016-06-29 2016-10-26 上海交通大学 基于Passive DNS迭代聚类的恶意域名检测方法

Also Published As

Publication number Publication date
US11431742B2 (en) 2022-08-30
CN107071084A (zh) 2017-08-18
US20200045070A1 (en) 2020-02-06
WO2018176874A1 (zh) 2018-10-04
JP2020516187A (ja) 2020-05-28
JP6894528B2 (ja) 2021-06-30

Similar Documents

Publication Publication Date Title
CN107071084B (zh) 一种dns的评价方法和装置
EP3092569B1 (en) Cyber security adaptive analytics threat monitoring system and method
CN110033302B (zh) 恶意账户识别方法及装置
US11816161B2 (en) Asset search and discovery system using graph data structures
US9930005B2 (en) Method, device and system for processing DNS cache information
US11201848B2 (en) DNS-based ranking of domain names
CN108616544B (zh) 用于检测对域名系统记录系统的更新的方法、系统和介质
US10609060B2 (en) Clustering network addresses
CN111343301A (zh) 一种定位方法、定位装置、电子设备及存储介质
CN106713242B (zh) 数据请求的处理方法及处理装置
CN110765374A (zh) 风险链接识别方法、装置及计算机设备
WO2022132346A1 (en) Systems and methods for performing dynamic firewall rule evaluation
Zang et al. Identifying fast-flux botnet with AGD names at the upper DNS hierarchy
CN110445772B (zh) 一种基于主机关系的互联网主机扫描方法及系统
US9405796B2 (en) Systems and methods for analyzing registrar and hosting provider relationships
CN111651741B (zh) 用户身份识别方法、装置、计算机设备和存储介质
CN107736003B (zh) 用于保护域名安全的方法和设备
CN108847962B (zh) 一种信息审计方法及装置
Komosny et al. Internet geography and real estate market
Mansoori et al. Geolocation tracking and cloaking of malicious web sites
CN112261134B (zh) 网络数据访问审计方法、装置、设备及存储介质
CN114531307B (zh) 主动防御网关的api模型构建与防御方法及系统
CN113221168B (zh) 一种基于差分隐私的划分业务对象集合的方法和装置
Rüedlinger et al. FeedMeter: evaluating the quality of community-driven threat intelligence
Li et al. Role Identification of Domain Name Server Using Machine Learning based on DNS Response Features

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder
CP01 Change in the name or title of a patent holder

Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building

Co-patentee after: NSFOCUS TECHNOLOGIES Inc.

Patentee after: NSFOCUS Technologies Group Co.,Ltd.

Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building

Co-patentee before: NSFOCUS TECHNOLOGIES Inc.

Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd.