CN107360185A - 一种基于dns行为特征的网络评价方法及系统 - Google Patents

一种基于dns行为特征的网络评价方法及系统 Download PDF

Info

Publication number
CN107360185A
CN107360185A CN201710713756.4A CN201710713756A CN107360185A CN 107360185 A CN107360185 A CN 107360185A CN 201710713756 A CN201710713756 A CN 201710713756A CN 107360185 A CN107360185 A CN 107360185A
Authority
CN
China
Prior art keywords
scoring
dimension
domain name
group
dns
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710713756.4A
Other languages
English (en)
Other versions
CN107360185B (zh
Inventor
王瑶
李映壮
何瑞强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Group Hainan Co Ltd
Original Assignee
China Mobile Group Hainan Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Group Hainan Co Ltd filed Critical China Mobile Group Hainan Co Ltd
Priority to CN201710713756.4A priority Critical patent/CN107360185B/zh
Publication of CN107360185A publication Critical patent/CN107360185A/zh
Application granted granted Critical
Publication of CN107360185B publication Critical patent/CN107360185B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明适用于网络评价领域,提供了基于DNS行为特征的网络评价方法,包括:接收待评价的域名解析系统DNS日志;从DNS日志提取第一集合和第二集合;分别对第一集合和第二集合中的各组对应关系进行多个维度的评分,得到第一评分集合和第二评分集合;对于各个维度,分别从第一评分集合和第二评分集合中提取评分最大值作为第一和第二系统维度评分集合;根据第一系统维度评分集合和第二系统维度评分集合进行综合评分,以得到的综合评分对DNS日志进行网络评价。本发明实施例从多个维度对DNS系统进行评分,如恶意度、流行度、异常度,并以小组为单位,从多个特征维度对DNS系统进行评价,有效提高了DNS系统评价的可信度与准确性。

Description

一种基于DNS行为特征的网络评价方法及系统
技术领域
本发明属于互联网技术领域,尤其涉及一种基于DNS行为特征的网络评价 方法及系统。
背景技术
域名解析系统(Domain Name Service,简称DNS),是因特网上作为域名 和IP地址相互映射的一个分布式数据库。恶意DNS的危害性高,会造成用户 的财产损失,严重时甚至可能导致网站或网络瘫痪。因此DNS系统的自身安全 性极其重要。
目前常用的DNS系统评分技术是对单个域名从客户端的访问数量进行恶意 度的评价,现有技术对DNS的评价仅依据单个域名的一个维度,从恶意度一个 评价方向进行评价DNS系统,导致评价的可信度较低。
发明内容
本发明所要解决的技术问题在于提供一种基于DNS行为特征的网络评价 方法及系统,旨在解决现有技术中存在仅针对单个域名、单维度评价算法导致 可信度低的问题。
本发明是这样实现的,一种基于DNS行为特征的网络评价方法,包括:
接收待评价的域名解析系统DNS日志;
从所述DNS日志提取出包含有若干组请求域名与服务器IP对应关系的第 一集合、包含有若干组客户端IP与请求域名对应关系的第二集合;
分别对所述第一集合和所述第二集合中的各组对应关系进行多个维度的评 分,得到第一评分集合和第二评分集合;
对于各个维度,从所述第一评分集合提取评分最大值作为所述第一集合在 该维度的系统评分,得到第一系统维度评分集合,从所述第二评分集合提取评 分最大值作为所述第二集合在该维度的系统评分,得到第二系统维度评分集合;
根据所述第一系统维度评分集合和所述第二系统维度评分集合进行综合评 分,以得到的综合评分对所述DNS日志进行网络评价。
进一步地,所述从所述DNS日志提取出包含有若干组请求域名与服务器 IP对应关系的第一集合、包含有若干组客户端IP与请求域名对应关系的第二集 合包括:
从所述DNS日志中提取每次DNS请求的客户端IP、请求域名和服务器IP;
根据提取的信息绘制域名整体DGA图;
从所述域名整体DGA图中提取请求域名和服务器IP的关系图,根据请求 域名和服务器IP的关系图将域名进行分组,得到包括若干小组的第一集合,所 述第一集合中的每个小组中的请求域名和服务器IP与其他小组没有任何连接 关系;
从所述域名整体DGA图中提取客户端IP和请求域名的关系图,根据客户 端IP和请求域名的关系图将域名进行分组,得到包括若干小组的第二集合,所 述第二集合中的每个小组中的请求域名和客户端IP与其他小组没有任何连接 关系。
进一步地,以A表示所述第一集合,第一集合A中包含k个小组,分别为 {A1,A2,…Ai,…Ak},i∈k,以ui1,ui2,…uij,…uip表示小组Ai中包括的若干域名,以 mij1,mij2,…mijr,…mijp表示域名uij中的若干特征向量,则对所述第一集合中的各组对 应关系进行多个维度的评分,得到第一评分集合的步骤包括:
根据对第一集合A中的任意特征向量进行归一化处理,得到 归一化后的特征向量,其中X'表示归一化后的特征维度信息,X表示当前特征 维度信息,min表示该组中的特征维度信息的最小值,max表示该组中特征维 度信息的最大值;
将归一化后的特征向量中的特征值按照重视程度从高到低进行排序,对排 序后的特征值进行评分;
以mijk表示归一化后的任意一个特征向量,其包含有n个特征值且n个特征 值按照重视程度从高到低进行排序,则mijk={t1,t2,…,tr,tn},以表示第Ai小组中 第j个域名的第k个特征值的评分,则
对评分后的特征值进行求和,得到维度评分,根据所述维度评分求得包含 若干维度评分的所述第一评分集合;
表示所述维度评分,即其中p表示该小组的域名总个数, 则所述第一评分集合为:其中m表示第m个维度。
进一步地,所述DNS日志包括若干维度,将所述若干维度标记为(1,…, q),以表示所述第一评分集合中维度q的维度评分,以表示 所述第一评分集合,则对于各个维度,从所述第一评分集合提取评分最大值作 为所述第一集合在该维度的系统评分,得到第一系统维度评分集合包括:
表示所述第一系统维度评分集合,其中第q维度评分表 示所有第一集合A中维度q的评分中的最大值,即
进一步地,所述DNS日志包括若干维度,将所述若干维度标记为(1,…, q),以表示所述第一系统维度评分集合,以表示所述 第二系统维度评分集合,则根据所述第一系统维度评分集合和所述第二系统维 度评分集合进行综合评分包括:
以sq表示维度q的综合评分,则α为固定权值;
以s表示所述综合评分,则
本发明还提供了一种基于DNS行为特征的网络评价装置,包括:
域名分组单元,用于接收待评价的域名解析系统DNS日志,从所述DNS 日志提取出包含有若干组请求域名与服务器IP对应关系的第一集合、包含有若 干组客户端IP与请求域名对应关系的第二集合;
小组评分单元,用于分别对所述第一集合和所述第二集合中的各组对应关 系进行多个维度的评分,得到第一评分集合和第二评分集合;
系统评分单元,用于对于各个维度,从所述第一评分集合提取评分最大值 作为所述第一集合在该维度的系统评分得到第一系统维度评分集合,从所述第 二评分集合提取评分最大值作为所述第二集合在该维度的系统评分得到第二系 统维度评分集合;
综合评分单元,用于根据所述第一系统维度评分集合和所述第二系统维度 评分集合进行综合评分,以得到的综合评分对所述DNS日志进行网络评价。
进一步地,所述域名分组单元具体用于:
从所述DNS日志中提取每次DNS请求的客户端IP、请求域名和服务器IP;
根据提取的信息绘制域名整体DGA图;
从所述域名整体DGA图中提取请求域名和服务器IP的关系图,根据请求 域名和服务器IP的关系图将域名进行分组,得到包括若干小组的第一集合,所 述第一集合中的每个小组中的请求域名和服务器IP与其他小组没有任何连接 关系;
从所述域名整体DGA图中提取客户端IP和请求域名的关系图,根据客户 端IP和请求域名的关系图将域名进行分组,得到包括若干小组的第二集合,所 述第二集合中的每个小组中的请求域名和客户端IP与其他小组没有任何连接 关系。
进一步地,以A表示所述第一集合,第一集合A中包含k个小组,分别为 {A1,A2,…Ai,…Ak},i∈k,以ui1,ui2,…uij,…uip表示小组Ai中包括的若干域名,以 mij1,mij2,…mijr,…mijp表示域名uij中的若干特征向量,则所述小组评分单元具体用 于:
根据对第一集合A中的任意特征向量进行归一化处理,得到 归一化后的特征向量,其中X'表示归一化后的特征维度信息,X表示当前特征 维度信息,min表示该组中的特征维度信息的最小值,max表示该组中特征维 度信息的最大值;
将归一化后的特征向量中的特征值按照重视程度从高到低进行排序,对排 序后的特征值进行评分;
以mijk表示归一化后的任意一个特征向量,其包含有n个特征值且n个特征 值按照重视程度从高到低进行排序,则mijk={t1,t2,…,tr,tn},以表示第Ai小组中 第j个域名的第k个特征值的评分,则
对评分后的特征值进行求和,得到维度评分,根据所述维度评分求得包含 若干维度评分的所述第一评分集合;
表示所述维度评分,即其中p表示该小组的域名总个数, 则所述第一评分集合为:其中m表示第m个维度。
进一步地,所述DNS日志包括若干维度,将所述若干维度标记为(1,…, q),以表示所述第一评分集合中维度q的评分,以表示所述 第一评分集合,则系统评分单元具体用于:
表示所述第一系统维度评分集合,其中第q维度评分表 示所有第一集合A中维度q的评分中的最大值,即
进一步地,所述DNS日志包括若干维度,将所述若干维度标记为(1,…, q),以表示所述第一系统维度评分集合,以表示所述 第二系统维度评分集合,则综合评分单元具体用于:
以sq表示维度q的综合评分,则α为固定权值;
以s表示所述综合评分,则
本发明与现有技术相比,有益效果在于:本发明实施例通过采用两种不同 分组方法,将从DNS日志提取的信息进行分组,得到不同对应关系的两个集合, 分别从两个集合进行两个角度评分,根据两个角度的评分得到综合DNS系统评 分。本发明实施例从多个维度对DNS系统进行评分,如恶意度、流行度、异常 度,并以小组为单位,从多个特征维度对DNS系统进行评价,有效提高了DNS 系统评价的可信度与准确性。
附图说明
图1是本发明实施例提供的一种基于DNS行为特征的网络评价方法的流程 图;
图2是本发明实施例提供的一种基于DNS行为特征的网络评价装置的结构 示意图;
图3是本发明实施例提供的基于DNS行为特征的网络评价装置进行评分的 流程图;
图4是本发明实施例提供的域名整体DGA图;
图5是本发明实施例提供的请求域名与服务器IP的关系图;
图6是本发明实施例提供的请求域名与服务器IP的分组图;
图7是本发明实施例提供的客户端IP和请求域名的关系图;
图8是本发明实施例提供的客户端IP和请求域名的分组图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实 施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅 仅用以解释本发明,并不用于限定本发明。
图1示出了本发明实施例提供的一种基于DNS行为特征的网络评价方法, 包括:
S101,接收待评价的域名解析系统DNS日志;
S102,从所述DNS日志提取出包含有若干组请求域名与服务器IP对应关 系的第一集合、包含有若干组客户端IP与请求域名对应关系的第二集合。
在本步骤中,网络评价装置将DNS日志中提取的信息进行分组,具体包括: 从所述DNS日志中提取每次DNS请求的客户端IP、请求域名和服务器IP;根 据提取的信息绘制域名整体DGA(Domain Generate Algorithm,域名生成算法) 图;从所述域名整体DGA图中提取请求域名和服务器IP的关系图,根据请求 域名和服务器IP的关系图将域名进行分组,得到包括若干小组的第一集合,所 述第一集合中的每个小组中的请求域名和服务器IP与其他小组没有任何连接 关系;从所述域名整体DGA图中提取客户端IP和请求域名的关系图,根据客 户端IP和请求域名的关系图将域名进行分组,得到包括若干小组的第二集合, 所述第二集合中的每个小组中的请求域名和客户端IP与其他小组没有任何连 接关系。
S103,分别对所述第一集合和所述第二集合中的各组对应关系进行多个维 度的评分,得到第一评分集合和第二评分集合。
在本步骤中,网络评分装置分别对步骤S102中得到第一集合和第二集合 进行维度评分,得到包含有不同维度的评分的第一评分集合和第二评分集合, 网络评分装置对第一集合和第二集合的处理过程相同,下面只阐述对第一集合 的处理步骤:
以A表示所述第一集合,第一集合A中包含k个小组,分别为 {A1,A2,…Ai,…Ak},i∈k,以ui1,ui2,…uij,…uip表示小组Ai中包括的若干域名,以 mij1,mij2,…mijr,…mijp表示域名uij中的若干特征向量,则对所述第一集合中的各组对 应关系进行多个维度的评分,得到第一评分集合的步骤包括:根据对第一集合A中的任意特征向量进行归一化处理,得到归一化后的特征向量, 其中X'表示归一化后的特征维度信息,X表示当前特征维度信息,min表示该 组中的特征维度信息的最小值,max表示该组中特征维度信息的最大值;
将归一化后的特征向量中的特征值按照重视程度从高到低进行排序,对排 序后的特征值进行评分;
以mijk表示归一化后的任意一个特征向量,其包含有n个特征值且n个特征 值按照重视程度从高到低进行排序,则mijk={t1,t2,…,tr,tn},以表示第Ai小组中 第j个域名的第k个特征值的评分,则
对评分后的特征值进行求和,得到维度评分,根据所述维度评分求得包含 若干维度评分的所述第一评分集合;
表示所述维度评分,即其中p表示该小组的域名总个数, 则所述第一评分集合为:其中m表示第m个维度。
S104,对于各个维度,从所述第一评分集合提取评分最大值作为所述第一 集合在该维度的系统评分,得到第一系统维度评分集合,从所述第二评分集合 提取评分最大值作为所述第二集合在该维度的系统评分,得到第二系统维度评 分集合。
在本步骤中,网络评分装置对第一评分集合和第二评分集合的处理步骤相 同,下面只阐述对第一评分集合的处理步骤:
所述DNS日志包括若干维度,将所述若干维度标记为(1,…,q),以表示所述第一评分集合中维度q的维度评分,以表示所述第一 评分集合,则对于各个维度,从所述第一评分集合提取评分最大值作为所述第 一集合在该维度的系统评分,得到第一系统维度评分集合包括:
表示所述第一系统维度评分集合,其中第q维度评分表 示所有第一集合A中维度q的评分中的最大值,即
S105,根据所述第一系统维度评分集合和所述第二系统维度评分集合进行 综合评分,以得到的综合评分对所述DNS日志进行网络评价。
在本步骤中,所述DNS日志包括若干维度,将所述若干维度标记为(1,…, q),以表示所述第一系统维度评分集合,以表示所述 第二系统维度评分集合,则根据所述第一系统维度评分集合和所述第二系统维 度评分集合进行综合评分包括:
以sq表示维度q的综合评分,则α为固定权值;
以s表示所述综合评分,则
本发明实施例通过采用两种不同分组方法,将DNS系统从客户端IP与请 求域名关系、请求域名与服务器IP关系两个角度进行评分,根据两个角度的 DNS系统评分得到综合DNS系统评分,采用以小组为单位的评价算法,评价 每个小组的域名得分。除此,本发明实施例从多个维度对DNS系统进行评分, 如恶意度、流行度、异常度,有效提高了DNS系统评价的可信度。
图2示出了本发明实施例提供的一种基于DNS行为特征的网络评价装置, 包括:
域名分组单元201,用于接收待评价的域名解析系统DNS日志,从所述 DNS日志提取出包含有若干组请求域名与服务器IP对应关系的第一集合、包 含有若干组客户端IP与请求域名对应关系的第二集合。具体地,域名分组单元 201包括用于根据提取的信息进行不同分组的域名分组单元A和域名分组单元 B。
小组评分单元202,用于分别对所述第一集合和所述第二集合中的各组对 应关系进行多个维度的评分,得到第一评分集合和第二评分集合。具体地,小 组评分单元202包括用于分别对域名分组单元A和域名分组单元B进行维度评 分的小组评分单元A和小组评分单元B。
系统评分单元203,用于对于各个维度,从所述第一评分集合提取评分最 大值作为所述第一集合在该维度的系统评分得到第一系统维度评分集合,从所 述第二评分集合提取评分最大值作为所述第二集合在该维度的系统评分得到第 二系统维度评分集合。具体地,系统评分单元203包括用于分别对域名分组单 元A和域名分组单元B进行维度评分的小组评分单元A和小组评分单元B。
综合评分单元204,用于根据所述第一系统维度评分集合和所述第二系统 维度评分集合进行综合评分,以得到的综合评分对所述DNS日志进行网络评 价。
下面结合图3到图8对本发明实施例进行进一步的解释:
如图3所示,本发明实施例提供一种DNS系统的网络评价方法,并将运行 该方法的单元封装成一个网络评分装置,该网络评分装置有四个单元:分别为 域名分组单元、小组评分单元、系统评分单元、综合评分单元,在实际应用中, DNS日志输入至该网络评分装置,输出DNS系统评分。
域名分组单元的作用:
域名分组单元A从DNS日志中提取每次DNS请求的客户端IP、请求域名、 服务器IP等信息,根据所有信息绘制如图4所示的域名整体DGA图。
从域名整体DGA图中提取如图5所示的请求域名与服务器IP的关系图。 根据请求域名与服务器IP的关系图将域名进行分组,每个小组中的请求域名、 服务器IP均与其他小组没有任何连接关系,分组得到的第一集合如图6所示。
域名分组单元B从DNS日志中提取每次DNS请求的客户端IP、请求域名、 服务器IP等信息,根据所有信息绘制如图4所示的域名整体DGA图。从域名 整体DGA图中提取如图7所示的客户端IP与请求域名关系图。根据客户端IP 与请求域名的关系图将域名进行分组。每个小组中的请求域名、客户端IP均与 其他小组没有任何连接关系,分组得到的第二集合如图8所示。
小组评分单元的作用:
假设经过域名分组单元A后得到的第一集合包括k个A类小组,分别为 {A1,A2,…Ai,…Ak},其中Ai组内有若干域名,分别为ui1,ui2,…uij,…uip。对于任意小 组Ai的任意域名uij有若干特征向量:mij1,mij2,…mijr,…mijp
首先根据公式(1)对任意特征向量的进行归一化。
其中,X'表示归一化后的特征维度信息,X表示当前特征维度信息,min 表示该组中的特征维度信息的最小值,max表示该组中特征维度信息的最大值。
例如,mijk特征向量为:{a1=2.5,a2=3.5,a3=0.5,a4=1.5},则归一化后的 域名的恶意度特征向量为{a1=0.3125,a2=0.4375,a3=0.0625,a4=0.1875}
假设特征向量mijk有n个特征值,且这n个特征值由重视程度从高到低排序, 则可表示为mijk={t1,t2,…,tr,tn},则第Ai组域名的第j个域名的第k个特征值评分 为:
根据公式(3)可以求得第一集合经小组评分单元A后的q维度评分:其中m表示第m个维度,且:
上述公式(3)中,p表示该小组的域名总个数。
同理,假设经过域名分组单元B后得到的第二集合包括k个B类小组,分 别为{B1,B2,…Bi,…Bk},其中Bi组内有若干域名,分别为ui1,ui2,…uij,…uip。对于任 意小组Bi的任意域名uij有若干特征向量:mij1,mij2,…mijr,…mijp
假设任意小组Bi的特征向量mijk有n个特征值,且这n个特征值由重视程度 从高到低排序,则可表示为mijk={t1,t2,…,tr,tn}。
可求得第二集合经小组评分单元B后的q维度评分:
系统评分单元的作用:
对于每类分组的系统评分,系统评分单元都有多个维度单元,如:恶意度评 分、流行度评分、异常度评分,将这几个维度标号1,……,q。
则有:
A类小组的系统评分单元A有q维度评分:其中第q维度的 最终评分为所有A类小组第q维度评分的最大值,即
B类小组的系统评分单元B有q维度评分:其中第q维度的 最终评分为所有B类小组第q维度评分的最大值,即
综合评分单元的作用:
同A、B两类分组的系统评分单元一样,综合评分单元也有多个维度评分: {s1,s2,…sq},如:恶意度评分、流行度评分、异常度评分,将这几个维度标号 1,……,q,则有:
DNS系统第q维度的综合评分为:α为固定权值;
DNS系统的综合评分为:
本发明实施例通过两种分组方式,从两个角度评价了DNS系统,并以小组 为单位,从多个特征维度对DNS系统进行评价,有效提高了DNS系统评价的 可信度与准确性。
本发明实施例在实际应用中的注意事项如下:
1、两种分组方法。首先根据DNS日志绘制域名DGA整体图,然后通过提 取请求域名与服务器IP的关系,进行分组,得到A类分组;通过提取请求域 名与客服端IP的关系,进行分组,得到B类分组。
2、确定A、B两类域名小组中每个域名的多特征维度信息方法。
3、确定A、B两类域名小组中每个域名属性,并分别得到A类DNS评分 和B类DNS评分方法。
4、根据A类DNS评分和B类DNS评分,确定DNS系统综合评分的方法。
本发明实施例提供的网络评级方法及装置,可以应用在以下方面:
1、DGA域名生成算法
2、单维度特征向量对DNS聚类评分。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明 的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的 保护范围之内。

Claims (10)

1.一种基于DNS行为特征的网络评价方法,其特征在于,包括:
接收待评价的域名解析系统DNS日志;
从所述DNS日志提取出包含有若干组请求域名与服务器IP对应关系的第一集合、包含有若干组客户端IP与请求域名对应关系的第二集合;
分别对所述第一集合和所述第二集合中的各组对应关系进行多个维度的评分,得到第一评分集合和第二评分集合;
对于各个维度,从所述第一评分集合提取评分最大值作为所述第一集合在该维度的系统评分,得到第一系统维度评分集合,从所述第二评分集合提取评分最大值作为所述第二集合在该维度的系统评分,得到第二系统维度评分集合;
根据所述第一系统维度评分集合和所述第二系统维度评分集合进行综合评分,以得到的综合评分对所述DNS日志进行网络评价。
2.如权利要求1所述的网络评价方法,其特征在于,所述从所述DNS日志提取出包含有若干组请求域名与服务器IP对应关系的第一集合、包含有若干组客户端IP与请求域名对应关系的第二集合包括:
从所述DNS日志中提取每次DNS请求的客户端IP、请求域名和服务器IP;
根据提取的信息绘制域名整体DGA图;
从所述域名整体DGA图中提取请求域名和服务器IP的关系图,根据请求域名和服务器IP的关系图将域名进行分组,得到包括若干小组的第一集合,所述第一集合中的每个小组中的请求域名和服务器IP与其他小组没有任何连接关系;
从所述域名整体DGA图中提取客户端IP和请求域名的关系图,根据客户端IP和请求域名的关系图将域名进行分组,得到包括若干小组的第二集合,所述第二集合中的每个小组中的请求域名和客户端IP与其他小组没有任何连接关系。
3.如权利要求2所述的网络评价方法,其特征在于,以A表示所述第一集合,第一集合A中包含k个小组,分别为{A1,A2,…Ai,…Ak},i∈k,以ui1,ui2,…uij,…uip表示小组Ai中包括的若干域名,以mij1,mij2,…mijr,…mijp表示域名uij中的若干特征向量,则对所述第一集合中的各组对应关系进行多个维度的评分,得到第一评分集合的步骤包括:
根据对第一集合A中的任意特征向量进行归一化处理,得到归一化后的特征向量,其中X'表示归一化后的特征维度信息,X表示当前特征维度信息,min表示该组中的特征维度信息的最小值,max表示该组中特征维度信息的最大值;
将归一化后的特征向量中的特征值按照重视程度从高到低进行排序,对排序后的特征值进行评分;
以mijk表示归一化后的任意一个特征向量,其包含有n个特征值且n个特征值按照重视程度从高到低进行排序,则mijk={t1,t2,…,tr,tn},以表示第Ai小组中第j个域名的第k个特征值的评分,则
对评分后的特征值进行求和,得到维度评分,根据所述维度评分求得包含若干维度评分的所述第一评分集合;
表示所述维度评分,即其中p表示该小组的域名总个数,则所述第一评分集合为:其中m表示第m个维度。
4.如权利要求3所述的网络评价方法,其特征在于,所述DNS日志包括若干维度,将所述若干维度标记为(1,…,q),以表示所述第一评分集合中维度q的维度评分,以表示所述第一评分集合,则对于各个维度,从所述第一评分集合提取评分最大值作为所述第一集合在该维度的系统评分,得到第一系统维度评分集合包括:
表示所述第一系统维度评分集合,其中第q维度评分表示所有第一集合A中维度q的评分中的最大值,即
5.如权利要求4所述的网络评价方法,其特征在于,所述DNS日志包括若干维度,将所述若干维度标记为(1,…,q),以表示所述第一系统维度评分集合,以表示所述第二系统维度评分集合,则根据所述第一系统维度评分集合和所述第二系统维度评分集合进行综合评分包括:
以sq表示维度q的综合评分,则α为固定权值;
以s表示所述综合评分,则
6.一种基于DNS行为特征的网络评价装置,其特征在于,包括:
域名分组单元,用于接收待评价的域名解析系统DNS日志,从所述DNS日志提取出包含有若干组请求域名与服务器IP对应关系的第一集合、包含有若干组客户端IP与请求域名对应关系的第二集合;
小组评分单元,用于分别对所述第一集合和所述第二集合中的各组对应关系进行多个维度的评分,得到第一评分集合和第二评分集合;
系统评分单元,用于对于各个维度,从所述第一评分集合提取评分最大值作为所述第一集合在该维度的系统评分得到第一系统维度评分集合,从所述第二评分集合提取评分最大值作为所述第二集合在该维度的系统评分得到第二系统维度评分集合;
综合评分单元,用于根据所述第一系统维度评分集合和所述第二系统维度评分集合进行综合评分,以得到的综合评分对所述DNS日志进行网络评价。
7.如权利要求6所述的网络评价装置,其特征在于,所述域名分组单元具体用于:
从所述DNS日志中提取每次DNS请求的客户端IP、请求域名和服务器IP;
根据提取的信息绘制域名整体DGA图;
从所述域名整体DGA图中提取请求域名和服务器IP的关系图,根据请求域名和服务器IP的关系图将域名进行分组,得到包括若干小组的第一集合,所述第一集合中的每个小组中的请求域名和服务器IP与其他小组没有任何连接关系;
从所述域名整体DGA图中提取客户端IP和请求域名的关系图,根据客户端IP和请求域名的关系图将域名进行分组,得到包括若干小组的第二集合,所述第二集合中的每个小组中的请求域名和客户端IP与其他小组没有任何连接关系。
8.如权利要求7所述的网络评价装置,其特征在于,以A表示所述第一集合,第一集合A中包含k个小组,分别为{A1,A2,…Ai,…Ak},i∈k,以ui1,ui2,…uij,…uip表示小组Ai中包括的若干域名,以mij1,mij2,…mijr,…mijp表示域名uij中的若干特征向量,则所述小组评分单元具体用于:
根据对第一集合A中的任意特征向量进行归一化处理,得到归一化后的特征向量,其中X'表示归一化后的特征维度信息,X表示当前特征维度信息,min表示该组中的特征维度信息的最小值,max表示该组中特征维度信息的最大值;
将归一化后的特征向量中的特征值按照重视程度从高到低进行排序,对排序后的特征值进行评分;
以mijk表示归一化后的任意一个特征向量,其包含有n个特征值且n个特征值按照重视程度从高到低进行排序,则mijk={t1,t2,…,tr,tn},以表示第Ai小组中第j个域名的第k个特征值的评分,则
对评分后的特征值进行求和,得到维度评分,根据所述维度评分求得包含若干维度评分的所述第一评分集合;
表示所述维度评分,即其中p表示该小组的域名总个数,则所述第一评分集合为:其中m表示第m个维度。
9.如权利要求8所述的网络评价装置,其特征在于,所述DNS日志包括若干维度,将所述若干维度标记为(1,…,q),以表示所述第一评分集合中维度q的评分,以表示所述第一评分集合,则系统评分单元具体用于:
表示所述第一系统维度评分集合,其中第q维度评分表示所有第一集合A中维度q的评分中的最大值,即
10.如权利要求9所述的网络评价装置,其特征在于,所述DNS日志包括若干维度,将所述若干维度标记为(1,…,q),以表示所述第一系统维度评分集合,以表示所述第二系统维度评分集合,则综合评分单元具体用于:
以sq表示维度q的综合评分,则α为固定权值;
以s表示所述综合评分,则
CN201710713756.4A 2017-08-18 2017-08-18 一种基于dns行为特征的网络评价方法及装置 Expired - Fee Related CN107360185B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710713756.4A CN107360185B (zh) 2017-08-18 2017-08-18 一种基于dns行为特征的网络评价方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710713756.4A CN107360185B (zh) 2017-08-18 2017-08-18 一种基于dns行为特征的网络评价方法及装置

Publications (2)

Publication Number Publication Date
CN107360185A true CN107360185A (zh) 2017-11-17
CN107360185B CN107360185B (zh) 2020-09-25

Family

ID=60287602

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710713756.4A Expired - Fee Related CN107360185B (zh) 2017-08-18 2017-08-18 一种基于dns行为特征的网络评价方法及装置

Country Status (1)

Country Link
CN (1) CN107360185B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107888606A (zh) * 2017-11-27 2018-04-06 深信服科技股份有限公司 一种域名信誉度评估方法及系统
WO2018176874A1 (zh) * 2017-04-01 2018-10-04 北京神州绿盟信息安全科技股份有限公司 一种dns的评价方法和装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101702660A (zh) * 2009-11-12 2010-05-05 中国科学院计算技术研究所 异常域名检测方法及系统
CN102685145A (zh) * 2012-05-28 2012-09-19 西安交通大学 一种基于dns数据包的僵尸网络域名发现方法
US20160065597A1 (en) * 2011-07-06 2016-03-03 Nominum, Inc. System for domain reputation scoring
CN105897714A (zh) * 2016-04-11 2016-08-24 天津大学 基于dns流量特征的僵尸网络检测方法
US20160294852A1 (en) * 2015-04-06 2016-10-06 Trend Micro Incorporated Determining string similarity using syntactic edit distance
CN107071084A (zh) * 2017-04-01 2017-08-18 北京神州绿盟信息安全科技股份有限公司 一种dns的评价方法和装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101702660A (zh) * 2009-11-12 2010-05-05 中国科学院计算技术研究所 异常域名检测方法及系统
US20160065597A1 (en) * 2011-07-06 2016-03-03 Nominum, Inc. System for domain reputation scoring
CN102685145A (zh) * 2012-05-28 2012-09-19 西安交通大学 一种基于dns数据包的僵尸网络域名发现方法
US20160294852A1 (en) * 2015-04-06 2016-10-06 Trend Micro Incorporated Determining string similarity using syntactic edit distance
CN105897714A (zh) * 2016-04-11 2016-08-24 天津大学 基于dns流量特征的僵尸网络检测方法
CN107071084A (zh) * 2017-04-01 2017-08-18 北京神州绿盟信息安全科技股份有限公司 一种dns的评价方法和装置

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018176874A1 (zh) * 2017-04-01 2018-10-04 北京神州绿盟信息安全科技股份有限公司 一种dns的评价方法和装置
US11431742B2 (en) 2017-04-01 2022-08-30 NSFOCUS Information Technology Co., Ltd. DNS evaluation method and apparatus
CN107888606A (zh) * 2017-11-27 2018-04-06 深信服科技股份有限公司 一种域名信誉度评估方法及系统
CN107888606B (zh) * 2017-11-27 2020-11-13 深信服科技股份有限公司 一种域名信誉度评估方法及系统

Also Published As

Publication number Publication date
CN107360185B (zh) 2020-09-25

Similar Documents

Publication Publication Date Title
CN106776503B (zh) 文本语义相似度的确定方法及装置
US8341101B1 (en) Determining relationships between data items and individuals, and dynamically calculating a metric score based on groups of characteristics
US20130297827A1 (en) Method and server for intelligent categorization of bookmarks
CN108874949A (zh) 基于业务语料的意图分类方法、装置及智能问答方法
CN103136228A (zh) 一种图片搜索方法以及图片搜索装置
CN109241297B (zh) 一种内容分类聚合方法、电子设备、存储介质及引擎
CN111639077B (zh) 数据治理方法、装置、电子设备、存储介质
CN104796300B (zh) 一种数据包特征提取方法及装置
CN109408488A (zh) 一种科技数据信息咨询服务平台
CN108270761A (zh) 一种域名合法性检测方法及装置
US8140444B2 (en) Method of measuring a large population of web pages for compliance to content standards that require human judgement to evaluate
CN107360185A (zh) 一种基于dns行为特征的网络评价方法及系统
CN106933897A (zh) 数据查询方法和装置
CN106886517A (zh) 业务选址方法、装置以及系统
CN105184321B (zh) 一种针对于ftrl模型的数据处理方法及装置
CN106599291B (zh) 数据分组方法及装置
CN106997350A (zh) 一种数据处理的方法及装置
CN106027408A (zh) 一种cdn网络模型节点服务器访问压力检测方法及系统
CN106874931A (zh) 用户画像分群方法和装置
CN108664808B (zh) 一种面向图书搜索服务的用户敏感主题保护方法及系统
CN105159898A (zh) 一种搜索的方法和装置
CN105049325A (zh) 一种基于时间匹配度的目标用户展现方法及系统
CN107025567A (zh) 一种数据处理方法和装置
CN104408036A (zh) 关联话题的识别方法和装置
CN109558522A (zh) 企业网络图的建立方法、装置和计算机可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20200925

Termination date: 20210818

CF01 Termination of patent right due to non-payment of annual fee