CN111565187A - 一种dns异常检测方法、装置、设备及存储介质 - Google Patents

一种dns异常检测方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN111565187A
CN111565187A CN202010362916.7A CN202010362916A CN111565187A CN 111565187 A CN111565187 A CN 111565187A CN 202010362916 A CN202010362916 A CN 202010362916A CN 111565187 A CN111565187 A CN 111565187A
Authority
CN
China
Prior art keywords
dns
abnormal
anomaly
information
scene
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010362916.7A
Other languages
English (en)
Other versions
CN111565187B (zh
Inventor
周运金
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN202010362916.7A priority Critical patent/CN111565187B/zh
Publication of CN111565187A publication Critical patent/CN111565187A/zh
Application granted granted Critical
Publication of CN111565187B publication Critical patent/CN111565187B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Abstract

本申请公开了一种DNS异常检测方法、装置、设备及存储介质。该方法的步骤包括:获取DNS数据流;对DNS数据流进行异常分析得到异常信息;通过场景检测模型对异常信息进行检测确定异常场景。本方法通过场景检测模型对基于DNS数据流得到的异常信息进行检测,以此实现了对DNS数据流的异常检测,相对确保了用户主机的网络安全性。此外,本申请还提供一种DNS异常检测装置、设备及存储介质,有益效果同上所述。

Description

一种DNS异常检测方法、装置、设备及存储介质
技术领域
本申请涉及网络通信领域,特别是涉及一种DNS异常检测方法、装置、设备及存储介质。
背景技术
DNS(Domain Name System,域名服务协议)是因特网的一项核心服务,它作为可以将域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住所访问的互联网站点能够被机器直接读取的IP(Internet Protocol,互联网协议)地址。
由于DNS是一种基础的网络协议,因此很多防火墙和IDS(intrusion detectionsystem,入侵检测系统)产品往往默认信任DNS协议,正因如此,黑客也经常使用DNS协议躲避威胁检测,从而达到对用户主机进行恶意控制的目的,往往会对用户主机的稳定性造成较高程度的威胁,难以确保用户主机的网络安全性。
由此可见,提供一种DNS异常检测方法,以相对确保用户主机的网络安全性,是本领域技术人员需要解决的问题。
发明内容
本申请的目的是提供一种DNS异常检测方法、装置、设备及存储介质,以相对确保用户主机的网络安全性。
为解决上述技术问题,本申请提供一种DNS异常检测方法,包括:
获取DNS数据流;
对DNS数据流进行异常分析得到异常信息,其中,异常信息包括请求频率异常信息和/或访问次数异常信息和/或域名信息熵异常信息和/或解析比例异常信息;
通过场景检测模型对异常信息进行检测确定异常场景。
优选地,对DNS数据流进行异常分析得到异常信息包括:
将预设时间间隔内的DNS数据流与预设维度的异常标准进行对比,确定满足预设异常标准的异常信息。
优选地,对DNS数据流进行异常分析得到异常信息之后还包括:
基于预设的异常类型对异常信息中各异常信息进行分类,确定各异常信息对应的DNS异常类别;
相应地,通过场景检测模型对异常信息进行检测确定异常场景包括:
通过场景检测模型对DNS异常类别进行检测确定异常场景。
优选地,基于预设的异常类型对异常信息中各异常信息进行分类,确定各异常信息对应的DNS异常类别,包括:
将异常信息与异常类型对应的检测标准进行对比,将符合检测标准的异常信息对应的异常类型作为DNS异常类别。
优选地,对DNS数据流进行异常分析得到异常信息之后还包括:
以请求IP地址为键对异常信息中各异常信息进行聚合;
相应地,通过场景检测模型对异常信息进行检测确定异常场景包括:
通过场景检测模型对聚合后的异常信息进行检测确定异常场景。
优选地,场景检测模型包括随机森林模型、决策树模型或神经网络模型。
优选地,场景检测模型的生成包括:
获取DNS异常场景对应的样本特征集合;
统计样本特征集合中样本特征元素对应的异常信息;
根据样本特征元素对应的异常信息对建立的网络模型进行训练生成场景检测模型。
此外,本申请还提供一种DNS异常检测装置,包括:
数据流获取模块,用于获取DNS数据流;
集合分析模块,用于对DNS数据流进行异常分析得到异常信息,其中,异常信息包括请求频率异常信息和/或访问次数异常信息和/或域名信息熵异常信息和/或解析比例异常信息;
模型检测模块,用于通过场景检测模型对异常信息进行检测确定异常场景。
此外,本申请还提供一种DNS异常检测设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现如上述的DNS异常检测方法的步骤。
此外,本申请还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述的DNS异常检测方法的步骤。
本申请所提供的DNS异常检测方法,首先获取DNS数据流,进而对DNS数据流进行异常分析得到异常信息,最终通过场景检测模型对异常信息进行检测确定异常场景。本方法通过场景检测模型对基于DNS数据流得到的异常信息进行检测,以此实现了对DNS数据流的异常检测,相对确保了用户主机的网络安全性。此外,本申请还提供一种DNS异常检测装置、设备及存储介质,有益效果同上所述。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例公开的一种DNS异常检测方法的流程图;
图2为本申请实施例公开的一种具体的DNS异常检测方法的流程图;
图3为本申请实施例公开的一种场景检测模型的生成方法的流程图;
图4为本申请实施例公开的一种DNS异常检测装置的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下,所获得的所有其他实施例,都属于本申请保护范围。
由于DNS是一种基础的网络协议,因此很多防火墙和IDS(intrusion detectionsystem,入侵检测系统)产品往往默认信任DNS协议,正因如此,黑客也经常使用DNS协议躲避威胁检测,从而达到对用户主机进行恶意控制的目的,往往会对用户主机的稳定性造成较高程度的威胁,难以确保用户主机的网络安全性。
为此,本申请的核心是提供一种DNS异常检测方法,以相对确保用户主机的网络安全性。
请参见图1所示,本申请实施例公开了一种DNS异常检测方法,包括:
步骤S10:获取DNS数据流。
需要说明的是,本实施例的执行主体可以为设置于用户主机与外网服务器设备之间的流量检测设备,流量检测设备通过对用户主机与外网服务器之间往来的数据流量进行网络安全检测。
本步骤中的DNS数据流指的是在实际检测场景下,基于DNS协议生成的待检测数据包,也就是在上述实际场景下,用户主机基于DNS协议向外网服务器设备发送的通信报文,或外网服务器设备基于DNS协议向用户主机发送的通信报文。另外,获取DNS数据流可以具体是采用流量检测设备拦截用户设备与外网服务器之间实时传输的DNS数据流的方式进行获取,也可以是通过流量日志预先记录用户设备与外网服务器之间在历史时刻下传输的DNS数据流,进而在流量日志中获取历史时段内的DNS数据流。
步骤S11:对DNS数据流进行异常分析得到异常信息。
其中,异常信息包括请求频率异常信息和/或访问次数异常信息和/或域名信息熵异常信息和/或解析比例异常信息。
在获取到DNS数据流的基础上,本步骤进一步对DNS数据流执行特征统计得到异常信息,异常信息中应包含有当前DNS数据流中满足异常标准的特征属性信息。在本实施例中,特征属性信息包括请求频率和/或访问次数和/或域名信息熵和/或解析比例,进而异常信息包括请求频率异常信息和/或访问次数异常信息和/或域名信息熵异常信息和/或解析比例异常信息。
请求频率指的是DNS数据流中发起DNS域名转化请求的频率;访问次数指的是DNS数据流中对特定域名发起访问的次数;域名信息复杂度指的是DNS数据流中DNS域名转化请求中DNS域名的内容复杂程度;解析比例指的是DNS数据流中待解析的数据内容占整体DNS数据流的比例。另外,异常信息包括请求频率异常信息、访问次数异常信息、域名信息熵以及解析比例异常信息中的一项或多项,在此不做具体限定。
步骤S12:通过场景检测模型对异常信息进行检测确定异常场景。
其中,场景检测模型是一种监管学习模型,所谓监管学习就是给定一堆样本,每个样本都有一组属性和一个类别,这些类别是事先确定的,通过学习得到一个分类器,这个分类器即为场景检测模型,能够对新出现的对象给出正确的分类。
本申请所提供的DNS异常检测方法,首先获取DNS数据流,进而对DNS数据流进行异常分析得到异常信息,最终通过场景检测模型对异常信息进行检测确定异常场景。本方法通过场景检测模型对基于DNS数据流得到的异常信息进行检测,以此实现了对DNS数据流的异常检测,相对确保了用户主机的网络安全性。
在上述实施例的基础上,作为一种优选的实施方式,场景检测模型包括随机森林模型、决策树模型或神经网络模型。
需要说明的是,随机森林(Random Forest)指的是利用多棵树对样本进行训练并预测的一种分类器,随机森林由多棵决策树组成,决策树是一种树形结构,其中每个内部节点表示对一个属性的测试,每个分支代表一个测试输出,每个叶节点代表一种类别,因此决策树能够基于DNS数据流所具有的一系列特征,对DNS数据流进行是否为异常数据流类型的判定,通过随机森林进行检测时,具体是基于多棵决策树分别对DNS数据流的特征集合进行类型判定,并将所有决策树的统计结果累加起来作为最终结果。本实施例通过对DNS数据流的特征集合进行了多棵决策树维度的通信检测得到最终的检测结果,能够相对确保检测结果的整体准确性。
其中,决策树(Decision Tree)是一种监督学习的分类方法,所谓监督学习就是给定一堆样本,每个样本都有一组属性和一个类别,这些类别是事先确定的,那么通过学习得到一个分类器,这个分类器能够对新出现的对象给出正确的分类,这样的机器学习就被称之为监督学习。由于决策树对于数据的类型分析具有较高的准确性,因此,进而本实施方式能够进一步提高隐蔽信道通信检测的准确性。
本实施例中,以DNS异常场景对应的样本特征集合包括请求频率、访问次数、域名信息熵以及解析比例四个特征为例对决策树的生成过程进行描述,本领域技术人员可知,该例仅为示意性举例,在目标特征向量中包括其他特征时,其对应决策树模型的生成过程可不同,在此不做限定。
例如,可以以增熵原理来决定请求频率、访问次数、域名信息熵以及解析比例中的一个特征作为根节点,比如,计算各个特征对应的增熵,将所有增熵进行对比,将最小的增熵对应的特征作为根节点,针对根节点进行分裂时,由于在目标特征向量中除了根节点对应的特征之外,还存在三个特征待选择,那么可以在待选择的三个特征中选择最大增熵对应的特征作为根节点的叶子节点,以此类推,直至目标特征向量中所有特征均选择完毕,得到一颗决策树。
其中,增熵E的定义如下:
E=-sum[P(xi)*log2(P(xi))]
其中,P(xi)为目标特征向量中第i个特征出现的概率。
通过大量的样本对决策树进行训练,不断调整每一节点对应的分裂阈值,直至所述决策树对应的目标函数(或者损失函数或者代价函数)满足要求后停止训练,得到训练好的决策树模型,根据训练好的决策树模型对所述目标特征向量进行检测以确定是否存在DNS异常。
另外,神经网络(Neural Networks,NN)模型是由大量的、简单的处理单元(称为神经元)广泛地互相连接而形成的复杂网络系统,它反映了人脑功能的许多基本特征,是一个高度复杂的非线性动力学习系统,进而根据训练好的神经网络模型对所述目标特征向量进行检测以确定是否存在DNS异常。
本实施方式能够根据实际需求选取场景检测模型用于DNS异常检测,进一步确保了DNS异常检测的整体灵活性。
在上述实施例的基础上,作为一种优选的实施方式,对DNS数据流进行异常分析得到异常信息包括:
将预设时间间隔内的DNS数据流与预设维度的异常标准进行对比,确定满足预设异常标准的异常信息。
需要说明的是,本实施方式中,对DNS数据流进行异常分析具体是以预设时间间隔为单位进行的,也就是说,对于DNS数据流的异常分析是以预设时间间隔为周期执行的,并且在对DNS数据流进行异常分析时,具体是按照预设维度的异常标准比对DNS数据流,以此判定DNS数据流在预设维度下是否异常,进而确定满足预设异常标准的异常信息。
本实施方式中获取异常信息的方式具体是,判定DNS数据流中各预设类型数据是否满足其相应的预设异常标准,以此在在DNS数据流的预设类型数据中,获取满足对应预设异常标准的异常类型数据,进而将异常类型数据组合为异常信息。本实施方式依照预设维度的异常标准分别对DNS数据流中相应维度的信息进行异常判定,相当于是基于预设异常标准对DNS数据流中各预设类型数据逐一进行筛选,以此得到异常类型数据,以此能够进一步确保异常信息的准确性,进而保证DNS异常检测的整体准确性。
请参见图2所示,本申请实施例公开了一种DNS异常检测方法,包括:
步骤S20:获取DNS数据流。
步骤S21:对DNS数据流进行异常分析得到异常信息。
其中,异常信息包括请求频率异常信息和/或访问次数异常信息和/或域名信息熵异常信息和/或解析比例异常信息。
步骤S22:基于预设的异常类型对异常信息中各异常信息进行分类,确定各异常信息对应的DNS异常类别。
需要说明的是,本实施例的重点在于,在对DNS数据流进行异常分析得到异常信息之后,进一步对异常信息中的各个异常信息进行分类,以此确保各个异常信息对应的DNS异常类别,目的能够在后续步骤中,利用场景检测模型根据DNS异常类别进一步分析该DNS异常类别所对应的异常场景。
另外,本实施例中的DNS异常类别包括但不限于请求频率异常、请求次数异常、请求域名信息熵异常以及域名解析异常等。
步骤S23:通过场景检测模型对DNS异常类别进行检测确定异常场景。
在获取到异常信息对应的DNS异常类别之后,本步骤进一步通过场景检测模型对DNS异常类别进行检测确定异常场景,由于DNS异常类别是基于异常信息进一步细化解析得到的,因此通过场景检测模型对DNS异常类别进行检测确定异常场景,能够进一步提高对DNS数据流进行异常检测的准确性。
需要强调的是,在本申请中异常信息与异常类别之间的概念不相同,异常信息指的是DNS数据流中满足异常标准的数据内容,而异常类别则指的是异常信息所反映的异常情况对应的异常类型,因此在通过场景检测模型对DNS异常类别进行检测确定异常场景的情况下,需要预先将DNS异常类别作为样本训练得到相应的场景检测模型;同理的,在通过场景检测模型对异常信息进行检测确定异常场景的情况下,则需要预先将异常信息作为样本训练得到相应的场景检测模型。
在上述实施例的基础上,作为一种优选的实施方式,对DNS数据流进行异常分析得到异常信息之后还包括:
以请求IP地址为键对异常信息中各异常信息进行聚合;
相应地,通过场景检测模型对异常信息进行检测确定异常场景包括:
通过场景检测模型对聚合后的异常信息进行检测确定异常场景。
由于请求IP地址对应发起相应DNS数据流的设备,因此以请求IP地址为键对异常信息中各异常信息进行聚合,能够实现以请求IP地址为单位对相应设备的DNS异常检测,进而当存在DNS异常时,能够将异常定位在具体的请求IP地址上,通过场景检测模型对聚合后的异常信息进行检测确定异常场景,能够进一步提高DNS异常检测的精确程度。
更进一步的,作为一种优选的实施方式,基于预设的异常类型对异常信息中各异常信息进行分类,确定各异常信息对应的DNS异常类别,包括:
对异常信息中的各异常类型数据进行异常类型分类,确定各异常类型数据记录对应的DNS异常类别。
本实施方式在获取满足对应预设异常标准的异常类型数据之后,进一步对异常信息中的各异常类型数据进行异常类型分类,也就是对于异常类型数据的异常类型做进一步的细化分析,例如,异常类型数据存在请求频率特征异常的情况下,可以进一步分类划分为请求单个域名请求频率异常、域名请求频率异常以及请求不同域名频率异常等,本实施例基于异常信息中的各异常类型数据进行异常类型分类,能够进一步确保DNS异常类别的准确性,因此本实施方式进一步提高了对DNS数据流进行异常检测的准确性。
此外,本申请实施例还公开了一种DNS异常检测中,场景检测模型的生成方法。请参见图3所示,本申请实施例公开了一种场景检测模型的生成方法,包括:
步骤S30:获取DNS异常场景对应的样本特征集合。
需要说明的是,本步骤中获取DNS异常场景对应的样本特征集合,目的是在后续步骤中根据DNS异常场景对应的样本特征集合进行场景检测模型的训练,进而确保场景检测模型能够根据待测的DNS数据流的异常特征集合对该DNS数据流所属的DNS异常场景进行判定。
步骤S31:统计样本特征集合中样本特征元素对应的异常类别。
在获取到DNS异常场景对应的样本特征集合后,进一步统计该样本特征集合中样本元素对应的异常类别,以此对样本特征中的样本特征元素进行了进一步的细化。
步骤S32:根据样本特征元素对应的异常类别对样本特征集合进行模型训练生成场景检测模型。
在统计得到样本特征集合中样本特征元素对应的异常类别之后,本步骤进一步根据样本特征元素对应的异常类别对样本特征集合进行模型训练生成场景检测模型。
在异常特征集合中各个异常的特征元素,分别为DNS数据流在不同类型方面的异常特征,而在每一类型的异常特征下,还能够进一步对异常特征的异常类别进行划分,例如,请求频率特征异常下,可以进一步划分为以下异常类别:请求单个域名请求频率异常、所有域名请求频率异常以及请求不同域名频率异常等。
本实施例中的场景检测模型根据于DNS通信场景对应的样本特征集合训练得到,也就是说,本实施例预先将DNS通信场景所具有的特征集合作为训练场景检测模型过程的样本,进而训练得到的场景检测模型即具有根据待检测DNS数据流中的特征集合辨识待检测DNS数据流是否异常,以及所属的DNS通信场景的能力。当DNS数据流属于正常的数据流时,场景检测模型将把DNS数据流划分为DNS正常通信场景,得到相应的正常检测结果;当DNS数据流属于异常的数据流时,场景检测模型将把DNS数据流划分为DNS异常通信场景,并输出相应的DNS异常通信场景。
本实施例考虑到不同的异常类别所对应的DNS异常场景之间也往往存在差异,因此本实施例根据样本特征元素对应的异常类别对样本特征集合进行场景检测模型训练,能够进一步确保检测结果的准确性。
在上述实施例的基础上,作为一种优选的实施方式,获取DNS异常场景对应的样本特征集合,包括:
获取与已知DNS异常场景对应的样本特征集合,以及与未知DNS异常场景对应的样本特征集合。
需要说明的是,本实施方式在训练场景检测模型时,具体基于DNS异常场景中的已知DNS异常场景以及未知DNS异常场景,此处的已知DNS异常场景指的是当前已经被明确定义的DNS异常通信场景,包括但不限于DNS隧道场景以及DGA(Domain Generate Algorithm,域名生成算法)场景等;此处的未知DNS异常场景指的是当前未被明确定义的异常DNS通信场景。本实施方式能够进一步提高训练场景检测模型所需DNS异常场景的全面性,进而确保场景检测模型的可用性。
此外,作为一种优选的实施方式,样本特征集合包括请求频率、访问次数、域名信息复杂度以及解析比例中的一项或多项。
本实施方式的样本特征集合中,请求频率指的是DNS数据流中发起DNS域名转化请求的频率;访问次数指的是DNS数据流中对特定域名发起访问的次数;域名信息复杂度指的是DNS数据流中DNS域名转化请求中DNS域名的内容复杂程度;解析比例指的是DNS数据流中待解析的数据内容占整体DNS数据流的比例。另外,样本特征集合根据实际的DNS异常检测需求,可以包括请求频率、访问次数、域名信息复杂度以及解析比例中的一项或多项,在此不做具体限定。
本实施方式通过对样本特征集合进行了细化,进一步确保了DNS异常检测的准确性。
请参见图4所示,本申请实施例公开了一种DNS异常检测装置,包括:
数据流获取模块10,用于获取DNS数据流;
集合分析模块11,用于对DNS数据流进行异常分析得到异常信息,其中,异常信息包括请求频率异常信息和/或访问次数异常信息和/或域名信息熵异常信息和/或解析比例异常信息;
模型检测模块12,用于通过场景检测模型对异常信息进行检测确定异常场景。
在前述实施例的基础上,本申请实施例对DNS异常检测装置进行进一步的说明和优化。具体的:
在一种具体实施方式中,集合分析模块11,包括:
维度对比模块,用于将预设时间间隔内的DNS数据流与预设维度的异常标准进行对比,确定满足预设异常标准的异常信息。
在一种具体实施方式中,装置还包括:
分类模块,用于基于预设的异常类型对异常信息中各异常信息进行分类,确定各异常信息对应的DNS异常类别;
相应地,模型检测模块12,包括:
类别检测模块,用于通过场景检测模型对DNS异常类别进行检测确定异常场景。
在一种具体实施方式中,分类模块,包括:
对比分类模块,用于将异常信息与异常类型对应的检测标准进行对比,将符合检测标准的异常信息对应的异常类型作为DNS异常类别。
在一种具体实施方式中,装置还包括:
IP聚合模块,用于以请求IP地址为键对异常信息中各异常信息进行聚合;
相应地,模型检测模块12,包括:
聚合检测模块,用于通过场景检测模型对聚合后的异常信息进行检测确定异常场景。
在一种具体实施方式中,场景检测模型包括随机森林模型、决策树模型或神经网络模型。
在一种具体实施方式中,装置还包括:
集合获取模块,用于获取DNS异常场景对应的样本特征集合;
样本统计模块,用于统计样本特征集合中样本特征元素对应的异常类别;
样本训练模块,用于根据样本特征元素对应的异常类别对样本特征集合进行模型训练生成场景检测模型。
本申请所提供的DNS异常检测装置,首先获取DNS数据流,进而对DNS数据流进行异常分析得到异常信息,最终通过场景检测模型对异常信息进行检测确定异常场景。本装置通过场景检测模型对基于DNS数据流得到的异常信息进行检测,以此实现了对DNS数据流的异常检测,相对确保了用户主机的网络安全性。
此外,本申请实施例还公开了一种DNS异常检测设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现如上述的DNS异常检测方法的步骤。
本申请所提供的DNS异常检测设备,首先获取DNS数据流,进而对DNS数据流进行异常分析得到异常信息,最终通过场景检测模型对异常信息进行检测确定异常场景。本设备通过场景检测模型对基于DNS数据流得到的异常信息进行检测,以此实现了对DNS数据流的异常检测,相对确保了用户主机的网络安全性。
此外,本申请实施例还公开了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述的DNS异常检测方法的步骤。
本申请所提供的计算机可读存储介质,首先获取DNS数据流,进而对DNS数据流进行异常分析得到异常信息,最终通过场景检测模型对异常信息进行检测确定异常场景。本计算机可读存储介质通过场景检测模型对基于DNS数据流得到的异常信息进行检测,以此实现了对DNS数据流的异常检测,相对确保了用户主机的网络安全性。
以上对本申请所提供的一种DNS异常检测方法、装置、设备及存储介质进行了详细介绍。说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims (10)

1.一种DNS异常检测方法,其特征在于,包括:
获取DNS数据流;
对所述DNS数据流进行异常分析得到异常信息,其中,所述异常信息包括请求频率异常信息和/或访问次数异常信息和/或域名信息熵异常信息和/或解析比例异常信息;
通过场景检测模型对所述异常信息进行检测确定异常场景。
2.根据权利要求1所述的DNS异常检测方法,其特征在于,所述对所述DNS数据流进行异常分析得到异常信息包括:
将预设时间间隔内的所述DNS数据流与预设维度的异常标准进行对比,确定满足预设异常标准的异常信息。
3.根据权利要求1所述的DNS异常检测方法,其特征在于,所述对所述DNS数据流进行异常分析得到异常信息之后还包括:
基于预设的异常类型对所述异常信息中各异常信息进行分类,确定各异常信息对应的DNS异常类别;
相应地,所述通过场景检测模型对所述异常信息进行检测确定异常场景包括:
通过场景检测模型对所述DNS异常类别进行检测确定异常场景。
4.根据权利要求3所述的DNS异常检测方法,其特征在于,所述基于预设的异常类型对所述异常信息中各异常信息进行分类,确定各异常信息对应的DNS异常类别,包括:
将所述异常信息与所述异常类型对应的检测标准进行对比,将符合检测标准的异常信息对应的异常类型作为所述DNS异常类别。
5.根据权利要求2所述的DNS异常检测方法,其特征在于,所述对所述DNS数据流进行异常分析得到异常信息之后还包括:
以请求IP地址为键对所述异常信息中各异常信息进行聚合;
相应地,所述通过场景检测模型对所述异常信息进行检测确定异常场景包括:
通过场景检测模型对聚合后的异常信息进行检测确定异常场景。
6.根据权利要求1所述的DNS异常检测方法,其特征在于,所述场景检测模型包括随机森林模型、决策树模型或神经网络模型。
7.根据权利要求1至6任意一项所述的DNS异常检测方法,其特征在于,所述场景检测模型的生成包括:
获取DNS异常场景对应的样本特征集合;
统计所述样本特征集合中样本特征元素对应的异常信息;
根据所述样本特征元素对应的异常信息对建立的网络模型进行训练生成所述场景检测模型。
8.一种DNS异常检测装置,其特征在于,包括:
数据流获取模块,用于获取DNS数据流;
集合分析模块,用于对所述DNS数据流进行异常分析得到异常信息,其中,所述异常信息包括请求频率异常信息和/或访问次数异常信息和/或域名信息熵异常信息和/或解析比例异常信息;
模型检测模块,用于通过场景检测模型对所述异常信息进行检测确定异常场景。
9.一种DNS异常检测设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述的DNS异常检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的DNS异常检测方法的步骤。
CN202010362916.7A 2020-04-30 2020-04-30 一种dns异常检测方法、装置、设备及存储介质 Active CN111565187B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010362916.7A CN111565187B (zh) 2020-04-30 2020-04-30 一种dns异常检测方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010362916.7A CN111565187B (zh) 2020-04-30 2020-04-30 一种dns异常检测方法、装置、设备及存储介质

Publications (2)

Publication Number Publication Date
CN111565187A true CN111565187A (zh) 2020-08-21
CN111565187B CN111565187B (zh) 2022-09-30

Family

ID=72071690

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010362916.7A Active CN111565187B (zh) 2020-04-30 2020-04-30 一种dns异常检测方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN111565187B (zh)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120284791A1 (en) * 2011-05-06 2012-11-08 The Penn State Research Foundation Robust anomaly detection and regularized domain adaptation of classifiers with application to internet packet-flows
CN107154950A (zh) * 2017-07-24 2017-09-12 深信服科技股份有限公司 一种日志流异常检测的方法及系统
CN107566376A (zh) * 2017-09-11 2018-01-09 中国信息安全测评中心 一种威胁情报生成方法、装置及系统
CN108848201A (zh) * 2018-06-14 2018-11-20 深信服科技股份有限公司 检测利用dns隧道传输隐秘数据的方法、系统及装置
CN109842628A (zh) * 2018-12-13 2019-06-04 成都亚信网络安全产业技术研究院有限公司 一种异常行为检测方法及装置
CN109842588A (zh) * 2017-11-27 2019-06-04 腾讯科技(深圳)有限公司 网络数据检测方法及相关设备
CN110266647A (zh) * 2019-05-22 2019-09-20 北京金睛云华科技有限公司 一种命令和控制通信检测方法及系统
CN110535820A (zh) * 2019-04-18 2019-12-03 国家计算机网络与信息安全管理中心 针对恶意域名的分类方法、装置、电子设备及介质
CN110958257A (zh) * 2019-12-06 2020-04-03 北京中睿天下信息技术有限公司 一种内网渗透过程还原方法和系统

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120284791A1 (en) * 2011-05-06 2012-11-08 The Penn State Research Foundation Robust anomaly detection and regularized domain adaptation of classifiers with application to internet packet-flows
CN107154950A (zh) * 2017-07-24 2017-09-12 深信服科技股份有限公司 一种日志流异常检测的方法及系统
CN107566376A (zh) * 2017-09-11 2018-01-09 中国信息安全测评中心 一种威胁情报生成方法、装置及系统
CN109842588A (zh) * 2017-11-27 2019-06-04 腾讯科技(深圳)有限公司 网络数据检测方法及相关设备
CN108848201A (zh) * 2018-06-14 2018-11-20 深信服科技股份有限公司 检测利用dns隧道传输隐秘数据的方法、系统及装置
CN109842628A (zh) * 2018-12-13 2019-06-04 成都亚信网络安全产业技术研究院有限公司 一种异常行为检测方法及装置
CN110535820A (zh) * 2019-04-18 2019-12-03 国家计算机网络与信息安全管理中心 针对恶意域名的分类方法、装置、电子设备及介质
CN110266647A (zh) * 2019-05-22 2019-09-20 北京金睛云华科技有限公司 一种命令和控制通信检测方法及系统
CN110958257A (zh) * 2019-12-06 2020-04-03 北京中睿天下信息技术有限公司 一种内网渗透过程还原方法和系统

Also Published As

Publication number Publication date
CN111565187B (zh) 2022-09-30

Similar Documents

Publication Publication Date Title
CN109450842B (zh) 一种基于神经网络的网络恶意行为识别方法
CN112769796B (zh) 一种基于端侧边缘计算的云网端协同防御方法及系统
Fontugne et al. Mawilab: combining diverse anomaly detectors for automated anomaly labeling and performance benchmarking
CN107579956B (zh) 一种用户行为的检测方法和装置
CN107483488A (zh) 一种恶意Http检测方法及系统
CN109587125B (zh) 一种网络安全大数据分析方法、系统及相关装置
CN104660464B (zh) 一种基于非广延熵的网络异常检测方法
CN111245784A (zh) 多维度检测恶意域名的方法
CN113179260B (zh) 僵尸网络的检测方法、装置、设备及介质
CN110602109A (zh) 一种基于多特征熵的应用层DDoS攻击检测与防御方法
CN111835681A (zh) 一种大规模流量异常主机检测方法和装置
CN111478921A (zh) 一种隐蔽信道通信检测方法、装置及设备
CN112822223B (zh) 一种dns隐蔽隧道事件自动化检测方法、装置和电子设备
CN112953961B (zh) 配电房物联网中设备类型识别方法
RU180789U1 (ru) Устройство аудита информационной безопасности в автоматизированных системах
US9398040B2 (en) Intrusion detection system false positive detection apparatus and method
CN111431884B (zh) 一种基于dns分析的主机失陷检测方法及装置
CN111565187B (zh) 一种dns异常检测方法、装置、设备及存储介质
CN116599743A (zh) 4a异常绕行检测方法、装置、电子设备及存储介质
CN106789411B (zh) 一种机房内活跃ip数据的采集方法和装置
Samadzadeh et al. Evaluating Security Anomalies by Classifying Traffic Using Deep Learning
Oudah et al. Using burstiness for network applications classification
CN112449371A (zh) 一种无线路由器的性能评测方法及电子设备
CN114039780B (zh) 基于流量系数的低速DoS攻击实时响应方法
Hyun-Seong et al. Design of automatic identification gateway system for different iot devices and services

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant