CN111683096A - 一种基于域名服务协议的数据处理方法及电子设备 - Google Patents

一种基于域名服务协议的数据处理方法及电子设备 Download PDF

Info

Publication number
CN111683096A
CN111683096A CN202010522412.7A CN202010522412A CN111683096A CN 111683096 A CN111683096 A CN 111683096A CN 202010522412 A CN202010522412 A CN 202010522412A CN 111683096 A CN111683096 A CN 111683096A
Authority
CN
China
Prior art keywords
data
detection model
request
domain name
feature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010522412.7A
Other languages
English (en)
Inventor
张新
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202010522412.7A priority Critical patent/CN111683096A/zh
Publication of CN111683096A publication Critical patent/CN111683096A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • Evolutionary Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种基于域名服务协议的数据处理方法及电子设备,该方法包括:在侦测到基于域名服务协议的第一请求的情况下,获取第一请求对应的基于域名服务协议的第一数据;对第一数据进行解析,获取多个特征集,其中特征集包括至少一个第一数据的特征信息;将特征信息输入到完成训练的检测模型中,利用检测模型进行计算,确定第一请求是否为异常的基于域名服务协议的特定请求,其中,检测模型基于输入非特定请求的样本完成训练。本实施例数据处理方法,能够利用基于无监督方式(无需输入异常样本)完成训练的检测模型,方便而准确的检测出网络请求是否为基于DNS隧道技术的请求,进而能够加强对网络安全漏洞的管理。

Description

一种基于域名服务协议的数据处理方法及电子设备
技术领域
本申请涉及网络信息领域,特别涉及一种基于域名服务协议的数据处理方法及电子设备。
背景技术
在网络环境中,DNS协议(Domain Name Server,域名服务协议,或Domain NameSystem,域名服务系统协议)是必不可少的网络通信协议之一,为了访问互联网和内网资源,DNS可以提供域名解析服务,将域名和IP地址进行转换。而网络设备和边界防护设备在一般情况下很少对DNS数据进行过滤、分析或屏蔽,因此将数据或指令藏匿于DNS协议中进行传输是一种隐蔽且有效的网络操作行为。而一些非法攻击者可能会利用上述技术原理,通过DNS隧道技术来达到避开防火墙的检测,例如将网络流量伪装成DNS流量,再通过DNS的正常走向将流量传出来,进而实现非法目的。因此,检测网络的数据流量中是否存在DNS隧道技术显得十分必要,但目前并没有完善而准确的检测方式。
发明内容
本申请实施例的目的在于提供一种基于域名服务协议的数据处理方法,该方法能够通过训练好的检测模型对网络流量中的数据进行检测,方便而准确的检测出网络请求是否为异常的基于域名服务协议的特定请求,其中包括基于DNS隧道技术的请求。
为了解决上述技术问题,本申请的实施例采用了如下技术方案:一种基于域名服务协议的数据处理方法,包括:
在侦测到基于域名服务协议的第一请求的情况下,获取所述第一请求对应的基于域名服务协议的第一数据;
对所述第一数据进行解析,获取多个特征集,其中所述特征集包括至少一个所述第一数据的特征信息;
将所述特征信息输入到完成训练的检测模型中,利用所述检测模型进行计算,确定所述第一请求是否为异常的基于域名服务协议的特定请求,其中,所述检测模型基于输入非特定请求的样本完成训练。
作为可选,所述的对所述第一数据进行解析,获取多个特征集,包括:
将所述第一数据转化为具有特定文件格式的第二数据;
从所述第二数据中解析出所述特征集,基于所述特征集确定所述特征信息;
基于所述特征信息生成相应的特征向量,将进行了标准化操作的所述特征向量作为所述检测模型的输入。
作为可选,所述特征集包括以下至少一种:负载长度信息集、记录类型信息集和查询名称信息集;其中,所述查询名称信息集包括请求域名随机性的特征信息。
作为可选,所述方法还包括基于无监督方式训练所述检测模型,其中包括:
向所述检测模型输入基于域名服务协议的训练数据,其中所述训练数据为非特定请求的样本数据;
基于所述训练数据,并通过以提高所述检测模型对未知样本检测的准确率为目标的至少一个预设检测算法,对所述检测模型进行训练;
在所述检测模型达到预定检测标准时完成训练。
作为可选,所述的将所述特征信息输入到完成训练的检测模型中,利用所述检测模型进行计算,确定所述第一请求是否为异常的基于域名服务协议的特定请求,包括:
分析所述特征信息中的至少一个特定点,获得所述特征信息对应的倾向性结论信息;
根据所述倾向性结论信息确定计算结果。
作为可选,所述的在侦测到基于域名服务协议的第一请求的情况下,具体包括:
在实时侦测的过程中,当侦测到单一的所述第一请求时,启动用于获取所述第一数据的进程。
作为可选,所述基于域名服务协议的特定请求为基于域名服务协议隧道技术的请求;
相应的,所述方法还包括训练所述检测模型,其中包括向所述检测模型输入基于域名服务协议的非隧道技术的样本,以进行训练。
本申请实施例还提供了一种电子设备,包括:
获取模块,其配置为在侦测到基于域名服务协议的第一请求的情况下,获取所述第一请求对应的基于域名服务协议的第一数据;
解析模块,其配置为对所述第一数据进行解析,获取多个特征集,其中所述特征集包括至少一个所述第一数据的特征信息;
处理模块,其配置为将所述特征信息输入到完成训练的检测模型中,利用所述检测模型进行计算,确定所述第一请求是否为异常的基于域名服务协议的特定请求,所述检测模型基于输入非特定请求的样本完成训练。
作为可选,所述解析模块进一步配置为:
将所述第一数据转化为具有特定文件格式的第二数据;
从所述第二数据中解析出所述特征集,基于所述特征集确定所述特征信息;
基于所述特征信息生成相应的特征向量,将进行了标准化操作的所述特征向量作为所述检测模型的输入。
作为可选,所述特征集包括以下至少一种:负载长度信息集、记录类型信息集和查询名称信息集;其中,所述查询名称信息集包括请求域名随机性的特征信息。
作为可选,电子设备还包括训练模块,所述训练模块配置为基于无监督方式训练所述检测模型,其中包括:
向所述检测模型输入基于域名服务协议的训练数据,其中所述训练数据为非特定请求的样本数据;
基于所述训练数据,并通过以提高所述检测模型对未知样本检测的准确率为目标的至少一个预设检测算法,对所述检测模型进行训练;
在所述检测模型达到预定检测标准时完成训练。
作为可选,处理模块进一步配置为:
分析所述特征信息中的至少一个特定点,获得所述特征信息对应的倾向性结论信息;
根据所述倾向性结论信息确定计算结果。
作为可选,获取模块进一步配置为:
在实时侦测的过程中,当侦测到单一的所述第一请求时,启动用于获取所述第一数据的进程。
作为可选,所述基于域名服务协议的特定请求为基于域名服务协议隧道技术的请求;
相应的,所述电子设备还包括训练模块,训练模块配置为:向所述检测模型输入基于域名服务协议的非隧道技术的样本,以进行训练。
本实施例基于域名服务协议的数据处理方法,能够利用基于无监督方式(无需输入异常样本)完成训练的检测模型对网络流量中的数据进行检测,从而提高检测过程中的智能性和准确率,特别是能够检测出网络请求是否为异常的基于DNS隧道技术的请求,进而能够加强对网络安全漏洞的管理。
附图说明
图1为本申请实施例的基于域名服务协议的数据处理方法的流程图;
图2为本申请实施例的图1中步骤S2的一个具体实施例的流程图;
图3为本申请实施例的数据处理方法的一个具体实施例的流程图;
图4为本申请实施例的图1中步骤S3的一个具体实施例的流程图;
图5为本申请实施例的数据处理方法中具有训练检测模型步骤的一个具体实施例的流程图;
图6为本申请实施例的电子设备的结构框图。
具体实施方式
此处参考附图描述本申请的各种方案以及特征。
应理解的是,可以对此处申请的实施例做出各种修改。因此,上述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本申请的范围和精神内的其他修改。
包含在说明书中并构成说明书的一部分的附图示出了本申请的实施例,并且与上面给出的对本申请的大致描述以及下面给出的对实施例的详细描述一起用于解释本申请的原理。
通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本申请的这些和其它特性将会变得显而易见。
还应当理解,尽管已经参照一些具体实例对本申请进行了描述,但本领域技术人员能够确定地实现本申请的很多其它等效形式,它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。
当结合附图时,鉴于以下详细说明,本申请的上述和其他方面、特征和优势将变得更为显而易见。
此后参照附图描述本申请的具体实施例;然而,应当理解,所申请的实施例仅仅是本申请的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本申请模糊不清。因此,本文所申请的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本申请。
本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本申请的相同或不同实施例中的一个或多个。
域名服务协议即为DNS协议,基于DNS协议可以使电子设备提供域名解析服务,将域名和IP地址进行转换,网络设备和边界防护设备通常不会对DNS数据进行检测。相应的利用DNS隧道技术可以实现将数据或指令藏匿于DNS协议中进行传输,本申请实施例所述的数据处理方法能够应用于该场景中,通过完成训练的检测模型来实现对实际使用中的网络数据的检测,以判断网络中的DNS请求是否为异常的特定请求,特别是基于DNS隧道技术的请求。
图1为本申请实施例的基于域名服务协议的数据处理方法的流程图,本申请实施例的一种基于域名服务协议的数据处理方法,该方法能够计算机等电子设备上,如图1所示,该方法包括以下步骤:
S1,在侦测到基于域名服务协议的第一请求的情况下,获取所述第一请求对应的基于域名服务协议的第一数据。
具体来说,域名服务协议即为DNS(Domain Name Server,或Domain NameSystem),第一请求可以是DNS请求,如客户端向DNS服务端发送的DNS请求,网络活动中可能会出现DNS请求也可能会出现其他的非DNS请求(如一般的数据获取请求),本实施例中可以实时的对目标对象或目标网络的流量进行侦测,在侦测到DNS请求(第一请求)的情况下,启动获取进程进而获取DNS请求对应的基于域名服务协议的第一数据。该第一数据为第一请求相关联的数据,也可以是第一请求本身。例如,第一数据可以是第一请求相关联的DNS数据流量包。
S2,对所述第一数据进行解析,获取多个特征集,其中所述特征集包括至少一个所述第一数据的特征信息。
具体获取何种形式或内容的特征集可以根据实际的使用场景或用户需求来预先设定,特征集为第一数据的一个或多个特征的集合,即特征集可以包括一个或多个第一数据的特征信息,而特征信息为第一数据的特征,反映了第一数据的数据形式、数据内容以及数据特点,这些特征信息可以作为判断第一数据详细情况的依据。
举例说明,特征集可以包括以下至少一种:负载长度信息集、记录类型信息集和查询名称信息集;其中每个具体的特征集可以包含一个或多个具体的特征信息,这些特征信息为该第一数据的关键特征。
S3,将所述特征信息输入到完成训练的检测模型中,利用所述检测模型进行计算,确定所述第一请求是否为异常的基于域名服务协议的特定请求,其中,所述检测模型基于输入非特定请求的样本完成训练。
具体来说,结合图5,检测模型可以预先构建其中可以包括一个或多个具体的检测算法,检测模型在线下进行训练,以提高其智能程度,而在训练该检测模型的过程中,可以输入非特定请求的样本,其中非特定请求与异常的基于域名服务协议的特定请求相对,例如特定请求为基于DNS隧道技术的请求,而非特定请求则为正常的DNS请求(并非为基于DNS隧道技术的请求),即无需向检测模型如输入异常样本,从而可以提高检测模型对未知样本的检测的准确率。
进一步的,在完成训练后,可以将检测模型使用在真实的检测过程中,将真实的第一数据的特征信息输入到完成训练的检测模型中,进而通过检测模型中的至少一个检测算法进行计算,如利用iForest、LOF等算法,得到检测结果,该检测结果中包括了确定第一请求是否为异常的基于域名服务协议的特定请求,特别是确定了第一请求是否为基于DNS隧道技术的请求。
本实施例基于域名服务协议的数据处理方法,能够利用基于无监督方式(无需输入异常样本)完成训练的检测模型对网络流量中的数据进行检测,从而提高检测过程中的智能性和准确率,特别是能够检测出网络请求是否为异常的基于DNS隧道技术的请求,进而能够加强对网络安全漏洞的管理。
在本申请的一个实施例中,所述的对所述第一数据进行解析,获取多个特征集,如图2所示,包括以下步骤:
S21,将所述第一数据转化为具有特定文件格式的第二数据。
解析的过程中对于特定文件格式的数据能够有效的提高解析的准确度和解析速度,此外,根据用户具体的使用需要具要,第一数据可能会出现多种不同的数据格式,将第一数据的数据格式转换为统一的特定文件格式,有利于解析步骤的实施。当然转化后的第二数据在具体的内容上与第一数据是相同的。
S22,从所述第二数据中解析出所述特征集,基于所述特征集确定所述特征信息。
第二数据中包含了多个特征集,各个特征集所表达的特征的侧重方向不同,每个特征集中包括一个或多个特征信息,例如第二数据中解析出查询名称信息集(QueryName),查询名称信息集中包含了以下具体的特征信息:如FQDN的字符数、sub-domain中的字符数、大写字母和数字字符数、Entropy等,每个特征信息均表达了相应的特征。
S23,基于所述特征信息生成相应的特征向量,将进行了标准化操作的所述特征向量作为所述检测模型的输入。
具体来说,可以将特征信息进行标准化处理生成相应的特征向量,相对于特征信息来说特征向量可以具有统一的表达方式和数据形式,从而便于对特征向量进行传输和处理,在本实施例中,将进行了标准化操作的特征向量输入到检测模型中,可防止检测模型在检测过程中发生中断,并且提高了计算的精度。
在本申请的一个实施例中,所述方法还包括基于无监督方式训练所述检测模型,无监督方式是根据类别未知(没有被标记)的训练样本解决模式识别中的各种问题,本实施例中检测模型可以采用异常检测算法,从而实现无监督方式训练。训练的步骤可以是基于真实的数据处理过程来构建,与上述的步骤S1至步骤S3相类似,在侦测到训练用的基于DNS的网络流量中存在基于域名服务协议的第二请求时,获取所述第二请求对应的基于域名服务协议的训练数据;对所述训练数据进行解析,获取多个训练特征集,其中训练特征集包括至少一个训练数据的特征信息;将训练数据的特征信息输入到检测模型中,利用检测模型进行计算,确定第二请求是否为异常的基于域名服务协议的特定请求。
在本实施例中,如图3所示并结合图5,基于无监督方式训练所述检测模型包括以下步骤:
S4,向所述检测模型输入基于域名服务协议的训练数据,其中所述训练数据为非特定请求的样本数据。
具体的,非特定请求的样本数据与特定请求相对,如果特定请求为基于DNS隧道技术的请求,则非特定请求则为正常的DNS请求,并非为基于DNS隧道技术的请求,即训练过程中无需向检测模型如输入异常样本,提高检测模型对未知样本检测的准确率。
S5,基于所述训练数据,并通过以提高所述检测模型对未知样本检测的准确率为目标的至少一个预设检测算法,对所述检测模型进行训练。
检测模型中包括一个或多个预设检测算法,而预设检测算法的其中至少一个目标就是提高所述检测模型对未知样本检测的准确率。预设检测算法可以为异常检测算法,如是iForest算法、LOF算法等。如果检测模型是要辨别第一请求是否为基于DNS隧道技术的请求,则训练过程中,可以并不向检测模型输入基于DNS隧道技术的样本。
S6,在所述检测模型达到预定检测标准时完成训练。
预定检测标准可以是用户根据整体防护要求、期望检测的准确度以及网络中的具体使用场景来设定,当然也可以综合考虑多个方面的因素。如果在训练的过程中检测模型达到预定检测标准,则可以结束训练,并将训练完成的检测模型应用于真实的网络环境中,以对基于域名服务协议的特定请求进行判别。
在本申请的一个实施例中,所述特征集包括以下至少一种:负载长度信息集、记录类型信息集和查询名称信息集;其中,所述查询名称信息集包括请求域名随机性的特征信息。
具体来说,负载长度信息集可以包含第一数据中的应用层负载长度的特征信息,对于应用层负载长度的特征信息而言,如果第一请求为基于DNS隧道技术的请求则该应用层负载长度的数值会偏大。因此,如果仅从该特征信息来看,如果应用层负载长度的数值偏大则第一请求可以被认定为基于DNS隧道技术的请求,当然本实施例中的检测模型是从所有的特征信息来进行综合的分析,并不是仅依据个别的特征来做出结论。
记录类型信息集可以包含第一数据中的Record Type的特征信息,对于该特征信息,如果使用one-hot编码,记录类型有A、NS、PTR、CNAME、MX、AAAA、TXT、NULL,由于其中包含了TXT、NULL,两者为DNS隧道技术倾向于使用的不常用的类型。因此如果仅从Record Type的特征信息的具体内容来看,检测模型可以确定第一请求为基于DNS隧道技术的请求。当然本实施例中的检测模型是从所有的特征信息来进行综合的分析,并不是仅依据个别的特征来做出结论。
还有,查询名称信息集(Query Name),查询名称信息集中包含了以下多个具体的特征信息:如FQDN的字符数、sub-domain中的字符数、大写字母和数字字符数、Entropy等。其中,FQDN的字符数的特征信息中,字符数越多,则认为其中包含嵌入信息的可能性越大,进而认为第一请求为基于DNS隧道技术的请求的概率越大;sub-domain中的字符数的特征信息中,sub-domain中的字符数越多,其包含窃取数据的可能性越大,进而认为第一请求为基于DNS隧道技术的请求的概率越大;对于大写字母和数字字符数的特征信息,由于窃取的数据一般会加密或者编码,而加密或者编码后的数据中大写字母和数字的比例会更高,如果是这样则认为第一请求为基于DNS隧道技术的请求的概率较大;此外,对于Entropy的特征信息,对应了字符串的非确定性和非可读性的水平(熵),也能够用来对第一请求是否为基于DNS隧道技术的请求进行判断。检测模型从所有的特征信息来进行综合的分析,例如可以基于多个算法来进一步的计算(如基于iForest、LOF等算法,并依据各自算法的计算规定完成计算),能够更加全面的对第一请求的真实情况进行判断,避免遗漏对具有较大影响的特征信息的分析,从而得到精准的检测结果。
在本申请的一个实施例中,所述的将所述特征信息输入到完成训练的检测模型中,利用所述检测模型进行计算,确定所述第一请求是否为异常的基于域名服务协议的特定请求,如图4所示,包括:
S31,分析所述特征信息中的至少一个特定点,获得所述特征信息对应的倾向性结论信息。
特征信息中可能包括一个或多个特定点,每个特定点所具有的内容不同,例如上述实施例中,对于大写字母和数字字符数的特征信息,由于窃取的数据一般会加密或者编码,而加密或者编码后的数据中大写字母和数字的比例会更高,如果是这样则认为第一请求为基于DNS隧道技术的请求的概率较大,其中的加密后的数据中大写字母的比例为一个第一特定点,编码后的数据中数字的比例为另一个第二特定点,两个特定点所侧重的内容不同,而且每个特定点的倾向性也可能不同,如第一特定点显示数据中大写字母的比例较高,而第二特定点显示编码后的数据中数字的比例较低。两者具有各自的倾向性结论信息,而且各自的倾向性结论信息所指示的方向可以相同也可能不同。
S32,根据所述倾向性结论信息确定计算结果。
检测模型可以根据所有特征信息对应的所有的倾向性结论信息来做综合的分析后得到计算结果,并不是仅依据个别特征信息的倾向性结论信息来轻易得到计算结果。在一个实施例中,每个倾向性结论信息具有其相应的权重,检测模型在分析时可以基于权重来综合的计算,例如第一特征信息对应的第一倾向性结论信息权重较高,第二特征信息对应的第二倾向性结论信息权重较低,如果检测模型仅根据第一特征信息和第二特征信息来计算,则得出的计算结果便与第一倾向性结论信息所表达的含义相同或相似,从而进一步提高了计算精度。
在本申请的一个实施例中,所述的在侦测到基于域名服务协议的第一请求的情况下,具体包括:
在实时侦测的过程中,当侦测到单一的所述第一请求时,启动用于获取所述第一数据的进程。
具体来说,第一请求可以是单一而完整的请求(单个DNS请求),而不是非DNS的请求的其他数据请求进行检测,这使得在检测的过程中可以实现实时检测。当侦测到单一的所述第一请求时,启动用于获取第一数据的进程,并且完整的获取所有的第一请求对应的数据。
在本申请的一个实施例中,所述基于域名服务协议的特定请求为基于域名服务协议隧道技术的请求;
相应的,所述方法还包括训练所述检测模型,其中包括向所述检测模型输入基于域名服务协议的非隧道技术的样本,以进行训练。
具体的,结合上述实施例,基于域名服务协议隧道技术的请求给不法人员提供了方便,本实施例的数据处理方法将基于域名服务协议的请求限定为特定请求,进而判断网络流量中的DNS请求是否为该特定请求,从而提高了网络安全。此外,在线下训练检测模型的过程中,由于可以是针对DNS隧道技术进行的计算,因此可以向检测模型输入基于域名服务协议的非隧道技术的样本(即非DNS隧道技术的样本)进行训练,从而实现检测模型在实际使用时,在DNS隧道技术方面,能够对第一请求做出准确判断。
本申请实施例还提供了与上述数据处理方法相对应的一种电子设备,该电子设备可以是应用在网络中的客户端、服务器等设备,如图6所示,该电子设备包括:
获取模块,其配置为在侦测到基于域名服务协议的第一请求的情况下,获取所述第一请求对应的基于域名服务协议的第一数据。
具体来说,域名服务协议即为DNS(Domain Name Server,或Domain NameSystem),第一请求可以是DNS请求,如客户端向DNS服务端发送的DNS请求,网络活动中可能会出现DNS请求也可能会出现其他的非DNS请求(如一般的数据获取请求),本实施例中获取模块可以实时的对目标对象或目标网络的流量进行侦测,在侦测到DNS请求(第一请求)的情况下,启动获取进程进而获取DNS请求对应的基于域名服务协议的第一数据。该第一数据为第一请求相关联的数据,也可以是第一请求本身。例如,第一数据可以是第一请求相关联的DNS数据流量包。
解析模块,其配置为对所述第一数据进行解析,获取多个特征集,其中所述特征集包括至少一个所述第一数据的特征信息。
解析模块具体对所述第一数据进行解析并获取何种形式或内容的特征集可以根据实际的使用场景或用户需求来预先设定,特征集为第一数据的一个或多个特征的集合,即特征集可以包括一个或多个第一数据的特征信息,而特征信息为第一数据的特征,反映了第一数据的数据形式、数据内容以及数据特点,这些特征信息可以作为判断第一数据详细情况的依据。
举例说明,特征集可以包括以下至少一种:负载长度信息集、记录类型信息集和查询名称信息集;其中每个具体的特征集可以包含一个或多个具体的特征信息,这些特征信息为该第一数据的关键特征。
处理模块,其配置为将所述特征信息输入到完成训练的检测模型中,利用所述检测模型进行计算,确定所述第一请求是否为异常的基于域名服务协议的特定请求,所述检测模型基于输入非特定请求的样本完成训练。
具体来说,检测模型可以预先构建其中可以包括一个或多个具体的检测算法,检测模型在线下进行训练,以提高其智能程度,而在训练该检测模型的过程中,处理模块可以输入非特定请求的样本,其中非特定请求与异常的基于域名服务协议的特定请求相对,例如特定请求为基于DNS隧道技术的请求,而非特定请求则为正常的DNS请求(并非为基于DNS隧道技术的请求),即无需向检测模型如输入异常样本,从而可以提高检测模型对未知样本的检测的准确率。
进一步的,在完成训练后,可以将检测模型使用在真实的检测过程中,将真实的第一数据的特征信息输入到完成训练的检测模型中,进而通过检测模型中的至少一个检测算法进行计算,如利用iForest、LOF等算法,得到检测结果,该检测结果中包括了确定第一请求是否为异常的基于域名服务协议的特定请求,特别是确定了第一请求是否为基于DNS隧道技术的请求。
本实施例的电子设备,能够利用训练好的检测模型对网络流量中的数据进行检测,从而提高检测过程中的智能性和准确率,进而方便而准确的检测出网络请求是否为异常的基于域名服务协议的特定请求,特别是该方法能够准确的确定网络流量包中是否包含有基于DNS隧道技术的请求,进而能够加强对网络安全漏洞的管理。
在本申请的一个实施例中,所述解析模块进一步配置为:
将所述第一数据转化为具有特定文件格式的第二数据;
从所述第二数据中解析出所述特征集,基于所述特征集确定所述特征信息;
基于所述特征信息生成相应的特征向量,将进行了标准化操作的所述特征向量作为所述检测模型的输入。
具体来说,解析模块解析的过程中对于特定文件格式的数据能够有效的提高解析的准确度和解析速度,此外,根据用户具体的使用需要具要,第一数据可能会出现多种不同的数据格式,解析模块将第一数据的数据格式转换为统一的特定文件格式,有利于解析步骤的实施。当然转化后的第二数据在具体的内容上与第一数据是相同的。
第二数据中包含了多个特征集,各个特征集所表达的特征的侧重方向不同,每个特征集中包括一个或多个特征信息,例如第二数据中解析出查询名称信息集(QueryName),查询名称信息集中包含了以下具体的特征信息:如FQDN的字符数、sub-domain中的字符数、大写字母和数字字符数、Entropy等,每个特征信息均表达了相应的特征。
此外,解析模块可以将特征信息进行标准化处理生成相应的特征向量,相对于特征信息来说特征向量可以具有统一的表达方式和数据形式,从而便于对特征向量进行传输和处理,在本实施例中,解析模块将进行了标准化操作的特征向量输入到检测模型中,可防止检测模型在检测过程中发生中断,并且提高了计算的精度。
在本申请的一个实施例中,所述特征集包括以下至少一种:负载长度信息集、记录类型信息集和查询名称信息集;其中,所述查询名称信息集包括请求域名随机性的特征信息。
在本申请的一个实施例中,电子设备还包括训练模块,所述训练模块配置为基于无监督方式训练所述检测模型,其中包括:
向所述检测模型输入基于域名服务协议的训练数据,其中所述训练数据为非特定请求的样本数据;
基于所述训练数据,并通过以提高所述检测模型对未知样本检测的准确率为目标的至少一个预设检测算法,对所述检测模型进行训练;
在所述检测模型达到预定检测标准时完成训练。
在本申请的一个实施例中,处理模块进一步配置为:
分析所述特征信息中的至少一个特定点,获得所述特征信息对应的倾向性结论信息;
根据所述倾向性结论信息确定计算结果。
在本申请的一个实施例中,获取模块进一步配置为:
在实时侦测的过程中,当侦测到单一的所述第一请求时,启动用于获取所述第一数据的进程。
在本申请的一个实施例中,所述基于域名服务协议的特定请求为基于域名服务协议隧道技术的请求;
相应的,所述电子设备还包括训练模块,训练模块配置为:向所述检测模型输入基于域名服务协议的非隧道技术的样本,以进行训练。
以上实施例仅为本申请的示例性实施例,不用于限制本申请,本申请的保护范围由权利要求书限定。本领域技术人员可以在本申请的实质和保护范围内,对本申请做出各种修改或等同替换,这种修改或等同替换也应视为落在本申请的保护范围内。

Claims (10)

1.一种基于域名服务协议的数据处理方法,其特征在于,包括:
在侦测到基于域名服务协议的第一请求的情况下,获取所述第一请求对应的基于域名服务协议的第一数据;
对所述第一数据进行解析,获取多个特征集,其中所述特征集包括至少一个所述第一数据的特征信息;
将所述特征信息输入到完成训练的检测模型中,利用所述检测模型进行计算,确定所述第一请求是否为异常的基于域名服务协议的特定请求,其中,所述检测模型基于输入非特定请求的样本完成训练。
2.根据权利要求1所述的方法,其特征在于,所述的对所述第一数据进行解析,获取多个特征集,包括:
将所述第一数据转化为具有特定文件格式的第二数据;
从所述第二数据中解析出所述特征集,基于所述特征集确定所述特征信息;
基于所述特征信息生成相应的特征向量,将进行了标准化操作的所述特征向量作为所述检测模型的输入。
3.根据权利要求2所述的方法,其特征在于,所述特征集包括以下至少一种:负载长度信息集、记录类型信息集和查询名称信息集;其中,所述查询名称信息集包括请求域名随机性的特征信息。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括基于无监督方式训练所述检测模型,其中包括:
向所述检测模型输入基于域名服务协议的训练数据,其中所述训练数据为非特定请求的样本数据;
基于所述训练数据,并通过以提高所述检测模型对未知样本检测的准确率为目标的至少一个预设检测算法,对所述检测模型进行训练;
在所述检测模型达到预定检测标准时完成训练。
5.根据权利要求1所述的方法,其特征在于,所述的将所述特征信息输入到完成训练的检测模型中,利用所述检测模型进行计算,确定所述第一请求是否为异常的基于域名服务协议的特定请求,包括:
分析所述特征信息中的至少一个特定点,获得所述特征信息对应的倾向性结论信息;
根据所述倾向性结论信息确定计算结果。
6.根据权利要求1所述的方法,其特征在于,所述的在侦测到基于域名服务协议的第一请求的情况下,具体包括:
在实时侦测的过程中,当侦测到单一的所述第一请求时,启动用于获取所述第一数据的进程。
7.根据权利要求1所述的方法,其特征在于,所述基于域名服务协议的特定请求为基于域名服务协议隧道技术的请求;
相应的,所述方法还包括训练所述检测模型,其中包括向所述检测模型输入基于域名服务协议的非隧道技术的样本,以进行训练。
8.一种电子设备,其特征在于,包括:
获取模块,其配置为在侦测到基于域名服务协议的第一请求的情况下,获取所述第一请求对应的基于域名服务协议的第一数据;
解析模块,其配置为对所述第一数据进行解析,获取多个特征集,其中所述特征集包括至少一个所述第一数据的特征信息;
处理模块,其配置为将所述特征信息输入到完成训练的检测模型中,利用所述检测模型进行计算,确定所述第一请求是否为异常的基于域名服务协议的特定请求,所述检测模型基于输入非特定请求的样本完成训练。
9.根据权利要求8所述的电子设备,其特征在于,所述解析模块进一步配置为:
将所述第一数据转化为具有特定文件格式的第二数据;
从所述第二数据中解析出所述特征集,基于所述特征集确定所述特征信息;
基于所述特征信息生成相应的特征向量,将进行了标准化操作的所述特征向量作为所述检测模型的输入。
10.根据权利要求8所述的电子设备,其特征在于,所述特征集包括以下至少一种:负载长度信息集、记录类型信息集和查询名称信息集;其中,所述查询名称信息集包括请求域名随机性的特征信息。
CN202010522412.7A 2020-06-10 2020-06-10 一种基于域名服务协议的数据处理方法及电子设备 Pending CN111683096A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010522412.7A CN111683096A (zh) 2020-06-10 2020-06-10 一种基于域名服务协议的数据处理方法及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010522412.7A CN111683096A (zh) 2020-06-10 2020-06-10 一种基于域名服务协议的数据处理方法及电子设备

Publications (1)

Publication Number Publication Date
CN111683096A true CN111683096A (zh) 2020-09-18

Family

ID=72454489

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010522412.7A Pending CN111683096A (zh) 2020-06-10 2020-06-10 一种基于域名服务协议的数据处理方法及电子设备

Country Status (1)

Country Link
CN (1) CN111683096A (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107733851A (zh) * 2017-08-23 2018-02-23 刘胜利 基于通信行为分析的dns隧道木马检测方法
CN109218124A (zh) * 2017-07-06 2019-01-15 杨连群 Dns隧道传输检测方法和装置
CN109639744A (zh) * 2019-02-27 2019-04-16 深信服科技股份有限公司 一种dns隧道的检测方法及相关设备
CN109842588A (zh) * 2017-11-27 2019-06-04 腾讯科技(深圳)有限公司 网络数据检测方法及相关设备
CN110071829A (zh) * 2019-04-12 2019-07-30 腾讯科技(深圳)有限公司 Dns隧道检测方法、装置及计算机可读存储介质
CN110149418A (zh) * 2018-12-12 2019-08-20 国网信息通信产业集团有限公司 一种基于深度学习的dns隐蔽隧道检测方法
CN110602100A (zh) * 2019-09-16 2019-12-20 上海斗象信息科技有限公司 Dns隧道流量的检测方法
CN110855632A (zh) * 2019-10-24 2020-02-28 新华三信息安全技术有限公司 报文检测方法、装置、网络设备和计算机可读存储介质

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109218124A (zh) * 2017-07-06 2019-01-15 杨连群 Dns隧道传输检测方法和装置
CN107733851A (zh) * 2017-08-23 2018-02-23 刘胜利 基于通信行为分析的dns隧道木马检测方法
CN109842588A (zh) * 2017-11-27 2019-06-04 腾讯科技(深圳)有限公司 网络数据检测方法及相关设备
CN110149418A (zh) * 2018-12-12 2019-08-20 国网信息通信产业集团有限公司 一种基于深度学习的dns隐蔽隧道检测方法
CN109639744A (zh) * 2019-02-27 2019-04-16 深信服科技股份有限公司 一种dns隧道的检测方法及相关设备
CN110071829A (zh) * 2019-04-12 2019-07-30 腾讯科技(深圳)有限公司 Dns隧道检测方法、装置及计算机可读存储介质
CN110602100A (zh) * 2019-09-16 2019-12-20 上海斗象信息科技有限公司 Dns隧道流量的检测方法
CN110855632A (zh) * 2019-10-24 2020-02-28 新华三信息安全技术有限公司 报文检测方法、装置、网络设备和计算机可读存储介质

Similar Documents

Publication Publication Date Title
US11005779B2 (en) Method of and server for detecting associated web resources
US11797671B2 (en) Cyberanalysis workflow acceleration
US20070124806A1 (en) Techniques for tracking actual users in web application security systems
CN110493208A (zh) 一种多特征的dns结合https恶意加密流量识别方法
Messabi et al. Malware detection using dns records and domain name features
CN106789849B (zh) Cc攻击识别方法、节点及系统
CN108270778B (zh) 一种dns域名异常访问检测方法及装置
CN107347076B (zh) Ssrf漏洞的检测方法及装置
CN105635064B (zh) Csrf攻击检测方法及装置
EP2672676A1 (en) Methods and systems for statistical aberrant behavior detection of time-series data
Wang et al. Alert correlation system with automatic extraction of attack strategies by using dynamic feature weights
US10911477B1 (en) Early detection of risky domains via registration profiling
CN114050912B (zh) 一种基于深度强化学习的恶意域名检测方法和装置
CN112437062B (zh) 一种icmp隧道的检测方法、装置、存储介质和电子设备
CN113746804B (zh) Dns隐蔽信道检测方法、装置、设备及存储介质
CN110855716B (zh) 一种面向仿冒域名的自适应安全威胁分析方法及系统
CN112351018A (zh) Dns隐蔽信道检测方法、装置及设备
US20120180125A1 (en) Method and system for preventing domain name system cache poisoning attacks
CN106789858A (zh) 一种访问控制方法和装置以及服务器
CN113905016A (zh) 一种dga域名检测方法、检测装置及计算机存储介质
Spaulding et al. Proactive detection of algorithmically generated malicious domains
CN111683096A (zh) 一种基于域名服务协议的数据处理方法及电子设备
CN114978740A (zh) 基于区块链的标识关联和验证的解析方法
CN113722445A (zh) 一种基于被动流量分析的暴力破解检测方法及系统
TWI636680B (zh) System and method for detecting suspicious domain names based on semi-passive domain name server

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20200918

RJ01 Rejection of invention patent application after publication