CN112261004B - 一种Domain Flux数据流的检测方法及装置 - Google Patents

一种Domain Flux数据流的检测方法及装置 Download PDF

Info

Publication number
CN112261004B
CN112261004B CN202011033512.XA CN202011033512A CN112261004B CN 112261004 B CN112261004 B CN 112261004B CN 202011033512 A CN202011033512 A CN 202011033512A CN 112261004 B CN112261004 B CN 112261004B
Authority
CN
China
Prior art keywords
detection window
data stream
current detection
flow
statistical data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011033512.XA
Other languages
English (en)
Other versions
CN112261004A (zh
Inventor
赵志伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Security Technologies Co Ltd
Original Assignee
New H3C Security Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Security Technologies Co Ltd filed Critical New H3C Security Technologies Co Ltd
Priority to CN202011033512.XA priority Critical patent/CN112261004B/zh
Publication of CN112261004A publication Critical patent/CN112261004A/zh
Application granted granted Critical
Publication of CN112261004B publication Critical patent/CN112261004B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供了一种Domain Flux数据流的检测方法及装置,该方法包括:从当前检测窗口内的数据流中提取DNS请求记录信息;基于所述DNS请求记录信息,确定所述当前检测窗口中的数据流的流量特征统计数据;基于当前检测窗口和历史检测窗口的流量特征统计数据,采用预设算法判断所述当前检测窗口中的数据流是否存在突发数据流;若所述当前检测窗口中存在突发数据流,则确定所述当前检测窗口内的数据流中存在Domain Flux数据流。采用上述方法,可以有效且准确地识别出Domain Flux数据流。

Description

一种Domain Flux数据流的检测方法及装置
技术领域
本申请涉及网络安全技术领域,尤其涉及一种Domain Flux数据流的检测方法及装置。
背景技术
僵尸网络指攻击者出于恶意目的,通过命令控制信道(C&C Channel)操控一群受害主机所形成的虚拟网络。通过该网络,攻击者可以发起多种常见攻击,包括DDoS、垃圾邮件、钓鱼攻击、点击欺诈、在线身份窃取、比特币挖掘/窃取、加密勒索等。同传统恶意代码形态相比,僵尸网络的攻击实现依赖攻击者和受害主机之间的信息交互,即攻击者需要告知僵尸主机命令,僵尸主机才可发起相应的攻击,命令的下发通过命令控制信道实现,因此研究命令控制信道的检测成为僵尸主机检测的核心课题。
早期的僵尸主机通常采用轮询的方法访问硬编码的C&C域名或IP来访问命令控制服务器,获取攻击者命令。然而这类型的命令控制信道很容易被防御方逆向解析出来后形成威胁情报,拦截率极高。为了突破防御方的拦截,攻击方使用Domain Flux协议来对抗防御人员的关闭,僵尸主机访问的C&C域名不再是静态硬编码,而是根据一定算法动态生成的、变化的域名,攻击方和肉鸡通信的集合点(rendezvous points)动态变化,防御方难以关闭该僵尸网络,该域名生成算法称之为DGA(Domain Generation Algorithm,域名生成算法),算法的输入称为Seeds,涵盖日期、社交网络搜索热词、随机数或字典,生成的一串特殊字符前缀(比如kvbtltjwoxf52b68nslulzgvevh44bvatey)添加TLD(顶级域)后得到最终域名资源,该域名称为AGD(Algorithmically-Generated Domain,算法生成域),攻击方只需成功注册并让肉鸡访问到一个AGD即可实现僵尸网络的控制,而防御方为了彻底关闭该僵尸网络,需要屏蔽所有的AGD,成本极大,因此,Domain Flux被认为是一种非常健壮的命令控制协议,如何检测Domain Flux数据流是极为重要的课题。
现有技术在检测Domain Flux数据流时,是采用提取窗口的最大公共子串,如果出现次数超过认为设定的阈值且DNS响应为“未找到域名对应的A记录”的频率超过认为设定的域名,则判定该窗口存在Domain Flux数据流。上述方案无法检测通用型的Domain Flux数据流,而且很多DGA算法生成的域名并不存在公共子串,因此单纯从最大子串方式判定存在检测不全;此外,人为设定的阈值无法反应客户主机正常的网络情况,从而造成阈值不适应。
因此,如何检测Domain Flux数据流是值得考虑的技术问题之一。
发明内容
有鉴于此,本申请提供一种Domain Flux数据流的检测方法及装置,用以准确地识别出Domain Flux数据流。
具体地,本申请是通过如下技术方案实现的:
根据本申请的第一方面,提供一种Domain Flux数据流的检测方法,包括:
从当前检测窗口内的数据流中提取DNS请求记录信息;
基于所述DNS请求记录信息,确定所述当前检测窗口中的数据流的流量特征统计数据;
基于当前检测窗口和历史检测窗口的流量特征统计数据,采用预设算法判断所述当前检测窗口中的数据流是否存在突发数据流;
若所述当前检测窗口中存在突发数据流,则确定所述当前检测窗口内的数据流中存在Domain Flux数据流。
根据本申请的第二方面,提供一种Domain Flux数据流的检测装置,包括:
提取模块,用于从当前检测窗口内的数据流中提取DNS请求记录信息;
第一确定模块,用于基于所述DNS请求记录信息,确定所述当前检测窗口中的数据流的流量特征统计数据;
判断模块,用于基于当前检测窗口和历史检测窗口的流量特征统计数据,采用预设算法判断所述当前检测窗口中的数据流是否存在突发数据流;
第二确定模块,用于若所述判断模块的判断结果为所述当前检测窗口中存在突发数据流,则确定所述当前检测窗口内的数据流中存在Domain Flux数据流。
根据本申请的第三方面,提供一种网络设备,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的计算机程序,处理器被计算机程序促使执行本申请实施例第一方面所提供的方法。
根据本申请的第四方面,提供一种机器可读存储介质,机器可读存储介质存储有计算机程序,在被处理器调用和执行时,计算机程序促使处理器执行本申请实施例第一方面所提供的方法。
本申请实施例的有益效果:
本申请实施例提供的Domain Flux数据流的检测方法及装置,从当前检测窗口内的数据流中提取DNS请求记录信息;基于所述DNS请求记录信息,确定所述当前检测窗口中的数据流的流量特征统计数据;基于当前检测窗口和历史检测窗口的流量特征统计数据,采用预设算法判断所述当前检测窗口中的数据流是否存在突发数据流;若所述当前检测窗口中存在突发数据流,则确定所述当前检测窗口内的数据流中存在Domain Flux数据流,从而有效地且准确地识别出当前检测时间段内的数据流中是否存在Domain Flux数据流,也即可以有效且准确地识别Domain Flux数据流。
附图说明
图1是本申请实施例提供的一种网络设备的结构示意图;
图2是本申请实施例提供的一种Domain Flux数据流的检测方法的流程图;
图3是本申请实施例提供的一种Domain Flux数据流的检测装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
请参照图1,是本实施例提供的网络设备100的方框示意图。该网络设备100包括存储器110、处理器120及通信模块130。存储器110、处理器120以及通信模块130各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。
其中,存储器110用于存储程序或者数据。存储器110可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-Only Memory,PROM),可擦除只读存储器(ErasableProgrammable Read-Only Memory,EPROM),电可擦除只读存储器(Electric ErasableProgrammable Read-Only Memory,EEPROM)等。
处理器120用于读/写存储器110中存储的数据或程序,并执行相应地功能。例如,当存储器110存储的计算机程序被处理器120执行时,能够实现本申请各实施例所揭示的Domain Flux数据流的检测方法。
通信模块130用于通过网络建立网络设备100与其它通信终端之间的通信连接,并用于通过网络收发数据。例如,网络设备100可以通过通信模块130从其它通信终端获取Domain Flux数据流。
应当理解的是,图1所示的结构仅为网络设备100的结构示意图,网络设备100还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。可选地,本申请实施例中的网络设备100可以为防火墙等网络安全设备,当然也可以为其他设备,具体根据实际情况而定。
下面对本申请提供的Domain Flux数据流的检测方法进行详细地说明。
参见图2,图2是本申请提供的一种Domain Flux数据流的检测方法的流程图,可以应用于上述网络设备100中,该方法可包括如下所示步骤:
S201、从当前检测窗口内的数据流中提取DNS请求记录信息。
本步骤中,核心交换机会将流经该核心交换机的数据流镜像一份到网络设备,然后网络设备接收到镜像的数据流后,会按照检测窗口依次分析。针对当前检测窗口内的数据流,网络设备从上述数据流中提取域名服务器DNS请求记录信息。
可选地,本申请上述DNS请求记录信息可以但不限于包括源IP地址、请求的域名、所请求的域名的响应IP地址、响应的生存时间TTL和请求时间等等。具体地,上述所请求的域名的响应IP地址可以理解为将上述所请求的域名解析为对应的IP地址,该IP地址即为响应IP地址。
S202、基于DNS请求记录信息,确定所述当前检测窗口中的数据流的流量特征统计数据。
S203、基于当前检测窗口和历史检测窗口的流量特征统计数据,采用预设算法判断所述当前检测窗口中的数据流是否存在突发数据流;若判断结果为是,则执行步骤S204;若判断结果为否,则执行步骤S205。
具体地,本申请预先设定检测窗口的大小,该检测窗口为设定时间长度,且该设定时间长度可以动态调整。然后在当前检测时间段内,从当前检测窗口内的数据流的DNS请求记录信息,统计当前检测窗口内的数据流的流量特征统计数据。
可选地,本申请提供的流量特征统计数据包括以下至少一项:基于源IP地址所请求的域名的数量、基于源IP地址所请求的域名中返回未找到所请求的域名对应的地址记录的域名的数量。上述流量特征统计数据可以反映Domain Flux的行为特征,因此基于上述流量特征统计数据来识别当前检测窗口内是否存在Domain Flux数据流的结果准确度会比较高。
为了更好地理解本申请,以检测窗口为1分钟为例进行说明,则假设当前检测时间段为1天,则可以获取24*60=1440个检测窗口,当前检测窗口可以为当前检测时间段内最新的1分钟,则可以分别基于上述1440个检测窗口内数据流的DNS请求记录信息,分别统计各个检测窗口内数据流的流量特征统计数据,参考表1所示:
表1
Figure BDA0002704533430000061
表1中不同请求域名数即为上述基于源IP地址(192.168.0.110)所请求的域名的数量,以及表1中返回“未找到域名对应的A记录”的不同的域名的数量即为上述基于源IP地址(192.168.0.110)所请求的域名中返回未找到所请求的域名对应的地址记录的不同的域名的数量。实际应用中,还可以基于其他源IP地址的统计流量特征统计数据,此处不再一一列举。
S204、确定所述当前检测窗口内的数据流中存在Domain Flux数据流。
S205、确定所述当前检测窗口内的数据流中不存在Domain Flux数据流。
一种可能的实施例中,可以按照下述过程实施步骤S203:基于历史的每个检测窗口内的每一个流量特征统计数据,并采用第一预设算法预测得到该流量特征统计数据对应的流量预测范围;针对所述当前检测窗口内每个流量特征统计数据,判断该流量特征统计数据是否在预测得到的该流量特征统计数据对应的流量预测范围;若所述当前检测窗口内各个流量特征统计数据均不在各个流量特征统计数据分别对应的流量预测范围内,则确认所述当前检测窗口内的数据流存在突发数据流。
具体地,上述第一预设算法可以但不限于为3西格玛算法、箱型图算法等等。
以第一预设算法为3西格玛算法为例进行说明,以流量特征统计数据包括基于源IP地址所请求的不同的域名的数量和基于源IP地址所请求的域名中返回未找到所请求的域名对应的地址记录的不同的域名的数量为例进行说明,则针对基于源IP地址所请求的不同的域名的数量,可以基于除当前检测窗口之外的各个历史的检测窗口统计得到的源IP地址所请求的域名的数量,利用3西格玛算法预测“基于源IP地址所请求的不同的域名的数量”对应的流量预测范围。
具体实施时,上述3西格玛算法记为:F=(μ-3σ,μ+3σ),其中:μ为均值,且μ=(x1+x2+……+xn)/n;σ为标准差,且σ=sqrt(((x1-x)^2+(x2-x)^2+......(xn-x)^2)/(n-1))。当将该公式应用到上述基于源IP地址所请求的不同的域名的数量这一流量特征统计数据时,上述均值公式μ和标准差公式σ中,n为除当前检测窗口之外的历史检测窗口的数量,而x1~xn为上述n个检测窗口分别统计的基于源IP地址所请求的不同的域名的数量,上述x可以为计算得到的均值μ。通过利用上述均值μ和标准差σ计算公式,可以得到F=(μ-3σ,μ+3σ),记为预测得到的“基于源IP地址所请求的不同的域名的数量”对应的流量预测范围。
同理,也可以利用3西格玛算法预测“基于源IP地址所请求的域名中返回未找到所请求的域名对应的地址记录的不同的域名的数量”对应的流量预测范围。
在此基础上,可以判断当前检测窗口内统计的基于源IP地址所请求的不同的域名的数量是否在对应的流量预测范围内,以及判断当前检测窗口内统计的基于源IP地址所请求的域名中返回未找到所请求的域名对应的地址记录的不同的域名的数量是否在对应的流量预测范围内。若均不在对应的流量预测范围内,则执行步骤S204,表征当前检测窗口内存在流量突发,确认当前检测窗口内存在Domain Flux数据流。若任一不在对应的流量预测范围内,则确认当前检测窗口内不存在流量突发情况,即执行步骤S205,即确认当前检测窗口内不存在Domain Flux数据流,基于此,可以有效且准确地检测出当前检测窗口内的数据流是否存在Domain Flux数据流。
需要说明的是,上述计算流量预测范围的实施过程可以预先执行,待获取到当前检测窗口统计得到流量特征统计数据时,直接执行判断是否在对应的流量预测范围内及后续步骤即可。
另一种可能的实施例中,还可以按照下述过程实施步骤S203:对每个检测窗口内的流量特征统计数据分别进行加权处理,分别得到各个检测窗口内数据流的流量特征综合分值;基于各个检测窗口得到的流量特征综合分值,采用第二预设算法确定正常数据流的流量特征综合分值范围;对所述当前检测窗口内的流量特征统计数据进行加权处理,得到所述当前检测窗口的流量特征综合分值;若所述当前检测窗口的流量特征综合分值不在所述正常数据流的流量特征综合分值范围内,则确认所述当前检测窗口内的数据流存在突发数据流。
具体地,以流量特征统计数据包括基于源IP地址所请求的不同的域名的数量和基于源IP地址所请求的域名中返回未找到所请求的域名对应的地址记录的不同的域名的数量为例进行说明,则可以对每个检测窗口内统计得到的基于源IP地址所请求的不同的域名的数量和基于源IP地址所请求的域名中返回未找到所请求的域名对应的地址记录的不同的域名的数量进行加权处理,从而可以得到该检测窗口的流量特征综合分值,基于各个检测窗口计算得到的流量特征综合分值,然后利用第二预设算法确定正常数据流的流量特征综合分值范围;该第二预设算法可以但不限于为3西格玛算法等等。
这样一来,当基于当前检测窗口统计得到流量特征统计数据后,可以对该当前检测窗口内各个流量特征统计数据进行加权处理,得到该当前检测窗口对应的流量特征综合分值,当该当前检测窗口对应的流量特征综合分值不在正常数据流的流量特征综合分值范围内时,则确认该当前检测窗口内存在突发数据流,即执行步骤S204,确认当前检测窗口内存在Domain Flux数据流;若在正常数据流的流量特征综合分值范围内,则确认该当前检测窗口内不存在突发数据流,即确认当前检测窗口内不存在Domain Flux数据流,基于此,可以有效且准确地检测出当前检测窗口内的数据流是否存在Domain Flux数据流。
基于同一发明构思,本申请还提供了与上述Domain Flux数据流的检测方法对应的Domain Flux数据流的检测装置。该Domain Flux数据流的检测装置的实施具体可以参考上述对Domain Flux数据流的检测方法的描述,此处不再一一论述。
参见图3,图3是本申请一示例性实施例提供的一种Domain Flux数据流的检测装置,包括:
提取模块301,用于从当前检测窗口内的数据流中提取DNS请求记录信息;
第一确定模块302,用于基于所述DNS请求记录信息,确定所述当前检测窗口中的数据流的流量特征统计数据;
判断模块303,用于基于当前检测窗口和历史检测窗口的流量特征统计数据,采用预设算法判断所述当前检测窗口中的数据流是否存在突发数据流;
第二确定模块304,用于若上述判断模块303的判断结果为所述当前检测窗口中存在突发数据流,则确定所述当前检测窗口内的数据流中存在Domain Flux数据流。
可选地,上述判断模块303,具体用于基于历史的每个检测窗口内的每一个流量特征统计数据,并采用第一预设算法预测得到该流量特征统计数据对应的流量预测范围;针对所述当前检测窗口内每个流量特征统计数据,判断该流量特征统计数据是否在预测得到的该流量特征统计数据对应的流量预测范围;若所述当前检测窗口内各个流量特征统计数据均不在各个流量特征统计数据分别对应的流量预测范围内,则确认所述当前检测窗口内的数据流存在突发数据流。
可选地,上述判断模块303,具体用于对每个检测窗口内的流量特征统计数据分别进行加权处理,分别得到各个检测窗口内数据流的流量特征综合分值;基于各个检测窗口得到的流量特征综合分值,采用第二预设算法确定正常数据流的流量特征综合分值范围;对所述当前检测窗口内的流量特征统计数据进行加权处理,得到所述当前检测窗口的流量特征综合分值;若所述当前检测窗口的流量特征综合分值不在所述正常数据流的流量特征综合分值范围内,则确认所述当前检测窗口内的数据流存在突发数据流。
可选地,本实施例中的DNS请求记录信息包括以下至少一项:源IP地址、请求的域名、所请求的域名的响应IP地址、响应的生存时间和请求时间。
可选地,本实施例中的流量特征统计数据包括以下至少一项:基于源IP地址所请求的不同的域名的数量、基于源IP地址所请求的域名中返回未找到所请求的域名对应的地址记录的不同的域名的数量。
另外,本申请实施例提供了一种机器可读存储介质,机器可读存储介质存储有计算机程序,在被处理器调用和执行时,计算机程序促使处理器执行本申请实施例所提供的Domain Flux数据流的检测方法。
对于网络设备以及机器可读存储介质实施例而言,由于其涉及的方法内容基本相似于前述的方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
上述装置中各个单元/模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元/模块可以是或者也可以不是物理上分开的,作为单元/模块显示的部件可以是或者也可以不是物理单元/模块,即可以位于一个地方,或者也可以分布到多个网络单元/模块上。可以根据实际的需要选择其中的部分或者全部单元/模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (8)

1.一种Domain Flux数据流的检测方法,其特征在于,包括:
从当前检测窗口内的数据流中提取DNS请求记录信息;
基于所述DNS请求记录信息,确定所述当前检测窗口中的数据流的流量特征统计数据;
基于当前检测窗口和历史检测窗口的流量特征统计数据,采用预设算法判断所述当前检测窗口中的数据流是否存在突发数据流,包括:基于历史的每个检测窗口内的每一个流量特征统计数据,并采用第一预设算法预测得到该流量特征统计数据对应的流量预测范围;针对所述当前检测窗口内每个流量特征统计数据,判断该流量特征统计数据是否在预测得到的该流量特征统计数据对应的流量预测范围;若所述当前检测窗口内各个流量特征统计数据均不在各个流量特征统计数据分别对应的流量预测范围内,则确认所述当前检测窗口内的数据流存在突发数据流;
若所述当前检测窗口中存在突发数据流,则确定所述当前检测窗口内的数据流中存在Domain Flux数据流。
2.根据权利要求1所述的方法,其特征在于,基于当前检测窗口和历史检测窗口的流量特征统计数据,采用预设算法判断所述当前检测窗口中的数据流是否存在突发数据流,包括:
对每个检测窗口内的流量特征统计数据分别进行加权处理,分别得到各个检测窗口内数据流的流量特征综合分值;
基于各个检测窗口得到的流量特征综合分值,采用第二预设算法确定正常数据流的流量特征综合分值范围;
对所述当前检测窗口内的流量特征统计数据进行加权处理,得到所述当前检测窗口的流量特征综合分值;
若所述当前检测窗口的流量特征综合分值不在所述正常数据流的流量特征综合分值范围内,则确认所述当前检测窗口内的数据流存在突发数据流。
3.根据权利要求1所述的方法,其特征在于,所述DNS请求记录信息包括以下至少一项:源IP地址、请求的域名、所请求的域名的响应IP地址、响应的生存时间和请求时间。
4.根据权利要求3所述的方法,其特征在于,所述流量特征统计数据包括以下至少一项:基于源IP地址所请求的不同的域名的数量、基于源IP地址所请求的域名中返回未找到所请求的域名对应的地址记录的不同的域名的数量。
5.一种Domain Flux数据流的检测装置,其特征在于,包括:
提取模块,用于从当前检测窗口内的数据流中提取DNS请求记录信息;
第一确定模块,用于基于所述DNS请求记录信息,确定所述当前检测窗口中的数据流的流量特征统计数据;
判断模块,用于基于当前检测窗口和历史检测窗口的流量特征统计数据,采用预设算法判断所述当前检测窗口中的数据流是否存在突发数据流,包括:基于历史的每个检测窗口内的每一个流量特征统计数据,并采用第一预设算法预测得到该流量特征统计数据对应的流量预测范围;针对所述当前检测窗口内每个流量特征统计数据,判断该流量特征统计数据是否在预测得到的该流量特征统计数据对应的流量预测范围;若所述当前检测窗口内各个流量特征统计数据均不在各个流量特征统计数据分别对应的流量预测范围内,则确认所述当前检测窗口内的数据流存在突发数据流;
第二确定模块,用于若所述判断模块的判断结果为所述当前检测窗口中存在突发数据流,则确定所述当前检测窗口内的数据流中存在Domain Flux数据流。
6.根据权利要求5所述的装置,其特征在于,
所述判断模块,还用于对每个检测窗口内的流量特征统计数据分别进行加权处理,分别得到各个检测窗口内数据流的流量特征综合分值;基于各个检测窗口得到的流量特征综合分值,采用第二预设算法确定正常数据流的流量特征综合分值范围;对所述当前检测窗口内的流量特征统计数据进行加权处理,得到所述当前检测窗口的流量特征综合分值;若所述当前检测窗口的流量特征综合分值不在所述正常数据流的流量特征综合分值范围内,则确认所述当前检测窗口内的数据流存在突发数据流。
7.一种网络设备,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的计算机程序,所述处理器被所述计算机程序促使执行权利要求1-4任一项所述的方法。
8.一种机器可读存储介质,其特征在于,所述机器可读存储介质存储有计算机程序,在被处理器调用和执行时,所述计算机程序促使所述处理器执行权利要求1-4任一项所述的方法。
CN202011033512.XA 2020-09-27 2020-09-27 一种Domain Flux数据流的检测方法及装置 Active CN112261004B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011033512.XA CN112261004B (zh) 2020-09-27 2020-09-27 一种Domain Flux数据流的检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011033512.XA CN112261004B (zh) 2020-09-27 2020-09-27 一种Domain Flux数据流的检测方法及装置

Publications (2)

Publication Number Publication Date
CN112261004A CN112261004A (zh) 2021-01-22
CN112261004B true CN112261004B (zh) 2022-05-27

Family

ID=74233676

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011033512.XA Active CN112261004B (zh) 2020-09-27 2020-09-27 一种Domain Flux数据流的检测方法及装置

Country Status (1)

Country Link
CN (1) CN112261004B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113179260B (zh) * 2021-04-21 2022-09-23 国家计算机网络与信息安全管理中心河北分中心 僵尸网络的检测方法、装置、设备及介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010037955A1 (fr) * 2008-09-30 2010-04-08 France Telecom Procede de caracterisation d'entites a l'origine de variations dans un trafic reseau
CN105357228A (zh) * 2015-12-19 2016-02-24 中国人民解放军信息工程大学 一种基于动态阈值的突发流量检测方法
CN110336789A (zh) * 2019-05-28 2019-10-15 北京邮电大学 基于混合学习的Domain-flux僵尸网络检测方法
CN111147459A (zh) * 2019-12-12 2020-05-12 北京网思科平科技有限公司 一种基于dns请求数据的c&c域名检测方法及装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8645311B2 (en) * 2011-03-25 2014-02-04 Siemens Aktiengesellschaft Critical threshold parameters for defining bursts in event logs
US11310247B2 (en) * 2016-12-21 2022-04-19 Micro Focus Llc Abnormal behavior detection of enterprise entities using time-series data

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010037955A1 (fr) * 2008-09-30 2010-04-08 France Telecom Procede de caracterisation d'entites a l'origine de variations dans un trafic reseau
CN105357228A (zh) * 2015-12-19 2016-02-24 中国人民解放军信息工程大学 一种基于动态阈值的突发流量检测方法
CN110336789A (zh) * 2019-05-28 2019-10-15 北京邮电大学 基于混合学习的Domain-flux僵尸网络检测方法
CN111147459A (zh) * 2019-12-12 2020-05-12 北京网思科平科技有限公司 一种基于dns请求数据的c&c域名检测方法及装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
基于静态及动态特征的恶意域名检测技术研究;王林汝等;《江苏通信》;20170815(第04期);全文 *
大规模网络中基于集成学习的恶意域名检测;马旸等;《计算机工程》;20161115(第11期);全文 *

Also Published As

Publication number Publication date
CN112261004A (zh) 2021-01-22

Similar Documents

Publication Publication Date Title
US20210152520A1 (en) Network Firewall for Mitigating Against Persistent Low Volume Attacks
US9369479B2 (en) Detection of malware beaconing activities
US11606385B2 (en) Behavioral DNS tunneling identification
Yu et al. Discriminating DDoS flows from flash crowds using information distance
US9300684B2 (en) Methods and systems for statistical aberrant behavior detection of time-series data
CN102685145A (zh) 一种基于dns数据包的僵尸网络域名发现方法
Satam et al. Anomaly Behavior Analysis of DNS Protocol.
Arukonda et al. The innocent perpetrators: reflectors and reflection attacks
JP2019523584A (ja) ネットワーク攻撃防御システムおよび方法
CN108270778B (zh) 一种dns域名异常访问检测方法及装置
Gao et al. A machine learning based approach for detecting DRDoS attacks and its performance evaluation
CN113329029A (zh) 一种针对apt攻击的态势感知节点防御方法及系统
Ghafir et al. DNS query failure and algorithmically generated domain-flux detection
CN112272175A (zh) 一种基于dns的木马病毒检测方法
CN111131309A (zh) 分布式拒绝服务检测方法、装置及模型创建方法、装置
CN111628961A (zh) 一种dns异常检测方法
CN112261004B (zh) 一种Domain Flux数据流的检测方法及装置
CN112583827B (zh) 一种数据泄露检测方法及装置
Wang et al. DGA botnet detection utilizing social network analysis
CN117354024A (zh) 基于大数据的dns恶意域名检测系统及方法
Oo et al. Enhancement of preventing application layer based on DDoS attacks by using hidden semi-Markov model
Subbulakshmi et al. A unified approach for detection and prevention of DDoS attacks using enhanced support vector machines and filtering mechanisms
Cai et al. A behavior-based method for detecting DNS amplification attacks
CN113726775B (zh) 一种攻击检测方法、装置、设备及存储介质
Nashat et al. Detecting http flooding attacks based on uniform model

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant