CN112953916B - 异常检测方法和装置 - Google Patents
异常检测方法和装置 Download PDFInfo
- Publication number
- CN112953916B CN112953916B CN202110126342.8A CN202110126342A CN112953916B CN 112953916 B CN112953916 B CN 112953916B CN 202110126342 A CN202110126342 A CN 202110126342A CN 112953916 B CN112953916 B CN 112953916B
- Authority
- CN
- China
- Prior art keywords
- dns
- target
- data packet
- suspicious
- domain name
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及一种异常检测方法和装置,方法包括:获取域名系统DNS流量,DNS流量包括至少一个DNS数据包;对DNS流量进行检测,在确定存在可疑的DNS数据包时,确定可疑的DNS数据包的记录类型;根据记录类型,确定可疑的DNS数据包是否异常。本公开实施例确定可疑DNS数据包,并根据可疑DNS数据包的记录类型进行异常判断,能够有效提高异常检测的精准度。
Description
技术领域
本公开涉及网络安全技术领域,尤其涉及一种异常检测方法和装置。
背景技术
域名系统(Domain Name System,DNS)数据包中的隐蔽信道可以被用于进行数据泄露及命令控制等恶意活动,给网络安全造成较为严重的危害。相关技术中,对DNS数据包的异常检测的精准度较低。
发明内容
有鉴于此,本公开提出了一种异常检测方法和装置的技术方案。
根据本公开的一方面,提供了一种异常检测方法,所述方法包括:
获取域名系统DNS流量,所述DNS流量包括至少一个DNS数据包;
对所述DNS流量进行检测,在确定存在可疑的DNS数据包时,确定所述可疑的DNS数据包的记录类型;
根据所述记录类型,确定所述可疑的DNS数据包是否异常。
在一种可能的实现方式中,所述根据所述记录类型,确定所述可疑的DNS数据包是否异常,包括:
在所述记录类型为目标记录类型时,确定在目标时间区间内,目标IP地址是否被访问,其中,所述目标IP地址是根据所述可疑的DNS数据包确定的;
若在所述目标时间区间内,所述目标IP地址未被访问,则确定所述可疑的DNS数据包的检测结果为异常。
在一种可能的实现方式中,所述根据所述记录类型,确定所述可疑的DNS数据包是否异常,还包括:
若在所述目标时间区间内,所述目标IP地址被访问,则确定所述可疑的DNS数据包的检测结果为正常。
在一种可能的实现方式中,所述根据所述记录类型,确定所述可疑的DNS数据包是否异常,包括:
在所述记录类型不属于目标记录类型时,确定所述可疑的DNS数据包的检测结果为异常。
在一种可能的实现方式中,所述对所述DNS流量进行检测,包括:
对所述DNS流量中的至少一个DNS数据包进行特征提取,得到域名特征;
确定所述域名特征的特征向量;
根据所述特征向量以及训练好的检测模型,确定是否存在可疑的DNS数据包。
在一种可能的实现方式中,所述域名特征包括单域名特征以及多域名特征中至少之一,所述单域名特征是根据单个域名提取的特征,所述多域名特征是根据多个域名之间的关联信息确定的特征。
在一种可能的实现方式中,所述方法还包括:
去除所述DNS流量中域名位于白名单上的DNS数据包,得到目标DNS流量;
其中,所述对所述DNS流量进行检测,包括:
对所述目标DNS流量进行检测。
在一种可能的实现方式中,所述目标记录类型包括A类型或AAAA类型。
在一种可能的实现方式中,所述方法还包括:
在确定所述可疑的DNS数据包为异常时,发送告警信息。
根据本公开的另一方面,提供了一种异常检测装置,所述装置包括:
获取模块,用于获取域名系统DNS流量,所述DNS流量包括至少一个DNS数据包;
检测模块,用于对所述DNS流量进行检测,在确定存在可疑的DNS数据包时,确定所述可疑的DNS数据包的记录类型;
第一确定模块,用于根据所述记录类型,确定所述可疑的DNS数据包是否异常。
在一种可能的实现方式中,所述第一确定模块包括:
第一确定子模块,用于在所述记录类型为目标记录类型时,确定在目标时间区间内,目标IP地址是否被访问,其中,所述目标IP地址是根据所述可疑的DNS数据包确定的;
第二确定子模块,用于若在所述目标时间区间内,所述目标IP地址未被访问,则确定所述可疑的DNS数据包的检测结果为异常。
在一种可能的实现方式中,所述第一确定模块还包括:
第三确定子模块,用于若在所述目标时间区间内,所述目标IP地址被访问,则确定所述可疑的DNS数据包的检测结果为正常。
在一种可能的实现方式中,所述第一确定模块包括:
第四确定子模块,用于在所述记录类型不属于目标记录类型时,确定所述可疑的DNS数据包的检测结果为异常。
在一种可能的实现方式中,所述检测模块包括:
特征提取子模块,用于对所述DNS流量中的至少一个DNS数据包进行特征提取,得到域名特征;
第五确定子模块,用于确定所述域名特征的特征向量;
第六确定子模块,用于根据所述特征向量以及训练好的检测模型,确定是否存在可疑的DNS数据包。
在一种可能的实现方式中,所述域名特征包括单域名特征以及多域名特征中至少之一,所述单域名特征是根据单个域名提取的特征,所述多域名特征是根据多个域名之间的关联信息确定的特征。
在一种可能的实现方式中,所述装置还包括:
第二确定模块,用于去除所述DNS流量中域名位于白名单上的DNS数据包,得到目标DNS流量;
其中,所述检测模块包括:
检测子模块,用于对所述目标DNS流量进行检测。
在一种可能的实现方式中,所述目标记录类型包括A类型或AAAA类型。
在一种可能的实现方式中,所述装置还包括:
告警模块,用于在确定所述可疑的DNS数据包为异常时,发送告警信息。
根据本公开的另一方面,提供了一种异常检测装置,包括:处理器;用于存储处理器可执行指令的存储器;其中,所述处理器被配置为执行上述异常检测方法。
根据本公开的另一方面,提供了一种非易失性计算机可读存储介质,其上存储有计算机程序指令,其中,所述计算机程序指令被处理器执行时实现上述异常检测方法。
在本公开实施例中,获取域名系统DNS流量,对所述DNS流量进行检测,在确定存在可疑的DNS数据包时,确定所述可疑的DNS数据包的记录类型;根据所述记录类型,针对可疑的DNS数据包进行异常判断,能够有效提高异常检测的精准度。
根据下面参考附图对示例性实施例的详细说明,本公开的其它特征及方面将变得清楚。
附图说明
包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本公开的示例性实施例、特征和方面,并且用于解释本公开的原理。
图1示出根据本公开实施例的一种异常检测方法的流程图。
图2示出根据本公开实施例的一种异常检测方法的示意图。
图3示出根据本公开实施例的一种异常检测装置的框图。
图4示出根据本公开实施例的一种异常检测装置的框图。
图5示出根据本公开实施例的一种异常检测装置的框图。
具体实施方式
以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面,但是除非特别指出,不必按比例绘制附图。
在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
另外,为了更好的说明本公开,在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解,没有某些具体细节,本公开同样可以实施。在一些实例中,对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述,以便于凸显本公开的主旨。
相关技术中,DNS隐蔽信道(DNS Covert Channel)为DNS数据包中可定义字段秘密传递信息的通道,DNS隐蔽信道被运用于数据泄露、命令控制等威胁场景中。
随着物联网、5G技术的快速发展,联网设备持续增加,随之而来的数据泄露问题日益严重。根据数据显示,在2020年第三季度全球有数十亿条记录被泄露,今年的泄露总数达到360亿。
例如,利用DNS隐蔽信道进行数据泄露持续威胁着金融领域,在未被监视的情况下窃取银行卡信息,造成了较大的经济损失。例如,利用DNS隐蔽信道进行命令控制会对各类系统进行攻击,例如,攻击医疗系统。利用DNS隐蔽信道的攻击已逐步形成一种体系,将相关技术融入攻击中或使用相关工具进行集成攻击,带来较大的安全威胁。
如前所述,利用DNS隐蔽信道可以进行数据泄露及命令控制相关的恶意活动,给网络空间安全造成了较为严重的危害。因此,亟待提高对此类进行恶意活动的DNS数据包的异常检测的精准度,以提高网络安全性。
图1示出根据本公开实施例的一种异常检测方法的流程图。该方法可以由终端设备或服务器等电子设备执行,只要能够获取DNS流量即可,本公开对此不作限制。例如,终端设备可以为用户终端(例如,智能手机)、网关设备、终端、计算设备、各类物联网(Internetof Things,IOT)设备等。该方法可以通过处理器调用存储器中存储的计算机可读指令的方式来实现,或者,可通过服务器执行该方法。其中,终端设备或服务器等电子设备可以是包括具备计算能力和通信能力的各类设备。如图1所示,该方法可以包括:
在步骤S11中,获取域名系统DNS流量,所述DNS流量包括至少一个DNS数据包;
在步骤S12中,对所述DNS流量进行检测,在确定存在可疑的DNS数据包时,确定所述可疑的DNS数据包的记录类型;
在步骤S13中,根据所述记录类型,确定所述可疑的DNS数据包是否异常。
在本公开实施例中,获取域名系统DNS流量,对所述DNS流量进行检测,在确定存在可疑的DNS数据包时,确定所述可疑的DNS数据包的记录类型;根据所述记录类型,针对可疑的DNS数据包进行异常判断,能够有效提高异常检测的精准度。
在步骤S11中,获取域名系统DNS流量,所述DNS流量包括至少一个DNS数据包。
在一种可能的实现方式中,获取域名系统DNS流量可以是通过DNS探针从网络流量中获取的,也可以是直接采集的DNS流量。其中,DNS流量可以为周期性采集或非周期性采集的,DNS流量包括至少一个DNS数据包,本公开实施例的异常检测方法对DNS流量中的DNS数据包进行检测,以判断是否存在异常DNS数据包。
在一种可能的实现方式中,所述方法还包括:
去除所述DNS流量中域名位于白名单上的DNS数据包,得到目标DNS流量;
其中,所述对所述DNS流量进行检测,包括:
对所述目标DNS流量进行检测。
举例来说,可以设置有白名单,该白名单上的域名为可信任的域名,可以去除获取到的DNS流量中域名位于白名单上的DNS数据包,对DNS流量中域名没有位于白名单上的目标DNS数据包进行后续检测。
通过这种方式,去除信任的DNS数据包,对DNS流量中域名没有位于白名单上的目标DNS数据包进行异常检测,能够减少检测量,提高检测效率。
在步骤S12中,对所述DNS流量进行检测,在确定存在可疑的DNS数据包时,确定所述可疑的DNS数据包的记录类型。
其中,对所述DNS流量进行检测可以是通过各类检测算法训练机器学习或者深度学习模型,例如,训练基于决策树、随机森林、卷积神经网络(Convolutional NeuralNetworks,CNN)等构建的检测模型,以通过训练好的检测模型对DNS流量进行检测,例如,可以进行是否为可疑的DNS数据包的分类识别,本公开对此不做限制。
其中,DNS数据包的记录类型可以用于记录与DNS数据包相关的各类信息,DNS数据包可以包括多种记录类型,不同记录类型可以分别用于不同的记录用途。例如,A类型用于记录将主机映射到IPv4的IP地址,AAAA类型用于记录将主机映射到IPv6的IP地址。MX类型用来定义用于域的邮件交换。TXT类型用于记录某个主机名或域名的说明。应理解,DNS数据包的记录类型不限于上述示例,本公开对DNS数据包的记录类型不做限制。
在一种可能的实现方式中,对所述DNS流量进行检测,包括:
对所述DNS流量中的至少一个DNS数据包进行特征提取,得到域名特征;
确定所述域名特征的特征向量;
根据所述特征向量以及训练好的检测模型,确定是否存在可疑的DNS数据包。
举例来说,可以对DNS数据包进行特征提取,例如,根据DNS数据包的包头数据以及包体数据,进行特征提取,以得到域名特征。其中,域名特征是根据DNS数据包所包含的各类信息确定的特征。
在一种可能的实现方式中,所述域名特征可以包括单域名特征以及多域名特征中至少之一,所述单域名特征是根据单个域名提取的特征,所述多域名特征是根据多个域名之间的关联信息确定的特征。
举例来说,可以获取一段时间区间内的DNS数据包,并分别对每个DNS数据包进行单域名特征的提取,例如,可以提取域名的子域名长度、子域名数字占比、子域名大写字母占比、子域名信息熵等。
在包括多个DNS数据包时,还可以根据提取到的多个域名之间的关联信息进行多域名特征的提取,得到多域名特征。例如,包括2个域名,分别为www.aaixx.com以及www.caixx.com,多域名特征可以包括2个域名均包括的字符串,例如,“aixx”。多域名特征还可以最大公共子串长度、最大公共子串是否包含大写字母等各类特征。应理解,提取到的域名特征可以包括单域名特征以及多域名特征中至少之一,本公开对域名特征的类型、数量、单域名特征的提取方式、多域名特征的提取方式、时间区间的范围均不做限制。通过这种方式,能够获取到较丰富的域名特征,以提高对可疑DNS数据包的识别准确度。
在一种可能的实现方式中,可以确定所述域名特征的特征向量,根据所述特征向量以及训练好的检测模型,确定是否存在可疑的DNS数据包。
例如,可以将提取到的域名特征用对应的特征向量进行表达,并将特征向量输入训练好的检测模型,以判断是否存在可疑的DNS数据包。这样,通过较丰富的域名特征以及训练好的检测模型,能够提高可疑的DNS数据包的识别准确度。
在步骤S13中,根据所述记录类型,确定所述可疑的DNS数据包是否异常。
在一种可能的实现方式中,根据所述记录类型,确定所述可疑的DNS数据包是否异常可以包括根据记录类型以及所述记录类型对应的异常判断条件,确定可疑的DNS数据包是否异常。
其中,异常判断条件可以是根据记录类型的特征确定的。例如,记录类型为A类型或AAAA类型时,异常判断条件可以包括根据可疑的DNS数据包确定的目标IP地址,在目标时间区间内未被访问。在记录类型为A类型或AAAA类型时,若满足该异常判断条件,则可以确定可疑的DNS数据包异常。这样,在记录类型为A类型或AAAA类型时,根据IP关联信息进行异常判断,能够提高异常检测的准确性。应理解,异常判断条件可以灵活设置,例如,可以是在记录类型为某某类型时,可以判断可疑DNS数据包为异常,本公开对此不做限制。
在一种可能的实现方式中,不同记录类型可以对应不同的异常判断条件。
如前所述,DNS数据包包括多种记录类型,可以根据可疑的DNS数据包的记录类型进行异常判断。其中,每个记录类型可以对应相应的异常判断条件,不同的记录类型,异常判断条件可以不同。
在一种可能的实现方式中,所述根据所述记录类型,确定所述可疑的DNS数据包是否异常,包括:
在所述记录类型为目标记录类型时,确定在目标时间区间内,目标IP地址是否被访问,其中,所述目标IP地址是根据所述可疑的DNS数据包确定的;
若在所述目标时间区间内,所述目标IP地址未被访问,则确定所述可疑的DNS数据包的检测结果为异常。
其中,所述目标记录类型可以包括A类型或AAAA类型。
举例来说,当确定记录类型为目标记录类型,例如,为A类型或AAAA类型时,可以确定在目标时间区间内,根据所述可疑的DNS数据包确定的目标IP地址是否被访问,如果目标IP地址未被访问,则确定所述可疑的DNS数据包的检测结果为异常。
示例性地,该可疑的DNS数据包为终端B发来的DNS数据包,该DNS数据包确定的目标IP地址为“数字.数字.数字.数字”类型的地址,例如,目标IP地址为“56.2.3.46”,在获取到该DNS数据包起的目标时间区间内,判断终端B是否访问目标IP地址“56.2.3.46”,若未访问,则可以确定所述可疑的DNS数据包的检测结果为异常。应理解,本公开对目标IP地址的类型和形式不做限制。
在一种可能的实现方式中,所述根据所述记录类型,确定所述可疑的DNS数据包是否异常,还包括:
若在所述目标时间区间内,所述目标IP地址被访问,则确定所述可疑的DNS数据包的检测结果为正常。
示例性地,若目标IP地址被访问,例如被终端B访问,则可以确定可疑的DNS数据包的检测结果为正常。
通过这种方式,在确定包括可疑的DNS数据包,确定该可疑的DNS数据包确定的目标IP地址是否被终端访问,以判断该可疑的DNS数据包的是否异常,能够提高检测的精准度。本公开实施例的异常检测方法,结合DNS隐蔽信道利用目标IP地址通信的本质,使用目标IP地址是否被再次访问的特征进行检测,能够有效提升检测的精准率。
需要说明的是,正常情况下,对DNS访问后得到目标IP地址,会继续对目标IP地址进行请求;而恶意软件利用目标IP地址传递信息/进行命令控制时,其目标IP本身为经过特殊编码的信息而非对应真实的服务器,得到解析的目标IP后并不会再次对目标IP进行请求。通过DNS隐蔽信道进行安全威胁操作,是利用目标IP地址传递信息,利用恶意软件利用IP地址传递信息而非对应正常服务器的特性,通过关联分析进行异常检测,能够有效提高异常检测的精准度。由于使用A或AAAA记录类型通信较为隐蔽,近几年恶意软件利用这两个记录通信较为频繁,本公开实施例的异常检测方法可以提高对恶意软件异常检测的准确率。本公开实施例的异常检测方法可以检测利用IP地址隐藏信息的各类恶意活动。应理解,目标记录类型还可以包括其他记录类型,本公开对此不做限制。
在一种可能的实现方式中,所述根据所述记录类型,确定所述可疑的DNS数据包是否异常,包括:
在所述记录类型不属于目标记录类型时,确定所述可疑的DNS数据包的检测结果为异常。
如前所述,还存在除目标记录类型之外的其他记录类型,在确定的可疑的DNS数据包不属于目标记录类型时,可以确定所述可疑的DNS数据包的检测结果为异常。
通过这种方式,在检测到可疑的DNS数据包,且其记录类型为隐蔽性较差的非目标记录类型时,直接确认为异常的DNS数据包,可以提高异常检测的检测效率。
在一种可能的实现方式中,所述方法还包括:在确定不存在可疑的DNS数据包时,确定DNS数据包的检查结果为正常。
在一种可能的实现方式中,所述方法还包括:存储检测结果。
如前所述,可以得到DNS数据包正常或异常的各种检测结果,可疑存储DNS数据包的检测结果。这样,便于后续查询检测结果。
在一种可能的实现方式中,所述方法还包括:输出检测结果。
可以将确定的DNS数据的检测结果进行输出。
在一种可能的实现方式中,所述方法还包括:
在确定所述可疑的DNS数据包为异常时,发送告警信息。
举例来说,在前述方法确定可疑的DNS数据包为异常时,发送告警信息。这样,便于告警提示,以对异常DNS数据包进行及时监测,从而提高网络安全性。
图2示出根据本公开实施例的一种异常检测方法的示意图。
如图2所示,可以通过DNS探针从网络流量中获取DNS流量,其中,DNS流量包括至少一个DNS数据包。可以通过白名单过滤器,去除DNS流量中域名位于白名单上的DNS数据包,得到目标DNS流量。
可以对目标DNS流量进行特征提取,得到包括单域名特征和/或多域名特征的域名特征。确定域名特征的特征向量,并输入已训练完毕的模型进行检测,确定是否包括可疑DNS数据包。其中,在不包括可疑DNS数据包时,可以输出检测结果正常。
其中,在包括可疑DNS数据包时,确定该可疑DNS的记录类型是否为A或AAAA若不为A或AAAA,则确定可疑DNS数据包的检测结果为异常,可以告警,并输出该检测结果。若为A或AAAA,则判断可疑DNS数据包确定的目标IP地址是否在目标时间区间内被访问,例如,判断从接收到该可疑DNS数据包起3分钟内,该目标IP地址是否被发起可疑DNS数据包进行访问,若被访问,则检测结果为正常。若没有被访问,则检测结果为异常,可以告警,并输出该检测结果。
本公开实施例的异常检测方法,利用攻击者使用的应答IP地址为非服务器IP地址,可疑DNS数据包确定的目标IP不会被再次访问这一本质特征,通过关联分析方法进行DNS数据包异常检测,有效提升检测的精准性。本公开实施例的异常检测方法可以运用于利用IP进行恶意活动或可进行关联分析的其他恶意软件的检测中,本公开对异常检测方法的适用场景不做限制。
图3示出根据本公开实施例的一种异常检测装置的框图。所述装置包括:
获取模块21,用于获取域名系统DNS流量,所述DNS流量包括至少一个DNS数据包;
检测模块22,用于对所述DNS流量进行检测,在确定存在可疑的DNS数据包时,确定所述可疑的DNS数据包的记录类型;
第一确定模块23,用于根据所述记录类型,确定所述可疑的DNS数据包是否异常。
在一种可能的实现方式中,所述第一确定模块包括:
第一确定子模块,用于在所述记录类型为目标记录类型时,确定在目标时间区间内,目标IP地址是否被访问,其中,所述目标IP地址是根据所述可疑的DNS数据包确定的;
第二确定子模块,用于若在所述目标时间区间内,所述目标IP地址未被访问,则确定所述可疑的DNS数据包的检测结果为异常。
在一种可能的实现方式中,所述第一确定模块还包括:
第三确定子模块,用于若在所述目标时间区间内,所述目标IP地址被访问,则确定所述可疑的DNS数据包的检测结果为正常。
在一种可能的实现方式中,所述第一确定模块包括:
第四确定子模块,用于在所述记录类型不属于目标记录类型时,确定所述可疑的DNS数据包的检测结果为异常。
在一种可能的实现方式中,所述检测模块包括:
特征提取子模块,用于对所述DNS流量中的至少一个DNS数据包进行特征提取,得到域名特征;
第五确定子模块,用于确定所述域名特征的特征向量;
第六确定子模块,用于根据所述特征向量以及训练好的检测模型,确定是否存在可疑的DNS数据包。
在一种可能的实现方式中,所述域名特征包括单域名特征以及多域名特征中至少之一,所述单域名特征是根据单个域名提取的特征,所述多域名特征是根据多个域名之间的关联信息确定的特征。
在一种可能的实现方式中,所述装置还包括:
第二确定模块,用于去除所述DNS流量中域名位于白名单上的DNS数据包,得到目标DNS流量;
其中,所述检测模块包括:
检测子模块,用于对所述目标DNS流量进行检测。
在一种可能的实现方式中,所述目标记录类型包括A类型或AAAA类型。
在一种可能的实现方式中,所述装置还包括:
告警模块,用于在确定所述可疑的DNS数据包为异常时,发送告警信息。
需要说明的是,尽管示例介绍了异常检测方法如上,但本领域技术人员能够理解,本公开应不限于此。事实上,用户完全可根据个人喜好和/或实际应用场景灵活设定。
图4示出根据本公开实施例的一种异常检测装置的框图。例如,装置800可以是移动电话,计算机,数字广播终端,消息收发设备,游戏控制台,平板设备,医疗设备,健身设备,个人数字助理等。
参照图4,装置800可以包括以下一个或多个组件:处理组件802,存储器804,电源组件806,多媒体组件808,音频组件810,输入/输出(I/O)的接口812,传感器组件814,以及通信组件816。
处理组件802通常控制装置800的整体操作,诸如与显示,电话呼叫,数据通信,相机操作和记录操作相关联的操作。处理组件802可以包括一个或多个处理器820来执行指令,以完成上述的方法的全部或部分步骤。此外,处理组件802可以包括一个或多个模块,便于处理组件802和其他组件之间的交互。例如,处理组件802可以包括多媒体模块,以方便多媒体组件808和处理组件802之间的交互。
存储器804被配置为存储各种类型的数据以支持在装置800的操作。这些数据的示例包括用于在装置800上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。存储器804可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
电源组件806为装置800的各种组件提供电力。电源组件806可以包括电源管理系统,一个或多个电源,及其他与为装置800生成、管理和分配电力相关联的组件。
多媒体组件808包括在所述装置800和用户之间的提供一个输出接口的屏幕。在一些实施例中,屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中,多媒体组件808包括一个前置摄像头和/或后置摄像头。当装置800处于操作模式,如拍摄模式或视频模式时,前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。
音频组件810被配置为输出和/或输入音频信号。例如,音频组件810包括一个麦克风(MIC),当装置800处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器804或经由通信组件816发送。在一些实施例中,音频组件810还包括一个扬声器,用于输出音频信号。
I/O接口812为处理组件802和外围接口模块之间提供接口,上述外围接口模块可以是键盘,点击轮,按钮等。这些按钮可包括但不限于:主页按钮、音量按钮、启动按钮和锁定按钮。
传感器组件814包括一个或多个传感器,用于为装置800提供各个方面的状态评估。例如,传感器组件814可以检测到装置800的打开/关闭状态,组件的相对定位,例如所述组件为装置800的显示器和小键盘,传感器组件814还可以检测装置800或装置800一个组件的位置改变,用户与装置800接触的存在或不存在,装置800方位或加速/减速和装置800的温度变化。传感器组件814可以包括接近传感器,被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件814还可以包括光传感器,如CMOS或CCD图像传感器,用于在成像应用中使用。在一些实施例中,该传感器组件814还可以包括加速度传感器,陀螺仪传感器,磁传感器,压力传感器或温度传感器。
通信组件816被配置为便于装置800和其他设备之间有线或无线方式的通信。装置800可以接入基于通信标准的无线网络,如WiFi,2G或3G,或它们的组合。在一个示例性实施例中,通信组件816经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,所述通信组件816还包括近场通信(NFC)模块,以促进短程通信。例如,在NFC模块可基于射频识别(RFID)技术,红外数据协会(IrDA)技术,超宽带(UWB)技术,蓝牙(BT)技术和其他技术来实现。
在示例性实施例中,装置800可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述方法。
在示例性实施例中,还提供了一种非易失性计算机可读存储介质,例如包括计算机程序指令的存储器804,上述计算机程序指令可由装置800的处理器820执行以完成上述方法。
图5示出根据本公开实施例的一种异常检测装置的框图。例如,装置1900可以被提供为一服务器。参照图5,装置1900包括处理组件1922,其进一步包括一个或多个处理器,以及由存储器1932所代表的存储器资源,用于存储可由处理组件1922的执行的指令,例如应用程序。存储器1932中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理组件1922被配置为执行指令,以执行上述方法。
装置1900还可以包括一个电源组件1926被配置为执行装置1900的电源管理,一个有线或无线网络接口1950被配置为将装置1900连接到网络,和一个输入输出(I/O)接口1958。装置1900可以操作基于存储在存储器1932的操作系统,例如Windows ServerTM,MacOS XTM,UnixTM,LinuxTM,FreeBSDTM或类似。
在示例性实施例中,还提供了一种非易失性计算机可读存储介质,例如包括计算机程序指令的存储器1932,上述计算机程序指令可由装置1900的处理组件1922执行以完成上述方法。
本公开可以是系统、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质,其上载有用于使处理器实现本公开的各个方面的计算机可读程序指令。
计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是――但不限于――电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身,诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如,通过光纤电缆的光脉冲)、或者通过电线传输的电信号。
这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备,或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令,并转发该计算机可读程序指令,以供存储在各个计算/处理设备中的计算机可读存储介质中。
用于执行本公开操作的计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码,所述编程语言包括面向对象的编程语言—诸如Smalltalk、C++等,以及常规的过程式编程语言—诸如“C”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中,通过利用计算机可读程序指令的状态信息来个性化定制电子电路,例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA),该电子电路可以执行计算机可读程序指令,从而实现本公开的各个方面。
这里参照根据本公开实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本公开的各个方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机可读程序指令实现。
这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中,这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作,从而,存储有指令的计算机可读介质则包括一个制造品,其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。
也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上,使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。
附图中的流程图和框图显示了根据本公开的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分,所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
以上已经描述了本公开的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
Claims (7)
1.一种异常检测方法,其特征在于,所述方法包括:
获取域名系统DNS流量,所述DNS流量包括至少一个DNS数据包;
对所述DNS流量进行检测,在确定存在可疑的DNS数据包时,确定所述可疑的DNS数据包的记录类型;
根据所述记录类型,确定所述可疑的DNS数据包是否异常;
其中,所述根据所述记录类型,确定所述可疑的DNS数据包是否异常,包括:
在所述记录类型为目标记录类型时,确定在目标时间区间内,目标IP地址是否被访问,其中,所述目标IP地址是根据所述可疑的DNS数据包确定的,所述目标记录类型包括A类型或AAAA类型;
若在所述目标时间区间内,所述目标IP地址未被访问,则确定所述可疑的DNS数据包的检测结果为异常;
在所述记录类型不属于所述目标记录类型时,确定所述可疑的DNS数据包的检测结果为异常。
2.根据权利要求1所述的方法,其特征在于,所述根据所述记录类型,确定所述可疑的DNS数据包是否异常,还包括:
若在所述目标时间区间内,所述目标IP地址被访问,则确定所述可疑的DNS数据包的检测结果为正常。
3.根据权利要求1所述的方法,其特征在于,所述对所述DNS流量进行检测,包括:
对所述DNS流量中的至少一个DNS数据包进行特征提取,得到域名特征;
确定所述域名特征的特征向量;
根据所述特征向量以及训练好的检测模型,确定是否存在可疑的DNS数据包。
4.根据权利要求3所述的方法,其特征在于,其中,所述域名特征包括单域名特征以及多域名特征中至少之一,所述单域名特征是根据单个域名提取的特征,所述多域名特征是根据多个域名之间的关联信息确定的特征。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
去除所述DNS流量中域名位于白名单上的DNS数据包,得到目标DNS流量;
其中,所述对所述DNS流量进行检测,包括:
对所述目标DNS流量进行检测。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在确定所述可疑的DNS数据包为异常时,发送告警信息。
7.一种异常检测装置,其特征在于,所述装置包括:
获取模块,用于获取域名系统DNS流量,所述DNS流量包括至少一个DNS数据包;
检测模块,用于对所述DNS流量进行检测,在确定存在可疑的DNS数据包时,确定所述可疑的DNS数据包的记录类型;
第一确定模块,用于根据所述记录类型,确定所述可疑的DNS数据包是否异常;
其中,所述第一确定模块包括:
第一确定子模块,用于在所述记录类型为目标记录类型时,确定在目标时间区间内,目标IP地址是否被访问,其中,所述目标IP地址是根据所述可疑的DNS数据包确定的,所述目标记录类型包括A类型或AAAA类型;
第二确定子模块,用于若在所述目标时间区间内,所述目标IP地址未被访问,则确定所述可疑的DNS数据包的检测结果为异常;
第四确定子模块,用于在所述记录类型不属于所述目标记录类型时,确定所述可疑的DNS数据包的检测结果为异常。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110126342.8A CN112953916B (zh) | 2021-01-29 | 2021-01-29 | 异常检测方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110126342.8A CN112953916B (zh) | 2021-01-29 | 2021-01-29 | 异常检测方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112953916A CN112953916A (zh) | 2021-06-11 |
| CN112953916B true CN112953916B (zh) | 2023-01-03 |
Family
ID=76239737
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110126342.8A Active CN112953916B (zh) | 2021-01-29 | 2021-01-29 | 异常检测方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112953916B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114462588B (zh) * | 2021-09-28 | 2022-11-08 | 北京卫达信息技术有限公司 | 检测网络入侵用神经网络模型的训练方法、系统及设备 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103561120B (zh) * | 2013-10-08 | 2017-06-06 | 北京奇虎科技有限公司 | 检测可疑dns的方法、装置和可疑dns的处理方法、系统 |
| CN104618351A (zh) * | 2015-01-15 | 2015-05-13 | 中国科学院信息工程研究所 | 一种识别dns欺骗攻击包及检测dns欺骗攻击的方法 |
| CN108848201A (zh) * | 2018-06-14 | 2018-11-20 | 深信服科技股份有限公司 | 检测利用dns隧道传输隐秘数据的方法、系统及装置 |
| CN110071829B (zh) * | 2019-04-12 | 2022-03-04 | 腾讯科技(深圳)有限公司 | Dns隧道检测方法、装置及计算机可读存储介质 |
| CN110855632B (zh) * | 2019-10-24 | 2022-03-11 | 新华三信息安全技术有限公司 | 报文检测方法、装置、网络设备和计算机可读存储介质 |
| CN111953673B (zh) * | 2020-08-10 | 2022-07-05 | 深圳市联软科技股份有限公司 | 一种dns隐蔽隧道检测方法及系统 |
| CN112272175A (zh) * | 2020-10-22 | 2021-01-26 | 江苏今浪信息技术有限公司 | 一种基于dns的木马病毒检测方法 |
-
2021
- 2021-01-29 CN CN202110126342.8A patent/CN112953916B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN112953916A (zh) | 2021-06-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111147504B (zh) | 威胁检测方法、装置、设备和存储介质 | |
| CN108632081B (zh) | 网络态势评估方法、装置及存储介质 | |
| US10601865B1 (en) | Detection of credential spearphishing attacks using email analysis | |
| US20140380478A1 (en) | User centric fraud detection | |
| CN109033885B (zh) | 一种数据响应方法、终端设备以及服务器 | |
| US10970393B1 (en) | Probabilistic set membership using bloom filters | |
| US10558826B2 (en) | Method and apparatus for providing security mode to user device | |
| US9521251B2 (en) | Method and device for identifying telephone call | |
| CN110765434A (zh) | 身份验证方法、装置、电子设备和存储介质 | |
| WO2021139641A1 (zh) | 一种web攻击检测方法、装置及电子设备和存储介质 | |
| CN106454800B (zh) | 身份验证方法、装置及系统 | |
| CN107959757B (zh) | 用户信息处理方法、装置、app服务器和终端设备 | |
| CN109842612B (zh) | 基于图库模型的日志安全分析方法、装置及存储介质 | |
| CN113141335B (zh) | 网络攻击检测方法及装置 | |
| CN116707965A (zh) | 一种威胁检测方法、装置、存储介质以及电子设备 | |
| CN112953916B (zh) | 异常检测方法和装置 | |
| CN111625671A (zh) | 数据处理方法及装置、电子设备及存储介质 | |
| Pathak et al. | A survey on security analysis of Amazon echo devices | |
| US10601864B1 (en) | Using disposable profiles for privacy in internet sessions | |
| US11689568B2 (en) | Dynamic maze honeypot response system | |
| CN110808997B (zh) | 对服务器远程取证的方法、装置、电子设备、及存储介质 | |
| US11811815B2 (en) | IP-based security control method and system thereof | |
| CN115098196A (zh) | 校验方法及装置、电子设备和存储介质 | |
| CN114666071B (zh) | 僵尸网络识别方法、装置及终端设备 | |
| CN110149310B (zh) | 流量入侵检测方法、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |