CN116192417A - Dns异常检测方法、装置、设备及存储介质 - Google Patents
Dns异常检测方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN116192417A CN116192417A CN202211084762.5A CN202211084762A CN116192417A CN 116192417 A CN116192417 A CN 116192417A CN 202211084762 A CN202211084762 A CN 202211084762A CN 116192417 A CN116192417 A CN 116192417A
- Authority
- CN
- China
- Prior art keywords
- domain name
- dns
- anomaly
- anomaly detection
- probability
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Abstract
本申请涉及数据处理,提供一种DNS异常检测方法、装置、设备及存储介质,该方法包括:获取多个DNS数据包的域名,并根据多个DNS数据包的域名,确定每个域名的访问量;对每个DNS数据包的域名进行异常检测,得到每个DNS数据包的第一异常概率;根据每个域名的访问量,对每个域名进行异常检测,得到每个域名对应的第二异常概率;基于每个DNS数据包的第一异常概率以及每个域名对应的第二异常概率,确定每个DNS数据包的目标异常评价信息;根据每个DNS数据包的目标异常评价信息,从多个DNS数据包中确定存在异常的目标DNS数据包。本申请还涉及区块链,旨在提高DNS异常检测的识别效率和准确性。
Description
技术领域
本申请涉及数据处理的技术领域,尤其涉及一种DNS异常检测方法、装置、设备及存储介质。
背景技术
在互联网领域中,DNS(Domain Name System,域名系统)用于提供负载均衡和权限验证等服务,是互联网中的重要网络设施。在通信传输过程中,DNS会记录诸多的流数据。而为了给用户更好的网络使用体验,网络防御人员通常不会对DNS数据做过多检测。因此,面对恶意攻击行为,或发生网络挟持、网络诈骗等现象,容易对企业造成难以预料的损失。
为了解决上述问题,需要基于DNS数据进行异常检测。然而,在工业级大规模海量的DNS数据检测过程中,大多数网络安全人员都只是对某一种或一类DNS数据进行针对性检测与防御。针对错综复杂的网络异常行为,当前的DNS数据异常检测的识别效率和准确性不高。
发明内容
本申请的主要目的在于提供一种DNS异常检测方法、装置、设备及存储介质,旨在提高DNS数据异常检测的识别效率和准确性。
第一方面,本申请提供一种DNS异常检测方法,包括:
获取多个DNS数据包的域名,并根据所述多个DNS数据包的域名,确定每个所述域名的访问量;
对每个所述DNS数据包的域名进行异常检测,得到每个所述DNS数据包的第一异常概率;
根据每个所述域名的访问量,对每个所述域名进行异常检测,得到每个所述域名对应的第二异常概率;
基于每个所述DNS数据包的第一异常概率以及每个所述域名对应的第二异常概率,确定每个所述DNS数据包的目标异常评价信息;
根据每个所述DNS数据包的目标异常评价信息,从所述多个DNS数据包中确定存在异常的目标DNS数据包。
第二方面,本申请还提供一种DNS异常检测装置,所述DNS异常检测装置包括:
域名获取模块,用于获取多个DNS数据包的域名,并根据所述多个DNS数据包的域名,确定每个所述域名的访问量;
第一异常检测模块,用于对每个所述DNS数据包的域名进行异常检测,得到每个所述DNS数据包的第一异常概率;
第二异常检测模块,用于根据每个所述域名的访问量,对每个所述域名进行异常检测,得到每个所述域名对应的第二异常概率;
目标异常评价模块,用于基于每个所述DNS数据包的第一异常概率以及每个所述域名对应的第二异常概率,确定每个所述DNS数据包的目标异常评价信息;
异常数据确定模块,用于根据每个所述DNS数据包的目标异常评价信息,从所述多个DNS数据包中确定存在异常的目标DNS数据包。
第三方面,本申请还提供一种计算机设备,所述计算机设备包括处理器、存储器、以及存储在所述存储器上并可被所述处理器执行的计算机程序,其中所述计算机程序被所述处理器执行时,实现如上所述的DNS异常检测方法的步骤。
第四方面,本申请还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,其中所述计算机程序被处理器执行时,实现如上所述的DNS异常检测方法的步骤。
本申请提供一种DNS异常检测方法、装置、设备及存储介质,本申请通过获取多个DNS数据包的域名,并根据多个DNS数据包的域名,确定每个域名的访问量;对每个DNS数据包的域名进行异常检测,得到每个DNS数据包的第一异常概率;根据每个域名的访问量,对每个域名进行异常检测,得到每个域名对应的第二异常概率;基于每个DNS数据包的第一异常概率以及每个域名对应的第二异常概率,确定每个DNS数据包的目标异常评价信息;根据每个DNS数据包的目标异常评价信息,从多个DNS数据包中确定存在异常的目标DNS数据包。通过结合对DNS数据包的域名异常检测以及对域名访问量的异常检测,能够准确识别出存在异常的目标DNS数据包,从而能够大大降低域名异常误判率,极大的提高DNS数据异常检测的识别效率和准确性。
附图说明
为了更清楚地说明本申请实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种DNS异常检测方法的步骤流程示意图;
图2为图1中的DNS异常检测方法的一子步骤流程示意图;
图3为图1中的DNS异常检测方法的另一子步骤流程示意图;
图4为本申请实施例提供的一种DNS异常检测装置的示意性框图;
图5为图4中的DNS异常检测装置的一子模块的示意性框图;
图6为图4中的DNS异常检测装置的另一子模块的示意性框图;
图7为本申请实施例提供的一种计算机设备的结构示意性框图。
本申请目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
附图中所示的流程图仅是示例说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解、组合或部分合并,因此实际执行的顺序有可能根据实际情况改变。另外,虽然在装置示意图中进行了功能模块的划分,但是在某些情况下,可以以不同于装置示意图中的模块划分。
本申请实施例提供一种DNS异常检测方法、装置、设备及存储介质。其中,该DNS异常检测方法可应用于终端设备或服务器中,该终端设备可以为手机、平板电脑、笔记本电脑、台式电脑、个人数字助理和穿戴式设备等电子设备;该服务器可以为单台的服务器,也可以为由多台服务器组成的服务器集群。以下以该DNS异常检测方法应用于服务器为例进行解释说明。
下面结合附图,对本申请的一些实施方式作详细说明。在不冲突的情况下,下述的实施例及实施例中的特征可以相互组合。
请参照图1,图1为本申请实施例提供的一种DNS异常检测方法的步骤流程示意图。
如图1所示,该DNS异常检测方法包括步骤S101至步骤S105。
步骤S101、获取多个DNS数据包的域名,并根据多个DNS数据包的域名,确定每个域名的访问量。
DNS(Domain Name System,域名系统)是一个将域名和IP地址相互映射的分布式数据库,能够使人更方便地访问互联网。DNS数据包可以是DNS在通信传输过程中记录的流数据,例如当发生网络攻击、钓鱼欺诈、异常入侵等行为时,在DNS解析服务中均会产生流数据。具体地,DNS数据包可以包括域名、源IP及端口、目的IP及端口,发送接收速率、数据包大小、数据长度以及各种响应时间等参数。
其中,多个DNS数据包可以是在预设时间段内获取的DNS数据包,每个DNS数据包可以包括各自访问的域名,服务器在预设时间段内能够获取多个DNS数据包的域名。预设时间段可根据实际情况进行设置,预设时间段例如为30秒或1分钟,例如服务器在30秒内获取500个DNS数据包。
在一实施例中,获取多个DNS数据包的域名之后,根据多个DNS数据包的域名,确定每个域名的访问量。其中,域名可以是多个,每个DNS数据包的域名可以表示一个域名的一次访问量,该访问量也可以称为访问频次,不同DNS数据包的域名可以是相同或不同的。因此,通过多个DNS数据包各自的域名,能够准确的确定每个域名的访问量。
在一实施例中,获取多个DNS数据包的域名之前,还包括:获取多个DNS数据包,通过建立域名黑名单对多个DNS数据包进行规则过滤;以及,通过对相似类型域名特征分析,进行逆向破解DGA生成机制,对多个DNS数据包进行规则过滤,得到异常的目标DNS数据包。其中,逆向破解DGA生成机制可以是通过域名生成算法的彩虹表碰撞来逆向破解。需要说明的是,DGA生成机制是指通过DGA算法生成大量备选域名,并且进行查询,当需要发动攻击的时候,选择备选域名列表中少量进行注册,并且可以对注册的域名应用速变IP技术,快速变换域名和IP。通过建立域名黑名单以及逆向破解DGA生成机制,对多个DNS数据包进行规则过滤,使得过滤的多个DNS数据包能够被准确的确定为异常的目标DNS数据包。
需要说明的是,为进一步保证上述DNS数据包等相关信息的私密和安全性,上述DNS数据包等相关信息还可以存储于一区块链的节点中,本申请的技术方案还可适用于添加其他存储于区块链上的数据文件,本申请所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。
步骤S102、对每个DNS数据包的域名进行异常检测,得到每个DNS数据包的第一异常概率。
需要说明的是,由于DNS数据包中的恶意域名与正常域名存在诸多差异,因此可以对DNS数据包的域名进行异常检测,得到DNS数据包的第一异常概率。
在一实施例中,如图2所示,步骤S102包括:子步骤S1021至子步骤S1023。
子步骤S1021、基于预设的域名异常检测模型,对每个DNS数据包的域名进行异常检测,得到每个DNS数据包存在异常的第一概率。
其中,域名异常检测模型包括bigram模型、HMM模型、基于word-hashing技术的深度学习模型、基于LSTM的恶意域名异常检测模型以及随机森林、CNN、LSTM等针对DGA域名的检测模型。
需要说明的是,DNS数据包的域名分为正常域名和异常域名,异常域名一般都是域名生成算法(Domain Generation Algorithm,DGA)生成的恶意域名。恶意域名目前公开的360netlab提供的DGA开放数据集,不同家族的识别率可能存在差异,小部分DGA家族的域名识别率不够理想,如virut、suppobox、bigviktor、conficker、vawtrak、mydoom等。其中,DGA家族中的suppobox与mydoom均是通过单词表机制生成,vawtrak则是通过哈希机制生成。
在一实施例中,将多个DNS数据包的域名输入至bigram模型进行异常检测,得到每个DNS数据包存在异常的第一概率。具体的,通过bigram模型中的处理层,对DNS数据包的域名进行处理,得到域名特征值;通过bigram模型中的筛选层,根据预设阈值对域名特征值进行筛选,以保留小于或等于预设阈值的域名特征值;通过bigram模型中的检测层,对域名特征值对应的DGA域名进行字符分布的统计检测,得到DNS数据包存在异常的第一概率。需要说明的是,通过bigram模型对正常域名和DGA域名进行字符分布的统计检测,能够准确的计算DNS数据包存在异常的第一概率。
可以理解的是,本申请实施例也可以采用HMM模型对DNS数据包的域名进行无特征的实时检测;或者,采用基于word-hashing技术的深度学习模型,对DNS数据包的域名进行DGA检测;或者,基于LSTM的恶意域名异常检测技术,实现域名的网络特征实时挖掘及DGA家族的分类;或者,通过对域名的字符分布进行统计分析和挖掘,通过特征处理后计算域名之间的编辑距离、Jaccard系数等来识别异常域名,从而确定DNS数据包存在异常的第一概率等,本申请实施例对此不做具体限定。
子步骤S1022、基于预设的域名统计分析算法,对每个DNS数据包的域名进行异常分析,得到每个DNS数据包存在异常的第二概率。
其中,域名统计分析算法包括利用域名元音字母比例、Gibberish检测算法、域名字符串字符的香农熵、域名字符串字符的HMM系数、域名n-gram后计算TF-IDF均值和方差等进行域名统计分析算法。通过域名统计分析算法能够分析DNS数据包的域名与异常域名之间的差异性,从而准确的得到DNS数据包存在异常的第二概率。
在一实施例中,对DNS数据包的域名进行字符转换,得到第一域名;将第一域名进行TF-IDF转换处理,得到第二域名,并计算第二域名与多个DGA域名之间的均值和方差值;根据第二域名与多个DGA域名之间的均值和方差值,确定第二域名对应的DNS数据包存在异常的第二概率。其中,字符转换包括uni-gram、bi-gram、tri-gram转换,TF-IDF转换(termfrequency–inverse document frequency)是一种用于信息检索与数据挖掘的加权计算方法。TF是词频(Term Frequency),IDF是逆文本频率指数(Inverse Document Frequency)。通过第二域名与多个DGA域名之间的均值和方差值,能够确定DNS数据包的域名与异常域名之间的关联与差异信息,对DGA域名的区分能力较好。
需要说明的是,在机器学习领域,N-gram语言模型在语言处理任务中有着广泛的应用,随着深度学习的发展,神经网络模型可能效果有些许提升,但其效率相对较低。通过将域名先进行uni-gram、bi-gram、tri-gram转换,后再进行TF-IDF转换处理,分别求得对应的均值和方差,并对DNS数据包的域名与DGA域名在均值、方差的分布上进行了对比,从均值和方差分布来看,n-gram后的TF-IDF模型提取了域名之间的关联与差异信息,能够极大提高第二异常概率的计算效果,相较于神经网络模型的识别效率要高。
在一实施例中,利用元音字母的比例进行域名统计分析算法是指获取DNS数据包的域名中的元音字母的比例,根据该元音字母的比例确定DNS数据包存在异常的第二概率。需要说明的是,正常域名对字母取名的偏好一般会使得元音字母的数量相对较多,因为人们往往更倾向于选择取得好读得几个字母的组合,元音字母的优势就此显现出来。而DGA域名在生成时,由于具有随机性和时间因素,元音字母在生成选择上并没有任何偏好,因而DGA域名的生成元音字母的比例相对较低。因此,通过元音字母的比例进行域名统计分析,能够分析DNS数据包的域名与异常域名之间的差异性,从而准确的得到DNS数据包存在异常的第二概率。
在一实施例中,利用Gibberish检测进行域名统计分析算法是指使用基于两个字符级别的马尔可夫模型,通过在预设语料库上进行训练,统计获得双字符对的重复频率,并根据双字符对的重复频率确定DNS数据包存在异常的第二概率。需要说明的是,设计的域名是否易于读取和发音,通常都可以通过Gibberish检测的方法进行判断。在Gibberish完成对语料数据的变换后,便已经获得了每个字符在给定初始值后不同双字符的概率分布,之后可以基于相邻字符对的概率乘积获得中间字符的概率,从而准确的得到DNS数据包存在异常的第二概率。
可理解的是,本申请实施例也可以采用域名字符串字符的香农熵、域名字符串字符的HMM系数等进行域名统计分析,本实施例对此不做具体限定。其中,香农熵主要用于对信息量的量化度量,由于域名字符组合具有随机性,通过香农熵可以探究域名之间信息量的差异。需要说明的是,正常的域名设计会偏向于常见的一些字符组合,通常需要将这种字符差异抽象成可以识别的语言,通过HMM系数便可以识别这种差异。通过英文单词训练HMM模型,由于DGA域名具有无规律生成的特性,DGA域名的HMM系数相对于正常域名偏低。
子步骤S1023、根据每个DNS数据包存在异常的第一概率和第二概率,确定每个DNS数据包的第一异常概率。
在一实施例中,通过计算每个DNS数据包存在异常的第一概率和第二概率之间的平均值或加权平均值,得到每个DNS数据包的第一异常概率。
在一实施例中,通过计算每个DNS数据包存在异常的第一概率和第二概率之间的和值,得到每个DNS数据包的第一异常概率。
可理解,也可以通过其他公式对每个DNS数据包存在异常的第一概率和第二概率进行计算,得到每个DNS数据包的第一异常概率,本申请实施例对此不做具体限定。
步骤S103、根据每个域名的访问量,对每个域名进行异常检测,得到每个域名对应的第二异常概率。
需要说明的是,异常DNS数据包的访问量与正常DNS数据包的访问量也有不同的特征,因此可以通过域名的访问量对域名进行异常检测,得到域名对应的第二异常概率。
在一实施例中,如图3所示,步骤S101包括:子步骤S1031至子步骤S1032。
子步骤S1031、根据每个域名的访问量,确定每个域名对应的流量等级。
其中,流量等级可以以单位时间内的DNS数量划分,即根据单位时间内的域名的访问量进行确定。可理解的,流量等级的具体设置可以根据实际情况进行设置,例如设置两级的流量等级,三级的流量等级,或者多于三级的流量等级,本申请实施例对此不做具体限定。
示例性的,流量等级可以包括第一流量等级、第二流量等级和第三流量等级,第一流量等级对应的访问量大于第二流量等级对应的访问量,第二流量等级对应的访问量大于第三流量等级对应的访问量。或者说,流量等级包括高频流量等级、中频流量等级和低频流量等级。
子步骤S1032、按照每个域名对应的流量等级,对每个域名进行流量异常检测,得到每个域名对应的第二异常概率。
需要说明的是,按照每个域名对应的流量等级进行区别,可以使用不同的异常检测识别策略对不同域名进行异常检测,能够极大的提高流量异常检测的识别准确性,从而极大的提高DNS数据异常检测的识别效率和准确性。
在一实施例中,流量等级包括第一流量等级、第二流量等级和第三流量等级,第一流量等级对应的访问量大于第二流量等级对应的访问量,第二流量等级对应的访问量大于第三流量等级对应的访问量。具体的,基于预设的流量异常检测模型,对第一流量等级对应的域名进行异常检测,得到第一异常检测结果;基于预设的时间窗口算法,对第二流量等级对应的域名进行异常检测,得到第二异常检测结果;基于预设的关联分析算法,对第三流量等级对应的域名进行异常分析,得到第三异常检测结果;根据第一异常检测结果、第二异常检测结果以及第三异常检测结果,确定每个域名对应的第二异常概率。
需要说明的是,优先采用流量异常检测模型对第一流量等级对应的域名(访问量最大)进行异常检测,然后才对第二流量等级对应的域名(访问量略小)和第三流量等级对应的域名(访问量最小)进行异常检测,能够减轻服务器负载,提高DNS数据异常检测的识别效率。
在一实施例中,基于预设的流量异常检测模型,对第一流量等级对应的域名进行异常检测,得到第一异常检测结果,包括:调用与第一流量等级对应的XGBoost检测模型;利用XGBoost检测模型,对第一流量等级对应的域名进行异常检测,得到第一流量等级对应的多个域名的异常概率;将第一流量等级对应的多个域名的异常概率作为第一异常检测结果。
其中,流量异常检测模型可以包括XGBoost检测模型,XGBoost检测模型可以通过源IP及端口、目的IP及端口,发送接收速率、数据包大小、数据长度以及各种响应时间等参数构建而成的训练样本进行迭代训练得到。相对于复杂的CNN、LSTM、Bert深度学习模型,XGBoost检测模型在样本存在一定不均衡情况下,模型效果基本不受影响,能实现大规模并行计算、模型检测效率快效果好且稳定性强。因此,利用XGBoost检测模型能够提高访问量较高的第一流量等级对应域名的流量异常检测的准确性和识别效率。
在一实施例中,基于预设的时间窗口算法,对第二流量等级对应的域名进行异常检测,得到第二异常检测结果,包括:调用与第二流量等级对应的时间窗口算法;利用时间窗口算法,对第二流量等级对应的域名进行异常检测,得到第二流量等级对应的多个域名的异常概率;将第二流量等级对应的多个域名的异常概率作为第二异常检测结果。
需要说明的是,通过时间窗口算法对第二流量等级对应的域名进行异常检测,从而实现对时间窗口内的域名的访问频次进行统计,并在时间窗口积累到一定数量时,根据一定数量时间窗口的访问频次计算熵值(概率的量的对数的负数),熵值越小,则域名的异常概率越高,熵值越大,则域名的异常概率越低。发明人在多次试验中发现,通过时间窗口算法能够较为准确的计算中频流量的多个域名的异常概率。
在一实施例中,基于预设的关联分析算法,对第三流量等级对应的域名进行异常分析,得到第三异常检测结果,包括:调用与第三流量等级对应的关联分析算法;利用关联分析算法,对第三流量等级对应的域名进行异常检测,得到第三流量等级对应的多个域名的异常概率;将第三流量等级对应的多个域名的异常概率作为第三异常检测结果。
需要说明的是,利用关联分析算法对第三流量等级对应的域名进行异常检测,从而构建规则引擎来确定多个域名的异常概率。规则引擎可以是时间序列观测,比如以天(或10天)为单位观察流量在小时级别或分钟级别的走势、波动率,发现多天之后,每天相同时间段内访问趋势高度一致结合IP地域性、活动范围等进行监测分析。监测分析手段可以是异常聚类分析、标签传播挖掘等一系列检测指标,从而准确的确定第三流量等级对应的域名与异常域名之间的相似度,得到多个域名的异常概率作为第三异常检测结果。
在一实施例中,根据第一异常检测结果、第二异常检测结果以及第三异常检测结果,能够确定每个域名对应的第二异常概率。示例性的,结合第一异常检测结果中多个域名的异常概率、第二异常检测结果中多个域名的异常概率以及第三异常检测结果中多个域名的异常概率,得到每个域名对应的第二异常概率。
在一实施例中,流量等级包括高频流量等级、中频流量等级和低频流量等级;基于高频流量等级对应的流量异常检测策略,对高频流量等级对应的域名进行异常检测,得到第一异常检测结果;基于中频流量等级对应的流量异常检测策略,对中频流量等级对应的域名进行异常检测,得到第二异常检测结果;基于低频流量等级对应的流量异常检测策略,对低频流量等级对应的域名进行异常检测,得到第三异常检测结果;根据第一异常检测结果、第二异常检测结果以及第三异常检测结果,确定每个域名对应的第二异常概率。需要说明的是,按照高频、中频、低频的顺序对不同域名进行流量异常检测,从而优先处理条目较多的高频流量等级对应的域名,能够减轻服务器负载。
步骤S104、基于每个DNS数据包的第一异常概率以及每个域名对应的第二异常概率,确定每个DNS数据包的目标异常评价信息。
其中,目标异常评价信息包括目标异常概率、目标异常评分和/或目标异常评级。需要说明的是,针对大规模DNS数据,本申请实施例提出了结合DNS域名异常检测和DNS流量异常检测双重机制,即基于每个DNS数据包的第一异常概率以及每个域名对应的第二异常概率,确定每个DNS数据包的目标异常评价信息,能够提高DNS数据包对于异常检测的识别效率和准确性。
在一实施例中,根据每个域名对应的第二异常概率,确定多个DNS数据包的第三异常概率;DNS数据包的第三异常概率与DNS数据包的域名对应的第二异常概率相匹配;根据每个DNS数据包的第一异常概率和第三异常概率,确定每个DNS数据包的目标异常评价信息。
示例性的,目标异常评价信息为目标异常概率,通过计算每个DNS数据包的第一异常概率和第三异常概率的平均值或者加权平均值,即可计算得到DNS数据包的目标异常概率。
示例性的,目标异常评价信息为目标异常评分,通过计算DNS数据包的第一异常概率与第一预设评分的乘积,得到第一积分值;计算第三异常概率与第二预设评分的乘积,得到第二积分值,计算第一积分值与第二积分值的和值,得到DNS数据包的目标异常评分。其中,第一预设评分和第二预设评分可以根据实际情况进行设置,第一预设评分例如为60分,第二预设评分例如为40分。
在一实施例中,目标异常评价信息包括目标异常评分和目标异常评级。其中,计算DNS数据包的第一异常概率与第一预设评分的乘积,得到第一积分值;计算第三异常概率与第二预设评分的乘积,得到第二积分值,计算第一积分值与第二积分值的和值,得到目标异常评分;根据目标异常评分确定DNS数据包的目标异常评级。其中,通过不同评分的区间来划分不同评级,因此可以根据计算得到的第一评分所在的区间来确定第一评分,例如。若第一评分为40分,对应的第一评级的第一类异常等级;若第一评分为60分,对应的第一评级的第二类异常等级。
步骤S105、根据每个DNS数据包的目标异常评价信息,从多个DNS数据包中确定存在异常的目标DNS数据包。
需要说明的是,本申请实施例利用DNS静态域名及动态流量数据挖掘出异常行为并针对性过滤,目标异常评价信息包括目标异常概率、目标异常评分或目标异常评级,利用目标异常评价信息可以准确的从多个DNS数据包中确定存在异常的目标DNS数据包,从而能够大大降低域名异常误判率,极大的提高DNS数据异常检测的识别效率和准确性。
在一实施例中,目标异常评价信息包括目标异常概率,从多个DNS数据包中确定存在异常的目标DNS数据包,目标DNS数据包的目标异常概率大于预设异常概率阈值。
在一实施例中,目标异常评价信息包括目标异常评分,从多个DNS数据包中确定存在异常的目标DNS数据包,目标DNS数据包的目标异常评分大于预设异常评分阈值。
在一实施例中,目标异常评价信息包括目标异常评级,从多个DNS数据包中确定存在异常的目标DNS数据包,目标DNS数据包的目标异常评级大于预设异常评分阈值。
在一实施例中,确定存在异常的目标DNS数据包之后,能够确定目标DNS数据包涉及高危IP,因此可以限制其在单位时间内访问频率或者直接封禁;当然也可以通过先限制,进一步观测其异常活动,随后直接封禁。
上述实施例提供的DNS异常检测方法,通过获取多个DNS数据包的域名,并根据多个DNS数据包的域名,确定每个域名的访问量;对每个DNS数据包的域名进行异常检测,得到每个DNS数据包的第一异常概率;根据每个域名的访问量,对每个域名进行异常检测,得到每个域名对应的第二异常概率;基于每个DNS数据包的第一异常概率以及每个域名对应的第二异常概率,确定每个DNS数据包的目标异常评价信息;根据每个DNS数据包的目标异常评价信息,从多个DNS数据包中确定存在异常的目标DNS数据包。通过结合对DNS数据包的域名异常检测以及对域名访问量的异常检测,能够准确识别出存在异常的目标DNS数据包,从而能够大大降低域名异常误判率,极大的提高DNS数据异常检测的识别效率和准确性。
目前在DNS异常检测领域缺乏系统化的检测方法,针对DNS数据的异常检测大多数仅仅从单一维度、单一类型的异常行为进行检测识别,随着网络技术的日新月异,攻击手段层出不穷,网络机器人日益泛滥,异常行为容易给企业造成网络劫持、服务瘫痪、服务器高成本负载等。提出的一种针对高低频多层次DNS异常的检测方法或系统,通过综合DNS静态域名异常检测和动态流量异常检测,能够实现针对DNS数据的整体防御。
针对域名异常检测,其中黑名单机制能够直接屏蔽异常域名,逆向DGA技术实现DGA生成算法的破解,针对符合生成规则的异常域名能够实现100%的防御;检测模型和多类型统计指标的差异化检测能够从诸多维度针对域名进行异常评分。这种综合机制能够大大降低域名异常误判率,并将异常评分应用于不同频段不同情形下的DNS流量异常检测。
针对大规模DNS实时高频流量异常检测提出的XGBoost检测模型凭借优化的特征维度、域名评分、并行化计算等优势,能够实现实时流量的高效检测,检测效果和实时性能优越,能够实现实时检测异常;在中频流量检测中,引入滑动时间窗口内的熵值检测IP画像下的流量波动是否异常,能够实现对多类型流量机器人的检测识别;低频DNS数据,基于统计分析和专家经验构建规则引擎进行匹配过滤,实现了低频可疑流量数据的追踪检测,基于流量行为数据进行关联分析,能够充分挖掘出异常,从而实现针对DNS数据的多频段全方位攻击防御与异常检测。
通过本申请实施例,大大降低了网络安全人员的工作量,实现自动化、流程化的防御、检测、过滤,能够节省大量人力和服务器运营成本,全方位维护企业网络安全。降低域名异常误判率,提高DNS异常行为检测识别的准确度、效率,节省成本,提高网络安全性。
请参照图4,图4为本申请实施例提供的一种DNS异常检测装置的示意性框图。
如图4所示,该DNS异常检测装置200,包括:域名获取模块201、第一异常检测模块202、第二异常检测模块203、目标异常评价模块204和异常数据确定模块205。
域名获取模块201,用于获取多个DNS数据包的域名,并根据所述多个DNS数据包的域名,确定每个所述域名的访问量;
第一异常检测模块202,用于对每个所述DNS数据包的域名进行异常检测,得到每个所述DNS数据包的第一异常概率;
第二异常检测模块203,用于根据每个所述域名的访问量,对每个所述域名进行异常检测,得到每个所述域名对应的第二异常概率;
目标异常评价模块204,用于基于每个所述DNS数据包的第一异常概率以及每个所述域名对应的第二异常概率,确定每个所述DNS数据包的目标异常评价信息;
异常数据确定模块205,用于根据每个所述DNS数据包的目标异常评价信息,从所述多个DNS数据包中确定存在异常的目标DNS数据包。
在一个实施例中,如图5所示,第一异常检测模块202包括:
异常检测子模块2021,用于基于预设的域名异常检测模型,对每个所述DNS数据包的域名进行异常检测,得到每个所述DNS数据包存在异常的第一概率;
异常分析子模块2022,用于基于预设的域名统计分析算法,对每个所述DNS数据包的域名进行异常分析,得到每个所述DNS数据包存在异常的第二概率;
异常确定子模块2023,用于根据每个所述DNS数据包存在异常的的第一概率和第二概率,确定每个所述DNS数据包的第一异常概率。
在一个实施例中,第一异常检测模块202还用于:
对所述DNS数据包的域名进行字符转换,得到第一域名;
将所述第一域名进行TF-IDF转换处理,得到第二域名,并计算所述第二域名与多个DGA域名之间的均值和方差值;
根据所述第二域名与多个DGA域名之间的均值和方差值,确定所述第二域名对应的所述DNS数据包存在异常的第二概率。
在一个实施例中,如图6所示,第二异常检测模块203包括:
流量等级确定子模块2031,用于根据每个所述域名的访问量,确定每个所述域名对应的流量等级;
流量异常检测子模块2032,用于按照每个所述域名对应的流量等级,对每个所述域名进行流量异常检测,得到每个所述域名对应的第二异常概率。
在一个实施例中,所述流量等级包括第一流量等级、第二流量等级和第三流量等级,所述第一流量等级对应的访问量大于第二流量等级对应的访问量,所述第二流量等级对应的访问量大于第三流量等级对应的访问量;第二异常检测模块203还用于:
所述按照每个所述域名对应的流量等级,对每个所述域名进行流量异常检测,得到每个所述域名对应的第二异常概率,包括:
基于预设的流量异常检测模型,对所述第一流量等级对应的域名进行异常检测,得到第一异常检测结果;
基于预设的时间窗口算法,对所述第二流量等级对应的域名进行异常检测,得到第二异常检测结果;
基于预设的关联分析算法,对所述第三流量等级对应的域名进行异常分析,得到第三异常检测结果;
根据所述第一异常检测结果、所述第二异常检测结果以及所述第三异常检测结果,确定每个所述域名对应的第二异常概率。
在一个实施例中,第二异常检测模块203还用于:
调用与所述第一流量等级对应的XGBoost检测模型;
利用所述XGBoost检测模型,对所述第一流量等级对应的域名进行异常检测,得到所述第一流量等级对应的多个域名的异常概率;
将所述第一流量等级对应的多个域名的异常概率作为所述第一异常检测结果。
在一个实施例中,目标异常评价模块204还用于:
根据每个所述域名对应的第二异常概率,确定多个所述DNS数据包的第三异常概率;所述DNS数据包的第三异常概率与所述DNS数据包的域名对应的第二异常概率相匹配;
根据每个所述DNS数据包的第一异常概率和所述第三异常概率,确定每个所述DNS数据包的目标异常评价信息;
其中,所述目标异常评价信息包括目标异常概率、目标异常评分和/或目标异常评级。
需要说明的是,所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的装置和各模块及单元的具体工作过程,可以参考前述DNS异常检测方法实施例中的对应过程,在此不再赘述。
上述实施例提供的装置可以实现为一种计算机程序的形式,该计算机程序可以在如图7所示的计算机设备上运行。
请参阅图7,图7为本申请实施例提供的一种计算机设备的结构示意性框图。该计算机设备可以为服务器或终端设备。
如图7所示,该计算机设备包括通过系统总线连接的处理器、存储器和网络接口,其中,存储器可以包括存储介质和内存储器,存储介质可以是非易失性的,也可以是易失性的。
存储介质可存储操作系统和计算机程序。该计算机程序包括程序指令,该程序指令被执行时,可使得处理器执行任意一种DNS异常检测方法。
处理器用于提供计算和控制能力,支撑整个计算机设备的运行。
内存储器为存储介质中的计算机程序的运行提供环境,该计算机程序被处理器执行时,可使得处理器执行任意一种DNS异常检测方法。
该网络接口用于进行网络通信,如发送分配的任务等。本领域技术人员可以理解,图7中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
应当理解的是,处理器可以是中央处理单元(Central Processing Unit,CPU),该处理器还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中,通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
其中,在一个实施例中,所述处理器用于运行存储在存储器中的计算机程序,以实现如下步骤:
获取多个DNS数据包的域名,并根据所述多个DNS数据包的域名,确定每个所述域名的访问量;
对每个所述DNS数据包的域名进行异常检测,得到每个所述DNS数据包的第一异常概率;
根据每个所述域名的访问量,对每个所述域名进行异常检测,得到每个所述域名对应的第二异常概率;
基于每个所述DNS数据包的第一异常概率以及每个所述域名对应的第二异常概率,确定每个所述DNS数据包的目标异常评价信息;
根据每个所述DNS数据包的目标异常评价信息,从所述多个DNS数据包中确定存在异常的目标DNS数据包。
在一个实施例中,所述处理器在实现所述对每个所述DNS数据包的域名进行异常检测,得到每个所述DNS数据包的第一异常概率时,用于实现:
基于预设的域名异常检测模型,对每个所述DNS数据包的域名进行异常检测,得到每个所述DNS数据包存在异常的第一概率;
基于预设的域名统计分析算法,对每个所述DNS数据包的域名进行异常分析,得到每个所述DNS数据包存在异常的第二概率;
根据每个所述DNS数据包存在异常的第一概率和第二概率,确定每个所述DNS数据包的第一异常概率。
在一个实施例中,所述处理器在实现所述基于预设的域名统计分析算法,对每个所述DNS数据包的域名进行异常分析,得到每个所述DNS数据包存在异常的第二概率时,用于实现:
对所述DNS数据包的域名进行字符转换,得到第一域名;
将所述第一域名进行TF-IDF转换处理,得到第二域名,并计算所述第二域名与多个DGA域名之间的均值和方差值;
根据所述第二域名与多个DGA域名之间的均值和方差值,确定所述第二域名对应的所述DNS数据包存在异常的第二概率。
在一个实施例中,所述处理器在实现所述根据每个所述域名的访问量,对每个所述域名进行异常检测,得到每个所述域名对应的第二异常概率时,用于实现:
根据每个所述域名的访问量,确定每个所述域名对应的流量等级;
按照每个所述域名对应的流量等级,对每个所述域名进行流量异常检测,得到每个所述域名对应的第二异常概率。
在一个实施例中,所述流量等级包括第一流量等级、第二流量等级和第三流量等级,所述第一流量等级对应的访问量大于第二流量等级对应的访问量,所述第二流量等级对应的访问量大于第三流量等级对应的访问量;
所述处理器在实现所述按照每个所述域名对应的流量等级,对每个所述域名进行流量异常检测,得到每个所述域名对应的第二异常概率时,用于实现:
基于预设的流量异常检测模型,对所述第一流量等级对应的域名进行异常检测,得到第一异常检测结果;
基于预设的时间窗口算法,对所述第二流量等级对应的域名进行异常检测,得到第二异常检测结果;
基于预设的关联分析算法,对所述第三流量等级对应的域名进行异常分析,得到第三异常检测结果;
根据所述第一异常检测结果、所述第二异常检测结果以及所述第三异常检测结果,确定每个所述域名对应的第二异常概率。
在一个实施例中,所述处理器在实现所述基于预设的流量异常检测模型,对所述第一流量等级对应的域名进行异常检测,得到第一异常检测结果时,用于实现:
调用与所述第一流量等级对应的XGBoost检测模型;
利用所述XGBoost检测模型,对所述第一流量等级对应的域名进行异常检测,得到所述第一流量等级对应的多个域名的异常概率;
将所述第一流量等级对应的多个域名的异常概率作为所述第一异常检测结果。
在一个实施例中,所述处理器在实现所述基于每个所述DNS数据包的第一异常概率以及每个所述域名对应的第二异常概率,确定每个所述DNS数据包的目标异常评价信息时,用于实现:
根据每个所述域名对应的第二异常概率,确定多个所述DNS数据包的第三异常概率;所述DNS数据包的第三异常概率与所述DNS数据包的域名对应的第二异常概率相匹配;
根据每个所述DNS数据包的第一异常概率和所述第三异常概率,确定每个所述DNS数据包的目标异常评价信息;
其中,所述目标异常评价信息包括目标异常概率、目标异常评分和/或目标异常评级。
需要说明的是,所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述计算机设备的具体工作过程,可以参考前述DNS异常检测方法实施例中的对应过程,在此不再赘述。
本申请可用于众多通用或专用的计算机系统环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序中包括程序指令,所述程序指令被执行时所实现的方法可参照本申请DNS异常检测方法的各个实施例。
其中,所述计算机可读存储介质可以是前述实施例所述的计算机设备的内部存储单元,例如所述计算机设备的硬盘或内存。所述计算机可读存储介质也可以是所述计算机设备的外部存储设备,例如所述计算机设备上配备的插接式硬盘,智能存储卡(SmartMedia Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。
进一步地,所述计算机可用存储介质可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等;存储数据区可存储根据区块链节点的使用所创建的数据等。本申请所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。
应当理解,在此本申请说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本申请。如在本申请说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
还应当理解,在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种DNS异常检测方法,其特征在于,包括:
获取多个DNS数据包的域名,并根据所述多个DNS数据包的域名,确定每个所述域名的访问量;
对每个所述DNS数据包的域名进行异常检测,得到每个所述DNS数据包的第一异常概率;
根据每个所述域名的访问量,对每个所述域名进行异常检测,得到每个所述域名对应的第二异常概率;
基于每个所述DNS数据包的第一异常概率以及每个所述域名对应的第二异常概率,确定每个所述DNS数据包的目标异常评价信息;
根据每个所述DNS数据包的目标异常评价信息,从所述多个DNS数据包中确定存在异常的目标DNS数据包。
2.如权利要求1所述的DNS异常检测方法,其特征在于,所述对每个所述DNS数据包的域名进行异常检测,得到每个所述DNS数据包的第一异常概率,包括:
基于预设的域名异常检测模型,对每个所述DNS数据包的域名进行异常检测,得到每个所述DNS数据包存在异常的第一概率;
基于预设的域名统计分析算法,对每个所述DNS数据包的域名进行异常分析,得到每个所述DNS数据包存在异常的第二概率;
根据每个所述DNS数据包存在异常的的第一概率和第二概率,确定每个所述DNS数据包的第一异常概率。
3.如权利要求2所述的DNS异常检测方法,其特征在于,所述基于预设的域名统计分析算法,对每个所述DNS数据包的域名进行异常分析,得到每个所述DNS数据包存在异常的第二概率,包括:
对所述DNS数据包的域名进行字符转换,得到第一域名;
将所述第一域名进行TF-IDF转换处理,得到第二域名,并计算所述第二域名与多个DGA域名之间的均值和方差值;
根据所述第二域名与多个DGA域名之间的均值和方差值,确定所述第二域名对应的所述DNS数据包存在异常的第二概率。
4.如权利要求1-3中任一项所述的DNS异常检测方法,其特征在于,所述根据每个所述域名的访问量,对每个所述域名进行异常检测,得到每个所述域名对应的第二异常概率,包括:
根据每个所述域名的访问量,确定每个所述域名对应的流量等级;
按照每个所述域名对应的流量等级,对每个所述域名进行流量异常检测,得到每个所述域名对应的第二异常概率。
5.如权利要求4所述的DNS异常检测方法,其特征在于,所述流量等级包括第一流量等级、第二流量等级和第三流量等级,所述第一流量等级对应的访问量大于第二流量等级对应的访问量,所述第二流量等级对应的访问量大于第三流量等级对应的访问量;
所述按照每个所述域名对应的流量等级,对每个所述域名进行流量异常检测,得到每个所述域名对应的第二异常概率,包括:
基于预设的流量异常检测模型,对所述第一流量等级对应的域名进行异常检测,得到第一异常检测结果;
基于预设的时间窗口算法,对所述第二流量等级对应的域名进行异常检测,得到第二异常检测结果;
基于预设的关联分析算法,对所述第三流量等级对应的域名进行异常分析,得到第三异常检测结果;
根据所述第一异常检测结果、所述第二异常检测结果以及所述第三异常检测结果,确定每个所述域名对应的第二异常概率。
6.如权利要求5所述的DNS异常检测方法,其特征在于,所述基于预设的流量异常检测模型,对所述第一流量等级对应的域名进行异常检测,得到第一异常检测结果,包括:
调用与所述第一流量等级对应的XGBoost检测模型;
利用所述XGBoost检测模型,对所述第一流量等级对应的域名进行异常检测,得到所述第一流量等级对应的多个域名的异常概率;
将所述第一流量等级对应的多个域名的异常概率作为所述第一异常检测结果。
7.如权利要求1-3中任一项所述的DNS异常检测方法,其特征在于,所述基于每个所述DNS数据包的第一异常概率以及每个所述域名对应的第二异常概率,确定每个所述DNS数据包的目标异常评价信息,包括:
根据每个所述域名对应的第二异常概率,确定多个所述DNS数据包的第三异常概率;所述DNS数据包的第三异常概率与所述DNS数据包的域名对应的第二异常概率相匹配;
根据每个所述DNS数据包的第一异常概率和所述第三异常概率,确定每个所述DNS数据包的目标异常评价信息;
其中,所述目标异常评价信息包括目标异常概率、目标异常评分和/或目标异常评级。
8.一种DNS异常检测装置,其特征在于,所述DNS异常检测装置包括:
域名获取模块,用于获取多个DNS数据包的域名,并根据所述多个DNS数据包的域名,确定每个所述域名的访问量;
第一异常检测模块,用于对每个所述DNS数据包的域名进行异常检测,得到每个所述DNS数据包的第一异常概率;
第二异常检测模块,用于根据每个所述域名的访问量,对每个所述域名进行异常检测,得到每个所述域名对应的第二异常概率;
目标异常评价模块,用于基于每个所述DNS数据包的第一异常概率以及每个所述域名对应的第二异常概率,确定每个所述DNS数据包的目标异常评价信息;
异常数据确定模块,用于根据每个所述DNS数据包的目标异常评价信息,从所述多个DNS数据包中确定存在异常的目标DNS数据包。
9.一种计算机设备,其特征在于,所述计算机设备包括处理器、存储器、以及存储在所述存储器上并可被所述处理器执行的计算机程序,其中所述计算机程序被所述处理器执行时,实现如权利要求1至7中任一项所述的DNS异常检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,其中所述计算机程序被处理器执行时,实现如权利要求1至7中任一项所述的DNS异常检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211084762.5A CN116192417A (zh) | 2022-09-06 | 2022-09-06 | Dns异常检测方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211084762.5A CN116192417A (zh) | 2022-09-06 | 2022-09-06 | Dns异常检测方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116192417A true CN116192417A (zh) | 2023-05-30 |
Family
ID=86438980
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211084762.5A Pending CN116192417A (zh) | 2022-09-06 | 2022-09-06 | Dns异常检测方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116192417A (zh) |
-
2022
- 2022-09-06 CN CN202211084762.5A patent/CN116192417A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20200389495A1 (en) | Secure policy-controlled processing and auditing on regulated data sets | |
| US11973799B2 (en) | Domain name processing systems and methods | |
| Uwagbole et al. | Applied machine learning predictive analytics to SQL injection attack detection and prevention | |
| US10678798B2 (en) | Method and system for scoring credibility of information sources | |
| US11032304B2 (en) | Ontology based persistent attack campaign detection | |
| US9667644B2 (en) | Risk identification | |
| Niakanlahiji et al. | A natural language processing based trend analysis of advanced persistent threat techniques | |
| US20210136120A1 (en) | Universal computing asset registry | |
| EP3956791A1 (en) | Providing context associated with a potential security issue for an analyst | |
| US20230033117A1 (en) | Systems and methods for analyzing cybersecurity events | |
| Sarabi et al. | Characterizing the internet host population using deep learning: A universal and lightweight numerical embedding | |
| Vishva et al. | Phisher fighter: website phishing detection system based on url and term frequency-inverse document frequency values | |
| Siwach et al. | Anomaly detection for weblog data analysis using weighted PCA technique | |
| Du et al. | ExpSeeker: Extract public exploit code information from social media | |
| Wang et al. | A dictionary-based method for detecting machine-generated domains | |
| Prilepok et al. | Spam detection using data compression and signatures | |
| Alneyadi et al. | A semantics-aware classification approach for data leakage prevention | |
| US20230039039A1 (en) | Process for determining a degree of data exposure | |
| Dangwal et al. | Feature selection for machine learning-based phishing websites detection | |
| CN116738369A (zh) | 一种流量数据的分类方法、装置、设备及存储介质 | |
| CN115589339A (zh) | 网络攻击类型识别方法、装置、设备以及存储介质 | |
| CN116192417A (zh) | Dns异常检测方法、装置、设备及存储介质 | |
| Robinson | Statistical language analysis for automatic exfiltration event detection | |
| Radford | Automated learning of event coding dictionaries for novel domains with an application to cyberspace | |
| Upadhyay et al. | Feature extraction approach to unearth domain generating algorithms (DGAS) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |