CN116366346B - 一种dns流量还原方法 - Google Patents
一种dns流量还原方法 Download PDFInfo
- Publication number
- CN116366346B CN116366346B CN202310357682.0A CN202310357682A CN116366346B CN 116366346 B CN116366346 B CN 116366346B CN 202310357682 A CN202310357682 A CN 202310357682A CN 116366346 B CN116366346 B CN 116366346B
- Authority
- CN
- China
- Prior art keywords
- file
- dns
- format
- setting
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 37
- 230000002159 abnormal effect Effects 0.000 claims abstract description 79
- 238000012544 monitoring process Methods 0.000 claims abstract description 64
- 238000004458 analytical method Methods 0.000 claims abstract description 34
- 238000012545 processing Methods 0.000 claims abstract description 16
- 238000001514 detection method Methods 0.000 claims abstract description 12
- 230000005856 abnormality Effects 0.000 claims description 15
- 239000011159 matrix material Substances 0.000 claims description 6
- 238000012423 maintenance Methods 0.000 claims description 3
- 238000004891 communication Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 239000002360 explosive Substances 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 239000003550 marker Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及网络流量分析技术领域,特别是涉及一种DNS流量还原方法。包括:获取DNS协议的流量数据,根据流量数据生成流量文件;根据流量文件获取DNS数据包头部字段信息,根据DNS数据包头部字段信息判断流量文件的格式有效性;若流量文件为格式有效文件,则获取流量文件的DNS数据包,并对DNS数据包进行还原处理;根据预设监测周期内的异常流量文件数量设定网络安全运行预警指令。通过预设标准DNS数据头部格式和DNS数据标准格式检测模型,对实时的DNS数据包进行解析,检测到不满足正常数据包特征时,标记为异常包并停止解析,以减少后续多余的解析运算的时间代价,提高数据处理效率。
Description
技术领域
本申请涉及网络流量分析技术领域,特别是涉及一种DNS流量还原方法。
背景技术
DNS(Domain Name System,域名系统)实现了枯燥难记的IP(
InternetProtocol)地址和容易记忆的域名之间的转换,是互联网上最为关键的基础设施,几乎所有基于IP网络的信息通信服务都要通过域名访问来定位相应的网络资源。因此,通过对DNS流量的分析,可以更好地了解当前的网络状况。
随着互联网的高速发展,越来越多的用户和应用呈现爆发式的增长,随之而带来的互联网网络流量急剧增加。就目前而言,在线的电信运营商的设备每天都产生TB级甚至PB级的流记录数据,如何实现大规模网络流量中DNS数据的实时还原并对异常数据及时预警,成为现阶段的亟待解决的技术问题。
发明内容
本申请的目的是:为解决上述技术问题,本申请提供了一种DNS流量还原方法,旨在实现威胁攻击的实时预警和恶意域名分析预警,提升系统运行的安全性。
本申请的一些实施例中,通过预设标准DNS数据头部格式和DNS数据标准格式检测模型,对实时的DNS数据包进行解析,检测到不满足正常数据包特征时,标记为异常包并停止解析,以减少后续多余的解析运算的时间代价,提高数据处理效率。
本申请的一些实施例中,通过预设标记字符,对DNS数据包进行处理,及时发现域名异常数据,并生成预警指令,实现对于恶意域名的分析预警,保证系统运行的安全性。
本申请的一些实施例中,通过获取完成还原后的UDP负载状态,识别数据异常的DNS数据包,实现对于威胁攻击的及时预警,保证系统运行的安全性。
本申请的一些实施例中,提供了一种DNS流量还原方法,包括:
获取DNS协议的流量数据,根据所述流量数据生成流量文件;
根据所述流量文件获取DNS数据包头部字段信息,根据所述DNS数据包头部字段信息判断所述流量文件的格式有效性;
若所述流量文件为格式有效文件,则获取所述流量文件的DNS数据包,并对所述DNS数据包进行还原处理;
根据预设监测周期内的异常流量文件数量设定网络安全运行预警指令。
本申请的一些实施例中,根据所述流量数据生成流量文件时,包括:
获取目标主机的全部协议流量数据,根据所述目标主机的协议流量数据生成流量文件,所述流量文件中包含DNS数据包;
对所述流量文件添加预设文件后缀;
数据采集模块根据所述预设文件后缀采集所述流量文件;
当所述流量文件进行储存时,删除所述预设文件后缀。
本申请的一些实施例中,判断所述DNS头部字段信息有效性时,包括:
根据历史数据生成预设标准DNS数据头部格式A1;
获取所述流量文件中的DNS数据头部字段信息,并生成实时的DNS数据头部格式A2;
若A1与A2相同,则设定所述流量文件为一级流量文件;
若A1与A2不相同,则设定所述流量文件为格式异常文件,设定所述流量文件的储存模式为异常格式储存模式。
本申请的一些实施例中,对所述DNS数据包进行还原处理时,包括:
根据历史数据获取DNS数据包标准格式,并生成DNS数据标准格式检测模型;
获取所述一级流量文件,并根据所述DNS数据标准格式检测模型判断所述一级流量文件格式是否异常;
若所述一级流量文件格式异常,则设定所述一级流量文件为格式异常文件,并设定所述一级流量文件的储存模式为异常格式储存模式;
若所述一级流量文件格式正常,则设定所述一级流量文件为二级流量文件。
本申请的一些实施例中,对所述DNS数据包进行还原处理时,还包括:
获取所述二级流量文件的DNS数据包中的域名字段;
预设需替换字符B1和标记字符B2;
对所述域名字段进行解析处理,当解析到所述需替换字符B1时,获取所述需替换字符B1后的字符;
若所述需替换字符B1后存在字符,则设定所述需替换字符B1的解析结果为标记字符B2,并继续解析剩余字符;
若所述需替换字符B1后不存在字符,则设定所述需替换字符B1的解析结果为需替换字符B1;
生成域名字段解析结果。
本申请的一些实施例中,对所述DNS数据包进行还原处理时,还包括:
获取域名字段解析结果;
若所述域名字段解析结果中存在所述标记字符B2,则设定所述二级流量文件为恶意域名文件,并设定所述恶意域名文件的储存模式为异常格式储存模式;
若所述域名字段解析结果中不存在所述标记字符B2,则设定所述二级流量文件为三级流量文件。
本申请的一些实施例中,对所述DNS数据包进行还原处理时,还包括:
获取所述三级流量文件中的DNS数据包的资源字段数据,并对所述资源字段数据进行还原处理;
当所述DNS数据包中全部所述资源字段数据完成还原时,获取UDP负载状态;
若所述UDP负载状态为存在剩余时,设定所述三级流量文件为数据异常文件,设定所述数据异常文件的储存模式为异常格式储存模式;
若所述UDP负载状态为不存在剩余时,设定所述三级流量文件为正常文件,并设定所述正常文件的储存模式为正常格式储存模式。
本申请的一些实施例中,根据预设监测周期内的异常流量文件数量设定网络安全运行预警指令时,包括:
预设恶意域名文件阈值E1和数据异常文件阈值E2;
获取实时的监测周期内的恶意域名文件数量值e1,若e1>E1,则生成域名异常预警指令;
获取实时的监测周期内的数据异常文件数量值e2,若e2>E2,则生成数据异常预警指令。
本申请的一些实施例中,根据预设监测周期内的异常流量文件数量设定网络安全运行预警指令时,还包括:
预设格式异常文件阈值c1;
获取实时的监测周期内的格式异常文件数量值c,若c>c1,则生成系统预警指令,并根据所述系统预警指令生成系统检修指令;
根据所述格式异常文件数量值c设定下一监测周期的时间间隔t。
本申请的一些实施例中,根据所述格式异常文件数量值c设定下一监测周期的时间间隔t时,包括:
预设格式异常文件数量矩阵C,设定C(C1,C2,C3,C4),其中,C1为预设第一格式异常文件数量,C2为预设第二格式异常文件数量,C3为预设第三格式异常文件数量,C4为预设第四格式异常文件数量,且C1<C2<C3<C4;
预设监测周期时间间隔矩阵T,设定T(T1,T2,T3,T4),其中,T1为预设第一监测周期时间间隔,T2为预设第二监测周期时间间隔,T3为预设第三监测周期时间间隔,T4为预设第四监测周期时间间隔,且T1<T2<T3<T4;
若C1<c<C2时,设定下一监测周期的时间间隔t为预设第四监测周期时间间隔T4,即t=T4;
若C2<c<C3时,设定下一监测周期的时间间隔t为预设第三监测周期时间间隔T3,即t=T3;
若C3<c<C4时,设定下一监测周期的时间间隔t为预设第二监测周期时间间隔T2,即t=T2;
若c>C4时,设定下一监测周期的时间间隔t为预设第一监测周期时间间隔T1,即t=T1。
本申请实施例一种DNS流量还原方法与现有技术相比,其有益效果在于:
通过预设标准DNS数据头部格式和DNS数据标准格式检测模型,对实时的DNS数据包进行解析,检测到不满足正常数据包特征时,标记为异常包并停止解析,以减少后续多余的解析运算的时间代价,提高数据处理效率。
通过预设标记字符,对DNS数据包进行处理,及时发现域名异常数据,并生成预警指令,实现对于恶意域名的分析预警,保证系统运行的安全性。
通过获取完成还原后的UDP负载状态,识别数据异常的DNS数据包,实现对于威胁攻击的及时预警,保证系统运行的安全性。
附图说明
图1是本申请实施例优选实施例中一种DNS流量还原方法的流程示意图;
图2是本申请实施例优选实施例中DNS数据包还原处理流程示意图。
具体实施方式
下面结合附图和实施例,对本申请的具体实施方式作进一步详细描述。以下实施例用于说明本申请,但不用来限制本申请的范围。
在本申请的描述中,需要理解的是,术语“中心”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本申请和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本申请的限制。
术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。
在本申请的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本申请中的具体含义。
如图1-图2所示,本申请实施例优选实施例的一种DNS流量还原方法,包括:
S101:获取DNS协议的流量数据,根据流量数据生成流量文件;
S102:根据流量文件获取DNS数据包头部字段信息,根据DNS数据包头部字段信息判断流量文件的格式有效性;
S103:若流量文件为格式有效文件,则获取流量文件的DNS数据包,并对DNS数据包进行还原处理;
S104:根据预设监测周期内的异常流量文件数量设定网络安全运行预警指令。
具体而言,根据流量数据生成流量文件时,包括:
获取目标主机的全部协议流量数据,根据目标主机的协议流量数据生成流量文件,流量文件中包含DNS数据包;
对流量文件添加预设文件后缀;
数据采集模块根据预设文件后缀采集流量文件;
当流量文件进行储存时,删除预设文件后缀。
具体而言,对捕获的DNS协议的流量进行流量留存,并保存当前主机所有的协议流量信息。不再通过UDP消息转发,而是统一生成流量文件,然后通过数据采集模块写入kafka,再进行处理。
具体而言,预设文件后缀为.tmp,流量文件使用临时文件名,即在流量文件在未储存之前统一添加.tmp后缀,储存之后修改文件名去掉.tmp后缀,数据采集模块可以根据文件后缀名进行采集。
本申请实施优选实施例中,判断DNS头部字段信息有效性时,包括:
根据历史数据生成预设标准DNS数据头部格式A1;
获取流量文件中的DNS数据头部字段信息,并生成实时的DNS数据头部格式A2;
若A1与A2相同,则设定流量文件为一级流量文件;
若A1与A2不相同,则设定流量文件为格式异常文件,设定流量文件的储存模式为异常格式储存模式。
具体而言,对DNS数据包进行还原处理时,包括:
根据历史数据获取DNS数据包标准格式,并生成DNS数据标准格式检测模型;
获取一级流量文件,并根据DNS数据标准格式检测模型判断一级流量文件格式是否异常;
若一级流量文件格式异常,则设定一级流量文件为格式异常文件,并设定一级流量文件的储存模式为异常格式储存模式;
若一级流量文件格式正常,则设定一级流量文件为二级流量文件。
具体而言,当UDP负载长度小于18Byte或DNS头部的QuestionCount的值小于等于0时,判定其DNS数据包存在异常,DNS数据标准格式检测模型中的判断特征包括但不限于上述实施例中提出的特征,其判断特征可根据历史运行数据进行设定。
具体而言,在解析还原过程中,一旦检测到不匹配的特征,立即停止解析,并判定其DNS数据包为格式异常文件。
可以理解的是,上述实施例中,通过预设标准DNS数据头部格式和DNS数据标准格式检测模型,对实时的DNS数据包进行解析,检测到不满足正常数据包特征时,标记为异常包并停止解析,以减少后续多余的解析运算的时间代价,提高数据处理效率。
本申请实施例优选实施例中,对DNS数据包进行还原处理时,还包括:
获取二级流量文件的DNS数据包中的域名字段;
预设需替换字符B1和标记字符B2;
对域名字段进行解析处理,当解析到需替换字符B1时,获取需替换字符B1后的字符;
若需替换字符B1后存在字符,则设定需替换字符B1的解析结果为标记字符B2,并继续解析剩余字符;
若需替换字符B1后不存在字符,则设定需替换字符B1的解析结果为需替换字符B1;
生成域名字段解析结果。
具体而言,对DNS数据包进行还原处理时,还包括:
获取域名字段解析结果;
若域名字段解析结果中存在标记字符B2,则设定二级流量文件为恶意域名文件,并设定恶意域名文件的储存模式为异常格式储存模式;
若域名字段解析结果中不存在标记字符B2,则设定二级流量文件为三级流量文件。
具体而言,为了处理Null字符欺骗的情况,在还原过程中,采用逐字节解析的方法,当在域名标签头部计数的范围中出现了“\0”时,则将Null字符替换为某个特定的字符,并按照格式对后续的部分继续逐字节读取。
具体而言,其需替换字符B1为“\0”为防止DNS数据包中的域名字段存在Null字符欺骗,在解析到“\0”后,继续对后续字符进行逐字节读取,若“\0”存在字符,则判断存在域名字段存在Null字符欺骗,将“\0”解析为预设标记字符,并根据解析结果判断DNS数据包是否存在异常。
具体而言,对DNS数据包进行还原处理时,还包括:
获取三级流量文件中的DNS数据包的资源字段数据,并对资源字段数据进行还原处理;
当DNS数据包中全部资源字段数据完成还原时,获取UDP负载状态;
若UDP负载状态为存在剩余时,设定三级流量文件为数据异常文件,设定数据异常文件的储存模式为异常格式储存模式;
若UDP负载状态为不存在剩余时,设定三级流量文件为正常文件,并设定正常文件的储存模式为正常格式储存模式。
可以理解的是,上述实施例中,通过预设标记字符,对DNS数据包进行处理,及时发现域名异常数据,并生成预警指令,实现对于恶意域名的分析预警,通过获取完成还原后的UDP负载状态,识别数据异常的DNS数据包,实现对于威胁攻击的及时预警,保证系统运行的安全性。
本申请实施例优选实施例中,根据预设监测周期内的异常流量文件数量设定网络安全运行预警指令时,包括:
预设恶意域名文件阈值E1和数据异常文件阈值E2;
获取实时的监测周期内的恶意域名文件数量值e1,若e1>E1,则生成域名异常预警指令;
获取实时的监测周期内的数据异常文件数量值e2,若e2>E2,则生成数据异常预警指令。
具体而言,根据预设监测周期内的异常流量文件数量设定网络安全运行预警指令时,还包括:
预设格式异常文件阈值c1;
获取实时的监测周期内的格式异常文件数量值c,若c>c1,则生成系统预警指令,并根据系统预警指令生成系统检修指令;
根据格式异常文件数量值c设定下一监测周期的时间间隔t。
具体而言,根据格式异常文件数量值c设定下一监测周期的时间间隔t时,包括:
预设格式异常文件数量矩阵C,设定C(C1,C2,C3,C4),其中,C1为预设第一格式异常文件数量,C2为预设第二格式异常文件数量,C3为预设第三格式异常文件数量,C4为预设第四格式异常文件数量,且C1<C2<C3<C4;
预设监测周期时间间隔矩阵T,设定T(T1,T2,T3,T4),其中,T1为预设第一监测周期时间间隔,T2为预设第二监测周期时间间隔,T3为预设第三监测周期时间间隔,T4为预设第四监测周期时间间隔,且T1<T2<T3<T4;
若C1<c<C2时,设定下一监测周期的时间间隔t为预设第四监测周期时间间隔T4,即t=T4;
若C2<c<C3时,设定下一监测周期的时间间隔t为预设第三监测周期时间间隔T3,即t=T3;
若C3<c<C4时,设定下一监测周期的时间间隔t为预设第二监测周期时间间隔T2,即t=T2;
若c>C4时,设定下一监测周期的时间间隔t为预设第一监测周期时间间隔T1,即t=T1。
可以理解的是,上述实施例中,通过采集格式异常文件数量,恶意域名文件数量和数据异常文件数量,及时对系统进行威胁攻击的实时预警和恶意域名分析预警,并通过动态调节监测周期,实现对于系统动态监测,保证系统的安全性,当格式异常数据增多时,及时对系统进行检修,保证系统运行的稳定性。
根据本申请的第一构思,通过预设标准DNS数据头部格式和DNS数据标准格式检测模型,对实时的DNS数据包进行解析,检测到不满足正常数据包特征时,标记为异常包并停止解析,以减少后续多余的解析运算的时间代价,提高数据处理效率。
根据本申请的第二构思,通过预设标记字符,对DNS数据包进行处理,及时发现域名异常数据,并生成预警指令,实现对于恶意域名的分析预警,保证系统运行的安全性。
根据本申请的第三构思,通过获取完成还原后的UDP负载状态,识别数据异常的DNS数据包,实现对于威胁攻击的及时预警,保证系统运行的安全性。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请技术原理的前提下,还可以做出若干改进和替换,这些改进和替换也应视为本申请的保护范围。
Claims (5)
1.一种DNS流量还原方法,其特征在于,包括:
获取DNS协议的流量数据,根据所述流量数据生成流量文件;
根据所述流量文件获取DNS数据包头部字段信息,根据所述DNS数据包头部字段信息判断所述流量文件的格式有效性;
若所述流量文件为格式有效文件,则获取所述流量文件的DNS数据包,并对所述DNS数据包进行还原处理;
根据预设监测周期内的异常流量文件数量设定网络安全运行预警指令;
所述根据所述流量数据生成流量文件时,包括:
获取目标主机的全部协议流量数据,根据所述目标主机的协议流量数据生成流量文件,所述流量文件中包含DNS数据包;
对所述流量文件添加预设文件后缀;
数据采集模块根据所述预设文件后缀采集所述流量文件;
当所述流量文件进行储存时,删除所述预设文件后缀;
所述判断所述DNS头部字段信息有效性时,包括:
根据历史数据生成预设标准DNS数据头部格式A1;
获取所述流量文件中的DNS数据头部字段信息,并生成实时的DNS数据头部格式A2;
若A1与A2相同,则设定所述流量文件为一级流量文件;
若A1与A2不相同,则设定所述流量文件为格式异常文件,设定所述流量文件的储存模式为异常格式储存模式;
对所述DNS数据包进行还原处理时,包括:
根据历史数据获取DNS数据包标准格式,并生成DNS数据标准格式检测模型;
获取所述一级流量文件,并根据所述DNS数据标准格式检测模型判断所述一级流量文件格式是否异常;
若所述一级流量文件格式异常,则设定所述一级流量文件为格式异常文件,并设定所述一级流量文件的储存模式为异常格式储存模式;
若所述一级流量文件格式正常,则设定所述一级流量文件为二级流量文件;
根据预设监测周期内的异常流量文件数量设定网络安全运行预警指令时,包括:
预设格式异常文件阈值c1;
获取实时的监测周期内的格式异常文件数量值c,若c>c1,则生成系统预警指令,并根据所述系统预警指令生成系统检修指令;
根据所述格式异常文件数量值c设定下一监测周期的时间间隔t;
预设格式异常文件数量矩阵C,设定C(C1,C2,C3,C4),其中,C1为预设第一格式异常文件数量,C2为预设第二格式异常文件数量,C3为预设第三格式异常文件数量,C4为预设第四格式异常文件数量,且C1<C2<C3<C4;
预设监测周期时间间隔矩阵T,设定T(T1,T2,T3,T4),其中,T1为预设第一监测周期时间间隔,T2为预设第二监测周期时间间隔,T3为预设第三监测周期时间间隔,T4为预设第四监测周期时间间隔,且T1<T2<T3<T4;
若C1<c<C2时,设定下一监测周期的时间间隔t为预设第四监测周期时间间隔T4,即t=T4;
若C2<c<C3时,设定下一监测周期的时间间隔t为预设第三监测周期时间间隔T3,即t=T3;
若C3<c<C4时,设定下一监测周期的时间间隔t为预设第二监测周期时间间隔T2,即t=T2;
若c>C4时,设定下一监测周期的时间间隔t为预设第一监测周期时间间隔T1,即t=T1。
2.如权利要求1所述的DNS流量还原方法,其特征在于,对所述DNS数据包进行还原处理时,还包括:
获取所述二级流量文件的DNS数据包中的域名字段;
预设需替换字符B1和标记字符B2;
对所述域名字段进行解析处理,当解析到所述需替换字符B1时,获取所述需替换字符B1后的字符;
若所述需替换字符B1后存在字符,则设定所述需替换字符B1的解析结果为标记字符B2,并继续解析剩余字符;
若所述需替换字符B1后不存在字符,则设定所述需替换字符B1的解析结果为需替换字符B1;
生成域名字段解析结果。
3.如权利要求2所述的DNS流量还原方法,其特征在于,对所述DNS数据包进行还原处理时,还包括:
获取域名字段解析结果;
若所述域名字段解析结果中存在所述标记字符B2,则设定所述二级流量文件为恶意域名文件,并设定所述恶意域名文件的储存模式为异常格式储存模式;
若所述域名字段解析结果中不存在所述标记字符B2,则设定所述二级流量文件为三级流量文件。
4.如权利要求3所述的DNS流量还原方法,其特征在于,对所述DNS数据包进行还原处理时,还包括:
获取所述三级流量文件中的DNS数据包的资源字段数据,并对所述资源字段数据进行还原处理;
当所述DNS数据包中全部所述资源字段数据完成还原时,获取UDP负载状态;
若所述UDP负载状态为存在剩余时,设定所述三级流量文件为数据异常文件,设定所述数据异常文件的储存模式为异常格式储存模式;
若所述UDP负载状态为不存在剩余时,设定所述三级流量文件为正常文件,并设定所述正常文件的储存模式为正常格式储存模式。
5.如权利要求4所述的DNS流量还原方法,其特征在于,根据预设监测周期内的异常流量文件数量设定网络安全运行预警指令时,包括:
预设恶意域名文件阈值E1和数据异常文件阈值E2;
获取实时的监测周期内的恶意域名文件数量值e1,若e1>E1,则生成域名异常预警指令;
获取实时的监测周期内的数据异常文件数量值e2,若e2>E2,则生成数据异常预警指令。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310357682.0A CN116366346B (zh) | 2023-04-04 | 2023-04-04 | 一种dns流量还原方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310357682.0A CN116366346B (zh) | 2023-04-04 | 2023-04-04 | 一种dns流量还原方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116366346A CN116366346A (zh) | 2023-06-30 |
CN116366346B true CN116366346B (zh) | 2024-03-22 |
Family
ID=86941737
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310357682.0A Active CN116366346B (zh) | 2023-04-04 | 2023-04-04 | 一种dns流量还原方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116366346B (zh) |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103001825A (zh) * | 2012-11-15 | 2013-03-27 | 中国科学院计算机网络信息中心 | Dns流量异常的检测方法和系统 |
CN103248725A (zh) * | 2013-05-23 | 2013-08-14 | 中国科学院计算机网络信息中心 | 一种安全可靠的域名解析修复方法和系统 |
CN107835149A (zh) * | 2017-09-13 | 2018-03-23 | 杭州安恒信息技术有限公司 | 基于dns流量分析的网络窃密行为检测方法以及装置 |
CN110661683A (zh) * | 2019-09-26 | 2020-01-07 | 苏州浪潮智能科技有限公司 | 一种基于pcap格式的文件分析UDP协议的方法及装置 |
CN111061628A (zh) * | 2019-11-21 | 2020-04-24 | 世纪龙信息网络有限责任公司 | 数据分析方法、系统、装置、计算机设备和存储介质 |
CN111277570A (zh) * | 2020-01-10 | 2020-06-12 | 中电长城网际系统应用有限公司 | 数据的安全监测方法和装置、电子设备、可读介质 |
CN113259943A (zh) * | 2021-04-28 | 2021-08-13 | 国网江苏省电力有限公司信息通信分公司 | 一种电力无线专网异常流量分析阻断方法及系统 |
CN114465741A (zh) * | 2020-11-09 | 2022-05-10 | 腾讯科技(深圳)有限公司 | 一种异常检测方法、装置、计算机设备及存储介质 |
CN115396128A (zh) * | 2021-05-19 | 2022-11-25 | 武汉安天信息技术有限责任公司 | 恶意流量检测方法、装置、存储介质及电子设备 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI796706B (zh) * | 2021-06-11 | 2023-03-21 | 安碁資訊股份有限公司 | 資料外洩偵測方法與裝置 |
-
2023
- 2023-04-04 CN CN202310357682.0A patent/CN116366346B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103001825A (zh) * | 2012-11-15 | 2013-03-27 | 中国科学院计算机网络信息中心 | Dns流量异常的检测方法和系统 |
CN103248725A (zh) * | 2013-05-23 | 2013-08-14 | 中国科学院计算机网络信息中心 | 一种安全可靠的域名解析修复方法和系统 |
CN107835149A (zh) * | 2017-09-13 | 2018-03-23 | 杭州安恒信息技术有限公司 | 基于dns流量分析的网络窃密行为检测方法以及装置 |
CN110661683A (zh) * | 2019-09-26 | 2020-01-07 | 苏州浪潮智能科技有限公司 | 一种基于pcap格式的文件分析UDP协议的方法及装置 |
CN111061628A (zh) * | 2019-11-21 | 2020-04-24 | 世纪龙信息网络有限责任公司 | 数据分析方法、系统、装置、计算机设备和存储介质 |
CN111277570A (zh) * | 2020-01-10 | 2020-06-12 | 中电长城网际系统应用有限公司 | 数据的安全监测方法和装置、电子设备、可读介质 |
CN114465741A (zh) * | 2020-11-09 | 2022-05-10 | 腾讯科技(深圳)有限公司 | 一种异常检测方法、装置、计算机设备及存储介质 |
CN113259943A (zh) * | 2021-04-28 | 2021-08-13 | 国网江苏省电力有限公司信息通信分公司 | 一种电力无线专网异常流量分析阻断方法及系统 |
CN115396128A (zh) * | 2021-05-19 | 2022-11-25 | 武汉安天信息技术有限责任公司 | 恶意流量检测方法、装置、存储介质及电子设备 |
Non-Patent Citations (1)
Title |
---|
面向安全分析的大规模网络下的DNS流量还原系统;文奕 等;《信息网络安全》(第5期);第77-83页 * |
Also Published As
Publication number | Publication date |
---|---|
CN116366346A (zh) | 2023-06-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Gerhards | The syslog protocol | |
CN111953673B (zh) | 一种dns隐蔽隧道检测方法及系统 | |
US20090182867A1 (en) | Method and apparatus for identifying a packet | |
CN110808879B (zh) | 一种协议识别方法、装置、设备及可读存储介质 | |
CN103795709A (zh) | 一种网络安全检测方法和系统 | |
US20030083847A1 (en) | User interface for presenting data for an intrusion protection system | |
CN111565200B (zh) | 一种基于多路径报文检测分析的nat关联检测方法 | |
CN108737385A (zh) | 一种基于dns映射ip的恶意域名匹配方法 | |
CN110750785B (zh) | 针对主机端口扫描行为的检测方法及装置 | |
US20180020014A1 (en) | Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method, and malicious communication pattern extraction program | |
Gerhards | RFC 5424: The syslog protocol | |
CN116366346B (zh) | 一种dns流量还原方法 | |
US11916942B2 (en) | Automated identification of false positives in DNS tunneling detectors | |
CN113115314B (zh) | 一种4g移动通信网络hss信令防护方法及装置 | |
CN116346492B (zh) | 一种基于APNv6的数据安全管理方法 | |
CN102006290A (zh) | Ip源地址追溯的方法 | |
CN111865951A (zh) | 一种基于数据包特征提取的网络数据流异常检测方法 | |
US11770360B1 (en) | Correlating protocol data units transiting networks with differing addressing schemes | |
CN102724068A (zh) | 一种在IPv6混合网络中进行审计日志资产识别的方法 | |
CN112640392B (zh) | 一种木马检测方法、装置和设备 | |
CN110661799B (zh) | 一种arp欺骗行为的检测方法及系统 | |
CN110784469B (zh) | 一种通过识别伪造mac地址识别异常登录的方法及系统 | |
JP4319609B2 (ja) | 攻撃経路解析装置及び攻撃経路解析方法及びプログラム | |
CN111953807B (zh) | 一种报文标识处理方法、装置及存储介质 | |
CN116527327A (zh) | 一种smtp流量还原方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |