WO2018176874A1 - 一种dns的评价方法和装置 - Google Patents

一种dns的评价方法和装置 Download PDF

Info

Publication number
WO2018176874A1
WO2018176874A1 PCT/CN2017/113183 CN2017113183W WO2018176874A1 WO 2018176874 A1 WO2018176874 A1 WO 2018176874A1 CN 2017113183 W CN2017113183 W CN 2017113183W WO 2018176874 A1 WO2018176874 A1 WO 2018176874A1
Authority
WO
WIPO (PCT)
Prior art keywords
score
dns
domain name
determining
dns system
Prior art date
Application number
PCT/CN2017/113183
Other languages
English (en)
French (fr)
Inventor
刘威歆
折宇超
Original Assignee
北京神州绿盟信息安全科技股份有限公司
北京神州绿盟科技有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 北京神州绿盟信息安全科技股份有限公司, 北京神州绿盟科技有限公司 filed Critical 北京神州绿盟信息安全科技股份有限公司
Priority to JP2019553903A priority Critical patent/JP6894528B2/ja
Priority to US16/498,900 priority patent/US11431742B2/en
Publication of WO2018176874A1 publication Critical patent/WO2018176874A1/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/28Databases characterised by their database models, e.g. relational or object models
    • G06F16/284Relational databases
    • G06F16/285Clustering or classification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses

Definitions

  • Embodiments of the present invention provide a DNS evaluation method and apparatus for improving the accuracy of DNS evaluation.
  • the feature of the evaluation basis is added when performing the DNS evaluation. Dimensions; thus, the accuracy of the DNS evaluation is improved; further, the total system score of the DNS system is determined according to the clustering score of each category of the preset category of the DNS system, further improving the accuracy of the DNS evaluation. .
  • the determining, according to the clustering score of each category of the preset category of the DNS system, the total system score of the DNS system including: multiple preset categories corresponding to the target domain name Each feature dimension information in the feature dimension information is normalized; wherein the target domain name is any one of the M domain names; and the normalized according to the preset category corresponding to the target domain name a plurality of feature dimension information, determining an individual score of a preset category of the DNS system; a cluster score of each category according to the preset category of the DNS system, and the preset of the DNS system The individual scores for each category of the category determine the total system score for the DNS system.
  • an embodiment of the present invention provides an electronic device, including: a processor, a memory, and a bus interface, wherein a processor, a memory, and a bus interface are connected by a bus;
  • an embodiment of the present application provides a non-transitory computer readable storage medium, where a computer storage medium stores instructions that, when run on a computer, cause the computer to perform any of the first aspect or the first aspect. The method in the implementation.
  • FIG. 1 is a schematic structural diagram of a communication system according to an embodiment of the present invention.
  • FIG. 1 exemplarily shows a schematic diagram of a communication system architecture applicable to an embodiment of the present invention.
  • the system architecture may include a client 101, a local domain name server 102, a domain name server 103, and a domain name server 104.
  • the client and the domain name server are connected by wireless or wired connection or other connection method.
  • Each client is configured to receive a domain name resolution request input by the user, and the client 101 sends the received domain name resolution request to the local domain name server 102. If the local domain name server 102 can resolve the domain name, the local domain name server 102 directly returns the client. Result; if local domain name service The domain name server 102 sends a domain name resolution request to the upper domain name server 103. If the domain name server 103 can resolve, the resolution result is sent to the client. If the domain name server 103 cannot resolve the domain name, the domain name server 103 can not resolve the domain name. The parsing request is sent to the next-level domain name server 104, and so on until the IP address of the domain name is resolved.
  • the type field represents the kind of value: the type A is the value field is an IP address, that is, the final answer the user wants; the type is the name server (Name Server, NS for short), the value field is the domain name of another domain name server, The domain name server can know how to resolve the domain name specified by the domain name field; the type is the alias record (CNAME) representative value field is an alias of the host specified by the domain name; the type is the mail exchange record (Mail Exchanger, referred to as MX) representative value field is The domain name of a mail server that receives the mail of the domain specified by the domain name field; the type PTR is used for domain name reversal. The category field allows you to specify additional record types.
  • FIG. 2 exemplarily shows a schematic flowchart of a DNS evaluation method according to an embodiment of the present invention.
  • the DNS evaluation method includes the following steps:
  • Step S203 according to the relationship between each domain name and the associated identifier information in the M domain names, Or attribute information of each of the M domain names, and determining a clustering score of each category of the preset category of the DNS system;
  • Step S204 Determine a total system score of the DNS system according to a clustering score of each category of the preset category of the DNS system.
  • the feature of the evaluation basis is added when performing the DNS evaluation. Dimensions; thus, the accuracy of the DNS evaluation is improved; further, the total system score of the DNS system is determined according to the clustering score of each category of the preset category of the DNS system, further improving the accuracy of the DNS evaluation. .
  • the DNS traffic log is obtained, data processing is performed on the DNS traffic log, including filtering out useless and invalid DNS traffic logs.
  • the domain name that appears in the intranet DNS record, the domain name used to exchange the host name of the intranet, and the domain name such as "localhost", "bogon.”, "arpa.”, "localdom.”, etc. are filtered out. Because such domain names appear on the intranet, they are not related to Internet behavior; the domain names in the whitelist are filtered out.
  • the domain names in the whitelist are usually owned by larger organizations and organizations, with large traffic, high security, and abnormalities.
  • the M domain names in the DNS system are determined according to the DNS traffic log, and the M domain names may include a single domain name, a set of domain names aggregated by a certain rule, and a set of domain names including specific characters.
  • the plurality of feature dimensions include: a domain name length; a time to live (TTL) statistic Such as the maximum value of TTL, the minimum value of TTL, the average value of TTL, the variance of TTL; the number of domain name levels; the time interval for requesting transmission; the number of IP addresses of requesting clients; the response status; the number of resolved IP addresses corresponding to domain names; Sex; the number of IPs to resolve; the time of initial appearance; the access period; the characteristics of domain names, such as the number of distinct vowels, the number of distinct consonants, the frequency of vowel consonants alternately; the number of digits; the domain name topic characteristics, such as domain name topics For telecommunications, information, portals, games, etc.; client access area characteristics, such as country range, latitude and longitude range, province and city range; access frequency; client access analysis is empty domain name statistical characteristics, such as the number of requests
  • the clustering score of the DNS system includes: dividing the association identifier information associated with each of the M domain names into a first entity element group, and obtaining N first entity element groups; according to the N a first entity element group, determining a first cluster score of a preset category of the DNS system; a domain name in which the difference between the attribute information in the M domain names is less than a preset attribute threshold, and the domain name is associated
  • the association identifier information is divided into a second entity element group, and K second entity element groups are obtained; and according to the K second entity element groups, a second cluster score of the preset category of the DNS system is determined; And determining, according to the first cluster score of the preset category and the second cluster score of the preset category, a cluster score of a preset category of the DNS system.
  • the association between the domain name and the identity information is based on the QNAME in the Question Section in the DNS request packet or the NAME is extracted from the Answer Section in the DNS reply packet to determine the association between the client IP and the domain name.
  • the association between the domain name and the resolved IP is based on the relationship between the domain name and the resolved IP in the resource record (Resource Records for RR) in the Answer Section, the Authority Section, and the Additional Section of the DNS reply message.
  • the association between the client IP and the DNS server IP obtains the association between the client IP and the DNS server IP according to the UDP header of the DNS request packet and the DNS reply packet.
  • the association between the domain name and the identity information is obtained from the identity information database, and the identity information can be Whois information.
  • the embodiment of the present invention uses the most common multi-join join as an example to illustrate the specific grouping manner.
  • the association between the domain name and the mailbox, and the association between the domain name and the IP can be formed into two.
  • Table A and Table B are connected right by using the domain name as a primary key to form Table C.
  • IP packet group domain name & Ip Take the domain name & IP packet group domain name & Ip as an example.
  • the IP with the same domain name is divided into a first entity element group.
  • the minimum value of the domain name ID and the IPID is taken as an identifier to mark the group, which is represented as a group domain name.
  • &Ip MIN (Domain Name ID, IPID).
  • domain name 1 corresponds to an IP1 and an IP2.
  • IPs (IP1, IP2) with the same domain name (domain name 1) are grouped into a group ⁇ 2, domain name 1; 4, IP1; , IP2 ⁇ .
  • the difference between the attribute information in the M domain names is less than The domain name of the preset attribute threshold, and the association identifier information associated with the domain name are divided into a second entity element group, and K second entity element groups are obtained;
  • determining, according to the K second entity element groups, the second cluster score of the DNS system including: for each second entity element of the K second entity element groups And performing: normalizing each attribute information of the plurality of attribute information corresponding to the domain name included in the second entity element group; the embodiment of the present invention provides an optional normalization method: Determining a maximum value and a minimum value of the plurality of attribute information in each second entity element group, and for each attribute information in each of the K second entity element groups, according to formula (1) Each attribute information in each entity element group is normalized:
  • the first cluster score of the DNS system and the second cluster score of the DNS system are determined to be the cluster score of the DNS system.
  • a clustering score of each category according to the preset category of the DNS system, and an individual of each category of the preset category of the DNS system are provided. Rating, the total system score of the DNS system is determined according to equation (4).
  • FIG. 5 is a schematic structural diagram of an electronic device provided by the present application.
  • the electronic device includes a processor 501, a memory 502, and a bus interface 503; wherein the processor 501, the memory 502, and the bus interface 503 are connected to one another via a bus 504.
  • the computer program instructions can also be stored in a computer readable memory that can direct a computer or other programmable data processing device to operate in a particular manner, such that the instructions stored in the computer readable memory produce an article of manufacture comprising the instruction device.
  • the apparatus implements the functions specified in one or more blocks of a flow or a flow and/or block diagram of the flowchart.

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

一种DNS的评价方法和装置,根据DNS流量日志确定出DNS系统中的M个域名,以及M个域名中每个域名对应的预设类别中每个类别的多个特征维度信息;M为大于等于1的整数;确定出M个域名中每个域名关联的关联标识信息;其中,关联标识信息包括IP地址和/或身份信息;根据M个域名中每个域名与关联标识信息之间的关联关系,或者M个域名中每个域名的属性信息,确定出DNS系统的预设类别的每个类别的聚类评分;根据DNS系统的预设类别的每个类别的聚类评分,确定出DNS系统的总系统评分。如此,提高了DNS评价的准确性。

Description

一种DNS的评价方法和装置
本申请要求在2017年04月01日提交中国专利局、申请号为201710214360.5、发明名称为“一种DNS的评价方法和装置”的中国专利申请的优先权,其全部内容通过引用结合在本申请中。
技术领域
本发明实施例涉及网络安全领域,尤其涉及一种DNS的评价方法和装置。
背景技术
在网络通信中,要访问互联网中的服务器必须通过IP地址来进行访问,但是IP地址不容易记忆,因此,通常是在访问某服务器的时候输入的是相应的输入域名,如此,需要将域名解析为相应的IP地址,客户端服务器获得所述域名对应的IP地址之后,才可以访问相应域名对应的服务器,从域名到IP地址的映射关系是通过域名解析系统来完成的。
域名解析系统(Domain Name Service,简称DNS),是因特网上作为域名和IP地址相互映射的一个分布式数据库,域名系统不仅用于解决IP地址对应的问题,也是各种应用和网络建设的基础,其关系着整个互联网的可用性,因此,DNS自身的安全性至关重要。在实际使用过程中,黑客可能通过篡改计算机或路由器上的DNS设置,把正常网址解析到钓鱼网站或受黑客控制的主机上,以骗取用户钱财或窃取隐私。恶意DNS的危害性高,会造成用户的财产损失,严重时甚至可能导致网站或网络瘫痪。
目前,对DNS的评价是基于单个域名进行分析的,即针对单个域名仅从客户端的访问数量进行恶意度的评价,由于对DNS的评价仅依据单个域名的一个维度,从恶意度一个评价方向进行评价会造成评价结果可信度较低。
综上,亟需一种DNS的评价的方案,用于提高DNS评价的准确性。
发明内容
本发明实施例提供一种DNS的评价方法和装置,用以提高DNS评价的准确性。
第一方面,本发明实施例提供一种NDS的评价方法,包括:根据DNS流量日志确定出DNS系统中的M个域名,以及所述M个域名中每个域名对应的预设类别中每个类别的多个特征维度信息;所述M为大于等于1的整数;确定出所述M个域名中每个域名关联的关联标识信息;其中,所述关联标识信息包括IP地址和/或身份信息;根据所述M个域名中每个域名与所述关联标识信息之间的关联关系,或者所述M个域名中每个域名的属性信息,确定出所述DNS系统的所述预设类别的每个类别的聚类评分;根据所述DNS系统的所述预设类别的每个类别的聚类评分,确定出所述DNS系统的总系统评分。
由于本发明实施例中是根据M个域名和所述M个域名中每个域名对应的预设类别中每个类别的多个特征维度信息,因此,在进行DNS评价时增加了评价依据的特征维度;如此,提高了DNS评价的准确性;进一步,DNS系统的总系统评分是根据DNS系统的所述预设类别的每个类别的聚类评分来确定的,进一步提高了DNS评价的准确性。
可选地,所述根据所述M个域名中每个域名与所述关联标识信息之间的关联关系,或者所述M个域名中每个域名的属性信息,确定出所述DNS系统的聚类评分,包括:将所述M个域名中每个域名所关联的关联标识信息划分为一个第一实体元素组,得到N个第一实体元素组;根据所述N个第一实体元素组,确定出所述DNS系统的预设类别的第一聚类评分;其中,N为大于等于1且小于等于M的整数;将所述M个域名中属性信息之间的差异小于预设属性阈值的域名,以及所述域名所关联的关联标识信息划分为一个第二实体元素组,得到K个第二实体元素组;根据所述K个第二实体元素组,确定出所述DNS系统的预设类别的第二聚类评分;其中,K为大于等于1的整数;根据所述预设类别的第一聚类评分和所述预设类别的第二聚类评分,确定出 所述DNS系统的预设类别的聚类评分。
可选地,所述根据所述N个第一实体元素组,确定出所述DNS系统的第一聚类评分,包括:针对所述N个第一实体元素组中的每个第一实体元素组,执行:对所述第一实体元素组中包括的目标域名对应的多个特征维度信息中的每个特征维度信息进行归一化;其中,所述目标域名为所述M个域名中的任一个;确定出所述第一实体元素组中所述关联标识信息对应的特征维度信息;根据所述第一实体元素组的目标域名对应的归一化后的所述多个特征维度信息中的每个特征维度信息,以及所述第一实体元素组中所述关联标识信息对应的特征维度信息,确定出所述DNS系统的所述第一聚类评分;所述根据所述K个第二实体元素组,确定出所述DNS系统的第二聚类评分,包括:针对所述K个第二实体元素组中的每个第二实体元素组,执行:对所述第二实体元素组中包括的域名对应的多个属性信息中的每个属性信息进行归一化;确定出所述第二实体元素组中所述关联标识信息对应的特征维度信息;根据所述第二实体元素组的域名对应的归一化后的所述多个属性信息中的每个属性信息,以及所述第二实体元素组中所述关联标识信息对应的特征维度信息,确定出所述DNS系统的所述第二聚类评分。
可选地,所述根据所述DNS系统的所述预设类别的每个类别的聚类评分,确定出所述DNS系统的总系统评分,包括:将目标域名对应的预设类别的多个特征维度信息中的每个特征维度信息进行归一化;其中,所述目标域名为所述M个域名中的任一个;根据所述目标域名对应的预设类别的归一化后的所述多个特征维度信息,确定出所述DNS系统的预设类别的个体评分;根据所述DNS系统的所述预设类别的每个类别的聚类评分,以及所述DNS系统的所述预设类别的每个类别的所述个体评分,确定出所述DNS系统的所述总系统评分。
可选地,所述预设类别包括:恶意度、流行度或异常度;所述根据所述DNS系统的所述预设类别的每个类别的聚类评分,确定出所述DNS系统的总系统评分,包括:根据所述DNS系统的恶意度的聚类评分,以及所述DNS 系统的恶意度的所述个体评分,确定出所述DNS系统的恶意度的系统评分;根据所述DNS系统的流行度的聚类评分,以及所述DNS系统的流行度的所述个体评分,确定出所述DNS系统的流行度的系统评分;根据所述DNS系统的异常度的聚类评分,以及所述DNS系统的异常度的所述个体评分,确定出所述DNS系统的异常度的系统评分;根据所述DNS系统的恶意度的系统评分、流行度的系统评分和异常度的系统评分,确定出所述DNS系统的总系统评分。
第二方面,本发明实施例提供一种域名解析系统DNS的评价装置,包括:
确定单元,用于根据DNS流量日志确定出DNS系统中的M个域名,以及所述M个域名中每个域名对应的预设类别中每个类别的多个特征维度信息;所述M为大于等于1的整数;确定出所述M个域名中每个域名关联的关联标识信息;其中,所述关联标识信息包括IP地址和/或身份信息;根据所述M个域名中每个域名与所述关联标识信息之间的关联关系,或者所述M个域名中每个域名的属性信息,确定出所述DNS系统的所述预设类别的每个类别的聚类评分;评分单元,用于根据所述DNS系统的所述预设类别的每个类别的聚类评分,确定出所述DNS系统的总系统评分。
可选地,还包括处理单元,用于:将所述M个域名中每个域名所关联的关联标识信息划分为一个第一实体元素组,得到N个第一实体元素组;其中,N为大于等于1且小于等于M的整数;将所述M个域名中属性信息之间的差异小于预设属性阈值的域名,以及所述域名所关联的关联标识信息划分为一个第二实体元素组,得到K个第二实体元素组;其中,K为大于等于1的整数;所述评分单元,用于:根据所述N个第一实体元素组,确定出所述DNS系统的预设类别的第一聚类评分;根据所述K个第二实体元素组,确定出所述DNS系统的预设类别的第二聚类评分;根据所述预设类别的第一聚类评分和所述预设类别的第二聚类评分,确定出所述DNS系统的预设类别的聚类评分。
可选地,所述评分单元,用于:针对所述N个第一实体元素组中的每个 第一实体元素组,执行:对所述第一实体元素组中包括的目标域名对应的多个特征维度信息中的每个特征维度信息进行归一化;其中,所述目标域名为所述M个域名中的任一个;确定出所述第一实体元素组中所述关联标识信息对应的特征维度信息;根据所述第一实体元素组的所述目标域名对应的归一化后的所述多个特征维度信息中的每个特征维度信息,以及所述第一实体元素组中所述关联标识信息对应的特征维度信息,确定出所述DNS系统的所述第一聚类评分;所述根据所述K个第二实体元素组,确定出所述DNS系统的第二聚类评分,包括:针对所述K个第二实体元素组中的每个第二实体元素组,执行:对所述第二实体元素组中包括的域名对应的多个特征维度信息中的每个特征维度信息进行归一化;确定出所述第二实体元素组中所述关联标识信息对应的特征维度信息;根据所述第二实体元素组的域名对应的归一化后的所述多个特征维度信息中的每个特征维度信息,以及所述第二实体元素组中所述关联标识信息对应的特征维度信息,确定出所述DNS系统的所述第二聚类评分。
可选地,所述评分单元,包括:将目标域名对应的预设类别的多个特征维度信息中的每个特征维度信息进行归一化;其中,所述目标域名为所述M个域名中的任一个;根据目标域名对应的预设类别的归一化后的所述多个特征维度信息,确定出所述DNS系统的预设类别的个体评分;根据所述DNS系统的所述预设类别的每个类别的聚类评分,以及所述DNS系统的所述预设类别的每个类别的所述个体评分,确定出所述DNS系统的所述总系统评分。
可选地,所述预设类别包括:恶意度、流行度或异常度;所述评分单元,用于:根据所述DNS系统的恶意度的聚类评分,以及所述DNS系统的恶意度的所述个体评分,确定出所述DNS系统的恶意度的系统评分;根据所述DNS系统的流行度的聚类评分,以及所述DNS系统的流行度的所述个体评分,确定出所述DNS系统的流行度的系统评分;根据所述DNS系统的异常度的聚类评分,以及所述DNS系统的异常度的所述个体评分,确定出所述DNS系统的异常度的系统评分;根据所述DNS系统的恶意度的系统评分、流行度 的系统评分和异常度的系统评分,确定出所述DNS系统的总系统评分。
第三方面,本发明实施例中提供了一种电子设备,包括:处理器、存储器、总线接口,其中,处理器、存储器和总线接口之间通过总线连接;
所述处理器,用于读取所述存储器中的程序,执行下列方法:根据DNS流量日志确定出DNS系统中的M个域名,以及所述M个域名中每个域名对应的预设类别中每个类别的多个特征维度信息;所述M为大于等于1的整数;确定出所述M个域名中每个域名关联的关联标识信息;其中,所述关联标识信息包括IP地址和/或身份信息;根据所述M个域名中每个域名与所述关联标识信息之间的关联关系,或者所述M个域名中每个域名的属性信息,确定出所述DNS系统的所述预设类别的每个类别的聚类评分;根据所述DNS系统的所述预设类别的每个类别的聚类评分,确定出所述DNS系统的总系统评分。
第四方面,本申请实施例提供一种非暂态计算机可读存储介质,计算机存储介质中存储有指令,当其在计算机上运行时,使得计算机执行第一方面或第一方面的任意可能的实现方式中的方法。
第五方面,本申请实施例提供一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行第一方面或第一方面的任意可能的实现方式中的方法。
由于本发明实施例中是根据M个域名和所述M个域名中每个域名对应的预设类别中每个类别的多个特征维度信息,因此,在进行DNS评价时增加了评价依据的特征维度;如此,提高了DNS评价的准确性;进一步,DNS系统的总系统评分是根据DNS系统的所述预设类别的每个类别的聚类评分来确定的,进一步提高了DNS评价的准确性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍。
图1为本发明实施例提供的一种通信系统架构示意图;
图2为本发明实施例提供的一种DNS的评价方法流程示意图;
图3为本发明实施例提供的一种域名、IP、邮箱以及之间关联关系的子图;
图4为本发明实施例提供的一种DNS的评价装置的结构示意图;
图5为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及有益效果更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
应理解,本发明实施例的技术方案可以应用于各种通信系统,例如:全球移动通讯(Global System of Mobile Communication,简称GSM)系统、码分多址(Code Division Multiple Access,简称CDMA)系统、宽带码分多址(Wideband Code Division Multiple Access,简称WCDMA)通用分组无线业务(General Packet Radio Service,简称GPRS)系统、长期演进(Long Term Evolution,简称LTE)系统、LTE频分双工(Frequency Division Duplex,简称FDD)系统、LTE时分双工(Time Division Duplex,简称TDD)、通用移动通信系统(Universal Mobile Telecommunication System,简称UMTS)、全球互联微波接入(Worldwide Interoperability for Microwave Access,简称WiMAX)通信系统,以及未来的5G通信系统等。
图1示例性示出了本发明实施例适用的一种通信系统架构示意图,如图1所示,该系统架构可以包括客户端101,本地域名服务器102,域名服务器103,域名服务器104。客户端和域名服务器通过无线连接或有线连接或其它连接方式。
每一个客户端用于接收用户输入的域名解析请求,客户端101将接收到的域名解析请求发送到本地域名服务器102,如果本地域名服务器102能够解析该域名,则本地域名服务器102直接返回客户端结果;如果本地域名服务 器102不能解析该域名,则本地域名服务器102向其上级域名服务器103发出域名解析请求,如果域名服务器103能解析,则将解析结果发给客户端,如果域名服务器103无法解析,则将该域名解析请求发给再上一级域名服务器104,如此下去,直至解析出该域名的IP地址为止。
每一个域名服务器用于对对接收到的域名机解析请求进行解析,每个域名服务器包含了它所管理的DNS命名空间的所有资源记录。其中,资源记录是一个域名到值的绑定,它包括以下字段:域名、值、类型、分类和生存时间。域名字段和值字段分别用来表示解析的内容和解析返回的结果。类型字段代表了值的种类:类型为A代表值字段是一个IP地址,即用户所要的最终答案;类型为域名服务器(Name Server,简称NS)代表值字段是另一个域名服务器的域名,所述域名服务器能够知道如何解析域名字段所指定的域名;类型为别名记录(CNAME)代表值字段是由域名所指定的主机的一个别名;类型为邮件交换记录(Mail Exchanger,简称MX)代表值字段是一个邮件服务器的域名,所述邮件服务器接收由域名字段所指定的域的邮件;类型PTR用于域名反解等。分类字段允许指定其他的记录类型。生存时间字段用于指出所述资源记录的有效期是多少。为减少域名解析时间,域名服务器会缓存一些曾经查询过的、来自其他域名服务器的资源记录。由于这些资源记录会因为更改而失效,因此域名服务器设置了生存时间,到期的资源记录会被清除出缓存。
基于图1所示的系统架构,图2示例性示出了本发明实施例提供的一种DNS的评价方法流程示意图,如图2所示,该DNS的评价方法包括以下步骤:
步骤S201,根据DNS流量日志确定出DNS系统中的M个域名,以及M个域名中每个域名对应的预设类别中每个类别的多个特征维度信息;M为大于等于1的整数;
步骤S202,确定出M个域名中每个域名关联的关联标识信息;其中,关联标识信息包括IP地址和/或身份信息;
步骤S203,根据M个域名中每个域名与关联标识信息之间的关联关系, 或者M个域名中每个域名的属性信息,确定出DNS系统的预设类别的每个类别的聚类评分;
步骤S204,根据DNS系统的预设类别的每个类别的聚类评分,确定出DNS系统的总系统评分。
由于本发明实施例中是根据M个域名和所述M个域名中每个域名对应的预设类别中每个类别的多个特征维度信息,因此,在进行DNS评价时增加了评价依据的特征维度;如此,提高了DNS评价的准确性;进一步,DNS系统的总系统评分是根据DNS系统的所述预设类别的每个类别的聚类评分来确定的,进一步提高了DNS评价的准确性。
可选地,本发明实施例中,在步骤S201之前,包括在预设的时长内获取DNS流量日志。DNS流量日志可以包括DNS请求报文的解析日志和DNS回复报文的解析日志,DNS请求报文和DNS回复报文包括5个部分,即DNS首部(Header Section),查询问题部分(Question Section),回答部分(Answer Section),授权部分(Authority Section),额外信息部分(Additional Section)。DNS请求报文的解析日志和DNS回复报文的解析日志包括DNS的资源记录,如主机(Address简称A)记录、AAAA记录、NS记录、CNAME记录等信息,其中,A记录是域名解析的重要记录,它用于将特定的主机名映射到对应主机的IP地址上;NS记录此记录指定负责此DNS区域的权威名称服务器,是域名服务器记录,用来指定所述域名由那个DNS服务器来进行解析的。
本发明实施例中,在获取到DNS流量日志之后,对该DNS流量日志进行数据预处理,包括筛选掉无用、无效的DNS流量日志。例如筛选掉通常在内网DNS记录中出现的域名、用于交换内网主机名等信息的域名,如“localhost”、“bogon.”、“arpa.”、“localdom.”等字符结尾的域名,由于该类域名出现在内网中,与互联网行为无关;筛选掉白名单中域名,白名单中的域名通常为较大机构、组织所有,访问量较大,安全性较高,发生异常的概率较低,白名单中的域名如AlexaTop 100M中的主域名,如baidu.com,google.com和qq.com。通过对DNS流量日志进行数据预处理,可以获得有效的DNS流 量日志,进而减少数据的处理量。
可选地,本发明实施例中,根据DNS流量日志确定出DNS系统中的M个域名,M个域名可以包括单个域名、以某种规则聚合的域名的集合、包含特定字符的域名的集合。确定M个域名中每个域名对应的预设类别中每个类别的多个特征维度信息,其中,多个特征维度包括:域名长度;生存时间((Time To Live,简称TTL)的统计量,如TTL的最大值、TTL的最小值、TTL的平均值、TTL的方差;域名层级数;请求发送时间间隔;请求客户端IP地址数量;响应状态;域名对应的解析IP的数量;空域名周期性;解析IP的数量;初次出现的时间;访问周期;域名字符特性,如相异元音的数量、相异辅音的数量、元音辅音交替的频率;数字数量;域名主题特性,如域名主题为电信、资讯、门户、游戏等;客户端访问区域特性,如国家范围、经纬度范围、省市范围等;访问频度;客户端访问解析为空的域名的统计特性,如请求数量、相异域名数量、访问周期性、访问频度等。
可选地,本发明实施例中,所述根据所述M个域名中每个域名与所述关联标识信息之间的关联关系,或者所述M个域名中每个域名的属性信息,确定出所述DNS系统的聚类评分,包括:将所述M个域名中每个域名所关联的关联标识信息划分为一个第一实体元素组,得到N个第一实体元素组;根据所述N个第一实体元素组,确定出所述DNS系统的预设类别的第一聚类评分;将所述M个域名中属性信息之间的差异小于预设属性阈值的域名,以及所述域名所关联的关联标识信息划分为一个第二实体元素组,得到K个第二实体元素组;根据所述K个第二实体元素组,确定出所述DNS系统的预设类别的第二聚类评分;根据所述预设类别的第一聚类评分和所述预设类别的第二聚类评分,确定出所述DNS系统的预设类别的聚类评分。
可选地,本发明实施例中,确定出M个域名中每个域名与所述关联标识信息,与每个域名关联的关联标识信息可以为客户端IP、解析IP、身份信息等;每个域名与所述关联标识信息之间的关联关系可以包括:客户端IP与域名的关联关系,域名与身份信息的关联关系,域名与解析IP的关联关系、客 户端IP与DNS服务器IP的关联关系;关联关系可以从DNS流量日志和身份信息库中获取四类关联关系。其中,域名与身份信息的关联关系是根据DNS请求报文中的Question Section中的QNAME或从DNS回复报文中的Answer Section中提取NAME,确定出客户端IP和域名形成的关联关系。域名与解析IP的关联关系是根据DNS回复报文中Answer Section、Authority Section、Additional Section中的资源记录(Resource Records简称RR)中获取域名和解析IP的关联关系。客户端IP与DNS服务器IP的关联关系,根据DNS请求报文和DNS回复报文的UDP头部获取客户端IP和DNS服务器IP的关联关系。域名与身份信息的关联关系是从身份信息库中获取的,身份信息可以为Whois信息,Whois可以用来查询域名是否被注册、以及注册该域名的详细信息:比如域名所有人、域名注册商等信息;其中,身份信息可以包括RegistrantName,RegistrantOrganization,RegistrantEmail,Admin Name,Admin Organization,Admin Email等。本发明实施例中对DNS的评价,不仅基于DNS的流量日志,而且结合了现实身份信息,增加了DNS评价的现实依据;如此,获得的DNS评价更准确和实用。而且,通过从关联关系分组和属性信息两个方面进行分组,减少了人工分析和查找工作量,并能够通过关联关系分组,发现域名关联中的集群特性。
可选地,本发明实施例中提供了一种将所述M个域名中每个域名所关联的关联标识信息划分为一个第一实体元素组的方式实现,具体过程如下:
根据M个域名中每个域名与所述关联标识信息之间的四类关联关系,构建知识图谱,形成的知识图谱可表示为G(V,E),V代表知识图谱的节点,E代表知识图谱的边。V={vi(ID、值、类型、该节点的属性},vi表示知识图谱中的任一节点,ID表示该节点在知识图谱中分配的唯一编号,一个节点可以属于多个集合。E={ei(源节点、目标节点、类型、该边的属性集合},ei表示知识图谱中的任一条边。知识图谱中的任一节点vi表示的是四类关联关系中的任一实体元素,知识图谱中的每个节点包括两个属性:该实体元素的类型和该实体元素对应的值;实体元素的类型可以包括:域名、客户端IP、 DNS服务器IP、解析IP、身份信息;值为不同类型实体元素对应的值;比如域名为baidu.com对应的节点(类型=域名,值=baidu.com);比如Google提供的免费的DNS服务器的IP地址:8.8.8.8,该节点为(类型=域名服务器,值=8.8.8.8);知识图谱中的边表示实体元素节点之间的关联关系和边相关属性信息,其中,相关的属性信息包括类型:域名→IP;客户端→域名;客户端→DNS服务器;域名→身份信息;时间跨度信息,例如一个客户端对baidu.com的DNS请求发生在一天的12:00到14:00之间,则时间跨度为12:00-14:00;初次发生时间;发生频率;发生数量等。
用一个具体的例子来说明知识图谱的构建方法,例如在预设时长内,获取到的DNS流量日志中,域名为baidu.com在2016.10.17 23:00-2016.10.18 09:00之间的解析结果中均包括一个解析IP为220.181.57.217,发生的数量为1000,发生的频率为10,根据该DNS流量日志构建知识图谱的中的节点V为:v1(类型=域名,值=baidu.com),v2(类型=域名服务器,值=8.8.8.8),知识图谱的中的边E为e1(类型=域名→IP,开始时间=2016.10.17 23:00,结束时间=2016.10.18 09:00,发生的数量=1000,发生的频率=10)。
可选地,将M个域名中每个域名所关联的关联标识信息划分为一个第一实体元素组。本发明实施例提供了一种实现方式,根据形成的知识图谱来进行分组;在知识图谱中的节点表示关联关系中的实体元素,节点的类型主要包括:域名、IP、身份信息三大类,因此,第一实体元素组的组合方式可以有三种组合类型:域名和IP,域名和身份信息,域名、IP和身份信息;域名和IP的组表示组内的实体元素域名和IP之间的关联关系,域名和身份信息的组表示组内实体元素域名和身份信息之间的关联关系,域名、IP和身份信息的组表示组内实体元素域名、IP和身份信息两两之间的关联关系。
可选地,将M个域名中每个域名所关联的关联标识信息划分为一个第一实体元素组,本发明实施例提供了一种可选的实现方式,如下:
假设需要聚合域名、IP、邮箱;
首先定义初始(节点/边)的过滤条件:节点vi的初始过滤条件为:类型 =域名或者类型=IP或者类型=邮箱,边ei的初始过滤条件为:类型=域名→IP或者域名→邮箱;定义DNS的解析类型为:解析类型=A,或者解析类型=AAAA,根据上述定义的两个初始过滤条件,可以从知识图谱中过滤得到包括实体元素域名、IP、邮箱和之间的关联关系的子图。
为了便于说明,图3示例性示出了本发明实施例提供的一种域名、IP、邮箱以及之间关联关系的子图。如图3所示,逗号前面的1,2,3,4,5,6表示对应的节点在子图中的ID,是分配的标识相应节点的唯一编号。比如:1,邮箱1中,逗号前面的1表示邮箱1这个节点在子图中的ID,是为该节点分配的唯一编号;邮箱1标识子图中的一个节点。针对获得域名、IP、邮箱以及之间关联关系的子图进行分组;可选地,本发明实施例中可以运用多表join的方式或者基于Spark中的GraphX图计算套件或者GraphLab图计算库进行关联关系分组。
本发明实施例以最常见的多表join的方式为例子来说明具体分组的方式,根据图3中所述的子图,可以将域名与邮箱的关联关系,域名与IP的关联关系形成两张表:域名与邮箱的关联关系用表A表示,域名与IP的关联关系用表B表示。
表A:域名与邮箱的关联关系表
域名 邮箱 域名ID 邮箱ID
域名1 邮箱1 2 1
域名2 邮箱1 3 1
表B:域名与IP的关联关系表
域名 IP 域名ID IPID
域名1 IP 1 2 4
域名2 IP 3 3 6
域名1 IP 2 2 5
在表A和表B中,域名ID表示域名在子图中的全局唯一编号,邮箱ID 表示邮箱在子图中的全局唯一编号,IPID标识IP在子图中的全局唯一编号。
将表A和表B以域名作为主键进行右连接,形成表C。
表C:表A和表B以域名为主键进行右连接获得的表
域名 邮箱 IP 域名ID 邮箱ID IPID
域名1 邮箱1 IP 1 2 1 4
域名1 邮箱1 IP 2 2 1 5
域名2 邮箱1 IP 3 3 1 6
基于表C可以进行分组,共有三种分类方式,分别是:域名&IP分组group域名&Ip,域名&邮箱分组group域名&邮箱和域名&邮箱&IP分组group域名&邮箱&Ip
以域名&IP分组group域名&Ip为例说明,即将具有相同域名的IP分为一个第一实体元素组,分组之后,取域名ID和IPID中的最小值作为标识符来标记这个组,表示为group域名&Ip=MIN(域名ID,IPID)。举例来说,如表C中,域名1对应一个IP1和一个IP2,分组的时候将具有相同域名(域名1)的IP(IP1,IP2)分成一组{2,域名1;4,IP1;5,IP2}。可选地,确定组标识符group域名 &Ip=MIN(域名ID,IPID),首先确定出IP(IP1,IP2)对应的域名ID(2,2)和IPID(4,5)中的最小值为2,则2作为这一组的标识符group域名&Ip(2);即确定出具有相同域名的IP组为:group域名&Ip(2)={2,域名1;4,IP1;5,IP2},group域名&Ip(3)={3,域名2;6,IP3}
同样的方法可以得到以域名&邮箱进行分组的第一实体元素组;即将具有相同域名的邮箱进行分组,根据子图可以确定出group域名&邮箱(1)={2,域名1;1,邮箱1},group域名&邮箱(1)={3,域名2;1,邮箱1}。以域名&邮箱&IP进行分组的第一实体元素组group域名&邮箱&ip,将具有相同域名的邮箱、IP划分为一个组,即针对一个域名既连接过邮箱又连接过IP的情况进行分组。根据子图可以确定出group域名&邮箱&Ip(1)={2,域名1;1,邮箱1;4,IP1;5,IP2},group域名&邮箱& Ip(1)={2,域名2;1,邮箱1;6,IP3}。
可选地,本发明实施例中,将所述M个域名中属性信息之间的差异小于 预设属性阈值的域名,以及所述域名所关联的关联标识信息划分为一个第二实体元素组,得到K个第二实体元素组;
可选地,本发明实施例中可以根据M个域名中每个域名的属性信息进行分组,可以根据属性信息中一个或者属性信息组合来进行分组;M个域名中每个域名的属性信息包括:解析IP的数量;初次出现的时间;访问周期;域名字符特性,如相异元音的数量、相异辅音的数量、易读性、元音辅音交替的频率;数字数量;域名主题特性,如域名主题为电信、资讯、门户、游戏等;客户端访问区域特性,如国家范围、经纬度范围、省市范围等;访问频度;客户端访问解析为空的域名的统计特性,如请求数量、相异域名数量、访问周期性、访问频度,解析时间跨度等。可以根据不同属性信息或属性信息的组合形成特征向量;之后对属性信息或属性信息组合归一化后使用Xmeans/Kmeans等聚类算法进行分组,对分组后的每个第二实体元素组分配全局唯一标签。以具体的例子来说明,假设以域名属性信息组合,即客户端对域名的访问行为进行分组,获得组1={客户端1访问域名1;客户端1访问域名3},组2={客户端1访问域名2},则客户端1的分组标签的集合为{组1,组2};域名1的分组标签的集合为{组1},域名2的分组标签的集合为{组2},域名3的分组标签的集合为{组1},即若对域名进行分组,则每个域名都会从属于一个第二实体元素,该组的标签即为域名的分组标签。
可选地,所述根据所述N个第一实体元素组,确定出所述DNS系统的第一聚类评分,包括:针对所述N个第一实体元素组中的每个第一实体元素组,执行:对所述第一实体元素组中包括的目标域名对应的多个特征维度信息中的每个特征维度信息进行归一化;确定出所述第一实体元素组中所述关联标识信息对应的特征维度信息;其中,所述目标域名为所述M个域名中的任一个;根据所述第一实体元素组的目标域名对应的归一化后的所述多个特征维度信息中的每个特征维度信息,以及所述第一实体元素组中所述关联标识信息对应的特征维度信息,确定出所述DNS系统的所述第一聚类评分;述根据所述K个第二实体元素组,确定出所述DNS系统的第二聚类评分,包括:针 对所述K个第二实体元素组中的每个第二实体元素组,执行:对所述第二实体元素组中包括的域名对应的多个属性信息中的每个属性信息进行归一化;确定出所述第二实体元素组中所述关联标识信息对应的特征维度信息;根据所述第二实体元素组的域名对应的归一化后的所述多个属性信息中的每个属性信息,以及所述第二实体元素组中所述关联标识信息对应的特征维度信息,确定出所述DNS系统的所述第二聚类评分。
本发明实施例中,针对所述N个第一实体元素组中的每个第一实体元素组,对每个第一实体组中包括的域名对应的多个特征维度信息中的每个维度信息进行归一化;本发明实施例提供了一种可选地归一化的方法:确定出每个第一实体元素组中多个特征维度信息中的最大值和最小值,根据公式(1)对每个第一实体元素组中的每个特征维度信息进行归一化:
Figure PCTCN2017113183-appb-000001
其中,χ’表示归一化后的特征维度信息,χ表示当前特征维度信息,min表示该组中的特征维度信息的最小值,max表示该组中特征维度信息的最大值。
确定出所述每个第一实体元素组中所述关联标识信息对应的特征维度信息,包括确定出IP和/或身份信息对应的特征维度信息。其中,关联标识信息的特征维度信息根据外部威胁情报数据获得,比如IP的特征维度信息可以根据用户反馈,保存在威胁情报数据库,根据用户反馈的统计结果,在外部威胁情报数据库中标记相应的IP的特征维度信息,可以用0或者1表示,0表示IP安全,1表示IP危险。身份信息对应的特征维度信息可以根据身份信息数据库来获得。
根据所述第一实体元素组的域名对应的归一化后的所述多个特征维度信息中的每个特征维度信息,确定出所述DNS系统的所述第一聚类评分。可选地,本发明实施例中给出了一种可选地的确定DNS系统的第一聚类评分的方法,根据所述第一实体元素组中的域名对应的归一化后的所述多个特征维度信息中的每个特征维度信息,所述第一实体元素组中所述关联标识信息对应的特征维度信息,以及预设的每个特征维度信息从高到低的顺序,根据公式 (2)确定所每个第一实体元素组的第一聚类评分;其中预设类别中每个类别中多个特征维度信息从高到低的顺序是根据研究这重视程度确定。
Figure PCTCN2017113183-appb-000002
在公式(2)中,mg表示第一实体元素组的第一聚类评分,m1,mi,mj表示预设类别中每个类别对应的多个特征维度信息从高到低的多个特征维度归一化后的特征维度信息,m1表示多个特征维度中最高的,mi,mj表示多个特征维度中的任一个特征维度,n表示一共有n个特征维度信息。
根据确定出的N个第一实体元素组中的每个第一实体元素组的第一聚类评分,确定出最大的第一聚类评分作为DNS系统的所述第一聚类评分。
本发明实施例中,根据所述K个第二实体元素组,确定出所述DNS系统的第二聚类评分,包括:针对所述K个第二实体元素组中的每个第二实体元素组,执行:对所述第二实体元素组中包括的域名对应的多个属性信息中的每个属性信息进行归一化;本发明实施例提供了一种可选地归一化的方法:确定出每个第二实体元素组中多个属性信息中的最大值和最小值,针对K个第二实体元素组中的每个实体元素组中的每个属性信息,根据公式(1)对每个实体元素组中的每个属性信息进行归一化:
确定出所述每个第二实体元素组中所述关联标识信息对应的特征维度信息;包括确定出IP和/或身份信息对应的特征维度信息。其中,关联标识信息的特征维度信息根据外部威胁情报数据获得,比如IP的特征维度信息可以根据用户反馈,保存在威胁情报数据库,根据用户反馈的统计结果,在外部威胁情报数据库中标记相应的IP的特征维度信息,可以用0或者1表示,0表示IP安全,1表示IP危险。身份信息对应的特征维度信息可以根据身份信息数据库来获得。根据所述第二实体元素组的域名对应的归一化后的所述多个属性信息中的每个属性信息,以及所述第二实体元素组中所述关联标识信息对应的特征维度信息,确定出所述DNS系统的所述第二聚类评分。可选地,本发明实施例中给出了一种可选地的确定DNS系统的第二聚类评分的方法, 根据所述第二实体元素组的域名对应的归一化后的所述多个属性信息中的每个属性信息,所述第二实体元素组中所述关联标识信息对应的特征维度信息,以及预设的每个特征维度信息从高到低的顺序,根据公式(2)确定所每个第二实体元素组的第二聚类评分;其中预设类别中每个类别中多个特征维度信息从高到低的顺序是根据研究这重视程度确定。
根据确定出的K个第二实体元素组的第二聚类评分,确定出最大的第二聚类评分作为DNS系统的所述第二聚类评分。
可选地,本发明实施例中确定DNS系统的所述第一聚类评分和DNS系统的所述第二聚类评分中的最大值最为DNS系统的聚类评分。
可选地,所述根据所述DNS系统的所述预设类别的每个类别的聚类评分,确定出所述DNS系统的总系统评分,包括:将目标域名对应的预设类别的多个特征维度信息中的每个特征维度信息进行归一化;其中,所述目标域名为所述M个域名中的任一个;根据所述目标域名域名对应的预设类别的归一化后的所述多个特征维度信息,确定出所述DNS系统的预设类别的个体评分;根据所述DNS系统的所述预设类别的每个类别的聚类评分,以及所述DNS系统的所述预设类别的每个类别的所述个体评分,确定出所述DNS系统的所述总系统评分。
可选地,本发明实施例中提供了另一种对多个域名中每个目标域名对应的预设类别的多个特征维度信息中的每个特征维度信息进行归一化的方法,以其中一种预设类别的对应的多个特征维度进行归一化为例来说明;比如,预设类别中的一种预设类别对应的多个特征维度信息为{a=2.5,b=3.5,c=0.5,d=1.5},对该四个特征维度信息进行归一化的过程为:
对四个特征维度信息求和,即2.5+3.5+0.5+1.5=8;确定每个特征维度信息与四个特征维度信息的和的比值,即2.5/8=0.3125,3.5/8=0.4375,0.5/8=0.0625,1.5/8=0.1875;则归一化后的四个特征维度信息为{a=0.3125,b=0.4375,c=0.0625,d=0.1875};根据公式(3)以及预设的每个特征维度信息从高到低的顺序确定出所述DNS系统的预设类别的个体评分;
Figure PCTCN2017113183-appb-000003
在公式(3)中,md表示个体评分,m1,mi,mj表示预设类别中每个类别对应的多个特征维度信息从高到低的多个特征维度归一化后的特征维度信息,m1表示多个特征维度中最高的,mi,mj表示多个特征维度中的任一个特征维度,n表示一共有n个特征维度信息。
可选地,若确定DNS系统的预设类别的个体评分时针对的是目标域名,则统计出该域名相关的域名和或与该域名关联的关联信息的特征维度的信息,对每个统计出的特征维度信息进行归一化,根据公式(3)以及预设的每个特征维度信息从高到低的顺序确定出所述DNS系统的预设类别的个体评分。可选地,在确定DNS系统的预设类别的个体评分,由于关联信息的特征维度信息是根据外部威胁情报数据获得的,外部威胁情报数据的情报源和评价的标准可能会不同,进而会造成一个关联信息的特征维度对应多个信息,即可能一个特征维度对应多个值,此时,需要对这个特征维度的所有信息求中位数或者平均值,将确定出的中位数或者平均值作为该特征维度的特征维度信息。
可选地,本发明实施例中提供了一种根据所述DNS系统的所述预设类别的每个类别的聚类评分,以及所述DNS系统的所述预设类别的每个类别的个体评分,根据公式(4)确定出所述DNS系统的所述总系统评分。
m=mg+αmd    公式(4)
在公式(4)中,m表示DNS系统的总系统评分,mg表示每个类别的聚类评分,md表示每个类别的个体评分,α为任意数。
可选地,所述预设类别包括:恶意度、流行度或异常度;所述根据所述DNS系统的所述预设类别的每个类别的聚类评分,确定出所述DNS系统的总系统评分,包括:根据所述DNS系统的恶意度的聚类评分,以及所述DNS系统的恶意度的所述个体评分,确定出所述DNS系统的恶意度的系统评分; 根据所述DNS系统的流行度的聚类评分,以及所述DNS系统的流行度的所述个体评分,确定出所述DNS系统的流行度的系统评分;根据所述DNS系统的异常度的聚类评分,以及所述DNS系统的异常度的所述个体评分,确定出所述DNS系统的异常度的系统评分;根据所述DNS系统的恶意度的系统评分、流行度的系统评分和异常度的系统评分,确定出所述DNS系统的总系统评分。
可选地,本发明实施例中预设类别包括:恶意度、流行度或异常度;其中恶意度的特征维度可以包括:域名长度、生存时间值(TTL)、域名层级数、请求发送的时间间隔、请求客户端的IP数量、响应状态、域名对应的IP地址数量、空域名周期性,IP的恶意度,身份信息的恶意度。流行度的特征维度可以包括:DNS请求数量、相异请求客户端IP数量、同一集群中域名的数量、同一集群中域名目标跟踪(TLD)的数量、相异请求客户端地域的数量,IP的恶意度,身份信息的恶意度;流行度的特征维度信息根据获取的DNS流量日志、身份信息数据库和威胁情报进行统计获得。异常度的特征维度可以包括:同域名请求数量异常、同域名相异子域名数量异常、解析IP数量异常、同IP被指向域名异常,IP的恶意度,身份信息的恶意度,流行度的特征维度信息根据获取的DNS流量日志、身份信息数据库和威胁情报进行统计获得;其中,IP的恶意度,身份信息的恶意度通过威胁情报数据和身份信息数据库获得。
可选地,本发明实施例中,对DNS系统评价包括从恶意度、流行度、异常度三个预设类别中的任一个或任多个进行评价。针对多个进行评价时,可以根据所述DNS系统的恶意度的系统评分、流行度的系统评分和异常度的系统评分的加权值来确定确定出所述DNS系统的总系统评分。可以根据如此可以进一步实现对DNS评价的准确性。
由于本发明实施例中是根据M个域名和所述M个域名中每个域名对应的预设类别中每个类别的多个特征维度信息,因此,在进行DNS评价时增加了评价依据的特征维度;如此,提高了DNS评价的准确性;进一步,DNS系统 的总系统评分是根据DNS系统的所述预设类别的每个类别的聚类评分来确定的,进一步提高了DNS评价的准确性。
图4示例性示出了本发明实施例提供的一种DNS的评价装置的结构示意图。
基于相同构思,本发明实施例提供一种DNS的评价装置,如图4所示,DNS的评价装置400包括确定单元401、评分单元402;还包括处理单元403。其中:
确定单元,用于根据DNS流量日志确定出DNS系统中的M个域名,以及所述M个域名中每个域名对应的预设类别中每个类别的多个特征维度信息;所述M为大于等于1的整数;确定出所述M个域名中每个域名关联的关联标识信息;其中,所述关联标识信息包括IP地址和/或身份信息;根据所述M个域名中每个域名与所述关联标识信息之间的关联关系,或者所述M个域名中每个域名的属性信息,确定出所述DNS系统的所述预设类别的每个类别的聚类评分;评分单元,用于根据所述DNS系统的所述预设类别的每个类别的聚类评分,确定出所述DNS系统的总系统评分。
可选地,还包括处理单元,用于:将所述M个域名中每个域名所关联的关联标识信息划分为一个第一实体元素组,得到N个第一实体元素组;其中,N为大于等于1且小于等于M的整数;将所述M个域名中属性信息之间的差异小于预设属性阈值的域名,以及所述域名所关联的关联标识信息划分为一个第二实体元素组,得到K个第二实体元素组;其中,K为大于等于1的整数;
所述评分单元,用于:根据所述N个第一实体元素组中的每一个第一实体元素组,确定出所述DNS系统的预设类别的第一聚类评分;根据所述K个第二实体元素组,确定出所述DNS系统的预设类别的第二聚类评分;根据所述预设类别的第一聚类评分和所述预设类别的第二聚类评分,确定出所述DNS系统的预设类别的聚类评分。
可选地,所述评分单元,用于:针对所述N个第一实体元素组中的每个 第一实体元素组,执行:对所述第一实体元素组中包括的目标域名对应的多个特征维度信息中的每个特征维度信息进行归一化;其中,所述目标域名为所述M个域名中的任一个;确定出所述第一实体元素组中所述关联标识信息对应的特征维度信息;根据所述第一实体元素组的目标域名对应的归一化后的所述多个特征维度信息中的每个特征维度信息,以及所述第一实体元素组中所述关联标识信息对应的特征维度信息,确定出所述DNS系统的所述第一聚类评分;所述根据所述K个第二实体元素组,确定出所述DNS系统的第二聚类评分,包括:针对所述K个第二实体元素组中的每个第二实体元素组,执行:对所述第二实体元素组中包括的域名对应的多个特征维度信息中的每个特征维度信息进行归一化;确定出所述第二实体元素组中所述关联标识信息对应的特征维度信息;根据所述第二实体元素组的域名对应的归一化后的所述多个特征维度信息中的每个特征维度信息,以及所述第二实体元素组中所述关联标识信息对应的特征维度信息,确定出所述DNS系统的所述第二聚类评分。
可选地,所述评分单元,包括:将目标域名对应的预设类别的多个特征维度信息中的每个特征维度信息进行归一化;其中,所述目标域名为所述M个域名中的任一个;根据所述目标域名对应的预设类别的归一化后的所述多个特征维度信息,确定出所述DNS系统的预设类别的个体评分;根据所述DNS系统的所述预设类别的每个类别的聚类评分,以及所述DNS系统的所述预设类别的每个类别的所述个体评分,确定出所述DNS系统的所述总系统评分。
可选地,所述预设类别包括:恶意度、流行度或异常度;所述评分单元,用于:根据所述DNS系统的恶意度的聚类评分,以及所述DNS系统的恶意度的所述个体评分,确定出所述DNS系统的恶意度的系统评分;根据所述DNS系统的流行度的聚类评分,以及所述DNS系统的流行度的所述个体评分,确定出所述DNS系统的流行度的系统评分;根据所述DNS系统的异常度的聚类评分,以及所述DNS系统的异常度的所述个体评分,确定出所述DNS 系统的异常度的系统评分;根据所述DNS系统的恶意度的系统评分、流行度的系统评分和异常度的系统评分,确定出所述DNS系统的总系统评分。
从上述内容可以看出:本发明实施例中,由于本发明实施例中是根据M个域名和所述M个域名中每个域名对应的预设类别中每个类别的多个特征维度信息,因此,在进行DNS评价时增加了评价依据的特征维度;如此,提高了DNS评价的准确性;进一步,DNS系统的总系统评分是根据DNS系统的所述预设类别的每个类别的聚类评分来确定的,进一步提高了DNS评价的准确性。
基于相同构思,本申请提供一种电子设备,可用于执行上述后台系统侧的方法流程。图5为本申请提供的一种电子设备的结构示意图。该电子设备包括处理器501、存储器502和总线接口503;其中,处理器501、存储器502和总线接口503通过总线504相互连接。
存储器502用于存储程序;具体地,程序可以包括程序代码,程序代码包括计算机操作指令。存储器502可以包括易失性存储器(volatile memory),例如随机存取存储器(random-access memory,简称RAM);存储器也可以包括非易失性存储器(non-volatile memory),例如快闪存储器(flash memory),硬盘(hard disk drive,简称HDD)或固态硬盘(solid-state drive,简称SSD);存储器502还可以包括上述种类的存储器的组合。
存储器502存储了如下的元素,可执行模块或者数据结构,或者它们的子集,或者它们的扩展集:
操作指令:包括各种操作指令,用于实现各种操作。
操作系统:包括各种系统程序,用于实现各种基础业务以及处理基于硬件的任务。
总线504可以是外设部件互连标准(peripheral component interconnect,简称PCI)总线或扩展工业标准结构(extended industry standard architecture,简称EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的 总线。
总线接口503可以为有线通信接入口,无线通信接口或其组合,其中,有线通信接口例如可以为以太网接口。以太网接口可以是光接口,电接口或其组合。无线通信接口可以为WLAN接口。
处理器501可以是中央处理器(central processing unit,简称CPU),网络处理器(network processor,简称NP)或者CPU和NP的组合。还可以是硬件芯片。上述硬件芯片可以是专用集成电路(application-specific integrated circuit,简称ASIC),可编程逻辑器件(programmable logic device,简称PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device,简称CPLD),现场可编程逻辑门阵列(field-programmable gate array,简称FPGA),通用阵列逻辑(generic array logic,简称GAL)或其任意组合。
所述处理器501,用于读取所述存储器502中的程序,执行下列方法:根据DNS流量日志确定出DNS系统中的M个域名,以及所述M个域名中每个域名对应的预设类别中每个类别的多个特征维度信息;所述M为大于等于1的整数;确定出所述M个域名中每个域名关联的关联标识信息;其中,所述关联标识信息包括IP地址和/或身份信息;根据所述M个域名中每个域名与所述关联标识信息之间的关联关系,或者所述M个域名中每个域名的属性信息,确定出所述DNS系统的所述预设类别的每个类别的聚类评分;根据所述DNS系统的所述预设类别的每个类别的聚类评分,确定出所述DNS系统的总系统评分。
所述存储器502,用于存储一个或多个可执行程序,可以存储所述处理器501在执行操作时所使用的数据;
可选地,所述处理器,用于:将所述M个域名中每个域名所关联的关联标识信息划分为一个第一实体元素组,得到N个第一实体元素组;其中,N为大于等于1且小于等于M的整数;将所述M个域名中属性信息之间的差异小于预设属性阈值的域名,以及所述域名所关联的关联标识信息划分为一个第二实体元素组,得到K个第二实体元素组;其中,K为大于等于1的整数; 根据所述N个第一实体元素组,确定出所述DNS系统的预设类别的第一聚类评分;根据所述K个第二实体元素组,确定出所述DNS系统的预设类别的第二聚类评分;根据所述预设类别的第一聚类评分和所述预设类别的第二聚类评分,确定出所述DNS系统的预设类别的聚类评分。
可选地,所述处理器,还用于:将所述M个域名中每个域名所关联的关联标识信息划分为一个第一实体元素组,得到N个第一实体元素组;其中,N为大于等于1且小于等于M的整数;将所述M个域名中属性信息之间的差异小于预设属性阈值的域名,以及所述域名所关联的关联标识信息划分为一个第二实体元素组,得到K个第二实体元素组;其中,K为大于等于1的整数;根据所述N个第一实体元素组,确定出所述DNS系统的预设类别的第一聚类评分;根据所述K个第二实体元素组,确定出所述DNS系统的预设类别的第二聚类评分;根据所述预设类别的第一聚类评分和所述预设类别的第二聚类评分,确定出所述DNS系统的预设类别的聚类评分。
可选地,所述处理器,还用于:针对所述N个第一实体元素组中的每个第一实体元素组,执行:对所述第一实体元素组中包括的目标域名对应的多个特征维度信息中的每个特征维度信息进行归一化;其中,所述目标域名为所述M个域名中的任一个;确定出所述第一实体元素组中所述关联标识信息对应的特征维度信息;根据所述第一实体元素组的所述目标域名对应的归一化后的所述多个特征维度信息中的每个特征维度信息,以及所述第一实体元素组中所述关联标识信息对应的特征维度信息,确定出所述DNS系统的所述第一聚类评分;所述根据所述K个第二实体元素组,确定出所述DNS系统的第二聚类评分,包括:针对所述K个第二实体元素组中的每个第二实体元素组,执行:对所述第二实体元素组中包括的域名对应的多个特征维度信息中的每个特征维度信息进行归一化;确定出所述第二实体元素组中所述关联标识信息对应的特征维度信息;根据所述第二实体元素组的域名对应的归一化后的所述多个特征维度信息中的每个特征维度信息,以及所述第二实体元素组中所述关联标识信息对应的特征维度信息,确定出所述DNS系统的所述第 二聚类评分。
可选地,所述处理器,还用于:包括:将目标域名对应的预设类别的多个特征维度信息中的每个特征维度信息进行归一化;其中,所述目标域名为所述M个域名中的任一个;根据目标域名对应的预设类别的归一化后的所述多个特征维度信息,确定出所述DNS系统的预设类别的个体评分;根据所述DNS系统的所述预设类别的每个类别的聚类评分,以及所述DNS系统的所述预设类别的每个类别的所述个体评分,确定出所述DNS系统的所述总系统评分。
可选地,所述预设类别包括:恶意度、流行度或异常度;所述处理器,用于:根据所述DNS系统的恶意度的聚类评分,以及所述DNS系统的恶意度的所述个体评分,确定出所述DNS系统的恶意度的系统评分;根据所述DNS系统的流行度的聚类评分,以及所述DNS系统的流行度的所述个体评分,确定出所述DNS系统的流行度的系统评分;根据所述DNS系统的异常度的聚类评分,以及所述DNS系统的异常度的所述个体评分,确定出所述DNS系统的异常度的系统评分;根据所述DNS系统的恶意度的系统评分、流行度的系统评分和异常度的系统评分,确定出所述DNS系统的总系统评分。
从上述内容可以看出:本发明实施例中,由于本发明实施例中是根据M个域名和所述M个域名中每个域名对应的预设类别中每个类别的多个特征维度信息,因此,在进行DNS评价时增加了评价依据的特征维度;如此,提高了DNS评价的准确性;进一步,DNS系统的总系统评分是根据DNS系统的所述预设类别的每个类别的聚类评分来确定的,进一步提高了DNS评价的准确性。
本领域内的技术人员应明白,本发明实施例可提供为方法、系统、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的 形式。
本发明实施例是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本发明实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (17)

  1. 一种域名解析系统DNS的评价方法,其特征在于,包括:
    根据DNS流量日志确定出DNS系统中的M个域名,以及所述M个域名中每个域名对应的预设类别中每个类别的多个特征维度信息;所述M为大于等于1的整数;
    确定出所述M个域名中每个域名关联的关联标识信息;其中,所述关联标识信息包括IP地址和/或身份信息;
    根据所述M个域名中每个域名与所述关联标识信息之间的关联关系,或者所述M个域名中每个域名的属性信息,确定出所述DNS系统的所述预设类别的每个类别的聚类评分;
    根据所述DNS系统的所述预设类别的每个类别的聚类评分,确定出所述DNS系统的总系统评分。
  2. 如权利要求1所述的方法,其特征在于,所述根据所述M个域名中每个域名与所述关联标识信息之间的关联关系,或者所述M个域名中每个域名的属性信息,确定出所述DNS系统的聚类评分,包括:
    将所述M个域名中每个域名所关联的关联标识信息划分为一个第一实体元素组,得到N个第一实体元素组;根据所述N个第一实体元素组,确定出所述DNS系统的预设类别的第一聚类评分;其中,N为大于等于1且小于等于M的整数;
    将所述M个域名中属性信息之间的差异小于预设属性阈值的域名,以及所述域名所关联的关联标识信息划分为一个第二实体元素组,得到K个第二实体元素组;根据所述K个第二实体元素组,确定出所述DNS系统的预设类别的第二聚类评分;其中,K为大于等于1的整数;
    根据所述预设类别的第一聚类评分和所述预设类别的第二聚类评分,确定出所述DNS系统的预设类别的聚类评分。
  3. 如权利要求1所述的方法,其特征在于,所述根据所述N个第一实体 元素组,确定出所述DNS系统的第一聚类评分,包括:
    针对所述N个第一实体元素组中的每个第一实体元素组,执行:
    对所述第一实体元素组中包括的目标域名对应的多个特征维度信息中的每个特征维度信息进行归一化;其中,所述目标域名为所述M个域名中的任一个;
    确定出所述第一实体元素组中所述关联标识信息对应的特征维度信息;
    根据所述第一实体元素组的目标域名对应的归一化后的所述多个特征维度信息中的每个特征维度信息,以及所述第一实体元素组中所述关联标识信息对应的特征维度信息,确定出所述DNS系统的所述第一聚类评分;
    所述根据所述K个第二实体元素组,确定出所述DNS系统的第二聚类评分,包括:
    针对所述K个第二实体元素组中的每个第二实体元素组,执行:
    对所述第二实体元素组中包括的所述域名对应的多个属性信息中的每个属性信息进行归一化;
    确定出所述第二实体元素组中所述关联标识信息对应的特征维度信息;
    根据所述第二实体元素组的域名对应的归一化后的所述多个属性信息中的每个属性信息,以及所述第二实体元素组中所述关联标识信息对应的特征维度信息,确定出所述DNS系统的所述第二聚类评分。
  4. 如权利要求1所述的方法,其特征在于,所述根据所述DNS系统的所述预设类别的每个类别的聚类评分,确定出所述DNS系统的总系统评分,包括:
    将目标域名对应的预设类别的多个特征维度信息中的每个特征维度信息进行归一化;其中,所述目标域名为所述M个域名中的任一个;
    根据所述目标域名对应的预设类别的归一化后的所述多个特征维度信息,确定出所述DNS系统的预设类别的个体评分;
    根据所述DNS系统的所述预设类别的每个类别的聚类评分,以及所述DNS系统的所述预设类别的每个类别的所述个体评分,确定出所述DNS系统 的所述总系统评分。
  5. 如权利要求4所述的方法,其特征在于,所述预设类别包括:恶意度、流行度或异常度;
    所述根据所述DNS系统的所述预设类别的每个类别的聚类评分,确定出所述DNS系统的总系统评分,包括:
    根据所述DNS系统的恶意度的聚类评分,以及所述DNS系统的恶意度的所述个体评分,确定出所述DNS系统的恶意度的系统评分;
    根据所述DNS系统的流行度的聚类评分,以及所述DNS系统的流行度的所述个体评分,确定出所述DNS系统的流行度的系统评分;
    根据所述DNS系统的异常度的聚类评分,以及所述DNS系统的异常度的所述个体评分,确定出所述DNS系统的异常度的系统评分;
    根据所述DNS系统的恶意度的系统评分、流行度的系统评分和异常度的系统评分,确定出所述DNS系统的总系统评分。
  6. 一种域名解析系统DNS的评价装置,其特征在于,包括:
    确定单元,用于根据DNS流量日志确定出DNS系统中的M个域名,以及所述M个域名中每个域名对应的预设类别中每个类别的多个特征维度信息;所述M为大于等于1的整数;确定出所述M个域名中每个域名关联的关联标识信息;其中,所述关联标识信息包括IP地址和/或身份信息;根据所述M个域名中每个域名与所述关联标识信息之间的关联关系,或者所述M个域名中每个域名的属性信息,确定出所述DNS系统的所述预设类别的每个类别的聚类评分;
    评分单元,用于根据所述DNS系统的所述预设类别的每个类别的聚类评分,确定出所述DNS系统的总系统评分。
  7. 如权利要求6所述的装置,其特征在于,还包括处理单元,用于:
    将所述M个域名中每个域名所关联的关联标识信息划分为一个第一实体元素组,得到N个第一实体元素组;其中,N为大于等于1且小于等于M的整数;将所述M个域名中属性信息之间的差异小于预设属性阈值的域名,以 及所述域名所关联的关联标识信息划分为一个第二实体元素组,得到K个第二实体元素组;
    所述评分单元,用于:
    根据所述N个第一实体元素组,确定出所述DNS系统的预设类别的第一聚类评分;根据所述K个第二实体元素组,确定出所述DNS系统的预设类别的第二聚类评分;其中,K为大于等于1的整数;根据所述预设类别的第一聚类评分和所述预设类别的第二聚类评分,确定出所述DNS系统的预设类别的聚类评分。
  8. 如权利要求6所述的装置,其特征在于,所述评分单元,用于:
    针对所述N个第一实体元素组中的每个第一实体元素组,执行:对所述第一实体元素组中包括的目标域名对应的多个特征维度信息中的每个特征维度信息进行归一化;其中,所述目标域名为所述M个域名中的任一个;确定出所述第一实体元素组中所述关联标识信息对应的特征维度信息;根据所述第一实体元素组的目标域名对应的归一化后的所述多个特征维度信息中的每个特征维度信息,以及所述第一实体元素组中所述关联标识信息对应的特征维度信息,确定出所述DNS系统的所述第一聚类评分;所述根据所述K个第二实体元素组,确定出所述DNS系统的第二聚类评分,包括:针对所述K个第二实体元素组中的每个第二实体元素组,执行:对所述第二实体元素组中包括的域名对应的多个特征维度信息中的每个特征维度信息进行归一化;确定出所述第二实体元素组中所述关联标识信息对应的特征维度信息;根据所述第二实体元素组的域名对应的归一化后的所述多个特征维度信息中的每个特征维度信息,以及所述第二实体元素组中所述关联标识信息对应的特征维度信息,确定出所述DNS系统的所述第二聚类评分。
  9. 如权利要求6所述的装置,其特征在于,所述评分单元,包括:
    将目标域名对应的预设类别的多个特征维度信息中的每个特征维度信息进行归一化;其中,所述目标域名为所述M个域名中的任一个;根据所述目标域名对应的预设类别的归一化后的所述多个特征维度信息,确定出所述 DNS系统的预设类别的个体评分;根据所述DNS系统的所述预设类别的每个类别的聚类评分,以及所述DNS系统的所述预设类别的每个类别的所述个体评分,确定出所述DNS系统的所述总系统评分。
  10. 如权利要求9所述的装置,其特征在于,所述预设类别包括:恶意度、流行度或异常度;
    所述评分单元,用于:
    根据所述DNS系统的恶意度的聚类评分,以及所述DNS系统的恶意度的所述个体评分,确定出所述DNS系统的恶意度的系统评分;根据所述DNS系统的流行度的聚类评分,以及所述DNS系统的流行度的所述个体评分,确定出所述DNS系统的流行度的系统评分;根据所述DNS系统的异常度的聚类评分,以及所述DNS系统的异常度的所述个体评分,确定出所述DNS系统的异常度的系统评分;根据所述DNS系统的恶意度的系统评分、流行度的系统评分和异常度的系统评分,确定出所述DNS系统的总系统评分。
  11. 一种电子设备,其特征在于,包括处理器、存储器、总线接口,其中处理器、存储器与收发器之间通过总线连接;
    所述处理器,用于读取所述存储器中的程序,执行下列方法:根据DNS流量日志确定出DNS系统中的M个域名,以及所述M个域名中每个域名对应的预设类别中每个类别的多个特征维度信息;所述M为大于等于1的整数;确定出所述M个域名中每个域名关联的关联标识信息;其中,所述关联标识信息包括IP地址和/或身份信息;根据所述M个域名中每个域名与所述关联标识信息之间的关联关系,或者所述M个域名中每个域名的属性信息,确定出所述DNS系统的所述预设类别的每个类别的聚类评分;根据所述DNS系统的所述预设类别的每个类别的聚类评分,确定出所述DNS系统的总系统评分;
    所述存储器,用于存储一个或多个可执行程序,可以存储所述处理器在执行操作时所使用的数据。
  12. 如权利要求11所述的电子设备,其特征在于,所述处理器,用于:
    将所述M个域名中每个域名所关联的关联标识信息划分为一个第一实体元素组,得到N个第一实体元素组;其中,N为大于等于1且小于等于M的整数;将所述M个域名中属性信息之间的差异小于预设属性阈值的域名,以及所述域名所关联的关联标识信息划分为一个第二实体元素组,得到K个第二实体元素组;
    根据所述N个第一实体元素组,确定出所述DNS系统的预设类别的第一聚类评分;根据所述K个第二实体元素组,确定出所述DNS系统的预设类别的第二聚类评分;其中,K为大于等于1的整数;根据所述预设类别的第一聚类评分和所述预设类别的第二聚类评分,确定出所述DNS系统的预设类别的聚类评分。
  13. 如权利要求11所述的电子设备,其特征在于,所述处理器,用于:针对所述N个第一实体元素组中的每个第一实体元素组,执行:对所述第一实体元素组中包括的目标域名对应的多个特征维度信息中的每个特征维度信息进行归一化;其中,所述目标域名为所述M个域名中的任一个;确定出所述第一实体元素组中所述关联标识信息对应的特征维度信息;根据所述第一实体元素组的目标域名对应的归一化后的所述多个特征维度信息中的每个特征维度信息,以及所述第一实体元素组中所述关联标识信息对应的特征维度信息,确定出所述DNS系统的所述第一聚类评分;所述根据所述K个第二实体元素组,确定出所述DNS系统的第二聚类评分,包括:针对所述K个第二实体元素组中的每个第二实体元素组,执行:对所述第二实体元素组中包括的域名对应的多个特征维度信息中的每个特征维度信息进行归一化;确定出所述第二实体元素组中所述关联标识信息对应的特征维度信息;根据所述第二实体元素组的域名对应的归一化后的所述多个特征维度信息中的每个特征维度信息,以及所述第二实体元素组中所述关联标识信息对应的特征维度信息,确定出所述DNS系统的所述第二聚类评分。
  14. 如权利要求11所述的电子设备,其特征在于,所述处理器,用于:将目标域名对应的预设类别的多个特征维度信息中的每个特征维度信息进行 归一化;其中,所述目标域名为所述M个域名中的任一个;根据所述目标域名对应的预设类别的归一化后的所述多个特征维度信息,确定出所述DNS系统的预设类别的个体评分;根据所述DNS系统的所述预设类别的每个类别的聚类评分,以及所述DNS系统的所述预设类别的每个类别的所述个体评分,确定出所述DNS系统的所述总系统评分。
  15. 如权利要求14所述的电子设备,其特征在于,所述预设类别包括:恶意度、流行度或异常度;
    所述处理器,用于:根据所述DNS系统的恶意度的聚类评分,以及所述DNS系统的恶意度的所述个体评分,确定出所述DNS系统的恶意度的系统评分;根据所述DNS系统的流行度的聚类评分,以及所述DNS系统的流行度的所述个体评分,确定出所述DNS系统的流行度的系统评分;根据所述DNS系统的异常度的聚类评分,以及所述DNS系统的异常度的所述个体评分,确定出所述DNS系统的异常度的系统评分;根据所述DNS系统的恶意度的系统评分、流行度的系统评分和异常度的系统评分,确定出所述DNS系统的总系统评分。
  16. 一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行权利要求1~5任一所述方法。
  17. 一种计算机程序产品,其特征在于,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,使所述计算机执行权利要求1~5任一所述方法。
PCT/CN2017/113183 2017-04-01 2017-11-27 一种dns的评价方法和装置 WO2018176874A1 (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2019553903A JP6894528B2 (ja) 2017-04-01 2017-11-27 Dnsを評価するための方法及び装置
US16/498,900 US11431742B2 (en) 2017-04-01 2017-11-27 DNS evaluation method and apparatus

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201710214360.5A CN107071084B (zh) 2017-04-01 2017-04-01 一种dns的评价方法和装置
CN201710214360.5 2017-04-01

Publications (1)

Publication Number Publication Date
WO2018176874A1 true WO2018176874A1 (zh) 2018-10-04

Family

ID=59601484

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/CN2017/113183 WO2018176874A1 (zh) 2017-04-01 2017-11-27 一种dns的评价方法和装置

Country Status (4)

Country Link
US (1) US11431742B2 (zh)
JP (1) JP6894528B2 (zh)
CN (1) CN107071084B (zh)
WO (1) WO2018176874A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112565007A (zh) * 2020-11-27 2021-03-26 中盈优创资讯科技有限公司 一种系统健康度评价方法及装置

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107360185B (zh) * 2017-08-18 2020-09-25 中国移动通信集团海南有限公司 一种基于dns行为特征的网络评价方法及装置
CN108040053A (zh) * 2017-12-13 2018-05-15 北京明朝万达科技股份有限公司 一种基于dns日志数据的网络安全威胁分析方法及系统
CN110198292B (zh) * 2018-03-30 2021-12-07 腾讯科技(深圳)有限公司 域名识别方法和装置、存储介质及电子装置
CN108933695B (zh) * 2018-06-25 2021-05-25 百度在线网络技术(北京)有限公司 用于处理信息的方法和装置
US11086909B2 (en) * 2018-11-27 2021-08-10 International Business Machines Corporation Partitioning knowledge graph
CN109361575A (zh) * 2018-12-20 2019-02-19 哈尔滨工业大学(威海) 一种获取分析dns流量数据的方法及其系统
CN109639744A (zh) * 2019-02-27 2019-04-16 深信服科技股份有限公司 一种dns隧道的检测方法及相关设备
CN111651591B (zh) * 2019-03-04 2023-03-21 腾讯科技(深圳)有限公司 一种网络安全分析方法和装置
CN110138720B (zh) * 2019-03-21 2021-08-24 秒针信息技术有限公司 网络流量的异常分类检测方法、装置、存储介质和处理器
US20200314107A1 (en) * 2019-03-29 2020-10-01 Mcafee, Llc Systems, methods, and media for securing internet of things devices
CN110611651B (zh) * 2019-07-19 2022-05-27 中国工商银行股份有限公司 网络监控方法、网络监控装置和电子设备
CN110995880B (zh) * 2019-11-29 2022-08-16 北京工业大学 一种dns数据质量评价方法
CN111131260B (zh) * 2019-12-24 2020-09-15 邑客得(上海)信息技术有限公司 一种海量网络恶意域名识别和分类方法及系统
CN114257565B (zh) * 2020-09-10 2023-09-05 中国移动通信集团广东有限公司 挖掘潜在威胁域名的方法、系统和服务器
CN113472914B (zh) * 2021-06-28 2023-09-26 北京天地互连信息技术有限公司 Dns定向预取缓存方法及系统
CN113904843B (zh) * 2021-10-08 2023-11-14 成都天空卫士网络安全技术有限公司 一种终端异常dns行为的分析方法和装置
US11606383B1 (en) * 2022-03-03 2023-03-14 Uab 360 It Securing against network vulnerabilities
CN114866342B (zh) * 2022-06-30 2023-01-17 广东睿江云计算股份有限公司 流量特征识别方法、装置、计算机设备及存储介质
CN115396163B (zh) * 2022-08-10 2023-04-11 广州天懋信息系统股份有限公司 一种恶意周期行为检测方法
CN115795143B (zh) * 2022-10-10 2024-02-13 深圳市网盾信息安全有限公司 一种基于计算机的信息评价系统及方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140157414A1 (en) * 2011-02-01 2014-06-05 Damballa, Inc. Method and system for detecting malicious domain names at an upper dns hierarchy
CN105634845A (zh) * 2014-10-30 2016-06-01 任子行网络技术股份有限公司 一种用于对海量dns日志进行多维统计分析的方法及系统
CN106533762A (zh) * 2016-11-17 2017-03-22 贵州白山云科技有限公司 一种设备切换的方法以及设备切换装置
CN107360185A (zh) * 2017-08-18 2017-11-17 中国移动通信集团海南有限公司 一种基于dns行为特征的网络评价方法及系统

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101572701B (zh) * 2009-02-10 2013-11-20 中科信息安全共性技术国家工程研究中心有限公司 针对DNS服务器的抗DDoS安全网关系统
US20150365305A1 (en) * 2009-04-07 2015-12-17 Verisign, Inc. Domain name system traffic analysis
US8527658B2 (en) * 2009-04-07 2013-09-03 Verisign, Inc Domain traffic ranking
JP5639535B2 (ja) * 2011-06-10 2014-12-10 日本電信電話株式会社 良性ドメイン名除外装置、良性ドメイン名除外方法、及びプログラム
US20160065534A1 (en) * 2011-07-06 2016-03-03 Nominum, Inc. System for correlation of domain names
US10742591B2 (en) * 2011-07-06 2020-08-11 Akamai Technologies Inc. System for domain reputation scoring
CN102685145A (zh) * 2012-05-28 2012-09-19 西安交通大学 一种基于dns数据包的僵尸网络域名发现方法
US9450840B2 (en) * 2013-07-10 2016-09-20 Cisco Technology, Inc. Domain classification using domain co-occurrence information
US9245121B1 (en) * 2013-08-09 2016-01-26 Narus, Inc. Detecting suspicious network behaviors based on domain name service failures
CN103929330B (zh) * 2014-04-22 2017-11-03 中国科学院计算技术研究所 域名服务质量评估方法及系统
CN104639388B (zh) * 2014-12-30 2018-03-16 中国科学院计算机网络信息中心 一种基于用户感知的dns服务器可用性检测方法
US10185761B2 (en) * 2015-08-07 2019-01-22 Cisco Technology, Inc. Domain classification based on domain name system (DNS) traffic
CN105119915A (zh) * 2015-08-14 2015-12-02 中国传媒大学 基于情报分析的恶意域名检测方法及装置
CN105357335B (zh) * 2015-11-25 2019-01-04 中国互联网络信息中心 一种dns权威日志信息挖掘处理方法
CN105812204B (zh) * 2016-03-14 2019-02-15 中国科学院信息工程研究所 一种基于连接度估计的递归域名服务器在线识别方法
CN106060067B (zh) * 2016-06-29 2018-12-25 上海交通大学 基于Passive DNS迭代聚类的恶意域名检测方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140157414A1 (en) * 2011-02-01 2014-06-05 Damballa, Inc. Method and system for detecting malicious domain names at an upper dns hierarchy
CN105634845A (zh) * 2014-10-30 2016-06-01 任子行网络技术股份有限公司 一种用于对海量dns日志进行多维统计分析的方法及系统
CN106533762A (zh) * 2016-11-17 2017-03-22 贵州白山云科技有限公司 一种设备切换的方法以及设备切换装置
CN107360185A (zh) * 2017-08-18 2017-11-17 中国移动通信集团海南有限公司 一种基于dns行为特征的网络评价方法及系统

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112565007A (zh) * 2020-11-27 2021-03-26 中盈优创资讯科技有限公司 一种系统健康度评价方法及装置

Also Published As

Publication number Publication date
US20200045070A1 (en) 2020-02-06
US11431742B2 (en) 2022-08-30
JP6894528B2 (ja) 2021-06-30
CN107071084A (zh) 2017-08-18
JP2020516187A (ja) 2020-05-28
CN107071084B (zh) 2019-07-26

Similar Documents

Publication Publication Date Title
WO2018176874A1 (zh) 一种dns的评价方法和装置
US10587646B2 (en) Analyzing DNS requests for anomaly detection
US10742591B2 (en) System for domain reputation scoring
US10574681B2 (en) Detection of known and unknown malicious domains
US9531738B2 (en) Cyber security adaptive analytics threat monitoring system and method
US8856360B2 (en) Automatically identifying dynamic internet protocol addresses
US8260914B1 (en) Detecting DNS fast-flux anomalies
US11816161B2 (en) Asset search and discovery system using graph data structures
US20140157414A1 (en) Method and system for detecting malicious domain names at an upper dns hierarchy
CN108616544B (zh) 用于检测对域名系统记录系统的更新的方法、系统和介质
JP2017530481A (ja) 不審なホストネームを識別するシステム及び方法
EP4264914A1 (en) Systems and methods for performing dynamic firewall rule evaluation
CN114640504B (zh) Cc攻击防护方法、装置、设备和存储介质
CN107736003B (zh) 用于保护域名安全的方法和设备
US11811587B1 (en) Generating incident response action flows using anonymized action implementation data
WO2016173327A1 (zh) 用于检测网站攻击的方法和设备
CN115001724B (zh) 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质
Dolberg et al. Multi-dimensional aggregation for dns monitoring
Voronov et al. Determining OS and applications by DNS traffic analysis
CN112261134B (zh) 网络数据访问审计方法、装置、设备及存储介质
CN113923193B (zh) 一种网络域名关联方法、装置、存储介质及电子设备
Li et al. Role Identification of Domain Name Server Using Machine Learning based on DNS Response Features

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 17903252

Country of ref document: EP

Kind code of ref document: A1

ENP Entry into the national phase

Ref document number: 2019553903

Country of ref document: JP

Kind code of ref document: A

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 17903252

Country of ref document: EP

Kind code of ref document: A1