本发明专利技术提供一种网络攻击行为检测方法,首先获取域名系统解析数据;然后采用预设的数据挖掘算法对所述域名系统解析数据进行数据挖掘,获得数据挖掘结果;最后根据所述数据挖掘结果对网络攻击行为进行检测。不同于传统抓包分析的网络攻击行为检测方式,本发明专利技术以域名系统解析数据为处理对象,通过对其进行数据挖掘,从而根据挖掘结果能够更加高效、准确地对网络攻击行为进行检测。
【技术实现步骤摘要】
网络攻击行为检测方法及装置
本专利技术涉及网络安全
,具体涉及一种网络攻击行为检测方法及装置。
技术介绍
随着互联网技术的发展,各种网络安全问题也层出不穷,如木马、钓鱼网站、钓鱼邮件、针对域名服务器的DDoS(DDoS:DistributedDenialofService,分布式拒绝服务攻击)、针对特定类型网络的DDoS攻击、大规模DNS(DomainNameSystem,域名系统)欺骗攻击、僵尸网络等网络攻击行为严重威胁着网络用户的信息和数据安全,由于上述网络攻击行为往往具有很强的欺骗性和伪装性,常规对所有数据进行抓包分析的检测方式效率较低、准确性低,难以对其进行有效的检测。
技术实现思路
针对现有技术中的缺陷,本专利技术提供一种网络攻击行为检测方法及装置,以高效、准确的对网络攻击行为进行检测。第一方面,本专利技术提供的一种网络攻击行为检测方法,包括:获取域名系统解析数据;采用预设的数据挖掘算法对所述域名系统解析数据进行数据挖掘,获得数据挖掘结果;根据所述数据挖掘结果对网络攻击行为进行检测。可选的,所述获取域名系统解析数据,包括:预先在指定网络范围的网络出口或数据交换设备上部署流量捕获设备;利用所述流量捕获设备捕获指定所述网络范围内的多个客户端发送的域名系统解析数据。可选的,所述采用预设的数据挖掘算法对所述域名系统解析数据进行数据挖掘,获得数据挖掘结果,包括:通过将所述域名系统解析数据中的域名IP与预先存储的网络攻击者黑名单或白名单进行比对,判断所述域名IP是否在所述黑名单或白名单中;所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:根据所述域名IP是否在所述黑名单或白名单中,判断是否存在网络攻击行为。可选的,所述网络攻击行为检测方法,还包括:若所述域名IP存在于所述黑名单中或所述域名IP不存在于所述白名单中时,对所述域名IP收发的数据进行全包捕获;对捕获的数据进行还原分析;根据还原分析结果判断所述域名IP对应的主机是否存在网络攻击行为。可选的,所述网络攻击行为检测方法,还包括:在确定所述域名IP对应的主机是否存在网络攻击行为后,根据所述域名IP对应的主机是否存在网络攻击行为,将所述域名IP添加到所述黑名单或白名单中,对所述黑名单或所述白名单进行更新。可选的,所述采用预设的数据挖掘算法对所述域名系统解析数据进行数据挖掘,获得数据挖掘结果,包括:根据所述域名系统解析数据计算所述域名系统解析数据中各域名的域名IP变化特征数据;所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:根据所述域名IP变化特征数据是否符合预设的异常域名判定条件分别判断对应的各所述域名是否是异常域名,在确定所述域名为异常域名时,判断存在网络攻击行为。可选的,所述采用预设的数据挖掘算法对所述域名系统解析数据进行数据挖掘,获得数据挖掘结果,包括:采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果;所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:根据所述数据挖掘结果对网络攻击行为进行检测。可选的,所述网络攻击行为检测方法,还包括:在确定存在网络攻击行为后,获取网络攻击行为中传输的数据;采用预设的关联分析算法对所述数据进行关联分析,获得关联分析结果;根据所述关联分析结果确定所述网络攻击行为中的攻击主体。可选的,所述域名系统解析数据是邮件收发过程中产生的域名系统解析数据;所述采用预设的数据挖掘算法对所述域名系统解析数据进行数据挖掘,获得数据挖掘结果,包括:通过对所述域名系统解析数据进行针对邮件数据的数据挖掘;其中,所述针对邮件数据的数据挖掘包括:对用户行为进行画像、钓鱼邮件分析、邮件头部分析、邮件登陆日志分析和邮件收发行为分析中的至少一种。所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:根据所述针对邮件数据的数据挖掘的挖掘结果判断是否存在针对邮件的网络攻击行为。第二方面,本专利技术提供的一种网络攻击行为检测装置,包括:数据获取模块,用于获取域名系统解析数据;数据挖掘模块,用于采用预设的数据挖掘算法对所述域名系统解析数据进行数据挖掘,获得数据挖掘结果;攻击行为检测模块,用于根据所述数据挖掘结果对网络攻击行为进行检测。可选的,所述数据获取模块,包括:流量捕获设备部署单元,用于预先在指定网络范围的网络出口或数据交换设备上部署流量捕获设备;域名解析数据捕获单元,用于利用所述流量捕获设备捕获指定所述网络范围内的多个客户端发送的域名系统解析数据。可选的,所述数据挖掘模块,包括:黑白名单对比单元,用于通过将所述域名系统解析数据中的域名IP与预先存储的网络攻击者黑名单或白名单进行比对,判断所述域名IP是否在所述黑名单或白名单中;所述攻击行为检测模块,包括:黑白名单判断单元,用于根据所述域名IP是否在所述黑名单或白名单中,判断是否存在网络攻击行为。可选的,所述网络攻击行为检测装置,还包括:全包数据捕获模块,用于若所述域名IP存在于所述黑名单中或所述域名IP不存在于所述白名单中时,对所述域名IP收发的数据进行全包捕获;数据还原模块,用于对捕获的数据进行还原分析;数据还原判断模块,用于根据还原分析结果判断所述域名IP对应的主机是否存在网络攻击行为。可选的,所述网络攻击行为检测装置,还包括:黑白名单更新模块,用于在确定所述域名IP对应的主机是否存在网络攻击行为后,根据所述域名IP对应的主机是否存在网络攻击行为,将所述域名IP添加到所述黑名单或白名单中,对所述黑名单或所述白名单进行更新。可选的,所述数据挖掘模块,包括:IP变化特征数据计算单元,用于根据所述域名系统解析数据计算所述域名系统解析数据中各域名的域名IP变化特征数据;所述攻击行为检测模块,包括:异常域名判断单元,用于根据所述域名IP变化特征数据是否符合预设的异常域名判定条件分别判断对应的各所述域名是否是异常域名,在确定所述域名为异常域名时,判断存在网络攻击行为。可选的,所述数据挖掘模块,包括:对应关系挖掘单元,用于采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果;所述攻击行为检测模块,包括:对应关系检测单元,用于根据所述数据挖掘结果对网络攻击行为进行检测。可选的,所述网络攻击行为检测装置,还包括:网络数据获取模块,用于在确定存在网络攻击行为后,获取网络攻击行为中传输的数据;关联分析模块,用于采用预设的关联分析算法对所述数据进行关联分析,获得关联分析结果;攻击主体确定模块,用于根据所述关联分析结果确定所述网络攻击行为中的攻击主体。可选的,所述域名系统解析数据是邮件收发过程中产生的域名系统解析数据;所述数据挖掘模块,包括:邮件数据挖掘单元,用于通过对所述域名系统解析数据进行针对邮件数据的数据挖掘;其中,所述针对邮件数据的数据挖掘包括:对用户行为进行画像、钓鱼邮件分析、邮件头部分析、邮件登陆日志分析和邮件收发行为分析中的至少一种。所述攻击行为检测模块,包括:邮件攻击行为检测单元,用于根据所述针对邮件数据的数据挖掘的挖掘结果判断是否存在针对邮件的网络攻击行为。由上述技术方案可知,本专利技术提供的一种网络攻击行为检测方法,首先获本文档来自技高网...
【技术保护点】
一种网络攻击行为检测方法,其特征在于,包括:获取域名系统解析数据;采用预设的数据挖掘算法对所述域名系统解析数据进行数据挖掘,获得数据挖掘结果;根据所述数据挖掘结果对网络攻击行为进行检测。
【技术特征摘要】
1.一种网络攻击行为检测方法,其特征在于,包括:获取域名系统解析数据;采用预设的数据挖掘算法对所述域名系统解析数据进行数据挖掘,获得数据挖掘结果;根据所述数据挖掘结果对网络攻击行为进行检测。2.根据权利要求1所述的网络攻击行为检测方法,其特征在于,所述获取域名系统解析数据,包括:预先在指定网络范围的网络出口或数据交换设备上部署流量捕获设备;利用所述流量捕获设备捕获指定所述网络范围内的多个客户端发送的域名系统解析数据。3.根据权利要求1所述的网络攻击行为检测方法,其特征在于,所述采用预设的数据挖掘算法对所述域名系统解析数据进行数据挖掘,获得数据挖掘结果,包括:通过将所述域名系统解析数据中的域名IP与预先存储的网络攻击者黑名单或白名单进行比对,判断所述域名IP是否在所述黑名单或白名单中;所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:根据所述域名IP是否在所述黑名单或白名单中,判断是否存在网络攻击行为。4.根据权利要求3所述的网络攻击行为检测方法,其特征在于,还包括:若所述域名IP存在于所述黑名单中或所述域名IP不存在于所述白名单中时,对所述域名IP收发的数据进行全包捕获;对捕获的数据进行还原分析;根据还原分析结果判断所述域名IP对应的主机是否存在网络攻击行为。5.根据权利要求4所述网络攻击行为检测方法,其特征在于,还包括:在确定所述域名IP对应的主机是否存在网络攻击行为后,根据所述域名IP对应的主机是否存在网络攻击行为,将所述域名IP添加到所述黑名单或白名单中,对所述黑名单或所述白名单进行更新。6.根据权利要求1所述的网络攻击行为检测方法,其特征在于,所述采用预设的数据挖掘算法对所述域名系统解析数据进行数据挖掘,获得数据挖掘结果,包括:根据所述域名系统解析数据计算所述域名系统解析数据中各域名的域名IP变化特征数据;所述根据所述数据挖掘结果对...
【专利技术属性】
技术研发人员:宋超,杨洪国,
申请(专利权)人:神州网云北京信息技术有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。