一种基于DNS行为特征的网络评价方法及系统技术方案

本发明专利技术适用于网络评价领域，提供了基于DNS行为特征的网络评价方法，包括：接收待评价的域名解析系统DNS日志；从DNS日志提取第一集合和第二集合；分别对第一集合和第二集合中的各组对应关系进行多个维度的评分，得到第一评分集合和第二评分集合；对于各个维度，分别从第一评分集合和第二评分集合中提取评分最大值作为第一和第二系统维度评分集合；根据第一系统维度评分集合和第二系统维度评分集合进行综合评分，以得到的综合评分对DNS日志进行网络评价。本发明专利技术实施例从多个维度对DNS系统进行评分，如恶意度、流行度、异常度，并以小组为单位，从多个特征维度对DNS系统进行评价，有效提高了DNS系统评价的可信度与准确性。

A network evaluation method and system based on DNS behavior characteristics

The invention is applicable to the network evaluation field, provides the network evaluation behavior of DNS method, which is based on domain name system DNS log received for evaluation; from the first and second sets from DNS logs; corresponding to each first and second sets in relation to multiple dimensions of the score, the first score set and second set for each dimension score;, respectively from the first set and the second set score score score from the maximum value as the first and the second dimension score system set; according to the first and the second dimension evaluation system diversity system dimension score evaluation set, the network evaluation of the DNS log to get the comprehensive score. The embodiment of the invention judges the DNS system from several dimensions, such as the degree of malice, popularity and abnormality, and evaluates the DNS system from several characteristic dimensions with the group as the unit, thus effectively improving the credibility and the accuracy of the DNS system evaluation.

【技术实现步骤摘要】
一种基于DNS行为特征的网络评价方法及系统
本专利技术属于互联网
，尤其涉及一种基于DNS行为特征的网络评价方法及系统。
技术介绍
域名解析系统(DomainNameService，简称DNS)，是因特网上作为域名和IP地址相互映射的一个分布式数据库。恶意DNS的危害性高，会造成用户的财产损失，严重时甚至可能导致网站或网络瘫痪。因此DNS系统的自身安全性极其重要。目前常用的DNS系统评分技术是对单个域名从客户端的访问数量进行恶意度的评价，现有技术对DNS的评价仅依据单个域名的一个维度，从恶意度一个评价方向进行评价DNS系统，导致评价的可信度较低。
技术实现思路
本专利技术所要解决的技术问题在于提供一种基于DNS行为特征的网络评价方法及系统，旨在解决现有技术中存在仅针对单个域名、单维度评价算法导致可信度低的问题。本专利技术是这样实现的，一种基于DNS行为特征的网络评价方法，包括：接收待评价的域名解析系统DNS日志；从所述DNS日志提取出包含有若干组请求域名与服务器IP对应关系的第一集合、包含有若干组客户端IP与请求域名对应关系的第二集合；分别对所述第一集合和所述第二集合中的各组对应关系进行多个维度的评分，得到第一评分集合和第二评分集合；对于各个维度，从所述第一评分集合提取评分最大值作为所述第一集合在该维度的系统评分，得到第一系统维度评分集合，从所述第二评分集合提取评分最大值作为所述第二集合在该维度的系统评分，得到第二系统维度评分集合；根据所述第一系统维度评分集合和所述第二系统维度评分集合进行综合评分，以得到的综合评分对所述DNS日志进行网络评价。进一步地，所述从所述DNS日志提取出包含有若干组请求域名与服务器IP对应关系的第一集合、包含有若干组客户端IP与请求域名对应关系的第二集合包括：从所述DNS日志中提取每次DNS请求的客户端IP、请求域名和服务器IP；根据提取的信息绘制域名整体DGA图；从所述域名整体DGA图中提取请求域名和服务器IP的关系图，根据请求域名和服务器IP的关系图将域名进行分组，得到包括若干小组的第一集合，所述第一集合中的每个小组中的请求域名和服务器IP与其他小组没有任何连接关系；从所述域名整体DGA图中提取客户端IP和请求域名的关系图，根据客户端IP和请求域名的关系图将域名进行分组，得到包括若干小组的第二集合，所述第二集合中的每个小组中的请求域名和客户端IP与其他小组没有任何连接关系。进一步地，以A表示所述第一集合，第一集合A中包含k个小组，分别为{A1,A2,…Ai,…Ak}，i∈k，以ui1,ui2,…uij,…uip表示小组Ai中包括的若干域名，以mij1,mij2,…mijr,…mijp表示域名uij中的若干特征向量，则对所述第一集合中的各组对应关系进行多个维度的评分，得到第一评分集合的步骤包括：根据对第一集合A中的任意特征向量进行归一化处理，得到归一化后的特征向量，其中X'表示归一化后的特征维度信息，X表示当前特征维度信息，min表示该组中的特征维度信息的最小值，max表示该组中特征维度信息的最大值；将归一化后的特征向量中的特征值按照重视程度从高到低进行排序，对排序后的特征值进行评分；以mijk表示归一化后的任意一个特征向量，其包含有n个特征值且n个特征值按照重视程度从高到低进行排序，则mijk＝{t1,t2,…,tr,tn}，以表示第Ai小组中第j个域名的第k个特征值的评分，则对评分后的特征值进行求和，得到维度评分，根据所述维度评分求得包含若干维度评分的所述第一评分集合；以表示所述维度评分，即其中p表示该小组的域名总个数，则所述第一评分集合为：其中m表示第m个维度。进一步地，所述DNS日志包括若干维度，将所述若干维度标记为(1，…，q)，以表示所述第一评分集合中维度q的维度评分，以表示所述第一评分集合，则对于各个维度，从所述第一评分集合提取评分最大值作为所述第一集合在该维度的系统评分，得到第一系统维度评分集合包括：以表示所述第一系统维度评分集合，其中第q维度评分表示所有第一集合A中维度q的评分中的最大值，即进一步地，所述DNS日志包括若干维度，将所述若干维度标记为(1，…，q)，以表示所述第一系统维度评分集合，以表示所述第二系统维度评分集合，则根据所述第一系统维度评分集合和所述第二系统维度评分集合进行综合评分包括：以sq表示维度q的综合评分，则α为固定权值；以s表示所述综合评分，则本专利技术还提供了一种基于DNS行为特征的网络评价装置，包括：域名分组单元，用于接收待评价的域名解析系统DNS日志，从所述DNS日志提取出包含有若干组请求域名与服务器IP对应关系的第一集合、包含有若干组客户端IP与请求域名对应关系的第二集合；小组评分单元，用于分别对所述第一集合和所述第二集合中的各组对应关系进行多个维度的评分，得到第一评分集合和第二评分集合；系统评分单元，用于对于各个维度，从所述第一评分集合提取评分最大值作为所述第一集合在该维度的系统评分得到第一系统维度评分集合，从所述第二评分集合提取评分最大值作为所述第二集合在该维度的系统评分得到第二系统维度评分集合；综合评分单元，用于根据所述第一系统维度评分集合和所述第二系统维度评分集合进行综合评分，以得到的综合评分对所述DNS日志进行网络评价。进一步地，所述域名分组单元具体用于：从所述DNS日志中提取每次DNS请求的客户端IP、请求域名和服务器IP；根据提取的信息绘制域名整体DGA图；从所述域名整体DGA图中提取请求域名和服务器IP的关系图，根据请求域名和服务器IP的关系图将域名进行分组，得到包括若干小组的第一集合，所述第一集合中的每个小组中的请求域名和服务器IP与其他小组没有任何连接关系；从所述域名整体DGA图中提取客户端IP和请求域名的关系图，根据客户端IP和请求域名的关系图将域名进行分组，得到包括若干小组的第二集合，所述第二集合中的每个小组中的请求域名和客户端IP与其他小组没有任何连接关系。进一步地，以A表示所述第一集合，第一集合A中包含k个小组，分别为{A1,A2,…Ai,…Ak}，i∈k，以ui1,ui2,…uij,…uip表示小组Ai中包括的若干域名，以mij1,mij2,…mijr,…mijp表示域名uij中的若干特征向量，则所述小组评分单元具体用于：根据对第一集合A中的任意特征向量进行归一化处理，得到归一化后的特征向量，其中X'表示归一化后的特征维度信息，X表示当前特征维度信息，min表示该组中的特征维度信息的最小值，max表示该组中特征维度信息的最大值；将归一化后的特征向量中的特征值按照重视程度从高到低进行排序，对排序后的特征值进行评分；以mijk表示归一化后的任意一个特征向量，其包含有n个特征值且n个特征值按照重视程度从高到低进行排序，则mijk＝{t1,t2,…,tr,tn}，以表示第Ai小组中第j个域名的第k个特征值的评分，则对评分后的特征值进行求和，得到维度评分，根据所述维度评分求得包含若干维度评分的所述第一评分集合；以表示所述维度评分，即其中p表示该小组的域名总个数，则所述第一评分集合为：其中m表示第m个维度。进一步地，所述DNS日志包括若干维度，将所述若干维度标记为(1，…，q)，以表示所述第一评分集合中维度q本文档来自技高网...

【技术保护点】
一种基于DNS行为特征的网络评价方法，其特征在于，包括：接收待评价的域名解析系统DNS日志；从所述DNS日志提取出包含有若干组请求域名与服务器IP对应关系的第一集合、包含有若干组客户端IP与请求域名对应关系的第二集合；分别对所述第一集合和所述第二集合中的各组对应关系进行多个维度的评分，得到第一评分集合和第二评分集合；对于各个维度，从所述第一评分集合提取评分最大值作为所述第一集合在该维度的系统评分，得到第一系统维度评分集合，从所述第二评分集合提取评分最大值作为所述第二集合在该维度的系统评分，得到第二系统维度评分集合；根据所述第一系统维度评分集合和所述第二系统维度评分集合进行综合评分，以得到的综合评分对所述DNS日志进行网络评价。

【技术特征摘要】
1.一种基于DNS行为特征的网络评价方法，其特征在于，包括：接收待评价的域名解析系统DNS日志；从所述DNS日志提取出包含有若干组请求域名与服务器IP对应关系的第一集合、包含有若干组客户端IP与请求域名对应关系的第二集合；分别对所述第一集合和所述第二集合中的各组对应关系进行多个维度的评分，得到第一评分集合和第二评分集合；对于各个维度，从所述第一评分集合提取评分最大值作为所述第一集合在该维度的系统评分，得到第一系统维度评分集合，从所述第二评分集合提取评分最大值作为所述第二集合在该维度的系统评分，得到第二系统维度评分集合；根据所述第一系统维度评分集合和所述第二系统维度评分集合进行综合评分，以得到的综合评分对所述DNS日志进行网络评价。2.如权利要求1所述的网络评价方法，其特征在于，所述从所述DNS日志提取出包含有若干组请求域名与服务器IP对应关系的第一集合、包含有若干组客户端IP与请求域名对应关系的第二集合包括：从所述DNS日志中提取每次DNS请求的客户端IP、请求域名和服务器IP；根据提取的信息绘制域名整体DGA图；从所述域名整体DGA图中提取请求域名和服务器IP的关系图，根据请求域名和服务器IP的关系图将域名进行分组，得到包括若干小组的第一集合，所述第一集合中的每个小组中的请求域名和服务器IP与其他小组没有任何连接关系；从所述域名整体DGA图中提取客户端IP和请求域名的关系图，根据客户端IP和请求域名的关系图将域名进行分组，得到包括若干小组的第二集合，所述第二集合中的每个小组中的请求域名和客户端IP与其他小组没有任何连接关系。3.如权利要求2所述的网络评价方法，其特征在于，以A表示所述第一集合，第一集合A中包含k个小组，分别为{A1,A2,…Ai,…Ak}，i∈k，以ui1,ui2,…uij,…uip表示小组Ai中包括的若干域名，以mij1,mij2,…mijr,…mijp表示域名uij中的若干特征向量，则对所述第一集合中的各组对应关系进行多个维度的评分，得到第一评分集合的步骤包括：根据对第一集合A中的任意特征向量进行归一化处理，得到归一化后的特征向量，其中X'表示归一化后的特征维度信息，X表示当前特征维度信息，min表示该组中的特征维度信息的最小值，max表示该组中特征维度信息的最大值；将归一化后的特征向量中的特征值按照重视程度从高到低进行排序，对排序后的特征值进行评分；以mijk表示归一化后的任意一个特征向量，其包含有n个特征值且n个特征值按照重视程度从高到低进行排序，则mijk＝{t1,t2,…,tr,tn}，以表示第Ai小组中第j个域名的第k个特征值的评分，则对评分后的特征值进行求和，得到维度评分，根据所述维度评分求得包含若干维度评分的所述第一评分集合；以表示所述维度评分，即其中p表示该小组的域名总个数，则所述第一评分集合为：其中m表示第m个维度。4.如权利要求3所述的网络评价方法，其特征在于，所述DNS日志包括若干维度，将所述若干维度标记为(1，…，q)，以表示所述第一评分集合中维度q的维度评分，以表示所述第一评分集合，则对于各个维度，从所述第一评分集合提取评分最大值作为所述第一集合在该维度的系统评分，得到第一系统维度评分集合包括：以表示所述第一系统维度评分集合，其中第q维度评分表示所有第一集合A中维度q的评分中的最大值，即5.如权利要求4所述的网络评价方法，其特征在于，所述DNS日志包括若干维度，将所述若干维度标记为(1，…，q)，以表示所述第一系统维度评分集合，以表示所述第二系统维度评分集合，则根据所述第一系统维度评...

【专利技术属性】
技术研发人员：王瑶，李映壮，何瑞强，
申请(专利权)人：中国移动通信集团海南有限公司，
类型：发明
国别省市：海南,46