This application provides a network data detection method, which can obtain the pre-constructed detection model. The detection model is trained by machine learning algorithm for training samples. The training samples are DNS query requests, and the training samples have attributes to distinguish whether the DNS query requests are abnormal or not. After obtaining the DNS query requests to be detected, the DNS query requests are obtained on these attributes. The attribute values are input into the detection model. The detection model can determine the classification results of DNS query requests by classifying and judging the attribute values. The classification results indicate whether the DNS query requests are normal or abnormal. In this method, the attributes used in the detection model are more complex, and there is no need to rely on artificial experience to set the judgment threshold. The labor cost of detection is lower and the accuracy of detection results is higher. In addition, the application also provides a network data detection device to ensure the practical application and implementation of the method.
【技术实现步骤摘要】
网络数据检测方法及相关设备
本申请涉及网络检测
,更具体地,是网络数据检测方法及相关设备。
技术介绍
企业等单位会构建内部网络,内部网络可能会受到外部恶意程序的攻击,虽然内部网络可以通过设置防火墙阻挡一部分恶意攻击,但对于某些恶意攻击行为如高级持续性威胁(AdvancedPersistentThreat,简称为APT)却不能有效地检测并进行处理。这些恶意程序拥有防火墙穿透技术,可以将数据包伪装后通过内部网络的基础通信通道将数据包隐蔽地传输出去,从而与外界网络进行通信。如图1所示,一种常用的穿透防火墙的手段是,域名系统(DomainNameSystem,简称为DNS)隧道技术。使用DNS隧道技术的恶意程序可以在内部网络植入客户端并在外部伪装DNS服务器,客户端与伪装DNS服务器之间能够建立隧道,从而避开防火墙的检测。因此,为了能够发现这种能够穿透防火墙的恶意攻击,需要提供一种网络数据检测方案。
技术实现思路
有鉴于此,本申请提供了一种网络数据检测方法,用于发现使用DNS隧道技术进行恶意攻击的网络攻击行为。为实现所述目的,本申请提供的技术方案如下:第一方面,本申请提供了一种网络数据检测方法,包括:获得通过机器学习算法构建的检测模型,其中,所述检测模型是对DNS查询请求样本训练得到的,所述DNS查询请求样本具有属性项,所述属性项为用于区分DNS查询请求是否异常的特征;获得待检测的DNS查询请求;确定所述待检测的DNS查询请求在所述属性项上的属性值;将所述属性值输入至所述检测模型中,以确定所述待检测的DNS查询请求是否为异常的DNS查询请求。第二方面,本申请提供 ...
【技术保护点】
1.一种网络数据检测方法,其特征在于,包括:获得通过机器学习算法构建的检测模型,其中,所述检测模型是对域名系统DNS查询请求样本训练得到的,所述域名系统DNS查询请求样本具有属性项,所述属性项为用于区分域名系统DNS查询请求是否异常的特征;获得待检测的域名系统DNS查询请求;确定所述待检测的域名系统DNS查询请求在所述属性项上的属性值;将所述属性值输入至所述检测模型中,以确定所述待检测的域名系统DNS查询请求是否为异常的域名系统DNS查询请求。
【技术特征摘要】
1.一种网络数据检测方法,其特征在于,包括:获得通过机器学习算法构建的检测模型,其中,所述检测模型是对域名系统DNS查询请求样本训练得到的,所述域名系统DNS查询请求样本具有属性项,所述属性项为用于区分域名系统DNS查询请求是否异常的特征;获得待检测的域名系统DNS查询请求;确定所述待检测的域名系统DNS查询请求在所述属性项上的属性值;将所述属性值输入至所述检测模型中,以确定所述待检测的域名系统DNS查询请求是否为异常的域名系统DNS查询请求。2.根据权利要求1所述的网络数据检测方法,其特征在于,还包括:验证所述检测模型对所述待检测的域名系统DNS查询请求的确定结果是否准确;若所述检测模型的确定结果错误,则将所述待检测的域名系统DNS查询请求加入域名系统DNS查询请求样本,得到新的域名系统DNS查询请求样本,并使用所述新的域名系统DNS查询请求样本训练所述检测模型。3.根据权利要求1所述的网络数据检测方法,其特征在于,待检测的域名系统DNS查询请求为一个时间切片内的多条待检测的域名系统DNS查询请求;则所述确定所述待检测的域名系统DNS查询请求在所述属性项上的属性值,包括:获得每条待检测的域名系统DNS查询请求在第一类型属性项上的属性值;和/或,统计一个时间切片内,多条待检测的域名系统DNS查询请求在第二类型属性项上的属性值。4.根据权利要求3所述网络数据检测方法,其特征在于,所述统计一个时间切片内,多条待检测的域名系统DNS查询请求在第二类型属性项上的属性值,包括:根据每条待检测的域名系统DNS查询请求在第一类型属性项上的属性值,计算多条所述待检测的域名系统DNS查询请求在第一类型属性项上的统计属性值,其中统计属性值包括以下几项中的任意一项或多项:总和属性值、平均属性值、极值属性值;和/或依据每条待检测的域名系统DNS查询请求,统计不同的待检测的域名系统DNS查询请求的个数。5.根据权利要求3所述网络数据检测方法,其特征在于,所述域名系统DNS查询请求中包括查询域名;则:所述第一类型属性项包括:域名系统DNS查询请求的数据包长度、查询域名的个数、查询域名中标签的个数、查询域名中子域名的长度、查询域名中非法字符的个数;所述第二类型属性项包括:域名系统DNS查询请求的总个数、域名系统DNS查询请求的发送频率、数据包总长、数据包平均长度、非法字符总数、非法字符平均个数、标签个数最大值、标签个数最小值、标签总个数、标签平均个数、不同域名系统DNS查询请求的个数。6.根据权利要求1所述的网络数据检测方法,其特征在于,所述检测模型的训练方式包括:采集域名系统DNS查询请求样本,所述域名系统DNS查询请求样本中包含被标注为异常的域名系统DNS查询请求,以及被标注为正常的域名系统DNS查询请求;确定所述域名系统DNS查询请求样本在所述属性项上的属性值;通过机器学习算法,对所述域名系统DNS查询请求样本的属性值进行训练后得到检测模型。7.根据权利要求6所述的网络数据检测方法,其特征在于,所述采集域名系统DNS查询请求样本,包括:使用域名系统DNS隧道工具生成域名系统DNS查询请求,并将生成的域名系统DNS查询请求标注为异常的域名系统DNS查询请求;从收集到的域名系统DNS查询请求样本中,提取查询域名为正常域名且数量较多的预设数量的域名系统DNS查询请求样本,并将提取到的域名系统DNS查询请求标注为正常的域名系统DNS查询请求;则所述确定所述域名系统DNS查询请求样本在所述属性项上的属性值,包括:获得每条域名系统DNS查询请求样本在第一类型属性项上的属性值;和/或,统计一个时间切片内,多条域名系统DNS查询请求样本在第二类型属性项上的属性值;则所述通过机器学习算法,对所述域名系统DNS查询请求样本的属性值进行训练后得到检测模型,包括:通过机器学习算法,对所述域名系统DNS查询请求样本的第一属性值和/或第二属性值进行训练后得到检测模型。8.一种网络数据检测装置,其特征在于,...
【专利技术属性】
技术研发人员:马慧培,胡珀,马传雷,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。