【技术实现步骤摘要】
一种基于报文分析的DNS劫持检测方法及系统
本专利技术涉及安全
,具体设计一种基于报文分析的DNS劫持检测方法及系统。
技术介绍
DNS劫持是一种DNS重定向攻击,攻击者使目标终端DNS查询被错误地解析,从而将用户重定向到恶意站点。为了进行攻击,攻击者一般通过篡改用户计算机上的DNS配置、劫持路由器、入侵局域网内DNS服务器或者拦截或破坏DNS通信等手段来达到DNS劫持的目的。DNS劫持常被用于广告植入和网络钓鱼等,对个人信息的泄露和域名功能的使用造成了较大的影响。目前,对DNS劫持检测的方法主要为规则判断或恶意情报库匹配的方法。规则判断是设定某些判断规则对DNS劫持行为进行判断,符合要求的定义为DNS劫持行为。恶意情报库匹配则是通过将客户流量里面导出的DNS解析日志与威胁情报的恶意域名情报直接匹配来找出恶意DNS劫持行为。如申请号为201810551759.7公开的一种用于通过用户设备检测DNS劫持的方法与设备,其通过用户设备向DNS服务器发送关于目标网站的DNS请求,并根据基于DNS请求的DNS响应...
【技术保护点】
1.一种基于报文分析的DNS劫持检测方法,其特征在于:包括以下步骤:/nS01.对网络报文数据解析,提取其中DNS报文信息;/nS02.数据预处理,对DNS报文信息进行数据清洗和筛选,获得目标DNS报文数据;/nS03.特征提取,针对所述目标DNS报文数据进行加工处理,提取特征数据;/nS04.机器学习模型识别DNS劫持攻击,将特征数据输入预先训练好的机器学习模块,进行DNS劫持攻击识别;/nS05.DNS劫持攻击分离,对步骤S04中识别出DNS劫持攻击进行分类;/nS06.模型优化,利用检测结果对模型进行优化。/n
【技术特征摘要】
1.一种基于报文分析的DNS劫持检测方法,其特征在于:包括以下步骤:
S01.对网络报文数据解析,提取其中DNS报文信息;
S02.数据预处理,对DNS报文信息进行数据清洗和筛选,获得目标DNS报文数据;
S03.特征提取,针对所述目标DNS报文数据进行加工处理,提取特征数据;
S04.机器学习模型识别DNS劫持攻击,将特征数据输入预先训练好的机器学习模块,进行DNS劫持攻击识别;
S05.DNS劫持攻击分离,对步骤S04中识别出DNS劫持攻击进行分类;
S06.模型优化,利用检测结果对模型进行优化。
2.根据权利要求1所述的一种基于报文分析的DNS劫持检测方法,其特征在于:所述步骤S01中的解析方法具体为:使用递归式逐层解析,按照网络报文的封装思路,逆向对每一层进行解析,并在解析的过程中提取相关信息。
3.根据权利要求1所述的一种基于报文分析的DNS劫持检测方法,其特征在于:所述步骤S02中数据预处理包括:
首先需要按照网络报文的类型对数据进行一次筛选,筛选的方法为通过查看最内层所封装的报文类型来剔除未封装DNS报文的数据包;然后再次对数据包中所封装的DNS报文中的请求域名进行筛选,剔除掉包含local域名的数据包。
4.根据权利要求1所述的一种基于报文分析的DNS劫持检测方法,其特征在于:所述步骤S04中所述的机器学习模型为异常检测算法孤立森林;通过孤立森林模型计算之后,每条记录都能够返回一个异常得分,通过将异常得分进行降序排列,就能够找出异常的操作记录,从而定位到该条记录所对应的DNS劫持攻击。
5.根据权利要求1所述的一种基于报文分析的DNS劫持检测方法,其特征在于:所述步骤S04中,采用聚类分析算法对DNS攻击劫持进行分类,具体分为客户机劫持、路由器劫持、DNS服务器劫持、中间人劫持。
6.根据权利要求1所述的一种基于报文分析的DNS劫持检测方法,其特征在于:所述步骤S06中模型优化为通过对DNS劫持攻击检测结果进行验证后,将确认为DNS攻击的行为记入黑名单,同时根据实际需要再建立一个白名单;在后续的模型检测过程中,需要在方法S04特征提取步骤新增两个特征项,其一为当前记录所包...
【专利技术属性】
技术研发人员:徐明,辜乘风,陈曦,陈一根,魏国富,
申请(专利权)人:上海观安信息技术股份有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。