【技术实现步骤摘要】
基于DNS日志的可疑威胁发现方法和系统
[0001]本专利技术属于计算机网络安全领域,具体涉及一种基于DNS日志的可疑威胁发现方法和系统。
技术介绍
[0002]威胁(threat)是指对资产或组织可能导致负面结果的一个事件的潜在源(《信息安全术语:GB/T25069
‑
2010》)。例如,网络空间中的恶意域名、有害IP、恶意程序都是一类威胁实体。
[0003]威胁狩猎(threat hunting),也称威胁猎杀,就是在网络空间中发现和追踪安全威胁(security threat)的过程。也可称这一过程为威胁检测。被动流量日志(passive traffic logs)是指网络中各种实体的行为记录,通常由日志采集设备(log collectors)通过对网络的被动观察而收集产生。这种观察过程通常不对网络状态产生影响。从所观察和记录到的行为类型看,被动流量日志包括DNS请求响应日志、流通联日志、HTTP请求日志及文件传输日志等。被动流量日志中蕴含着大量的威胁迹象(signs of threat)。可...
【技术保护点】
【技术特征摘要】
1.一种基于DNS日志的可疑威胁发现方法,其特征在于,所述方法包括:从DNS日志数据中抽取统计特征,获得特征数据;可疑域名发现,调用异常检测模型对所述特征数据进行处理,获得可疑域名;异常IP发现,对所述特征数据进行统计研判,发现异常请求IP、异常服务IP和异常解析IP。2.根据权利要求1所述的基于DNS日志的可疑威胁发现方法,其特征在于,所述可疑域名发现,具体包括:调用若干一级模型对DNS日志各级特征数据进行处理,得到若干第一数据集;调用二级模型对所述若干第一数据集进行处理,得到第二数据集;调用三级模型对所述第二数据集进行处理,得到若干第三数据集;调用四级模型对所述若干第三数据集进行处理,得到第四数据集。3.根据权利要求2所述的基于DNS日志的可疑威胁发现方法,其特征在于,所述一级模型采用简单的规则异常检测算法。4.根据权利要求2所述的基于DNS日志的可疑威胁发现方法,其特征在于,所述二级模型包括集成和过滤;所述集成包括投票集成、阈值集成、并集集成、带权集成和自适应加权集成中的至少一种;所述过滤包括白名单过滤和规模阈值过滤中的至少一种。5.根据权利要求2所述的基于DNS日志的可疑威胁发现方法,其特征在于,所述三级模型采用精细的异常检测算法。6.根据权利要求2所述的基于DNS日志的可疑威胁发现方法,其特征在于,所述四级模型包括排序限流;所述排序包括请求量排序、票数排序和票数
‑
请求量联合...
【专利技术属性】
技术研发人员:周昊,李明哲,徐剑,郭晶,严寒冰,丁丽,李志辉,朱天,饶毓,贺铮,吕志泉,韩志辉,马莉雅,雷君,高川,贾世琳,吕卓航,黄亮,刘伟,郝帅,杨云龙,
申请(专利权)人:长安通信科技有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。