一种网络攻击检测方法、装置、设备及介质制造方法及图纸

本申请公开了一种网络攻击检测方法、装置、设备及介质。该方法包括：通过Hive数据仓库工具获取待检测DNS数据；确定目标攻击类型；所述目标攻击类型包括基于Fast‑Flux技术的僵尸网络、基于域名生成算法的僵尸网络和高级长期威胁攻击；利用所述目标攻击类型对应的预设检测规则对所述待检测DNS数据进行检测，以确定危险DNS数据。本申请通过读取Hive数据仓库工具获取量的DNS数据，根据预设检测规则可以从DNS数据的不同角度出发，同时对基于Fast‑Flux技术的僵尸网络、基于域名生成算法的僵尸网络和高级长期威胁攻击进行检测，形成了一套以DNS数据流为检测数据的完整的检测方法，提高了基于Fast‑Flux技术的僵尸网络、基于域名生成算法的僵尸网络和高级长期威胁攻击的检测能力。

【技术实现步骤摘要】
一种网络攻击检测方法、装置、设备及介质
本专利技术涉及计算机领域，特别涉及一种网络攻击检测方法、装置、设备及介质。
技术介绍
僵尸网络攻击和高级长期威胁(APT，AdvancedPersistentThreat)攻击是目前常见的较为复杂的网络攻击，危害巨大，因此如何检测僵尸网络攻击和高级长期威胁攻击，进而防止攻击带来的损失是当前广受关注的问题。目前，检测僵尸网络的技术主要包括入侵检测系统(IDS,InstructionDetectionSystem)、蜜罐技术和DNS流量分析。其中，但IDS检测规则主要根据HTTP协议的请求头，其基本原理是僵尸网络感染主机后寻找其它目标进行扫描的时候会带上该请求头，每一种僵尸网络的请求头特征都不同，所以这种检测方式不通用，并且由于IDS规则语法比较简单，当僵尸网络流量涉及到比较复杂的检测逻辑或未曾见的僵尸网络特征就很难检测出来。蜜罐技术通过精心布置被攻击的目标引诱攻击，一旦攻击者入侵后，就可以对攻击进行一定程度的溯源，但要使该技术效果较好，需要大量的部署，并且容易被高级黑客作为攻击跳板。通用技术中，通常采用单项本文档来自技高网...

【技术保护点】
1.一种网络攻击检测方法，其特征在于，包括：/n通过Hive数据仓库工具获取待检测DNS数据；/n确定目标攻击类型；所述目标攻击类型包括基于Fast-Flux技术的僵尸网络、基于域名生成算法的僵尸网络和高级长期威胁攻击；/n利用所述目标攻击类型对应的预设检测规则对所述待检测DNS数据进行检测，以确定危险DNS数据。/n

【技术特征摘要】
1.一种网络攻击检测方法，其特征在于，包括：
通过Hive数据仓库工具获取待检测DNS数据；
确定目标攻击类型；所述目标攻击类型包括基于Fast-Flux技术的僵尸网络、基于域名生成算法的僵尸网络和高级长期威胁攻击；
利用所述目标攻击类型对应的预设检测规则对所述待检测DNS数据进行检测，以确定危险DNS数据。


2.根据权利要求1所述的方法，其特征在于，所述通过Hive数据仓库工具获取待检测DNS数据流量，包括：
连接Spark大数据平台，从对应的Hive数据仓库工具中获取预设时间窗口内的DNS流量数据；所述DNS流量数据包括域名数据，以及相应的解析IP、源IP、生存时间和响应结果状态；
根据白名单对所述DNS流量数据进行过滤，以得到所述待检测DNS数据。


3.根据权利要求2所述的网络攻击检测方法，其特征在于，所述利用所述目标攻击类型对应的预设检测规则对所述待检测DNS数据进行检测，以确定危险DNS数据，包括：
利用所述基于Fast-Flux技术的僵尸网络对应的第一预设检测规则，对所述待检测DNS数据进行检测，以确定基于Fast-Flux技术的僵尸网络域名和相应的解析IP；
利用所述基于域名生成算法的僵尸网络对应的第二预设检测规则，对所述待检测DNS数据进行检测，以确定基于域名生成算法的僵尸网络域名和相应的解析IP；
利用所述高级长期威胁攻击对应的第三预设检测规则，对所述待检测DNS数据进行检测，以确定基于DNS隧道的高级长期威胁攻击；
其中，所述第一预设检测规则为基于解析IP、一级域名、生存时间、域名熵值、域名访问记录的时间间隔和子域名构建的检测规则；所述第二预设检测规则为基于预设检测模型、域名活跃度和响应结果状态构建的检测规则；所述第三预设检测规则为基于域名熵值、域名访问记录的时间间隔和子域名构建的检测规则。


4.根据权利要求3所述的网络攻击检测方法，其特征在于，所述利用所述基于Fast-Flux技术的僵尸网络对应的第一预设检测规则，对所述待检测DNS数据进行检测，以确定基于Fast-Flux技术的僵尸网络域名和相应的解析IP，包括：
计算所述待检测DNS数据中每个一级域名的解析IP数量，若所述解析IP数量小于预设数量阈值，则清除所述一级域名对应的DNS数据得到第一数据；
计算所述第一数据中每个一级域名的平均生存时间，若所述平均生存时间小于预设时间阈值，则清除所述一级域名对应的DNS数据得到第二数据；
计算所述第二数据中每个一级域名对应的解析IP的变化率，若所述解析IP的变化率小于预设变化率阈值，则清除所述一级域名对应的DNS数据得到第三数据；
计算所述第三数据中每个域名的域名熵值，若所述域名熵值小于预设熵值阈值，则清除所述域名对应的DNS数据得到第四数据；
计算所述第四数据中每个域名访问记录的时间间隔，若所述时间间隔不是固定时间间隔和/或所述时间间隔大于预设时间间隔，则清除所述域名对应的DNS数据得到第五数据；
计算所述第五数据中每个子域名的长度，若所述长度小于预设长度阈值，则清除所述子域名对应的DNS数据得到第六数据；
计算所述第六数据中每个子域名的大写英文字母占比，若所述大写英文字母占比不在预设占比区间内，则清除所述子域名对应的DNS数据得到第七数据；
计算所述第七数据中每个一级域名的子域名相似度，若所述子域名相似度高于预设相似度阈值，则清除所述一级域名对应的DNS数据，得到过滤后的一级域名和解析IP，以确定所述基于Fast-Flux技术的僵尸网络域名和相应的解析IP。


5.根据权利要求3所述的网络攻击检测方法，其特征在于，所述利用所述基于域名生成算法的僵尸网络对应的第二预设检测规则，对所述待检测DNS数据进行检测，以确定基于域名生成...

【专利技术属性】
技术研发人员：刘晶，范渊，黄进，
申请(专利权)人：杭州安恒信息技术股份有限公司，
类型：发明
国别省市：浙江;33