本公开涉及一种异常检测方法和装置,方法包括:获取域名系统DNS流量,DNS流量包括至少一个DNS数据包;对DNS流量进行检测,在确定存在可疑的DNS数据包时,确定可疑的DNS数据包的记录类型;根据记录类型,确定可疑的DNS数据包是否异常。本公开实施例确定可疑DNS数据包,并根据可疑DNS数据包的记录类型进行异常判断,能够有效提高异常检测的精准度。
【技术实现步骤摘要】
异常检测方法和装置
本公开涉及网络安全
,尤其涉及一种异常检测方法和装置。
技术介绍
域名系统(DomainNameSystem,DNS)数据包中的隐蔽信道可以被用于进行数据泄露及命令控制等恶意活动,给网络安全造成较为严重的危害。相关技术中,对DNS数据包的异常检测的精准度较低。
技术实现思路
有鉴于此,本公开提出了一种异常检测方法和装置的技术方案。根据本公开的一方面,提供了一种异常检测方法,所述方法包括:获取域名系统DNS流量,所述DNS流量包括至少一个DNS数据包;对所述DNS流量进行检测,在确定存在可疑的DNS数据包时,确定所述可疑的DNS数据包的记录类型;根据所述记录类型,确定所述可疑的DNS数据包是否异常。在一种可能的实现方式中,所述根据所述记录类型,确定所述可疑的DNS数据包是否异常,包括:在所述记录类型为目标记录类型时,确定在目标时间区间内,目标IP地址是否被访问,其中,所述目标IP地址是根据所述可疑的DNS数据包确定的;若在所述目标时间区间内,所述目标IP地址未被访问,则确定所述可疑的DNS数据包的检测结果为异常。在一种可能的实现方式中,所述根据所述记录类型,确定所述可疑的DNS数据包是否异常,还包括:若在所述目标时间区间内,所述目标IP地址被访问,则确定所述可疑的DNS数据包的检测结果为正常。在一种可能的实现方式中,所述根据所述记录类型,确定所述可疑的DNS数据包是否异常,包括:在所述记录类型不属于目标记录类型时,确定所述可疑的DNS数据包的检测结果为异常。在一种可能的实现方式中,所述对所述DNS流量进行检测,包括:对所述DNS流量中的至少一个DNS数据包进行特征提取,得到域名特征;确定所述域名特征的特征向量;根据所述特征向量以及训练好的检测模型,确定是否存在可疑的DNS数据包。在一种可能的实现方式中,所述域名特征包括单域名特征以及多域名特征中至少之一,所述单域名特征是根据单个域名提取的特征,所述多域名特征是根据多个域名之间的关联信息确定的特征。在一种可能的实现方式中,所述方法还包括:去除所述DNS流量中域名位于白名单上的DNS数据包,得到目标DNS流量;其中,所述对所述DNS流量进行检测,包括:对所述目标DNS流量进行检测。在一种可能的实现方式中,所述目标记录类型包括A类型或AAAA类型。在一种可能的实现方式中,所述方法还包括:在确定所述可疑的DNS数据包为异常时,发送告警信息。根据本公开的另一方面,提供了一种异常检测装置,所述装置包括:获取模块,用于获取域名系统DNS流量,所述DNS流量包括至少一个DNS数据包;检测模块,用于对所述DNS流量进行检测,在确定存在可疑的DNS数据包时,确定所述可疑的DNS数据包的记录类型;第一确定模块,用于根据所述记录类型,确定所述可疑的DNS数据包是否异常。在一种可能的实现方式中,所述第一确定模块包括:第一确定子模块,用于在所述记录类型为目标记录类型时,确定在目标时间区间内,目标IP地址是否被访问,其中,所述目标IP地址是根据所述可疑的DNS数据包确定的;第二确定子模块,用于若在所述目标时间区间内,所述目标IP地址未被访问,则确定所述可疑的DNS数据包的检测结果为异常。在一种可能的实现方式中,所述第一确定模块还包括:第三确定子模块,用于若在所述目标时间区间内,所述目标IP地址被访问,则确定所述可疑的DNS数据包的检测结果为正常。在一种可能的实现方式中,所述第一确定模块包括:第四确定子模块,用于在所述记录类型不属于目标记录类型时,确定所述可疑的DNS数据包的检测结果为异常。在一种可能的实现方式中,所述检测模块包括:特征提取子模块,用于对所述DNS流量中的至少一个DNS数据包进行特征提取,得到域名特征;第五确定子模块,用于确定所述域名特征的特征向量;第六确定子模块,用于根据所述特征向量以及训练好的检测模型,确定是否存在可疑的DNS数据包。在一种可能的实现方式中,所述域名特征包括单域名特征以及多域名特征中至少之一,所述单域名特征是根据单个域名提取的特征,所述多域名特征是根据多个域名之间的关联信息确定的特征。在一种可能的实现方式中,所述装置还包括:第二确定模块,用于去除所述DNS流量中域名位于白名单上的DNS数据包,得到目标DNS流量;其中,所述检测模块包括:检测子模块,用于对所述目标DNS流量进行检测。在一种可能的实现方式中,所述目标记录类型包括A类型或AAAA类型。在一种可能的实现方式中,所述装置还包括:告警模块,用于在确定所述可疑的DNS数据包为异常时,发送告警信息。根据本公开的另一方面,提供了一种异常检测装置,包括:处理器;用于存储处理器可执行指令的存储器;其中,所述处理器被配置为执行上述异常检测方法。根据本公开的另一方面,提供了一种非易失性计算机可读存储介质,其上存储有计算机程序指令,其中,所述计算机程序指令被处理器执行时实现上述异常检测方法。在本公开实施例中,获取域名系统DNS流量,对所述DNS流量进行检测,在确定存在可疑的DNS数据包时,确定所述可疑的DNS数据包的记录类型;根据所述记录类型,针对可疑的DNS数据包进行异常判断,能够有效提高异常检测的精准度。根据下面参考附图对示例性实施例的详细说明,本公开的其它特征及方面将变得清楚。附图说明包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本公开的示例性实施例、特征和方面,并且用于解释本公开的原理。图1示出根据本公开实施例的一种异常检测方法的流程图。图2示出根据本公开实施例的一种异常检测方法的示意图。图3示出根据本公开实施例的一种异常检测装置的框图。图4示出根据本公开实施例的一种异常检测装置的框图。图5示出根据本公开实施例的一种异常检测装置的框图。具体实施方式以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面,但是除非特别指出,不必按比例绘制附图。在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。另外,为了更好的说明本公开,在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解,没有某些具体细节,本公开同样可以实施。在一些实例中,对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述,以便于凸显本公开的主旨。相关技术中,DNS隐蔽信道(DNSCovertChannel)为DNS数据包中可定义字段秘密传递信息的通道,DNS隐本文档来自技高网...
【技术保护点】
1.一种异常检测方法,其特征在于,所述方法包括:/n获取域名系统DNS流量,所述DNS流量包括至少一个DNS数据包;/n对所述DNS流量进行检测,在确定存在可疑的DNS数据包时,确定所述可疑的DNS数据包的记录类型;/n根据所述记录类型,确定所述可疑的DNS数据包是否异常。/n
【技术特征摘要】
1.一种异常检测方法,其特征在于,所述方法包括:
获取域名系统DNS流量,所述DNS流量包括至少一个DNS数据包;
对所述DNS流量进行检测,在确定存在可疑的DNS数据包时,确定所述可疑的DNS数据包的记录类型;
根据所述记录类型,确定所述可疑的DNS数据包是否异常。
2.根据权利要求1所述的方法,其特征在于,所述根据所述记录类型,确定所述可疑的DNS数据包是否异常,包括:
在所述记录类型为目标记录类型时,确定在目标时间区间内,目标IP地址是否被访问,其中,所述目标IP地址是根据所述可疑的DNS数据包确定的;
若在所述目标时间区间内,所述目标IP地址未被访问,则确定所述可疑的DNS数据包的检测结果为异常。
3.根据权利要求2所述的方法,其特征在于,所述根据所述记录类型,确定所述可疑的DNS数据包是否异常,还包括:
若在所述目标时间区间内,所述目标IP地址被访问,则确定所述可疑的DNS数据包的检测结果为正常。
4.根据权利要求1所述的方法,其特征在于,所述根据所述记录类型,确定所述可疑的DNS数据包是否异常,包括:
在所述记录类型不属于目标记录类型时,确定所述可疑的DNS数据包的检测结果为异常。
5.根据权利要求1所述的方法,其特征在于,所述对所述DNS流量进行检测,包括:
对所述DNS流量中的至...
【专利技术属性】
技术研发人员:刁嘉文,王忠儒,崔翔,冯林,王田,阮强,
申请(专利权)人:丁牛信息安全科技江苏有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。