【技术实现步骤摘要】
基于Spark流式的DNS隧道检测方法、装置及电子设备
本专利技术涉及数据通信
,具体地涉及一种基于Spark流式的DNS隧道检测方法、一种基于Spark流式的DNS隧道检测装置以及一种电子设备。
技术介绍
域名系统(DomainNameSystem)是一种域名(Domain)和网络地址(IP)一一对应的标准协议,实现这种协议提供DNS服务的称为DNS服务器。为了便于管理,域名系统在因特网中的命名也采用层次结构的命名方法。域名系统中也有权威的根域名服务器、权威域名服务器等。DNS隧道是将其他协议的内容封装在DNS协议中,然后以DNS请求和响应包完成传输数据(通信)的技术。当前网络世界中的DNS是一项必不可少的服务,所以防火墙和入侵检测设备处于可用性和用户友好的考虑很难做到完全过滤掉DNS流量,因此,攻击者可以利用它实现诸如远程控制,文件传输等操作,众多研究表明DNSTunneling在僵尸网络和APT攻击中扮演着至关重要的角色。现有的检测技术有非机器学习方法和机器学习方法,机器学习方法有基于通信行为分析...
【技术保护点】
1.一种基于Spark流式的DNS隧道检测方法,其特征在于,所述检测方法包括:/n采用SparkStreaming将数据流量按时间切片为分布式数据格式;/n从时间切片后的数据流量中提取DNS协议数据;/n从所述DNS协议数据中提取数据特征;/n将提取出的数据特征输入训练好的预测模型中,得到预测结果;/n统计所述预测结果大于预设的预测结果阈值的DNS协议数据的二级域名的出现次数;/n确定所述二级域名的出现次数大于设定的二级域名次数阈值,则所述DNS协议数据为DNS隧道。/n
【技术特征摘要】
1.一种基于Spark流式的DNS隧道检测方法,其特征在于,所述检测方法包括:
采用SparkStreaming将数据流量按时间切片为分布式数据格式;
从时间切片后的数据流量中提取DNS协议数据;
从所述DNS协议数据中提取数据特征;
将提取出的数据特征输入训练好的预测模型中,得到预测结果;
统计所述预测结果大于预设的预测结果阈值的DNS协议数据的二级域名的出现次数;
确定所述二级域名的出现次数大于设定的二级域名次数阈值,则所述DNS协议数据为DNS隧道。
2.根据权利要求1所述的检测方法,其特征在于,在确定所述二级域名的出现次数大于设定的二级域名次数阈值之后,所述检测方法还包括:
确定所述预测结果大于预设的预测结果阈值的DNS协议数据存在三级域名;
评价所述三级域名的出现次数的离散程度;
确定所述离散程度小于预设的离散程度阈值。
3.根据权利要求1或2所述的检测方法,其特征在于,所述数据特征包括:
域名长度、域名信息熵、域名平均累计斜率、字符类型分布特征、子域名长度、域名与类型组合的信息熵和子域名平均累计斜率中的至少一种。
4.根据权利要求3所述的检测方法,其特征在于,所述域名与类型组合的信息熵通过以下方式获得:
确定所述域名的类型;
将确定的类型对应的文字标识补充至所述域名之后;
计算所述域名和所述文字标识组成的字符的信息熵。
5.根据权利要求3所述的检测方法,其特征在于,所述域名平均累计斜率或子域名平均累计斜率通过以下方式获取:
统计所述域名或所述子域名中每个字符的出现频率,按照出现频率降序对字符进行排列,然后计算相邻字符频率的差值,最后计算所述差值的平均值,记为所述域名或所述子域名...
【专利技术属性】
技术研发人员:卯路宁,于金龙,王智民,王高杰,
申请(专利权)人:北京六方云信息技术有限公司,北京六方云科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。