本发明专利技术公开了一种僵尸网络识别的方法、装置、设备及存储介质,具体包括:获取第一域名系统协议DNS日志数据;从第一DNS日志数据中,筛选满足预设条件的第二DNS日志数据;提取第二DNS日志数据的特征信息;对特征信息进行聚类,将满足预设相似条件的特征信息归为一个聚类集,以得到至少一个聚类集;将至少一个聚类集作为僵尸网络,得到僵尸网络识别结果。根据本发明专利技术的方案,能够快速识别出疑似的僵尸网络,降低了对计算资源消耗,提升了数据处理速度。提升了数据处理速度。提升了数据处理速度。
【技术实现步骤摘要】
一种僵尸网络识别的方法、装置、设备及存储介质
[0001]本专利技术属于计算机
,尤其涉及一种僵尸网络识别的方法、装置、设备及计算机存储介质。
技术介绍
[0002]僵尸网络是指采用一种或多种传播手段,将大量主机感染僵尸程序病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。其中,被感染主机即为僵尸主机。僵尸网络构成一个攻击平台,利用这个平台可以发起各种各样的网络攻击行为,从而导致某些应用系统的瘫痪、个人隐私的泄露等。
[0003]目前,现有技术中,很多僵尸网络识别方法可以完成对僵尸网络的识别检测,但是在需要处理大量日志数据的应用场景中,现有的方法需要进行大量运算分析,例如计算域名的支持度、置信度以及提升度、或者进行僵尸网络识别模型训练等等,才能完成识别。在需要处理日志数据量非常庞大时,现有方案需要消耗大量的计算资源,数据处理负载较大,工作效率较低。
技术实现思路
[0004]本专利技术实施例提供一种僵尸网络识别的方法、装置、设备及计算机存储介质,能够快速识别出疑似的僵尸网络,降低了对计算资源消耗,提升了数据处理速度,可以及时处理掉大量数据,提高工作效率较低。
[0005]第一方面,本专利技术实施例提供一种僵尸网络识别的方法,该方法包括:
[0006]僵尸网络识别的方法,其特征在于,包括:
[0007]获取第一域名系统协议DNS日志数据;
[0008]从所述第一DNS日志数据中,筛选满足预设条件的第二DNS日志数据;
[0009]提取所述第二DNS日志数据的特征信息;
[0010]对所述特征信息进行聚类,将满足预设相似条件的特征信息归为一个聚类集,以得到至少一个聚类集;
[0011]将所述至少一个聚类集作为僵尸网络,得到僵尸网络识别结果。
[0012]可选地,对所述特征信息进行聚类,将满足预设相似条件的特征信息归为一个聚类集,以得到至少一个聚类集,包括:
[0013]根据所述特征信息的目的域名信息和主机网际协议IP信息,确定目的域名信息与主机IP信息的对应关系;
[0014]根据所述对应关系,确定目标目的域名信息对应的主机IP信息的数量值;
[0015]当所述数量值达到所述预设数量阈值时,将所述目标目的域名信息对应的主机IP信息,形成所述目标目的域名信息对应的聚类集。
[0016]可选地,在所述对特征信息进行聚类,将满足预设相似条件的特征信息归为一个聚类集,以得到至少一个聚类集之前,还包括:
[0017]根据所述第二DNS日志数据,确定预设时间段内的主机访问频次;
[0018]确定所述主机访问频次是否超过预设频次阈值;
[0019]所述对特征信息进行聚类,将满足预设相似条件的特征信息归为一个聚类集,以得到至少一个聚类集,包括:
[0020]当所述主机访问频次超过所述预设频次阈值时,则对所述特征信息进行聚类的操作,将满足预设相似条件的特征信息归为一个聚类集,以得到至少一个聚类集。
[0021]可选地,所述将至少一个聚类集作为僵尸网络,得到僵尸网络识别结果之后,还包括:
[0022]将所述至少一个聚类集保存至数据库。
[0023]可选地,所述将至少一个聚类集作为僵尸网络,得到僵尸网络识别结果之后,还包括:
[0024]根据所述至少一个聚类集,发送告警信息。
[0025]可选地,所述从第一DNS日志数据中,筛选满足预设条件的第二DNS日志数据,包括:
[0026]抽取所述第一DNS日志数据的至少一个字段信息;
[0027]根据所述至少一个字段信息,确定所述第二DNS日志数据;
[0028]所述至少一个字段信息包括以下一个或者多个:域名解析时间、客户端及其端口号、请求域名、DNS服务器IP地址、域名解析返回地址、省份以及业务。
[0029]可选地,所述目标目的域名信息包括一个或者多个。
[0030]第二方面,本专利技术实施例提供了一种僵尸网络识别的装置,装置包括:
[0031]获取模块,用于获取第一域名系统协议DNS日志数据;
[0032]筛选模块,用于从所述第一DNS日志数据中,筛选满足预设条件的第二DNS日志数据;
[0033]提取模块,用于提取所述第二DNS日志数据的特征信息;
[0034]聚类模块,用于对所述特征信息进行聚类,将满足预设相似条件的特征信息归为一个聚类集,以得到至少一个聚类集;
[0035]结果模块,用于将所述至少一个聚类集作为僵尸网络,得到僵尸网络识别结果。
[0036]第三方面,本专利技术实施例提供了一种僵尸网络识别的设备,该设备包括:处理器以及存储有计算机程序指令的存储器;
[0037]所述处理器执行所述计算机程序指令时实现如权利要求第一方面以及第一方面可选地所述的僵尸网络识别的的方法。
[0038]第四方面,本专利技术实施例提供了一种计算机存储介质,所述计算机存储介质上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现如第一方面以及第一方面可选地所述的一种僵尸网络识别的的方法。
[0039]本专利技术实施例的僵尸网络识别方法、装置、设备及计算机存储介质,可以首先对获取的DNS日志数据进行筛选,仅需提取满足预设条件的DNS日志数据中的特征信息,并对这些特征信息进行聚类操作,确定至少一个聚类集。每个聚类集中的特征信息表示具有一定相似性的信息,例如相似主机行为的信息等,所以聚类集可以看作为疑似的僵尸网络。由此,无需对海量DNS日志数据一一进行运算分析,只需对满足预设条件的DNS日志数据进行
聚类分析,便可以快速识别出疑似的僵尸网络,降低了对计算资源消耗,提升了数据处理速度,进而可以及时处理掉大量数据,提高工作效率。
附图说明
[0040]为了更清楚地说明本专利技术实施例的技术方案,下面将对本专利技术实施例中所需要使用的附图作简单的介绍,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0041]图1是本专利技术一个实施例提供的僵尸网络识别方法的流程示意图;
[0042]图2是本专利技术另一个实施例提供的僵尸网络识别方法的流程示意图;
[0043]图3是本专利技术一个实施例提供的僵尸网络识别的装置的示意图;
[0044]图4是本专利技术一个实施例提供的僵尸网络识别的硬件结构示意图。
具体实施方式
[0045]下面将详细描述本专利技术的各个方面的特征和示例性实施例,为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及具体实施例,对本专利技术进行进一步详细描述。应理解,此处所描述的具体实施例仅被配置为解释本专利技术,并不被配置为限定本专利技术。对于本领域技术人员来说,本专利技术可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本专利技术的示例来提供对本专利技术更好的理解。
[0046]需要说明的是,在本文中,诸如第一和第二等本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种僵尸网络识别的方法,其特征在于,包括:获取第一域名系统协议DNS日志数据;从所述第一DNS日志数据中,筛选满足预设条件的第二DNS日志数据;提取所述第二DNS日志数据的特征信息;对所述特征信息进行聚类,将满足预设相似条件的特征信息归为一个聚类集,以得到至少一个聚类集;将所述至少一个聚类集作为僵尸网络,得到僵尸网络识别结果。2.根据权利要求1所述的方法,其特征在于,对所述特征信息进行聚类,将满足预设相似条件的特征信息归为一个聚类集,以得到至少一个聚类集,包括:根据所述特征信息的目的域名信息和主机网际协议IP信息,确定目的域名信息与主机IP信息的对应关系;根据所述对应关系,确定目标目的域名信息对应的主机IP信息的数量值;当所述数量值达到所述预设数量阈值时,将所述目标目的域名信息对应的主机IP信息,形成所述目标目的域名信息对应的聚类集。3.根据权利要求2所述的方法,其特征在于,在所述对特征信息进行聚类,将满足预设相似条件的特征信息归为一个聚类集,以得到至少一个聚类集之前,还包括:根据所述第二DNS日志数据,确定预设时间段内的主机访问频次;确定所述主机访问频次是否超过预设频次阈值;所述对特征信息进行聚类,将满足预设相似条件的特征信息归为一个聚类集,以得到至少一个聚类集,包括:当所述主机访问频次超过所述预设频次阈值时,则对所述特征信息进行聚类的操作,将满足预设相似条件的特征信息归为一个聚类集,以得到至少一个聚类集。4.根据权利要求1至3任一项所述的方法,其特征在于,所述将至少一个聚类集作为僵尸网络,得到僵尸网络识别结果之后,还包括:将所述至少一个聚类集保存...
【专利技术属性】
技术研发人员:郭旭,田峰,罗原,谷彦章,曲大林,谢军,
申请(专利权)人:中国移动通信集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。