识别基于CDN流量伪装攻击的方法、装置、设备和介质制造方法及图纸

本公开提供了一种识别基于CDN流量伪装攻击的方法、装置、设备和介质，涉及信息安全技术领域或金融领域等。该方法包括实时采集网络节点处的CDN流量数据，对CDN流量数据执行分组处理并从分组处理的结果中获取DNS流量数据；对DNS流量数据进行预处理获取特征信息并基于特征信息获取特征值；将特征值输入分类模型，输出CDN流量数据是否存在恶意攻击；若输出的CND流量数据存在恶意攻击，则对CDN流量进行阻断。本公开中通过对CDN流量进行特征提取，将提取到的特征的特征值输入到事先通过机器学习建立的分类模型中，利用分类模型快速识别CDN流量的伪装攻击行为，主动发现恶意攻击。主动发现恶意攻击。主动发现恶意攻击。

【技术实现步骤摘要】
识别基于CDN流量伪装攻击的方法、装置、设备和介质


[0001]本公开涉及信息安全
，更具体地涉及一种识别基于CDN流量伪装攻击的方法、装置、设备、介质和程序产品。

技术介绍

[0002]在当前网络形势下，渗透测试或者黑客攻击场景过程中，经常采用CDN来隐藏自己真实攻击IP。黑客在控制目标时，为了隐蔽自身，很少直接使用真实IP对目标进行远控攻击，而是通过CDN加速技术，配置CNAME，实现域前置技术躲避入侵检测系统的检测。CDN具有对网站真实IP良好隐藏的特性，导致黑客的攻击行为隐蔽性高，非常难以被发现。

技术实现思路

[0003]鉴于上述问题，本公开提供了一种识别基于CDN流量伪装攻击的方法、装置、设备、介质和程序产品。
[0004]根据本公开的第一个方面，提供了一种识别基于CDN流量伪装攻击的方法，包括实时采集网络节点处的CDN流量数据，对所述CDN流量数据执行分组处理并从所述分组处理的结果中获取DNS流量数据；对所述DNS流量数据进行预处理获取特征信息并基于所述特征信息获取特征值；将所述特征值输入分类模型，输出所述CDN流量数据是否存在恶意攻击；若输出的所述CND流量数据存在恶意攻击，则对所述CDN流量进行阻断。
[0005]根据本公开的实施例，所述对所述DNS流量数据进行预处理获取特征信息包括：基于开源情报信息和采集的历史CDN流量数据对所述CDN流量数据的域名信息进行扩展；基于扩展后的所述域名信息在所述CDN流量数据中确定所述DNS流量数据的访问行为特征。
[0006]根据本公开的实施例，所述扩展后的域名信息包括白名单标记、域名备案信息、CND归属、解析IP、解析次数。
[0007]根据本公开的实施例，所述访问行为特征包括访问频率、访问时间、访问时长、源IP、目的IP、banner信息、证书信息。
[0008]根据本公开的实施例，所述基于CDN流量伪装攻击的方法还包括：创建黑名单库；所述若输出的所述CND流量数据存在恶意攻击，则对所述CDN流量进行阻断之后，将所述CDN流量数据的目的IP记录到所述黑名单库中。
[0009]根据本公开的实施例，在所述将所述特征值输入分类模型之前还包括：将所述特征信息中的目的IP信息与所述黑名单库中的IP信息进行匹配，所述特征信息中的目的IP信息存在于所述黑名单库中，则对所述CDN流量进行阻断。
[0010]根据本公开的实施例，所述实时采集网络节点处的CDN流量数据包括：对所述网络节点处的CDN流量采用端口镜像采集；或者对所述网络节点处的CDN流量采用分光器采集。
[0011]根据本公开的实施例，所述对所述CDN流量数据执行分组处理并从所述分组处理的结果中获取DNS流量数据包括：根据应用层的DNS协议从所述CND流量中获取所述DNS流量数据。
[0012]本公开的第二方面提供了一种基于识别CDN流量伪装攻击的装置，包括：流量获取模块，用于实时采集网络节点处的CDN流量数据，对所述CDN流量数据执行分组处理并从所述分组处理的结果中获取DNS流量数据；第一特征提取模块，用于对所述DNS流量数据进行预处理获取特征信息并基于所述特征信息获取特征值；流量判断模块，用于将所述特征值输入分类模型，输出所述CDN流量数据是否存在恶意攻击；阻断模块，用于若输出的所述CND流量数据存在恶意攻击，则对所述CDN流量进行阻断。
[0013]根据本公开的实施例，还包括黑名单模块，用于创建黑名单库，并在若输出的所述CND流量数据存在恶意攻击，则对所述CDN流量进行阻断之后，将所述CDN流量数据的目的IP记录到所述黑名单库中。
[0014]本公开的第三个方面提供了一种训练分类模型的方法，包括：基于无监督聚类算法对历史采集的CDN流量数据进行聚类，所述聚类的结果包括正常访问和恶意攻击两类；对历史采集的CDN流量数据进行特征提取并获取特征值；将所述特征值作为所述分类模型的输入，基于所述分类模型的输出和所述聚类的结果对所述分类模型进行训练。
[0015]本公开的第四个方面提供了一种训练分类模型，包括：
[0016]流量标记分类模块，用于基于无监督聚类算法对历史采集的CDN流量数据进行聚类，所述聚类的结果包括正常访问和恶意攻击两类；
[0017]第二特征提取模块，用于对历史采集的CDN流量数据进行特征提取并获取特征值；
[0018]模型训练模块，用于将所述特征值作为所述分类模型的输入，基于所述分类模型的输出和所述聚类的结果对所述分类模型进行训练。
[0019]本公开的第五方面提供了一种电子设备，包括：一个或多个处理器；存储器，用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得一个或多个处理器执行上述基于CDN流量伪装攻击的方法。
[0020]本公开的第六方面还提供了一种计算机可读存储介质，其上存储有可执行指令，该指令被处理器执行时使处理器执行上述识别基于CDN流量伪装攻击的方法。
[0021]本公开的第七方面还提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现上述识别基于CDN流量伪装攻击的方法。
[0022]根据本公开的识别基于CDN流量伪装攻击的方法通过实时采集网络节点处的CDN流量数据，对CDN流量数据执行分组处理并从分组处理的结果中获取DNS流量数据；对DNS流量数据进行预处理获取特征信息并基于特征信息获取特征值；将特征值输入分类模型，输出CDN流量数据是否存在恶意攻击；若输出的CND流量数据存在恶意攻击，则对CDN流量进行阻断。本公开的实施例中通过对隐藏IP的CDN流量进行特征提取，将提取到的特征的特征值输入到事先通过机器学习建立的分类模型中，利用分类模型快速识别CDN流量的伪装攻击行为，主动发现恶意攻击。
附图说明
[0023]通过以下参照附图对本公开实施例的描述，本公开的上述内容以及其他目的、特征和优点将更为清楚，在附图中：
[0024]图1示意性示出了根据本公开实施例的识别基于CDN流量伪装攻击的方法、装置、设备、介质和程序产品的应用场景图；
[0025]图2示意性示出了根据本公开实施例的识别基于CDN流量伪装攻击的方法的流程图；
[0026]图3示意性示出了根据本公开实施例的识别基于CDN流量伪装攻击的方法的另一实施方式的流程图；
[0027]图4示意性示出了根据本公开实施例的识别基于CDN流量伪装攻击的方法的另一实施方式的流程图；
[0028]图5示意性示出了根据本公开实施例的识别基于CDN流量伪装攻击的装置的结构框图；
[0029]图6示意性示出了根据本公开实施例的识别基于CDN流量伪装攻击的装置的另一实施方式的结构框图；
[0030]图7示意性示出了根据本公开实施例的训练分类模型的方法的流程图；
[0031]图8示意性示出了根据本公开实施例的训练分类模型的装置的结构框图；
[0032]图9示意性示出了根据本公开本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种识别基于CDN流量伪装攻击的方法，其特征在于，包括：实时采集网络节点处的CDN流量数据，对所述CDN流量数据执行分组处理并从所述分组处理的结果中获取DNS流量数据；对所述DNS流量数据进行预处理获取特征信息并基于所述特征信息获取特征值；将所述特征值输入分类模型，输出所述CDN流量数据是否存在恶意攻击；若输出的所述CND流量数据存在恶意攻击，则对所述CDN流量进行阻断。2.根据权利要求1所述的识别基于CDN流量伪装攻击的方法，其特征在于，所述对所述DNS流量数据进行预处理获取特征信息包括：基于开源情报信息和采集的历史CDN流量数据对所述CDN流量数据的域名信息进行扩展；基于扩展后的所述域名信息在所述CDN流量数据中确定所述DNS流量数据的访问行为特征。3.根据权利要求2所述的识别基于CDN流量伪装攻击的方法，其特征在于，所述扩展后的域名信息包括白名单标记、域名备案信息、CND归属、解析IP、解析次数。4.根据权利要求2所述的识别基于CDN流量伪装攻击的方法，其特征在于，所述访问行为特征包括访问频率、访问时间、访问时长、源IP、目的IP、banner信息、证书信息。5.根据权利要求1所述的识别基于CDN流量伪装攻击的方法，其特征在于，还包括：创建黑名单库；所述若输出的所述CND流量数据存在恶意攻击，则对所述CDN流量进行阻断之后，将所述CDN流量数据的目的IP记录到所述黑名单库中。6.根据权利要求5所述的识别基于CDN流量伪装攻击的方法，其特征在于，在所述将所述特征值输入分类模型之前还包括：将所述特征信息中的目的IP信息与所述黑名单库中的目的IP信息进行匹配，所述特征信息中的IP信息存在于所述黑名单库中，则对所述CDN流量进行阻断。7.根据权利要求1所述的识别基于CDN流量伪装攻击的方法，其特征在于，所述实时采集网络节点处的CDN流量数据包括：对所述网络节点处的CDN流量采用端口镜像采集；或者对所述网络节点处的CDN流量采用分光器采集。8.根据权利要求1所述的识别基于CDN流量伪装攻击的方法，其特征在于，所述对所述CDN流量数据执行分组处理并从所述分组处理的结果中获取DNS流量数据包括：根据应用层的DNS协...

【专利技术属性】
技术研发人员：刘赫德，祝萍，莫思敏，吴昊宇，
申请(专利权)人：中国工商银行股份有限公司，
类型：发明
国别省市：