【技术实现步骤摘要】
一种异常数据检测方法、装置、电子设备及存储介质
[0001]本申请涉及网络安全
,具体而言,涉及一种异常数据检测方法、装置、电子设备及存储介质。
技术介绍
[0002]在互联网与企业内网环境中,DNS协议是必不可少的网络通信协议之一。网络设备和边界防护设备在一般的情况下很少对DNS进行过滤分析或屏蔽,因此将数据或指令藏匿于DNS协议中进行传输是一种隐蔽且有效的手段。当攻击者拿下某台服务器权限或服务器被恶意软件、蠕虫、木马等感染之后,在利用DNS隧道传输数据的攻击场景中,通过DNS域名传输异常数据是一种简单有效因而被攻击者广泛利用的方式。
[0003]异常域名与正常域名有着较为明显的差别,例如异常域名通常都较长、且大都表现为字符分布较为混乱的非人类可读的字符串等等。因此,从DNS域名进行检测可以有效发现DNS隧道等DNS异常数据。现有的检测方法,有的需要在获取多条域名数据之后才能进行检测,有的需要获取域名的互联网信息特征即需要获取额外的信息才能进行异常检测。
技术实现思路
[0004]本申请实施例...
【技术保护点】
【技术特征摘要】
1.一种异常数据检测方法,其特征在于,所述方法包括:计算正常域名数据的概率分布;计算待测域名的多个待测特征对应的第一特征值;基于所述概率分布计算所述第一特征值的分值;基于所述分值和预设异常阈值确定所述待测域名是否为异常数据。2.根据权利要求1所述的异常数据检测方法,其特征在于,所述计算正常域名数据的概率分布,包括:获取各种应用场景得到正常域名数据;提取所述正常域名数据的正常特征;计算所述正常域名数据的每种正常特征对应的第二特征值;基于所述第二特征值计算概率分布。3.根据权利要求2所述的异常数据检测方法,其特征在于,所述基于所述第二特征值计算概率分布,包括:获取任意第一正常特征的第二特征值的取值范围;将所述取值范围划分为k个取值区间,所述k为设定整数值;初始化每个取值区间的概率值为1/k;获取第二正常特征的第二特征值;确定所述第二特征值的取值区间并将所述取值区间对应的概率值更新为分子和分母同时加一,相应的,其他取值区间的概率值更新为分母加一;利用每种正常特征的所有第二特征值对所述概率值进行更新,以得到每种正常特征的概率分布。4.根据权利要求1所述的异常数据检测方法,其特征在于,所述基于所述概率分布计算所述第一特征值的分值,包括:获取所述第一特征值在所述概率分布中的取值区间;基于所述取值区间确定在所述概率分布中的概率值;将所述概率值的分子和分母同时加一,得到基准概率值;将所述概率分布中的其他取值区间对应的概率值的分母加一,得到新概率值;将所有小于等于基准概率值的概率值进行累加,得到概率和;基于概率和计算待测域名对应的分值:A=
‑
log
10
(p
‑
sum);其中,p
‑
sum表示概率和。5.根据权利要求1所述的异常数据检测方法,其特征在于,所述预设异常阈值包括第一异常分值阈值和异常分值数目阈值,所述基于所述分值和预设异常阈值确定所述待测域名是否为异常数据,包括:将所述待测域名的多个分值与所述第一异常分值阈值比较,并记录分值不小于所述第一异常分值阈值的待测特征的数量;若所述数量不小于所述异常分值数目阈值,则所述待测域名为异常数据。6.根据权...
【专利技术属性】
技术研发人员:谢鹏程,余小军,李渊,
申请(专利权)人:北京天融信网络安全技术有限公司北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。