【技术实现步骤摘要】
一种异常识别方法、装置、设备及计算机可读存储介质
[0001]本申请涉及信息处理领域,涉及但不限于一种异常识别方法、装置、设备及计算机可读存储介质。
技术介绍
[0002]当前互联网应用快速增长,规模越来越大,使得网络安全威胁随之增加,并且许多传统的网络安全方法失效,僵尸网络是当前最严重的网络安全威胁之一。每一个僵尸网络都主要是由被感染主机组成的网络,这些主机通常分布在互联网上。每个僵尸程序(Bot)都会在其受感染的主机中放置一个软件代理,该主机由一个名为僵尸主控机(Botmaster)的独特个人或企业控制。Bots和Botmaster之间的通信称为命令和控制通道。主机通常会在其所有者不知情的情况下被感染,那么,Botmaster便能够使用它们在整个僵尸网络中执行恶意活动。这些恶意活动可能包括分布式拒绝服务攻击、垃圾邮件、恶意广告软件、身份盗窃、敏感信息收集、恶意软件分发和网络恐怖主义,对互联网造成了极大的安全威胁。
[0003]在相关技术中,是通过威胁情报库、聚类算法或者人工经验的特征,来进行被感染主机识别,由于威...
【技术保护点】
【技术特征摘要】
1.一种异常识别方法,其特征在于,所述方法包括:获取域名服务器预设时长内的域名解析日志,并基于请求类型字段信息和应答类型字段信息从所述域名解析日志中确定异常响应数据;基于所述异常响应数据确定各个候选主机标识,并根据各个候选主机对所述异常响应数据中二级域名的访问次数,从所述各个候选主机标识中确定异常主机标识;获取异常主机的域名访问记录,并根据所述域名访问记录和参考异常家族规则集合,确定所述异常主机的异常类型;将所述异常主机标识和所述异常类型确定为识别结果。2.根据权利要求1中所述的方法,其特征在于,所述请求类型字段信息至少包括地址转换请求和查询名称请求,所述应答类型字段信息至少包括所述域名服务器遇到内部错误和域名不存在,所述基于请求类型字段信息和应答类型字段信息从所述域名解析日志中确定异常响应数据,包括:当所述请求类型字段信息为所述地址转换请求,且所述应答类型字段信息为所述域名不存在时,确定包含所述请求字段信息和所述应答类型字段信息的响应数据为所述异常响应数据;或,当所述请求类型字段信息为所述查询名称请求,且所述应答类型字段信息为所述域名服务器遇到内部错误时,确定包含所述请求字段信息和所述应答类型字段信息的响应数据为所述异常响应数据。3.根据权利要求1中所述的方法,其特征在于,所述根据各个候选主机对所述异常响应数据中二级域名的访问次数,从所述各个候选主机标识中确定异常主机标识,包括:获取所述异常响应数据中各个域名信息对应的二级域名;确定第i个候选主机对各个二级域名的访问次数,其中,i=1,2,
…
,N,所述N为候选主机总数;将所述访问次数唯一的二级域名所对应的域名信息确定为所述第i个候选主机对应的异常域名;基于所述域名解析日志获取所述第i个候选主机访问的所有访问域名;根据所述第i个候选主机对应的异常域名和所述第i个候选主机访问的所有访问域名确定所述第i个候选主机满足异常主机判断条件时,将所述第i个候选主机的标识确定为异常主机标识。4.根据权利要求3中所述的方法,其特征在于,所述方法还包括:对所述第i个候选主机对应的异常域名进行去重处理,得到第i个去重后的异常域名;对所述第i个候选主机访问的所有访问域名进行去重处理,得到第i个去重后的访问域名;确定所述第i个去重后的异常域名的第一域名数量和所述第i个去重后的访问域名的第二域名数量;根据所述第一域名数量和所述第二域名数量,确定所述第i个主机是否满足异常主机判断条件。5.根据权利要求4中所述的方法,其特征在于,所述根据所述第一域名数量和所述第二域名数量,确定所述第i个主机是否满足异常主机判断条件,包括:
根据所述第一域名数量和所述第二域名数量,确定所述第i个候选主机的异常域名占比;确定所述第一域名数量是否大于数量阈值且所述第i个候选主机的异常域名占比是否在目标占比范围之内,其中,当所述第一域名数量大于所述数量阈值且所述第i个候选主机的异常域名占比在目标占比范围之内时,确定...
【专利技术属性】
技术研发人员:钱湖海,褚灵璐,钱成,周旭莹,鲁银冰,
申请(专利权)人:中国移动通信集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。