一种异常检测方法及装置制造方法及图纸

本申请提供了一种异常检测方法及装置，涉及网络安全技术领域。该方法为：获取域名DNS流量；将所述DNS流量中的源IP地址、响应IP地址、域名映射分别为节点，将源IP地址与域名之间的会话信息，或者域名与响应IP地址之间的会话信息作为对应节点之间的边，构建流量映射关系图；根据当前的流量异常类型，从所述流量映射关系图中提取出与所述流量异常类型对应的流量特征；利用所述流量异常类型对应的异常检测模型对所述流量特征进行异常检测处理，以识别出所述DNS流量是否存在所述流量异常类型对应的异常。由此，提高了DNS检测结果的准确度和可靠性。靠性。靠性。

【技术实现步骤摘要】
一种异常检测方法及装置


[0001]本申请涉及网络安全
，尤其涉及一种异常检测方法及装置。

技术介绍

[0002]随着互联网技术的快速发展、互联网设备增多，网络已经成为生活中必不可少的组件。但网络技术的发展也随之带来了诸多安全问题，如计算资源(文件、系统、程序等)的盗用、窃取、破坏等攻击行为。其中涉及的网络技术包括计算机病毒、蠕虫、网络窃听、逻辑炸弹、阻断网络服务等。其中网络攻击者大多利用域名DNS实施信息窃取、病毒感染等行为，这是因为提供域名的解析等关键服务的DNS作为互联网中广泛使用的重要协议，是保证大多数互联网设备正常工作的重要基础。并且，当前生产环境下的DNS及其实现主要参考RFC1034和RFC1035协议规范，其设计并不具备良好的安全防护对策。为了保证DNS的可用性及实际使用体验，防火墙等基础网络防护设施尚未针对DNS通信流量执行深度检测和防护。
[0003]基于DNS的攻击常见的有建立DNS隧道、DGA恶意域名、基于fast flux和基于Domain flux技术的僵尸网络等攻击造成的信息泄露、数据传输。针对异常的DNS攻击异常检测，大多数方法都是基于请求域名特征进行单个异常检测或者分类，没有对DNS流量数据整体建模，无法综合考虑对多种DNS相关的攻击进行异常检测，导致DNS检测结果可能性和准确度低的问题。
[0004]因此，如何提高DNS检测结果的可靠性和准确性是值得考虑的技术问题之一。

技术实现思路

[0005]有鉴于此，本申请提供一种异常检测方法及装置，用以提高DNS检测结果的可靠性和准确性。
[0006]具体地，本申请是通过如下技术方案实现的：
[0007]根据本申请的第一方面，提供一种异常检测方法，包括：
[0008]获取域名DNS流量；
[0009]将所述DNS流量中的源IP地址、响应IP地址、域名映射分别为节点，将源IP地址与域名之间的会话信息，或者域名与响应IP地址之间的会话信息作为对应节点之间的边，构建流量映射关系图；
[0010]根据当前的流量异常类型，从所述流量映射关系图中提取出与所述流量异常类型对应的流量特征；
[0011]利用所述流量异常类型对应的异常检测模型对所述流量特征进行异常检测处理，以识别出所述DNS流量是否存在所述流量异常类型对应的异常。
[0012]根据本申请的第二方面，提供一种异常检测装置，包括：
[0013]获取模块，用于获取域名DNS流量；
[0014]构建模块，用于将所述DNS流量中的源IP地址、响应IP地址、域名映射分别为节点，将源IP地址与域名之间的会话信息，或者域名与响应IP地址之间的会话信息作为对应节点
之间的边，构建流量映射关系图；
[0015]提取模块，用于根据当前的流量异常类型，从所述流量映射关系图中提取出与所述流量异常类型对应的流量特征；
[0016]检测模块，用于利用所述流量异常类型对应的异常检测模型对所述流量特征进行异常检测处理，以识别出所述DNS流量是否存在所述流量异常类型对应的异常。
[0017]根据本申请的第三方面，提供一种电子设备，包括处理器和机器可读存储介质，机器可读存储介质存储有能够被处理器执行的计算机程序，处理器被计算机程序促使执行本申请实施例第一方面所提供的方法。
[0018]根据本申请的第四方面，提供一种机器可读存储介质，机器可读存储介质存储有计算机程序，在被处理器调用和执行时，计算机程序促使处理器执行本申请实施例第一方面所提供的方法。
[0019]本申请实施例的有益效果：
[0020]本申请实施例提供的异常检测识别方法及装置中，获取域名DNS流量；将所述DNS流量中的源IP地址、响应IP地址、域名映射分别为节点，将源IP地址与域名之间的会话信息，或者域名与响应IP地址之间的会话信息作为对应节点之间的边，构建流量映射关系图；根据当前的流量异常类型，从所述流量映射关系图中提取出与所述流量异常类型对应的流量特征；利用所述流量异常类型对应的异常检测模型对所述流量特征进行异常检测处理，以识别出所述DNS流量是否存在所述流量异常类型对应的异常。
[0021]通过实施前述方法，通过从DNS流量中提取多维度的流量数据，然后基于提取出的流量数据进行关联处理，并构建得到流量关系映射图，这样，在此基础上，基于当前的流量异常类型，从流量关系映射图中提取出对应的流量特征，而且提取出的流量特征也是多维度的流量数据关联得到的，因此，在基于异常检测模型进行异常检测时，不仅提高了异常检测结果的准确度，而且也提升了异常检测的可靠性；此外，本申请采用了多个异常检测模型分别进行异常识别，因此，增加了异常检测的应用场景的扩展性和可移植性。
附图说明
[0022]图1是本申请实施例提供的一种异常检测方法的流程示意图；
[0023]图2是本申请实施例提供的一种流量映射关系示意图；
[0024]图3是本申请实施例提供的一种流量映射关系图的存储结构示意图；
[0025]图4a是本申请实施例提供的一种节点之间的单边关系示意图；
[0026]图4b是本申请实施例提供的一种节点之间的多边关系示意图；
[0027]图5是本申请实施例提供的一种异常检测装置的结构示意图；
[0028]图6是本申请实施例提供的一种实施异常检测方法的电子设备的硬件结构示意图。
具体实施方式
[0029]这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如本申
请的一些方面相一致的装置和方法的例子。
[0030]在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。
[0031]应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
[0032]下面对本申请提供的异常检测方法进行详细地说明。
[0033]参见图1，图1是本申请提供的一种异常检测方法的流程图。上述异常检测方法可以但不限于应用于检测设备等网络安全设备中，为了描述方便，以网络安全设备实施上述异常检测方法为例进行说明，网络安全设备在实施该方法时，可包括如下所示步骤：
[0034]本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种异常检测方法，其特征在于，包括：获取域名DNS流量；将所述DNS流量中的源IP地址、响应IP地址、域名映射分别为节点，将源IP地址与域名之间的会话信息，或者域名与响应IP地址之间的会话信息作为对应节点之间的边，构建流量映射关系图；根据当前的流量异常类型，从所述流量映射关系图中提取出与所述流量异常类型对应的流量特征；利用所述流量异常类型对应的异常检测模型对所述流量特征进行异常检测处理，以识别出所述DNS流量是否存在所述流量异常类型对应的异常。2.根据权利要求1所述的方法，其特征在于，所述流量异常类型包括节点异常检测，则根据当前的流量异常类型，从所述流量映射关系图中提取出与所述流量异常类型对应的流量特征，包括：从所述流量映射关系图中分别提取出源IP节点的第一节点特征、域名节点的第二节点特征和响应IP节点的第三节点特征；利用所述流量异常类型对应的异常检测模型对所述流量特征进行异常检测处理，以识别出所述DNS流量是否存在所述流量异常类型对应的异常，包括：利用设定的IP节点异常检测模型分别对所述第一节点特征和第三节点特征进行异常检测处理，以识别出IP节点对应的主机是否存在异常攻击；利用设定的恶意域名检测模型对所述第二节点特征进行异常检测处理，以识别出所述DNS流量中是否存在恶意域名攻击。3.根据权利要求1或2所述的方法，其特征在于，所述流量异常类型包括单边异常检测和/或多边异常检测，则根据当前的流量异常类型，从所述流量映射关系图中提取出与所述流量异常类型对应的流量特征，包括：从所述流量映射关系图中分别提取出请求边的请求流量特征和响应边的响应流量特征；利用所述流量异常类型对应的异常检测模型对所述流量特征进行异常检测处理，以识别出所述DNS流量是否存在所述流量异常类型对应的异常，包括：根据所述单边异常检测对应的单边异常检测模型，和/或，所述多边异常检测对应的多边异常检测模型，对所述请求流量特征和所述响应流量特征进行异常检测处理，以识别出所述DNS流量是否存在恶意域名通信异常。4.根据权利要求2所述的方法，其特征在于，所述第一节点特征至少包括以下一项：请求会话数量、请求域名数量、未注册域名数量、所有请求域名的平均长度、所有请求域名的平均字符熵；所述第二节点特征至少包括以下一项：子域名长度、子域名深度、域名中格式化字段数量、子域名的熵、主域名的熵、域名中数字占比、域名中字母占比、域名中元音占比、域名中辅音占比、n
‑
gram频率均值；所述第三节点特征至少包括以下一项：响应...

【专利技术属性】
技术研发人员：金兆岩，尚素绢，
申请(专利权)人：新华三信息安全技术有限公司，
类型：发明
国别省市：