DNS流量异常的检测方法和系统技术方案

本发明专利技术提供一种DNS流量异常的检测方法和系统，对待处理的DNS流量数据提取相应的特征值，并对每个特征赋予不同的权重，通过W-Kmeans算法和增设的欧氏距离阈值Dthreshold检测在训练集中标记过的异常类簇，并可以发现新的未知特征的异常。本发明专利技术的算法收敛速度快，运算量小，新的待检测样本只需与处理好的训练聚类中心进行比较，无需与大量的原始训练数据进行计算部署成本低，并具有较强的泛化能力，特别适合部署在大型DNS服务器上，能够快速有效地发现DNS流量的异常。

【技术实现步骤摘要】

【技术保护点】
一种DNS流量异常的检测方法，其步骤包括：（1）对原始的DNS流量数据进行预处理，提取特征数据源作为待分类的向量；（2）结合DNS流量的相关特征，对上述向量的每个特征赋予不同的权重；（3）利用W?Kmeans算法对赋予权重后的向量进行检测分析；所述W?Kmeans算法，是采用下式计算欧氏距离dis(x,cy)：dis(x,cy)=Σi=1mwi(xi-ciy)2,y=1,2,...,k其中，向量x表示待分类的向量，cy表示聚类中心向量，m表示向量的特征个数，wi表示向量第i特征的权重，xi表示的是向量x的第i特征值，表示的是cy的第i个特征取值,k为类簇值；（4）根据检测分析结果，与欧氏距离阈值Dthreshold比对，当所述向量与正常类中心向量的距离大于阈值Dthreshold时，判定该DNS流量异常。FDA00002411688200012.jpg

【技术特征摘要】

【专利技术属性】
技术研发人员：李晓东，金键，林成虎，尉迟学彪，
申请(专利权)人：中国科学院计算机网络信息中心，
类型：发明
国别省市：