網絡攻擊行為檢測方法及裝置與流程
本發明涉及網絡安全技術領域,具體涉及一種網絡攻擊行為檢測方法及裝置。
背景技術:
隨著互聯網技術的發展,域名解析系統被廣泛的應用,由域名解析系統所帶來的網絡安全問題也不斷增多,比如針對域名服務器的DDoS(DDoS:Distributed Denial of Service,分布式拒絕服務攻擊)、針對特定類型網絡的DDoS攻擊、大規模DNS(Domain Name System,域名系統)欺騙攻擊、僵尸網絡等等,由于上述網絡攻擊行為往往具有很強的欺騙性和偽裝性,常規對所有數據進行抓包分析的檢測方式效率較低,難以對其進行有效的檢測。
技術實現要素:
針對現有技術中的缺陷,本發明提供一種網絡攻擊行為檢測方法及裝置,以高效的對網絡攻擊行為進行檢測。
第一方面,本發明提供的一種網絡攻擊行為檢測方法,包括:
獲取域名系統解析數據;
采用預設的數據挖掘算法對所述域名系統解析數據中記載的域名與域名IP的對應關系或域名IP與客戶端IP的對應關系進行數據挖掘,獲得數據挖掘結果;
根據所述數據挖掘結果對網絡攻擊行為進行檢測。
可選的,所述獲取域名系統解析數據,包括:
利用流量捕獲設備捕獲指定網絡范圍內的多個客戶端發送的域名系統解析數據。
可選的,所述數據挖掘算法包括聚類分析算法;
所述采用預設的數據挖掘算法對所述域名系統解析數據中記載的域名與域名IP的對應關系或域名IP與客戶端IP的對應關系進行數據挖掘,獲得數據挖掘結果,包括:
采用聚類分析算法,對所述域名系統解析數據中記載的域名和域名IP的對應關系進行聚類,將聚類后的域名與域名IP的對應關系作為數據挖掘結果;
所述根據所述數據挖掘結果對網絡攻擊行為進行檢測,包括:
對所述聚類后的域名與域名IP的對應關系進行模式分析,根據模式分析結果確定網絡攻擊行為的類型。
可選的,所述數據挖掘算法包括群集分析算法;
所述采用預設的數據挖掘算法對所述域名系統解析數據中記載的域名與域名IP的對應關系或域名IP與客戶端IP的對應關系進行數據挖掘,獲得數據挖掘結果,包括:
采用群集分析算法,在所述域名系統解析數據中記載的域名和域名IP的對應關系中尋找關聯度較高的群集,將尋找出的關聯度較高的所述群集作為數據挖掘結果;
所述根據所述數據挖掘結果對網絡攻擊行為進行檢測,包括:
對尋找出的關聯度較高的所述群集,采用多層鏈接分析算法檢測與網絡攻擊行為相關的域名IP。
可選的,所述數據挖掘算法包括時間序列分析算法;
所述采用預設的數據挖掘算法對所述域名系統解析數據中記載的域名與域名IP的對應關系或域名IP與客戶端IP的對應關系進行數據挖掘,獲得數據挖掘結果,包括:
采用時間序列分析算法,將所述域名系統解析數據中記載的域名IP與客戶端IP的對應關系以時間序列的方式進行排序,根據排序結果確定所述域名IP與客戶端IP的對應關系的規律和趨勢,將所述域名IP與客戶端IP的對應關系的規律和趨勢作為數據挖掘結果;
所述根據所述數據挖掘結果對網絡攻擊行為進行檢測,包括:
根據所述域名IP與客戶端IP的對應關系的規律和趨勢確定網絡攻擊行為的攻擊路徑和數據流向。
可選的,所述數據挖掘算法包括路徑分析算法;
所述采用預設的數據挖掘算法對所述域名系統解析數據中記載的域名與域名IP的對應關系或域名IP與客戶端IP的對應關系進行數據挖掘,獲得數據挖掘結果,包括:
采用路徑分析算法,在所述域名系統解析數據中尋找域名IP與客戶端IP之間的關聯或路徑,將尋找出的域名IP與客戶端IP之間的關聯或路徑作為數據挖掘結果;
所述根據所述數據挖掘結果對網絡攻擊行為進行檢測,包括:
根據尋找出的域名IP與客戶端IP之間的關聯或路徑確定網絡攻擊行為的攻擊路徑和數據流向。
第二方面,本發明提供的一種網絡攻擊行為檢測裝置,包括:
數據獲取模塊,用于獲取域名系統解析數據;
數據挖掘模塊,用于采用預設的數據挖掘算法對所述域名系統解析數據中記載的域名與域名IP的對應關系或域名IP與客戶端IP的對應關系進行數據挖掘,獲得數據挖掘結果;
攻擊行為檢測模塊,用于根據所述數據挖掘結果對網絡攻擊行為進行檢測。
可選的,所述數據獲取模塊,包括:
數據捕獲單元,用于利用流量捕獲設備捕獲指定網絡范圍內的多個客戶端發送的域名系統解析數據。
可選的,所述數據挖掘算法包括聚類分析算法;
所述數據挖掘模塊,包括:
聚類分析單元,用于采用聚類分析算法,對所述域名系統解析數據中記載的域名和域名IP的對應關系進行聚類,將聚類后的域名與域名IP的對應關系作為數據挖掘結果;
所述根據所述數據挖掘結果對網絡攻擊行為進行檢測,包括:
攻擊類型檢測單元,用于對所述聚類后的域名與域名IP的對應關系進行模式分析,根據模式分析結果確定網絡攻擊行為的類型。
可選的,所述數據挖掘算法包括群集分析算法;
所述數據挖掘模塊,包括:
群集分析單元,用于采用群集分析算法,在所述域名系統解析數據中記載的域名和域名IP的對應關系中尋找關聯度較高的群集,將尋找出的關聯度較高的所述群集作為數據挖掘結果;
所述攻擊行為檢測模塊,包括:
群集檢測單元,用于對尋找出的關聯度較高的所述群集,采用多層鏈接分析算法檢測與網絡攻擊行為相關的域名IP。
可選的,所述數據挖掘算法包括時間序列分析算法;
所述數據挖掘模塊,包括:
時間序列分析單元,用于采用時間序列分析算法,將所述域名系統解析數據中記載的域名IP與客戶端IP的對應關系以時間序列的方式進行排序,根據排序結果確定所述域名IP與客戶端IP的對應關系的規律和趨勢,將所述域名IP與客戶端IP的對應關系的規律和趨勢作為數據挖掘結果;
所述攻擊行為檢測模塊,包括:
時間序列檢測單元,用于根據所述域名IP與客戶端IP的對應關系的規律和趨勢確定網絡攻擊行為的攻擊路徑和數據流向。
可選的,所述數據挖掘算法包括路徑分析算法;
所述數據挖掘模塊,包括:
路徑分析單元,用于采用路徑分析算法,在所述域名系統解析數據中尋找域名IP與客戶端IP之間的關聯或路徑,將尋找出的域名IP與客戶端IP之間的關聯或路徑作為數據挖掘結果;
所述攻擊行為檢測模塊,包括:
路徑檢測單元,用于根據尋找出的域名IP與客戶端IP之間的關聯或路徑確定網絡攻擊行為的攻擊路徑和數據流向。
由上述技術方案可知,本發明提供的一種網絡攻擊行為檢測方法,首先獲取域名系統解析數據;然后,采用預設的數據挖掘算法對所述域名系統解析數據中記載的域名與域名IP的對應關系或域名IP與客戶端IP的對應關系進行數據挖掘,獲得數據挖掘結果;最后根據所述數據挖掘結果對網絡攻擊行為進行檢測。不同于傳統抓包分析的網絡攻擊行為檢測方式,本發明以域名系統解析數據為處理對象,通過對其進行數據挖掘,從而根據挖掘結果能夠更加有效、快速地對網絡攻擊行為進行檢測。
本發明提供的一種網絡攻擊行為檢測裝置,與上述網絡攻擊行為檢測方法出于相同的發明構思,具有相同的有益效果。
附圖說明
為了更清楚地說明本發明具體實施方式或現有技術中的技術方案,下面將對具體實施方式或現有技術描述中所需要使用的附圖作簡單地介紹。
圖1示出了本發明第一實施例所提供的一種網絡攻擊行為檢測方法的流程圖;
圖2示出了本發明第二實施例所提供的一種網絡攻擊行為檢測裝置的示意圖。
具體實施方式
下面將結合附圖對本發明技術方案的實施例進行詳細的描述。以下實施例僅用于更加清楚地說明本發明的技術方案,因此只是作為示例,而不能以此來限制本發明的保護范圍。
需要注意的是,除非另有說明,本申請使用的技術術語或者科學術語應當為本發明所屬領域技術人員所理解的通常意義。
本發明提供一種網絡攻擊行為檢測方法、一種網絡攻擊行為檢測裝置和一種網絡攻擊行為檢測系統。下面結合附圖對本發明的實施例進行說明。
圖1示出了本發明第一實施例所提供的一種網絡攻擊行為檢測方法的流程圖。如圖1所示,本發明第一實施例提供的一種網絡攻擊行為檢測方法包括以下步驟:
步驟S101:獲取域名系統解析數據。
本發明實施例中,所述域名系統解析數據(即DNS數據)可以采用流量捕獲設備進行捕獲,例如,在網關處布置一流量捕獲設備,利用該流量捕獲設備捕獲指定網絡范圍內的多個客戶端發送的域名系統解析數據。
步驟S102:采用預設的數據挖掘算法對所述域名系統解析數據中記載的域名與域名IP的對應關系或域名IP與客戶端IP的對應關系進行數據挖掘,獲得數據挖掘結果。
步驟S103:根據所述數據挖掘結果對網絡攻擊行為進行檢測。
本發明實施例中,根據采用的數據挖掘算法的不同,可以對網絡攻擊行為的不同方面進行檢測,例如,在本發明提供的一個實施例中,所述數據挖掘算法包括聚類分析算法;
所述采用預設的數據挖掘算法對所述域名系統解析數據中記載的域名與域名IP的對應關系或域名IP與客戶端IP的對應關系進行數據挖掘,獲得數據挖掘結果,包括:
采用聚類分析算法,對所述域名系統解析數據中記載的域名和域名IP的對應關系進行聚類,將聚類后的域名與域名IP的對應關系作為數據挖掘結果;
所述根據所述數據挖掘結果對網絡攻擊行為進行檢測,包括:
對所述聚類后的域名與域名IP的對應關系進行模式分析,根據模式分析結果確定網絡攻擊行為的類型。
又如,在本發明提供的一個實施例中,所述數據挖掘算法包括群集分析算法;
所述采用預設的數據挖掘算法對所述域名系統解析數據中記載的域名與域名IP的對應關系或域名IP與客戶端IP的對應關系進行數據挖掘,獲得數據挖掘結果,包括:
采用群集分析算法,在所述域名系統解析數據中記載的域名和域名IP的對應關系中尋找關聯度較高的群集,將尋找出的關聯度較高的所述群集作為數據挖掘結果;
所述根據所述數據挖掘結果對網絡攻擊行為進行檢測,包括:
對尋找出的關聯度較高的所述群集,采用多層鏈接分析算法檢測與網絡攻擊行為相關的域名IP。
其中,所述多層鏈接分析算法包括優化深度遍歷和廣度遍歷算法等算法,可以從某一異常變化的DNS請求出發,查找相關的域名IP。
再如,在本發明提供的一個實施例中,所述數據挖掘算法包括時間序列分析算法;
所述采用預設的數據挖掘算法對所述域名系統解析數據中記載的域名與域名IP的對應關系或域名IP與客戶端IP的對應關系進行數據挖掘,獲得數據挖掘結果,包括:
采用時間序列分析算法,將所述域名系統解析數據中記載的域名IP與客戶端IP的對應關系以時間序列的方式進行排序,根據排序結果確定所述域名IP與客戶端IP的對應關系的規律和趨勢,將所述域名IP與客戶端IP的對應關系的規律和趨勢作為數據挖掘結果;
所述根據所述數據挖掘結果對網絡攻擊行為進行檢測,包括:
根據所述域名IP與客戶端IP的對應關系的規律和趨勢確定網絡攻擊行為的攻擊路徑和數據流向。
在本發明提供的另一個實施例中,所述數據挖掘算法包括路徑分析算法;
所述采用預設的數據挖掘算法對所述域名系統解析數據中記載的域名與域名IP的對應關系或域名IP與客戶端IP的對應關系進行數據挖掘,獲得數據挖掘結果,包括:
采用路徑分析算法,在所述域名系統解析數據中尋找域名IP與客戶端IP之間的關聯或路徑,將尋找出的域名IP與客戶端IP之間的關聯或路徑作為數據挖掘結果;
所述根據所述數據挖掘結果對網絡攻擊行為進行檢測,包括:
根據尋找出的域名IP與客戶端IP之間的關聯或路徑確定網絡攻擊行為的攻擊路徑和數據流向。
例如通過異常變化的DNS請求情況,可以得到可疑域名IP與客戶端IP之間明確的數據流向、傳輸路徑、連接規律及趨勢等。
需要說明的是,上述四種數據挖掘算法可以單獨使用,也可以組合使用,以對網絡攻擊行為進行更加全面和準確的檢測,其均在本發明的保護范圍之內。
例如,在域名系統解析數據中的域名與域名IP的記錄,通過不同域名IP的分組,可以查看到那些域名被多少個域名IP解析過,域名IP解析次數的多少,域名IP歸屬地的不同,然后通過抓包或者其他方式查看是否在傳輸數據,進而確定網絡攻擊行為的攻擊路徑和數據流向。
至此,通過步驟S101至步驟S103,完成了本發明第一實施例所提供的一種網絡攻擊行為檢測方法的流程。不同于傳統抓包分析的網絡攻擊行為檢測方式,本發明以域名系統解析數據為處理對象,通過對其進行數據挖掘,從而根據挖掘結果能夠更加有效、快速地對網絡攻擊行為進行檢測。
在上述的第一實施例中,提供了一種網絡攻擊行為檢測方法,與之相對應的,本申請還提供一種網絡攻擊行為檢測裝置。請參考圖2,其為本發明第二實施例提供的一種網絡攻擊行為檢測裝置的示意圖。由于裝置實施例基本相似于方法實施例,所以描述得比較簡單,相關之處參見方法實施例的部分說明即可。下述描述的裝置實施例僅僅是示意性的。
本發明第二實施例提供的一種網絡攻擊行為檢測裝置,包括:
數據獲取模塊101,用于獲取域名系統解析數據;
數據挖掘模塊102,用于采用預設的數據挖掘算法對所述域名系統解析數據中記載的域名與域名IP的對應關系或域名IP與客戶端IP的對應關系進行數據挖掘,獲得數據挖掘結果;
攻擊行為檢測模塊103,用于根據所述數據挖掘結果對網絡攻擊行為進行檢測。
在本發明提供的一個實施例中,所述數據獲取模塊101,包括:
數據捕獲單元,用于利用流量捕獲設備捕獲指定網絡范圍內的多個客戶端發送的域名系統解析數據。
在本發明提供的一個實施例中,所述數據挖掘算法包括聚類分析算法;
所述數據挖掘模塊102,包括:
聚類分析單元,用于采用聚類分析算法,對所述域名系統解析數據中記載的域名和域名IP的對應關系進行聚類,將聚類后的域名與域名IP的對應關系作為數據挖掘結果;
所述根據所述數據挖掘結果對網絡攻擊行為進行檢測,包括:
攻擊類型檢測單元,用于對所述聚類后的域名與域名IP的對應關系進行模式分析,根據模式分析結果確定網絡攻擊行為的類型。
在本發明提供的一個實施例中,所述數據挖掘算法包括群集分析算法;
所述數據挖掘模塊102,包括:
群集分析單元,用于采用群集分析算法,在所述域名系統解析數據中記載的域名和域名IP的對應關系中尋找關聯度較高的群集,將尋找出的關聯度較高的所述群集作為數據挖掘結果;
所述攻擊行為檢測模塊103,包括:
群集檢測單元,用于對尋找出的關聯度較高的所述群集,采用多層鏈接分析算法檢測與網絡攻擊行為相關的域名IP。
在本發明提供的一個實施例中,所述數據挖掘算法包括時間序列分析算法;
所述數據挖掘模塊102,包括:
時間序列分析單元,用于采用時間序列分析算法,將所述域名系統解析數據中記載的域名IP與客戶端IP的對應關系以時間序列的方式進行排序,根據排序結果確定所述域名IP與客戶端IP的對應關系的規律和趨勢,將所述域名IP與客戶端IP的對應關系的規律和趨勢作為數據挖掘結果;
所述攻擊行為檢測模塊103,包括:
時間序列檢測單元,用于根據所述域名IP與客戶端IP的對應關系的規律和趨勢確定網絡攻擊行為的攻擊路徑和數據流向。
在本發明提供的一個實施例中,所述數據挖掘算法包括路徑分析算法;
所述數據挖掘模塊102,包括:
路徑分析單元,用于采用路徑分析算法,在所述域名系統解析數據中尋找域名IP與客戶端IP之間的關聯或路徑,將尋找出的域名IP與客戶端IP之間的關聯或路徑作為數據挖掘結果;
所述攻擊行為檢測模塊103,包括:
路徑檢測單元,用于根據尋找出的域名IP與客戶端IP之間的關聯或路徑確定網絡攻擊行為的攻擊路徑和數據流向。
以上,為本發明第二實施例提供的一種網絡攻擊行為檢測裝置的實施例說明。
本發明提供的一種網絡攻擊行為檢測裝置與上述網絡攻擊行為檢測方法出于相同的發明構思,具有相同的有益效果,此處不再贅述。
在本說明書的描述中,參考術語“一個實施例”、“一些實施例”、“示例”、“具體示例”、或“一些示例”等的描述意指結合該實施例或示例描述的具體特征、結構、材料或者特點包含于本發明的至少一個實施例或示例中。在本說明書中,對上述術語的示意性表述不必須針對的是相同的實施例或示例。而且,描述的具體特征、結構、材料或者特點可以在任一個或多個實施例或示例中以合適的方式結合。此外,在不相互矛盾的情況下,本領域的技術人員可以將本說明書中描述的不同實施例或示例以及不同實施例或示例的特征進行結合和組合。
需要說明的是,附圖中的流程圖和框圖顯示了根據本發明的多個實施例的系統、方法和計算機程序產品的可能實現的體系架構、功能和操作。在這點上,流程圖或框圖中的每個方框可以代表一個模塊、程序段或代碼的一部分,所述模塊、程序段或代碼的一部分包含一個或多個用于實現規定的邏輯功能的可執行指令。也應當注意,在有些作為替換的實現中,方框中所標注的功能也可以以不同于附圖中所標注的順序發生。例如,兩個連續的方框實際上可以基本并行地執行,它們有時也可以按相反的順序執行,這依所涉及的功能而定。也要注意的是,框圖和/或流程圖中的每個方框、以及框圖和/或流程圖中的方框的組合,可以用執行規定的功能或動作的專用的基于硬件的系統來實現,或者可以用專用硬件與計算機指令的組合來實現。
本發明實施例所提供的網絡攻擊行為檢測裝置可以是計算機程序產品,包括存儲了程序代碼的計算機可讀存儲介質,所述程序代碼包括的指令可用于執行前面方法實施例中所述的方法,具體實現可參見方法實施例,在此不再贅述。
所屬領域的技術人員可以清楚地了解到,為描述的方便和簡潔,上述描述的系統、裝置和單元的具體工作過程,可以參考前述方法實施例中的對應過程,在此不再贅述。
在本申請所提供的幾個實施例中,應該理解到,所揭露的系統、裝置和方法,可以通過其它的方式實現。以上所描述的裝置實施例僅僅是示意性的,例如,所述單元的劃分,僅僅為一種邏輯功能劃分,實際實現時可以有另外的劃分方式,又例如,多個單元或組件可以結合或者可以集成到另一個系統,或一些特征可以忽略,或不執行。另一點,所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些通信接口,裝置或單元的間接耦合或通信連接,可以是電性,機械或其它的形式。
所述作為分離部件說明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位于一個地方,或者也可以分布到多個網絡單元上。可以根據實際的需要選擇其中的部分或者全部單元來實現本實施例方案的目的。
另外,在本發明各個實施例中的各功能單元可以集成在一個處理單元中,也可以是各個單元單獨物理存在,也可以兩個或兩個以上單元集成在一個單元中。
所述功能如果以軟件功能單元的形式實現并作為獨立的產品銷售或使用時,可以存儲在一個計算機可讀取存儲介質中。基于這樣的理解,本發明的技術方案本質上或者說對現有技術做出貢獻的部分或者該技術方案的部分可以以軟件產品的形式體現出來,該計算機軟件產品存儲在一個存儲介質中,包括若干指令用以使得一臺計算機設備(可以是個人計算機,服務器,或者網絡設備等)執行本發明各個實施例所述方法的全部或部分步驟。而前述的存儲介質包括:U盤、移動硬盤、只讀存儲器(ROM,Read-Only Memory)、隨機存取存儲器(RAM,Random Access Memory)、磁碟或者光盤等各種可以存儲程序代碼的介質。
最后應說明的是:以上各實施例僅用以說明本發明的技術方案,而非對其限制;盡管參照前述各實施例對本發明進行了詳細的說明,本領域的普通技術人員應當理解:其依然可以對前述各實施例所記載的技術方案進行修改,或者對其中部分或者全部技術特征進行等同替換;而這些修改或者替換,并不使相應技術方案的本質脫離本發明各實施例技術方案的范圍,其均應涵蓋在本發明的權利要求和說明書的范圍當中。
- 還沒有人留言評論。精彩留言會獲得點贊!