本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體涉及一種網(wǎng)絡(luò)攻擊行為檢測方法及裝置。

背景技術(shù)：

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，各種網(wǎng)絡(luò)安全問題也層出不窮，如木馬、釣魚網(wǎng)站、釣魚郵件、針對域名服務(wù)器的DDoS(DDoS:Distributed Denial of Service，分布式拒絕服務(wù)攻擊)、針對特定類型網(wǎng)絡(luò)的DDoS攻擊、大規(guī)模DNS(Domain Name System，域名系統(tǒng))欺騙攻擊、僵尸網(wǎng)絡(luò)等網(wǎng)絡(luò)攻擊行為嚴重威脅著網(wǎng)絡(luò)用戶的信息和數(shù)據(jù)安全，由于上述網(wǎng)絡(luò)攻擊行為往往具有很強的欺騙性和偽裝性，常規(guī)對所有數(shù)據(jù)進行抓包分析的檢測方式效率較低、準確性低，難以對其進行有效的檢測。

技術(shù)實現(xiàn)要素：

針對現(xiàn)有技術(shù)中的缺陷，本發(fā)明提供一種網(wǎng)絡(luò)攻擊行為檢測方法及裝置，以高效、準確的對網(wǎng)絡(luò)攻擊行為進行檢測。

第一方面，本發(fā)明提供的一種網(wǎng)絡(luò)攻擊行為檢測方法，包括：

獲取域名系統(tǒng)解析數(shù)據(jù)；

采用預(yù)設(shè)的數(shù)據(jù)挖掘算法對所述域名系統(tǒng)解析數(shù)據(jù)進行數(shù)據(jù)挖掘，獲得數(shù)據(jù)挖掘結(jié)果；

根據(jù)所述數(shù)據(jù)挖掘結(jié)果對網(wǎng)絡(luò)攻擊行為進行檢測。

可選的，所述獲取域名系統(tǒng)解析數(shù)據(jù)，包括：

預(yù)先在指定網(wǎng)絡(luò)范圍的網(wǎng)絡(luò)出口或數(shù)據(jù)交換設(shè)備上部署流量捕獲設(shè)備；

利用所述流量捕獲設(shè)備捕獲指定所述網(wǎng)絡(luò)范圍內(nèi)的多個客戶端發(fā)送的域名系統(tǒng)解析數(shù)據(jù)。

可選的，所述采用預(yù)設(shè)的數(shù)據(jù)挖掘算法對所述域名系統(tǒng)解析數(shù)據(jù)進行數(shù)據(jù)挖掘，獲得數(shù)據(jù)挖掘結(jié)果，包括：

通過將所述域名系統(tǒng)解析數(shù)據(jù)中的域名IP與預(yù)先存儲的網(wǎng)絡(luò)攻擊者黑名單或白名單進行比對，判斷所述域名IP是否在所述黑名單或白名單中；

所述根據(jù)所述數(shù)據(jù)挖掘結(jié)果對網(wǎng)絡(luò)攻擊行為進行檢測，包括：

根據(jù)所述域名IP是否在所述黑名單或白名單中，判斷是否存在網(wǎng)絡(luò)攻擊行為。

可選的，所述網(wǎng)絡(luò)攻擊行為檢測方法，還包括：

若所述域名IP存在于所述黑名單中或所述域名IP不存在于所述白名單中時，對所述域名IP收發(fā)的數(shù)據(jù)進行全包捕獲；

對捕獲的數(shù)據(jù)進行還原分析；

根據(jù)還原分析結(jié)果判斷所述域名IP對應(yīng)的主機是否存在網(wǎng)絡(luò)攻擊行為。

可選的，所述網(wǎng)絡(luò)攻擊行為檢測方法，還包括：

在確定所述域名IP對應(yīng)的主機是否存在網(wǎng)絡(luò)攻擊行為后，根據(jù)所述域名IP對應(yīng)的主機是否存在網(wǎng)絡(luò)攻擊行為，將所述域名IP添加到所述黑名單或白名單中，對所述黑名單或所述白名單進行更新。

可選的，所述采用預(yù)設(shè)的數(shù)據(jù)挖掘算法對所述域名系統(tǒng)解析數(shù)據(jù)進行數(shù)據(jù)挖掘，獲得數(shù)據(jù)挖掘結(jié)果，包括：

根據(jù)所述域名系統(tǒng)解析數(shù)據(jù)計算所述域名系統(tǒng)解析數(shù)據(jù)中各域名的域名IP變化特征數(shù)據(jù)；

所述根據(jù)所述數(shù)據(jù)挖掘結(jié)果對網(wǎng)絡(luò)攻擊行為進行檢測，包括：

根據(jù)所述域名IP變化特征數(shù)據(jù)是否符合預(yù)設(shè)的異常域名判定條件分別判斷對應(yīng)的各所述域名是否是異常域名，在確定所述域名為異常域名時，判斷存在網(wǎng)絡(luò)攻擊行為。

可選的，所述采用預(yù)設(shè)的數(shù)據(jù)挖掘算法對所述域名系統(tǒng)解析數(shù)據(jù)進行數(shù)據(jù)挖掘，獲得數(shù)據(jù)挖掘結(jié)果，包括：

采用預(yù)設(shè)的數(shù)據(jù)挖掘算法對所述域名系統(tǒng)解析數(shù)據(jù)中記載的域名與域名IP的對應(yīng)關(guān)系或域名IP與客戶端IP的對應(yīng)關(guān)系進行數(shù)據(jù)挖掘，獲得數(shù)據(jù)挖掘結(jié)果；

所述根據(jù)所述數(shù)據(jù)挖掘結(jié)果對網(wǎng)絡(luò)攻擊行為進行檢測，包括：

根據(jù)所述數(shù)據(jù)挖掘結(jié)果對網(wǎng)絡(luò)攻擊行為進行檢測。

可選的，所述網(wǎng)絡(luò)攻擊行為檢測方法，還包括：

在確定存在網(wǎng)絡(luò)攻擊行為后，獲取網(wǎng)絡(luò)攻擊行為中傳輸?shù)臄?shù)據(jù)；

采用預(yù)設(shè)的關(guān)聯(lián)分析算法對所述數(shù)據(jù)進行關(guān)聯(lián)分析，獲得關(guān)聯(lián)分析結(jié)果；

根據(jù)所述關(guān)聯(lián)分析結(jié)果確定所述網(wǎng)絡(luò)攻擊行為中的攻擊主體。

可選的，所述域名系統(tǒng)解析數(shù)據(jù)是郵件收發(fā)過程中產(chǎn)生的域名系統(tǒng)解析數(shù)據(jù)；

所述采用預(yù)設(shè)的數(shù)據(jù)挖掘算法對所述域名系統(tǒng)解析數(shù)據(jù)進行數(shù)據(jù)挖掘，獲得數(shù)據(jù)挖掘結(jié)果，包括：

通過對所述域名系統(tǒng)解析數(shù)據(jù)進行針對郵件數(shù)據(jù)的數(shù)據(jù)挖掘；其中，所述針對郵件數(shù)據(jù)的數(shù)據(jù)挖掘包括：對用戶行為進行畫像、釣魚郵件分析、郵件頭部分析、郵件登陸日志分析和郵件收發(fā)行為分析中的至少一種。

所述根據(jù)所述數(shù)據(jù)挖掘結(jié)果對網(wǎng)絡(luò)攻擊行為進行檢測，包括：

根據(jù)所述針對郵件數(shù)據(jù)的數(shù)據(jù)挖掘的挖掘結(jié)果判斷是否存在針對郵件的網(wǎng)絡(luò)攻擊行為。

第二方面，本發(fā)明提供的一種網(wǎng)絡(luò)攻擊行為檢測裝置，包括：

數(shù)據(jù)獲取模塊，用于獲取域名系統(tǒng)解析數(shù)據(jù)；

數(shù)據(jù)挖掘模塊，用于采用預(yù)設(shè)的數(shù)據(jù)挖掘算法對所述域名系統(tǒng)解析數(shù)據(jù)進行數(shù)據(jù)挖掘，獲得數(shù)據(jù)挖掘結(jié)果；

攻擊行為檢測模塊，用于根據(jù)所述數(shù)據(jù)挖掘結(jié)果對網(wǎng)絡(luò)攻擊行為進行檢測。

可選的，所述數(shù)據(jù)獲取模塊，包括：

流量捕獲設(shè)備部署單元，用于預(yù)先在指定網(wǎng)絡(luò)范圍的網(wǎng)絡(luò)出口或數(shù)據(jù)交換設(shè)備上部署流量捕獲設(shè)備；

域名解析數(shù)據(jù)捕獲單元，用于利用所述流量捕獲設(shè)備捕獲指定所述網(wǎng)絡(luò)范圍內(nèi)的多個客戶端發(fā)送的域名系統(tǒng)解析數(shù)據(jù)。

可選的，所述數(shù)據(jù)挖掘模塊，包括：

黑白名單對比單元，用于通過將所述域名系統(tǒng)解析數(shù)據(jù)中的域名IP與預(yù)先存儲的網(wǎng)絡(luò)攻擊者黑名單或白名單進行比對，判斷所述域名IP是否在所述黑名單或白名單中；

所述攻擊行為檢測模塊，包括：

黑白名單判斷單元，用于根據(jù)所述域名IP是否在所述黑名單或白名單中，判斷是否存在網(wǎng)絡(luò)攻擊行為。

可選的，所述網(wǎng)絡(luò)攻擊行為檢測裝置，還包括：

全包數(shù)據(jù)捕獲模塊，用于若所述域名IP存在于所述黑名單中或所述域名IP不存在于所述白名單中時，對所述域名IP收發(fā)的數(shù)據(jù)進行全包捕獲；

數(shù)據(jù)還原模塊，用于對捕獲的數(shù)據(jù)進行還原分析；

數(shù)據(jù)還原判斷模塊，用于根據(jù)還原分析結(jié)果判斷所述域名IP對應(yīng)的主機是否存在網(wǎng)絡(luò)攻擊行為。

可選的，所述網(wǎng)絡(luò)攻擊行為檢測裝置，還包括：

黑白名單更新模塊，用于在確定所述域名IP對應(yīng)的主機是否存在網(wǎng)絡(luò)攻擊行為后，根據(jù)所述域名IP對應(yīng)的主機是否存在網(wǎng)絡(luò)攻擊行為，將所述域名IP添加到所述黑名單或白名單中，對所述黑名單或所述白名單進行更新。

可選的，所述數(shù)據(jù)挖掘模塊，包括：

IP變化特征數(shù)據(jù)計算單元，用于根據(jù)所述域名系統(tǒng)解析數(shù)據(jù)計算所述域名系統(tǒng)解析數(shù)據(jù)中各域名的域名IP變化特征數(shù)據(jù)；

所述攻擊行為檢測模塊，包括：

異常域名判斷單元，用于根據(jù)所述域名IP變化特征數(shù)據(jù)是否符合預(yù)設(shè)的異常域名判定條件分別判斷對應(yīng)的各所述域名是否是異常域名，在確定所述域名為異常域名時，判斷存在網(wǎng)絡(luò)攻擊行為。

可選的，所述數(shù)據(jù)挖掘模塊，包括：

對應(yīng)關(guān)系挖掘單元，用于采用預(yù)設(shè)的數(shù)據(jù)挖掘算法對所述域名系統(tǒng)解析數(shù)據(jù)中記載的域名與域名IP的對應(yīng)關(guān)系或域名IP與客戶端IP的對應(yīng)關(guān)系進行數(shù)據(jù)挖掘，獲得數(shù)據(jù)挖掘結(jié)果；

所述攻擊行為檢測模塊，包括：

對應(yīng)關(guān)系檢測單元，用于根據(jù)所述數(shù)據(jù)挖掘結(jié)果對網(wǎng)絡(luò)攻擊行為進行檢測。

可選的，所述網(wǎng)絡(luò)攻擊行為檢測裝置，還包括：

網(wǎng)絡(luò)數(shù)據(jù)獲取模塊，用于在確定存在網(wǎng)絡(luò)攻擊行為后，獲取網(wǎng)絡(luò)攻擊行為中傳輸?shù)臄?shù)據(jù)；

關(guān)聯(lián)分析模塊，用于采用預(yù)設(shè)的關(guān)聯(lián)分析算法對所述數(shù)據(jù)進行關(guān)聯(lián)分析，獲得關(guān)聯(lián)分析結(jié)果；

攻擊主體確定模塊，用于根據(jù)所述關(guān)聯(lián)分析結(jié)果確定所述網(wǎng)絡(luò)攻擊行為中的攻擊主體。

可選的，所述域名系統(tǒng)解析數(shù)據(jù)是郵件收發(fā)過程中產(chǎn)生的域名系統(tǒng)解析數(shù)據(jù)；

所述數(shù)據(jù)挖掘模塊，包括：

郵件數(shù)據(jù)挖掘單元，用于通過對所述域名系統(tǒng)解析數(shù)據(jù)進行針對郵件數(shù)據(jù)的數(shù)據(jù)挖掘；其中，所述針對郵件數(shù)據(jù)的數(shù)據(jù)挖掘包括：對用戶行為進行畫像、釣魚郵件分析、郵件頭部分析、郵件登陸日志分析和郵件收發(fā)行為分析中的至少一種。

所述攻擊行為檢測模塊，包括：

郵件攻擊行為檢測單元，用于根據(jù)所述針對郵件數(shù)據(jù)的數(shù)據(jù)挖掘的挖掘結(jié)果判斷是否存在針對郵件的網(wǎng)絡(luò)攻擊行為。

由上述技術(shù)方案可知，本發(fā)明提供的一種網(wǎng)絡(luò)攻擊行為檢測方法，首先獲取域名系統(tǒng)解析數(shù)據(jù)；然后采用預(yù)設(shè)的數(shù)據(jù)挖掘算法對所述域名系統(tǒng)解析數(shù)據(jù)進行數(shù)據(jù)挖掘，獲得數(shù)據(jù)挖掘結(jié)果；最后根據(jù)所述數(shù)據(jù)挖掘結(jié)果對網(wǎng)絡(luò)攻擊行為進行檢測。不同于傳統(tǒng)抓包分析的網(wǎng)絡(luò)攻擊行為檢測方式，本發(fā)明以域名系統(tǒng)解析數(shù)據(jù)為處理對象，通過對其進行數(shù)據(jù)挖掘，從而根據(jù)挖掘結(jié)果能夠更加高效、準確地對網(wǎng)絡(luò)攻擊行為進行檢測。

本發(fā)明提供的一種網(wǎng)絡(luò)攻擊行為檢測裝置，與上述網(wǎng)絡(luò)攻擊行為檢測方法出于相同的發(fā)明構(gòu)思，具有相同的有益效果。

附圖說明

為了更清楚地說明本發(fā)明具體實施方式或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對具體實施方式或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹。

圖1示出了本發(fā)明第一實施例所提供的一種網(wǎng)絡(luò)攻擊行為檢測方法的流程圖；

圖2示出了本發(fā)明第二實施例所提供的一種網(wǎng)絡(luò)攻擊行為檢測裝置的示意圖。

具體實施方式

下面將結(jié)合附圖對本發(fā)明技術(shù)方案的實施例進行詳細的描述。以下實施例僅用于更加清楚地說明本發(fā)明的技術(shù)方案，因此只是作為示例，而不能以此來限制本發(fā)明的保護范圍。

需要注意的是，除非另有說明，本申請使用的技術(shù)術(shù)語或者科學(xué)術(shù)語應(yīng)當為本發(fā)明所屬領(lǐng)域技術(shù)人員所理解的通常意義。

本發(fā)明提供一種網(wǎng)絡(luò)攻擊行為檢測方法、一種網(wǎng)絡(luò)攻擊行為檢測裝置和一種網(wǎng)絡(luò)攻擊行為檢測系統(tǒng)。下面結(jié)合附圖對本發(fā)明的實施例進行說明。

圖1示出了本發(fā)明第一實施例所提供的一種網(wǎng)絡(luò)攻擊行為檢測方法的流程圖。如圖1所示，本發(fā)明第一實施例提供的一種網(wǎng)絡(luò)攻擊行為檢測方法包括以下步驟：

步驟S101：獲取域名系統(tǒng)解析數(shù)據(jù)。

本發(fā)明實施例中，所述域名系統(tǒng)解析數(shù)據(jù)(即DNS數(shù)據(jù))可以采用流量捕獲設(shè)備進行捕獲，例如，預(yù)先在指定網(wǎng)絡(luò)范圍的網(wǎng)絡(luò)出口或數(shù)據(jù)交換設(shè)備上部署流量捕獲設(shè)備；利用所述流量捕獲設(shè)備捕獲指定所述網(wǎng)絡(luò)范圍內(nèi)的多個客戶端發(fā)送的域名系統(tǒng)解析數(shù)據(jù)。

步驟S102：采用預(yù)設(shè)的數(shù)據(jù)挖掘算法對所述域名系統(tǒng)解析數(shù)據(jù)進行數(shù)據(jù)挖掘，獲得數(shù)據(jù)挖掘結(jié)果；

步驟S103：根據(jù)所述數(shù)據(jù)挖掘結(jié)果對網(wǎng)絡(luò)攻擊行為進行檢測。

本發(fā)明實施例中，根據(jù)采用的數(shù)據(jù)挖掘算法的不同，可以對網(wǎng)絡(luò)攻擊行為的不同方面進行檢測，例如，在本發(fā)明提供的一個實施例中，所述采用預(yù)設(shè)的數(shù)據(jù)挖掘算法對所述域名系統(tǒng)解析數(shù)據(jù)進行數(shù)據(jù)挖掘，獲得數(shù)據(jù)挖掘結(jié)果，包括：

通過將所述域名系統(tǒng)解析數(shù)據(jù)中的域名IP與預(yù)先存儲的網(wǎng)絡(luò)攻擊者黑名單或白名單進行比對，判斷所述域名IP是否在所述黑名單或白名單中；

所述根據(jù)所述數(shù)據(jù)挖掘結(jié)果對網(wǎng)絡(luò)攻擊行為進行檢測，包括：

根據(jù)所述域名IP是否在所述黑名單或白名單中，判斷是否存在網(wǎng)絡(luò)攻擊行為。

本發(fā)明實施例中，黑名單中是已知的惡意程序的反彈域名，通過黑域名，可以迅速發(fā)現(xiàn)已知木馬的活動線索，并可以迅速定位中馬計算機IP，發(fā)現(xiàn)攻擊行為。

白名單是基于大量的DNS解析請求數(shù)據(jù)進行統(tǒng)計整理的。一般的用戶在日常的網(wǎng)絡(luò)訪問過程中，其域名訪問行為95％是存在一致性的，對于獲取到的大量DNS記錄，可以從中分析得到大量的白域名，同時白域名名單又可以在流量的分析過程中不斷自主完善。當從流量中發(fā)現(xiàn)少量的、非白域名的DNS記錄時，就非常值得重點關(guān)注，有可能是惡意程序所使用的反彈域。

根據(jù)黑名單或白名單的對比結(jié)果，可以對是否存在網(wǎng)絡(luò)攻擊行為進行初步判斷，為了保證判斷的準確性，在本發(fā)明提供的一個實施例中，在上述實施例步驟后，還包括：

若所述域名IP存在于所述黑名單中或所述域名IP不存在于所述白名單中時，對所述域名IP收發(fā)的數(shù)據(jù)進行全包捕獲；

對捕獲的數(shù)據(jù)進行還原分析；

根據(jù)還原分析結(jié)果判斷所述域名IP對應(yīng)的主機是否存在網(wǎng)絡(luò)攻擊行為。

為了增強本發(fā)明的檢測能力，保證黑名單和白名單的最新，在本發(fā)明提供的一個實施例中，在確定所述域名IP對應(yīng)的主機是否存在網(wǎng)絡(luò)攻擊行為后，根據(jù)所述域名IP對應(yīng)的主機是否存在網(wǎng)絡(luò)攻擊行為，將所述域名IP添加到所述黑名單或白名單中，對所述黑名單或所述白名單進行更新。

在本發(fā)明提供的一個實施例中，所述采用預(yù)設(shè)的數(shù)據(jù)挖掘算法對所述域名系統(tǒng)解析數(shù)據(jù)進行數(shù)據(jù)挖掘，獲得數(shù)據(jù)挖掘結(jié)果，包括：

根據(jù)所述域名系統(tǒng)解析數(shù)據(jù)計算所述域名系統(tǒng)解析數(shù)據(jù)中各域名的域名IP變化特征數(shù)據(jù)；

所述根據(jù)所述數(shù)據(jù)挖掘結(jié)果對網(wǎng)絡(luò)攻擊行為進行檢測，包括：

根據(jù)所述域名IP變化特征數(shù)據(jù)是否符合預(yù)設(shè)的異常域名判定條件分別判斷對應(yīng)的各所述域名是否是異常域名，在確定所述域名為異常域名時，判斷存在網(wǎng)絡(luò)攻擊行為。

例如：

基于域名與IP的歷史對應(yīng)關(guān)系的數(shù)據(jù)，根據(jù)統(tǒng)計數(shù)據(jù)，采用變化次數(shù)值或者變化次數(shù)排名來發(fā)現(xiàn)異常域名。統(tǒng)計特定時間段內(nèi)(1秒、1分鐘、1小時、1天、1個月、1個季度等時間刻度)IP變化次數(shù)超過閾值的域名，并發(fā)送報警；統(tǒng)計特定時間段內(nèi)(1秒、1分鐘、1小時、1天、1個月、1個季度等時間刻度)IP變化次數(shù)，并進行排序，重點關(guān)注排名靠前的域名，并發(fā)送警報。

例：在后臺數(shù)據(jù)中發(fā)現(xiàn)某域名在一個月內(nèi)解析的域名IP，變換了三次，域名ip的歸屬地都不是同一個國家或地區(qū)，在Ssess ion和HTTP等數(shù)據(jù)中發(fā)現(xiàn)該域名解析的ip都有大流量數(shù)據(jù)。通過抓包分析，發(fā)現(xiàn)該域名為木馬使用的域名。

在本發(fā)明提供的一個實施例中，所述采用預(yù)設(shè)的數(shù)據(jù)挖掘算法對所述域名系統(tǒng)解析數(shù)據(jù)進行數(shù)據(jù)挖掘，獲得數(shù)據(jù)挖掘結(jié)果，包括：

采用預(yù)設(shè)的數(shù)據(jù)挖掘算法對所述域名系統(tǒng)解析數(shù)據(jù)中記載的域名與域名IP的對應(yīng)關(guān)系或域名IP與客戶端IP的對應(yīng)關(guān)系進行數(shù)據(jù)挖掘，獲得數(shù)據(jù)挖掘結(jié)果；

所述根據(jù)所述數(shù)據(jù)挖掘結(jié)果對網(wǎng)絡(luò)攻擊行為進行檢測，包括：

根據(jù)所述數(shù)據(jù)挖掘結(jié)果對網(wǎng)絡(luò)攻擊行為進行檢測。

例如：

針對域名服務(wù)器的DDoS攻擊、針對特定類型網(wǎng)絡(luò)的DDoS攻擊、大規(guī)模DNS欺騙攻擊、僵尸網(wǎng)絡(luò)等攻擊行為中，域名與IP的歷史對應(yīng)關(guān)系的規(guī)律，并利用這種規(guī)律進行相應(yīng)的攻擊檢測。采用的攻擊檢測算法包括：

采用聚類分析算法，對相似屬性的域名和IP地址信息進行聚類，并進行模式的比較和分析，以發(fā)現(xiàn)特定類型的攻擊行為。

采用時間序列分析算法，將對象以時間序列的方式進行排列，以發(fā)現(xiàn)規(guī)律和趨勢性線索。例如通過異常變化的DNS請求情況，得到可疑IP之間明確的數(shù)據(jù)流向、傳輸路徑、連接規(guī)律及趨勢等。

通過群集分析算法，在大量域名與IP歷史記錄中尋找關(guān)聯(lián)度較高的群集；通過多層鏈接分析算法，采用優(yōu)化深度遍歷和廣度遍歷算法等，從某一異常變化的DNS請求出發(fā)，查找相關(guān)的IP；

通過路徑分析算法，采用優(yōu)化的最短路徑、最佳路徑和自適應(yīng)路徑分析算法，在大量域名與IP的歷史記錄中尋找特定IP間可能存在的關(guān)聯(lián)或路徑，如：查找兩個IP之間的攻擊路徑及數(shù)據(jù)包流向。

例：在后臺數(shù)據(jù)中的域名與域名IP的記錄通過不同ip的分組，可以查看到那些域名被多少個IP解析過，IP解析次數(shù)的多少，IP歸屬地的不同，然后通過抓包或者其他方式查看是否在傳輸數(shù)據(jù)。

在本發(fā)明提供的一個實施例中，所述的網(wǎng)絡(luò)攻擊行為檢測方法，還包括：

在確定存在網(wǎng)絡(luò)攻擊行為后，獲取網(wǎng)絡(luò)攻擊行為中傳輸?shù)臄?shù)據(jù)；

采用預(yù)設(shè)的關(guān)聯(lián)分析算法對所述數(shù)據(jù)進行關(guān)聯(lián)分析，獲得關(guān)聯(lián)分析結(jié)果；

根據(jù)所述關(guān)聯(lián)分析結(jié)果確定所述網(wǎng)絡(luò)攻擊行為中的攻擊主體。

例如：

關(guān)聯(lián)分析系統(tǒng)用于對后臺的數(shù)據(jù)進行關(guān)聯(lián)分析和深度挖掘，以便可以進一步發(fā)現(xiàn)受控的主機、受控的郵箱、受控的服務(wù)器以及對攻擊者進行輪廓描繪。具體關(guān)聯(lián)分析方法，如下幾種：

木馬關(guān)聯(lián)分析(木馬來源、木馬發(fā)送地址、木馬接收地址、木馬連接地址關(guān)聯(lián)分析)

惡意腳本關(guān)聯(lián)分析(郵件來源、郵件發(fā)件人、收件人、主題、惡意腳本連接地址等進行關(guān)聯(lián)分析)

虛擬對象關(guān)聯(lián)分析(能夠?qū)P、MAC、QQ、郵件地址等信息進行關(guān)聯(lián)分析，挖掘出虛擬對象的輪廓及網(wǎng)絡(luò)關(guān)系)

郵件關(guān)聯(lián)分析(對郵件賬號、聯(lián)系人進行級聯(lián)的關(guān)聯(lián)分析、對主題進行關(guān)聯(lián)分析)

例：在后臺的數(shù)據(jù)中發(fā)現(xiàn)一個ip與國外的一個ip存在大量的異常流量數(shù)據(jù)，通過后臺的數(shù)據(jù)中的日志分析在一條日志中，發(fā)現(xiàn)一個請求中帶有郵件地址，通過有郵件地址發(fā)現(xiàn)該郵箱中一個附件包含惡意程序，該惡意程序記錄了用戶平時的操作信息，獲取了服務(wù)器密碼，導(dǎo)致服務(wù)器上的文件上傳到境外服務(wù)器中。

在本發(fā)明提供的一個實施例中，所述域名系統(tǒng)解析數(shù)據(jù)是郵件收發(fā)過程中產(chǎn)生的域名系統(tǒng)解析數(shù)據(jù)；

所述采用預(yù)設(shè)的數(shù)據(jù)挖掘算法對所述域名系統(tǒng)解析數(shù)據(jù)進行數(shù)據(jù)挖掘，獲得數(shù)據(jù)挖掘結(jié)果，包括：

通過對所述域名系統(tǒng)解析數(shù)據(jù)進行針對郵件數(shù)據(jù)的數(shù)據(jù)挖掘；其中，所述針對郵件數(shù)據(jù)的數(shù)據(jù)挖掘包括：對用戶行為進行畫像、釣魚郵件分析、郵件頭部分析、郵件登陸日志分析和郵件收發(fā)行為分析中的至少一種。

所述根據(jù)所述數(shù)據(jù)挖掘結(jié)果對網(wǎng)絡(luò)攻擊行為進行檢測，包括：

根據(jù)所述針對郵件數(shù)據(jù)的數(shù)據(jù)挖掘的挖掘結(jié)果判斷是否存在針對郵件的網(wǎng)絡(luò)攻擊行為。

例如：

通過采集郵件的相關(guān)流量，可以有效的發(fā)現(xiàn)外部APT攻擊的郵件入口攻擊或者郵件竊聽盜取等行為，同時可以有效的發(fā)現(xiàn)內(nèi)部的安全威脅。

對用戶行為進行畫像

分析郵件日志，通過地理區(qū)域、源地址、時間、郵件主題分詞、認證成功與失敗、客戶端信息、主機名等因素建模來進行行為分析。

釣魚郵件分析

釣魚郵件是現(xiàn)在不法分子用來騙取密碼等個人信息的重要手段，系統(tǒng)可在離線方式下發(fā)現(xiàn)有釣魚行為的郵件。

郵件頭部分析

通過郵件頭部信息的分析，可以提取出郵件的真實發(fā)件時間、時區(qū)、IP地址、計算機名等信息，定位發(fā)件人的物理位置。

對統(tǒng)一格式郵箱賬號的各種登陸日志信息進行智能分析，以確定

是否存在一個郵箱賬號被多個IP地址訪問

是否存在一個IP地址訪問多個郵箱賬號

是否有郵箱被Google的IP地址訪問

深度分析每個郵箱的郵件收發(fā)行為，以確定

是否有郵箱被設(shè)置了轉(zhuǎn)發(fā)賬號，以致這些郵箱收到郵件自動轉(zhuǎn)發(fā)到指定的郵箱

是否有郵箱被用于群發(fā)郵件

是否有郵件附件被重復(fù)下載。

詳細分析訪問郵箱賬戶的客戶端的屬性信息，以發(fā)現(xiàn)是否有異常的網(wǎng)絡(luò)訪問行為。

郵件內(nèi)容還原以及關(guān)聯(lián)分析，以確定郵箱賬號被控制的技術(shù)方法。

對特殊賬號的訪問行為進行單獨全方位的分析和檢測。

本發(fā)明實施例中，對根據(jù)數(shù)據(jù)格式、內(nèi)容的不同，采用全面的協(xié)議還原取證方法，如：

識別http、ftp、smtp、pop3、DNS、IMAP、IP會話等主流協(xié)議報文并進行數(shù)據(jù)重組還原。

對doc,xls,ppt,swf,pdf,java,rar,zip,rar,exe,vbs,scr,html等多種文件解析，并標記來源。

對基于木馬回連的非法數(shù)據(jù)傳輸?shù)刃袨檫M行取證分析，包括回連主機IP、服務(wù)器IP、傳輸數(shù)據(jù)大小、協(xié)議類型等。

郵件惡意附件的還原以及行為檢測。

此外，本發(fā)明提供的一個實施例中，還包括：域名與IP歷史記錄的可視化展現(xiàn)技術(shù)，具體包括：

采用眾多圖形化分析算法技術(shù)從大量圖表數(shù)據(jù)中揭示更深層次的關(guān)聯(lián)信息和線索，實現(xiàn)域名與IP歷史記錄中的可視化分析展現(xiàn)，采用連接分析、路徑分析、時間序列分析等方法來發(fā)現(xiàn)和揭示數(shù)據(jù)中隱含的公共要素和線索關(guān)聯(lián)。從而把異常流量和正常流量用圖形方式展現(xiàn)，一目了然的對域名與IP歷史記錄進行監(jiān)控。

在本發(fā)明提供的另一個實施例中，還包括對數(shù)據(jù)的追蹤溯源，具體包括：

通過回溯分析中心，關(guān)聯(lián)不同的APT攻擊線索中的發(fā)現(xiàn)時間、攻擊類型、家族、POST/GET特征、網(wǎng)絡(luò)流量特征、端口、備注、瀏覽器user agent、字符串、MD5、樣本、數(shù)據(jù)包、分析日期、whois信息、相關(guān)URL、證書等信息，溯源整個組織的攻擊行為。例如通過回溯子系統(tǒng)將沙箱告警中的木馬來源IP關(guān)聯(lián)到涉密文件外傳解析IP為同一IP，同時目標IP終端的行為分析又關(guān)聯(lián)到存在文件打包行為并且文件名與外傳文件名相同，從而確定多個攻擊行為的同源性，既為同一組織或個人所為，針對目標為被檢網(wǎng)絡(luò)，以竊取文件為主要目的的APT攻擊。同時還能夠關(guān)聯(lián)出該APT攻擊持續(xù)的時間跨度。通過由面到點的深度分析，發(fā)現(xiàn)網(wǎng)絡(luò)中存在的APT攻擊。

在本發(fā)明提供的另一個實施例中，還包括：對木馬的安全檢測，具體包括：

高級威脅檢測系統(tǒng)通過直連或旁路方式部署在網(wǎng)絡(luò)出口和核心交換設(shè)備上，對全網(wǎng)范圍內(nèi)的木馬通信行為進行實時監(jiān)控、分析、識別、預(yù)警和阻斷隔離，彌補傳統(tǒng)安全軟件(防火墻、入侵檢測系統(tǒng)、防毒墻等)在網(wǎng)絡(luò)層對木馬檢測的技術(shù)空白。

在本發(fā)明提供的另一個實施例中，還可以采用如下靈活的數(shù)據(jù)采集方式：

通過直連或旁路方式部署在網(wǎng)絡(luò)出口和核心交換設(shè)備上，對進出口網(wǎng)絡(luò)和核心交換設(shè)備的網(wǎng)絡(luò)通信數(shù)據(jù)進行實時采集，根據(jù)用戶實際網(wǎng)絡(luò)環(huán)境需要，部署靈活的數(shù)據(jù)采集方式，支持策略采集、支持網(wǎng)橋模式、支持BYPASS模式、支持雙機熱備、支持數(shù)據(jù)鏡像、支持多機鏡像等。

在本發(fā)明提供的另一個實施例中，還包括全面的協(xié)議分析和還原，包括對主流的TCP/IP、UDP/IP、DNS協(xié)議、HTTP協(xié)議、HTTP代理協(xié)議、POPS協(xié)議、SMTP協(xié)議、IMAP協(xié)議、FTP協(xié)議、TELNET協(xié)議、QQ協(xié)議、MSN協(xié)議等通信協(xié)議的分析和還原，管理員可以根據(jù)自己協(xié)議分析需要，自定義分析協(xié)議和內(nèi)容，如只對DNS協(xié)議的特定域名進行解析和還原。

在本發(fā)明提供的另一個實施例中，還包括：基于行為和特征的檢測方法，具體包括：

高級威脅檢測系統(tǒng)通過強大的特征庫和行為庫，使用基于行為和特征的木馬檢測方法，在網(wǎng)絡(luò)層對各種已知和未知木馬的網(wǎng)絡(luò)通信行為進行實時監(jiān)控、分析、識別、預(yù)警和阻斷隔離，如通過黑域名、黑IP和廣譜特征碼對已知木馬進行檢測和發(fā)現(xiàn)，通過心跳規(guī)律、可疑流出流量、動態(tài)域名等木馬行為對未知木馬進行檢測和發(fā)現(xiàn)。

在本發(fā)明提供的另一個實施例中，還包括：強大的木馬追蹤和地址定位，具體包括：一旦發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)部具有木馬行為，則可以對內(nèi)網(wǎng)的主機和外網(wǎng)的目標地址進行準確定位，判斷目標主機所在的國家和地區(qū)，并獲取與木馬相關(guān)的深度信息，包括木馬名稱、木馬編號、木馬類型、木馬家族、制作組織、來源國家、木馬特征、危害等級、風(fēng)險描述和安全建議。

在本發(fā)明提供的另一個實施例中，還包括：已知和未知木馬檢測，具體包括：通過基于特征(如黑域名、黑IP和廣譜特征碼等)的木馬檢測方法，發(fā)現(xiàn)已知木馬的網(wǎng)絡(luò)通信行為；通過基于行為(動態(tài)域名、心跳信號和可疑流出流量等)的木馬檢測方法，發(fā)現(xiàn)未知木馬的網(wǎng)絡(luò)通信行為。

至此，通過步驟S101至步驟S103，完成了本發(fā)明第一實施例所提供的一種網(wǎng)絡(luò)攻擊行為檢測方法的流程。不同于傳統(tǒng)抓包分析的網(wǎng)絡(luò)攻擊行為檢測方式，本發(fā)明以域名系統(tǒng)解析數(shù)據(jù)為處理對象，通過對其進行數(shù)據(jù)挖掘，從而根據(jù)挖掘結(jié)果能夠更加高效、準確地對網(wǎng)絡(luò)攻擊行為進行檢測。

在上述的第一實施例中，提供了一種網(wǎng)絡(luò)攻擊行為檢測方法，與之相對應(yīng)的，本申請還提供一種網(wǎng)絡(luò)攻擊行為檢測裝置。請參考圖2，其為本發(fā)明第二實施例提供的一種網(wǎng)絡(luò)攻擊行為檢測裝置的示意圖。由于裝置實施例基本相似于方法實施例，所以描述得比較簡單，相關(guān)之處參見方法實施例的部分說明即可。下述描述的裝置實施例僅僅是示意性的。

本發(fā)明第二實施例提供的一種網(wǎng)絡(luò)攻擊行為檢測裝置，包括：

數(shù)據(jù)獲取模塊101，用于獲取域名系統(tǒng)解析數(shù)據(jù)；

數(shù)據(jù)挖掘模塊102，用于采用預(yù)設(shè)的數(shù)據(jù)挖掘算法對所述域名系統(tǒng)解析數(shù)據(jù)進行數(shù)據(jù)挖掘，獲得數(shù)據(jù)挖掘結(jié)果；

攻擊行為檢測模塊103，用于根據(jù)所述數(shù)據(jù)挖掘結(jié)果對網(wǎng)絡(luò)攻擊行為進行檢測。

可選的，所述數(shù)據(jù)獲取模塊101，包括：

流量捕獲設(shè)備部署單元，用于預(yù)先在指定網(wǎng)絡(luò)范圍的網(wǎng)絡(luò)出口或數(shù)據(jù)交換設(shè)備上部署流量捕獲設(shè)備；

域名解析數(shù)據(jù)捕獲單元，用于利用所述流量捕獲設(shè)備捕獲指定所述網(wǎng)絡(luò)范圍內(nèi)的多個客戶端發(fā)送的域名系統(tǒng)解析數(shù)據(jù)。

可選的，所述數(shù)據(jù)挖掘模塊102，包括：

黑白名單對比單元，用于通過將所述域名系統(tǒng)解析數(shù)據(jù)中的域名IP與預(yù)先存儲的網(wǎng)絡(luò)攻擊者黑名單或白名單進行比對，判斷所述域名IP是否在所述黑名單或白名單中；

所述攻擊行為檢測模塊103，包括：

黑白名單判斷單元，用于根據(jù)所述域名IP是否在所述黑名單或白名單中，判斷是否存在網(wǎng)絡(luò)攻擊行為。

可選的，所述網(wǎng)絡(luò)攻擊行為檢測裝置，還包括：

全包數(shù)據(jù)捕獲模塊，用于若所述域名IP存在于所述黑名單中或所述域名IP不存在于所述白名單中時，對所述域名IP收發(fā)的數(shù)據(jù)進行全包捕獲；

數(shù)據(jù)還原模塊，用于對捕獲的數(shù)據(jù)進行還原分析；

數(shù)據(jù)還原判斷模塊，用于根據(jù)還原分析結(jié)果判斷所述域名IP對應(yīng)的主機是否存在網(wǎng)絡(luò)攻擊行為。

可選的，所述網(wǎng)絡(luò)攻擊行為檢測裝置，還包括：

黑白名單更新模塊，用于在確定所述域名IP對應(yīng)的主機是否存在網(wǎng)絡(luò)攻擊行為后，根據(jù)所述域名IP對應(yīng)的主機是否存在網(wǎng)絡(luò)攻擊行為，將所述域名IP添加到所述黑名單或白名單中，對所述黑名單或所述白名單進行更新。

可選的，所述數(shù)據(jù)挖掘模塊102，包括：

IP變化特征數(shù)據(jù)計算單元，用于根據(jù)所述域名系統(tǒng)解析數(shù)據(jù)計算所述域名系統(tǒng)解析數(shù)據(jù)中各域名的域名IP變化特征數(shù)據(jù)；

所述攻擊行為檢測模塊103，包括：

異常域名判斷單元，用于根據(jù)所述域名IP變化特征數(shù)據(jù)是否符合預(yù)設(shè)的異常域名判定條件分別判斷對應(yīng)的各所述域名是否是異常域名，在確定所述域名為異常域名時，判斷存在網(wǎng)絡(luò)攻擊行為。

可選的，所述數(shù)據(jù)挖掘模塊102，包括：

對應(yīng)關(guān)系挖掘單元，用于采用預(yù)設(shè)的數(shù)據(jù)挖掘算法對所述域名系統(tǒng)解析數(shù)據(jù)中記載的域名與域名IP的對應(yīng)關(guān)系或域名IP與客戶端IP的對應(yīng)關(guān)系進行數(shù)據(jù)挖掘，獲得數(shù)據(jù)挖掘結(jié)果；

所述攻擊行為檢測模塊103，包括：

對應(yīng)關(guān)系檢測單元，用于根據(jù)所述數(shù)據(jù)挖掘結(jié)果對網(wǎng)絡(luò)攻擊行為進行檢測。

可選的，所述網(wǎng)絡(luò)攻擊行為檢測裝置，還包括：

網(wǎng)絡(luò)數(shù)據(jù)獲取模塊101，用于在確定存在網(wǎng)絡(luò)攻擊行為后，獲取網(wǎng)絡(luò)攻擊行為中傳輸?shù)臄?shù)據(jù)；

關(guān)聯(lián)分析模塊，用于采用預(yù)設(shè)的關(guān)聯(lián)分析算法對所述數(shù)據(jù)進行關(guān)聯(lián)分析，獲得關(guān)聯(lián)分析結(jié)果；

攻擊主體確定模塊，用于根據(jù)所述關(guān)聯(lián)分析結(jié)果確定所述網(wǎng)絡(luò)攻擊行為中的攻擊主體。

可選的，所述域名系統(tǒng)解析數(shù)據(jù)是郵件收發(fā)過程中產(chǎn)生的域名系統(tǒng)解析數(shù)據(jù)；

所述數(shù)據(jù)挖掘模塊102，包括：

郵件數(shù)據(jù)挖掘單元，用于通過對所述域名系統(tǒng)解析數(shù)據(jù)進行針對郵件數(shù)據(jù)的數(shù)據(jù)挖掘；其中，所述針對郵件數(shù)據(jù)的數(shù)據(jù)挖掘包括：對用戶行為進行畫像、釣魚郵件分析、郵件頭部分析、郵件登陸日志分析和郵件收發(fā)行為分析中的至少一種。

所述攻擊行為檢測模塊103，包括：

郵件攻擊行為檢測單元，用于根據(jù)所述針對郵件數(shù)據(jù)的數(shù)據(jù)挖掘的挖掘結(jié)果判斷是否存在針對郵件的網(wǎng)絡(luò)攻擊行為。

以上，為本發(fā)明第二實施例提供的一種網(wǎng)絡(luò)攻擊行為檢測裝置的實施例說明。

本發(fā)明提供的一種網(wǎng)絡(luò)攻擊行為檢測裝置與上述網(wǎng)絡(luò)攻擊行為檢測方法出于相同的發(fā)明構(gòu)思，具有相同的有益效果，此處不再贅述。

在本說明書的描述中，參考術(shù)語“一個實施例”、“一些實施例”、“示例”、“具體示例”、或“一些示例”等的描述意指結(jié)合該實施例或示例描述的具體特征、結(jié)構(gòu)、材料或者特點包含于本發(fā)明的至少一個實施例或示例中。在本說明書中，對上述術(shù)語的示意性表述不必須針對的是相同的實施例或示例。而且，描述的具體特征、結(jié)構(gòu)、材料或者特點可以在任一個或多個實施例或示例中以合適的方式結(jié)合。此外，在不相互矛盾的情況下，本領(lǐng)域的技術(shù)人員可以將本說明書中描述的不同實施例或示例以及不同實施例或示例的特征進行結(jié)合和組合。

需要說明的是，附圖中的流程圖和框圖顯示了根據(jù)本發(fā)明的多個實施例的系統(tǒng)、方法和計算機程序產(chǎn)品的可能實現(xiàn)的體系架構(gòu)、功能和操作。在這點上，流程圖或框圖中的每個方框可以代表一個模塊、程序段或代碼的一部分，所述模塊、程序段或代碼的一部分包含一個或多個用于實現(xiàn)規(guī)定的邏輯功能的可執(zhí)行指令。也應(yīng)當注意，在有些作為替換的實現(xiàn)中，方框中所標注的功能也可以以不同于附圖中所標注的順序發(fā)生。例如，兩個連續(xù)的方框?qū)嶋H上可以基本并行地執(zhí)行，它們有時也可以按相反的順序執(zhí)行，這依所涉及的功能而定。也要注意的是，框圖和/或流程圖中的每個方框、以及框圖和/或流程圖中的方框的組合，可以用執(zhí)行規(guī)定的功能或動作的專用的基于硬件的系統(tǒng)來實現(xiàn)，或者可以用專用硬件與計算機指令的組合來實現(xiàn)。

本發(fā)明實施例所提供的網(wǎng)絡(luò)攻擊行為檢測裝置可以是計算機程序產(chǎn)品，包括存儲了程序代碼的計算機可讀存儲介質(zhì)，所述程序代碼包括的指令可用于執(zhí)行前面方法實施例中所述的方法，具體實現(xiàn)可參見方法實施例，在此不再贅述。

所屬領(lǐng)域的技術(shù)人員可以清楚地了解到，為描述的方便和簡潔，上述描述的系統(tǒng)、裝置和單元的具體工作過程，可以參考前述方法實施例中的對應(yīng)過程，在此不再贅述。

在本申請所提供的幾個實施例中，應(yīng)該理解到，所揭露的系統(tǒng)、裝置和方法，可以通過其它的方式實現(xiàn)。以上所描述的裝置實施例僅僅是示意性的，例如，所述單元的劃分，僅僅為一種邏輯功能劃分，實際實現(xiàn)時可以有另外的劃分方式，又例如，多個單元或組件可以結(jié)合或者可以集成到另一個系統(tǒng)，或一些特征可以忽略，或不執(zhí)行。另一點，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些通信接口，裝置或單元的間接耦合或通信連接，可以是電性，機械或其它的形式。

所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個地方，或者也可以分布到多個網(wǎng)絡(luò)單元上?？梢愿鶕?jù)實際的需要選擇其中的部分或者全部單元來實現(xiàn)本實施例方案的目的。

另外，在本發(fā)明各個實施例中的各功能單元可以集成在一個處理單元中，也可以是各個單元單獨物理存在，也可以兩個或兩個以上單元集成在一個單元中。

所述功能如果以軟件功能單元的形式實現(xiàn)并作為獨立的產(chǎn)品銷售或使用時，可以存儲在一個計算機可讀取存儲介質(zhì)中。基于這樣的理解，本發(fā)明的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻的部分或者該技術(shù)方案的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計算機軟件產(chǎn)品存儲在一個存儲介質(zhì)中，包括若干指令用以使得一臺計算機設(shè)備(可以是個人計算機，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實施例所述方法的全部或部分步驟。而前述的存儲介質(zhì)包括：U盤、移動硬盤、只讀存儲器(ROM，Read-Only Memory)、隨機存取存儲器(RAM，Random Access Memory)、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。

最后應(yīng)說明的是：以上各實施例僅用以說明本發(fā)明的技術(shù)方案，而非對其限制；盡管參照前述各實施例對本發(fā)明進行了詳細的說明，本領(lǐng)域的普通技術(shù)人員應(yīng)當理解：其依然可以對前述各實施例所記載的技術(shù)方案進行修改，或者對其中部分或者全部技術(shù)特征進行等同替換；而這些修改或者替換，并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的范圍，其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求和說明書的范圍當中。