一种DNS恶意数据检测方法、装置、设备及介质与流程

一种dns恶意数据检测方法、装置、设备及介质
技术领域
1.本发明涉及网络安全技术领域，尤其涉及一种dns恶意数据检测方法、装置、设备及介质。


背景技术：

2.dns是互联网的一项服务，用于客户端向域名服务器查询域名，并获得最终ip地址，并支持mx、txt等其他类型的请求。目前的防火墙和安全设备往往很少对dns进行拦截和过滤，所以会存在一些恶意软件使用dns协议来传输恶意信息，或者使用dns的请求和响应字段实现隐蔽信道来传输数据，而从dns协议看来，是遵循格式的查询和响应的，因此普通的防火墙或者中间安全设备往往难以识别，并且dns是互联网常用业务，也不能进行屏蔽，故此对网络安全形成了威胁。
3.现有的dns恶意数据检测手段分为传统规则识别和机器学习两种方法，传统规则往往是通过域名长度、字母频率、请求报文的时间间隔，或者根据源ip统计次数等方式实现，但是误报率比较高，而且对新变种往往无法有效识别。机器学习也存在多种问题，比如数据维度太高导致计算太慢，或者分类效果不佳，并且往往采用已知样本进行训练，对未知威胁的识别率较低。


技术实现要素：

4.有鉴于此，为部分解决现有技术中存在的问题，本发明实施例提供dns恶意数据检测方法、装置、设备及介质，基于dns恶意数据识别模型对流量数据中的dns恶意数据和隐蔽信道进行检出，针对流量数据高维度的特点，所述dns恶意数据识别模型在训练数据前通过数据清洗对流量数据进行降维处理，使得训练结果更全面更准确，基于这样的训练模型对流量数据进行检测，能够高效准确的检出dns恶意数据，发现隐蔽信道，保护用户网络数据安全。
5.具体发明内容为：
6.一种dns恶意数据检测方法，包括：
7.对流量数据进行监测，解析所述流量数据中的dns数据；
8.判断所述dns数据是否符合dns协议，若是，则提取所述流量数据的特征信息，并与基于数据降维训练得到的dns恶意数据识别模型中的特征进行对比，确定是否存在dns恶意特征。
9.进一步地，所述dns恶意数据识别模型的训练方式包括：
10.读取流量数据库中的流量数据，获取所述流量数据的特征；
11.将同属性的特征进行合并，得到综合特征标签；
12.根据各综合特征标签对所述流量数据进行分类清洗，以此降低所述流量数据的维度；
13.采用孤立森林算法分别对清洗后得到的每一类流量数据进行计算，得到每一类流
量数据中的可疑数据；
14.提取所述可疑数据的特征，写入所述dns恶意数据识别模型。
15.进一步地，所述提取所述可疑数据的特征，写入所述dns恶意数据识别模型，具体包括：
16.将所述可疑数据发送至专家系统进行审查，判断所述可疑数据中是否包含恶意数据，若是，则提取所述可疑数据的特征写入所述dns恶意数据识别模型。
17.进一步地，所述将所述可疑数据发送至专家系统进行审查，审查方式至少包括下列之一：
18.查询所述异常数据中包含的域名信息的合法性；
19.查询所述异常数据可触发的威胁行为；
20.与其他恶意数据库中的数据进行对比；
21.与已公开的恶意信息进行对比。
22.进一步地，确定存在dns恶意数据后，所述方法还包括：
23.进行告警，同时获取dns恶意数据中包含的ip，查询所述ip触发的具体威胁行为，用以进行应对处置。
24.进一步地，在所述进行告警的同时，所述方法还包括：
25.将监测到的不包含nds恶意数据的流量数据发送至所述流量数据库，用于对所述dns恶意数据识别模型进行训练。
26.一种dns恶意数据检测装置，包括：
27.流量监测模块，用于对流量数据进行监测，解析所述流量数据中的dns数据；
28.恶意数据判定模块，用于判断所述dns数据是否符合dns协议，若是，则提取所述流量数据的特征信息，与基于数据降维训练得到的dns恶意数据识别模型中的特征进行对比，确定是否存在dns恶意特征。
29.一种电子设备，所述电子设备包括：壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器、存储器设置在电路板上；电源电路，用于为上述电子设备的各个电路或器件供电；存储器用于存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述方法。
30.一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现前述方法。
31.一种计算机程序产品，当所述计算机程序产品中的指令由处理器执行时，执行前述方法。
32.本发明的有益效果体现在：
33.本发明基于dns恶意数据识别模型对流量数据中的dns恶意数据和隐蔽信道进行检出，针对流量数据高维度的特点，所述dns恶意数据识别模型在训练数据前通过数据清洗对流量数据进行降维处理，使得训练结果更全面更准确，基于这样的训练模型对流量数据进行检测，能够高效准确的检出dns恶意数据，发现隐蔽信道，保护用户网络数据安全。
附图说明
34.为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。
35.图1为本发明实施例一种dns恶意数据检测方法流程图；
36.图2为本发明实施例一种dns恶意数据识别模型训练方法流程图；
37.图3为本发明实施例另一种dns恶意数据检测方法流程图；
38.图4为本发明实施例一种dns恶意数据检测装置结构图；
39.图5为本发明实施例一种电子设备结构示意图。
具体实施方式
40.下面结合附图对本发明实施例进行详细描述。
41.需说明的是，在不冲突的情况下，以下实施例及实施例中的特征可以相互组合；并且，基于本公开中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本公开保护的范围。
42.需要说明的是，下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见，本文中所描述的方面可体现于广泛多种形式中，且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本公开，所属领域的技术人员应了解，本文中所描述的一个方面可与任何其它方面独立地实施，且可以各种方式组合这些方面中的两者或两者以上。举例来说，可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外，可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。
43.本发明提供一种dns恶意数据检测方法实施例，如图1所示，包括：
44.s11：对流量数据进行监测，解析所述流量数据中的dns数据；
45.s12：判断所述dns数据是否符合dns协议，若是，则进入s13；否则判定存在dns恶意数据；
46.s13：提取所述流量数据的特征信息，并与基于数据降维训练得到的dns恶意数据识别模型中的特征进行对比，判断是否存在dns恶意特征，若是，则判定存在dns恶意数据；否则返回s11。
47.本实施例s11对流量数据进行监测和解析可根据dpdk技术实现，以提高数据处理性能和吞吐量。本实施例首先对流量数据中的dns数据是否符合dns协议进行判断，初步对不符合dns协议的dns数据中的常规恶意数据进行检出，若所述dns数据符合dns协议，则进一步通过dns恶意数据识别模型对非常规dns恶意数据即dns隐蔽信道进行检出，此时隐蔽信道可能隐藏在dns数据下也可能隐藏在流量数据的其他数据中，因此提取所述流量数据的特征信息进行检测，能够确保检测范围的全面性，提高检测结果的精准度，及时发现网络威胁。
48.优选地，所述dns恶意数据识别模型的训练方式包括：
49.读取流量数据库中的流量数据，获取所述流量数据的特征；
50.将同属性的特征进行合并，得到综合特征标签；
51.根据各综合特征标签对所述流量数据进行分类清洗，以此降低所述流量数据的维度；
52.采用孤立森林算法分别对清洗后得到的每一类流量数据进行计算，得到每一类流量数据中的可疑数据；
53.提取所述可疑数据的特征，写入所述dns恶意数据识别模型。
54.本发明在实际应用中，可根据需求对流量数据库进行周期性读取，便于对所述dns恶意数据识别模型进行深度训练。所述将同属性的特征进行合并，得到综合特征标签，举例如下表所示。根据各综合特征标签对所述流量数据进行分类清洗，是对流量数据进行降维的过程，基于孤立森林算法的无监督学习分别对清洗后得到的每一类流量数据进行计算，能够有效解决孤立森林算法不适用于高维度数据的问题，提高可疑数据检出的全面性和精准度，因为一般情况下孤立森林算法每次切数据空间都是随机选取一个维度，计算后仍然有大量的维度数据没有被使用，导致计算结果可靠性不高，利用本发明则可采用孤立森林算法对降维后所有维度数据进行计算。本发明通过上述计算，能够全面准确得到流量数据中的可疑数据，使得dns恶意数据识别模型中的特征数据更全面。由于所述可疑数据是基于流量数据得到的，因此写入dns恶意数据识别模型中的特征既包括不符合dns协议的常规dns恶意数据特征，也包括dns隐蔽信道特征，基于这样的dns恶意数据识别模型对日常流量数据进行检测，能够全面准确的对dns恶意数据进行检出，发现隐蔽信道，保护用户网络数据安全。
[0055][0056]
优选地，所述提取所述可疑数据的特征，写入所述dns恶意数据识别模型，具体包括：
[0057]
将所述可疑数据发送至专家系统进行审查，判断所述可疑数据中是否包含恶意数据，若是，则提取所述可疑数据的特征写入所述dns恶意数据识别模型。
[0058]
优选地，所述将所述可疑数据发送至专家系统进行审查，审查方式至少包括下列之一：查询所述异常数据中包含的域名信息的合法性、查询所述异常数据可触发的威胁行为、与其他恶意数据库中的数据进行对比、与已公开的恶意信息进行对比。
[0059]
可见，上述优选方案所述dns恶意数据识别模型是基于白数据、专家判定的黑数据和历史已知黑数据进行训练得到的，利用这样的模型对dns恶意数据进行检测，其检出结果更精确。
[0060]
优选地，确定存在dns恶意数据后，所述方法还包括：
[0061]
进行告警，同时获取dns恶意数据中包含的ip，查询所述ip触发的具体威胁行为，用以进行应对处置。其中，查询方式包括：通过网络查询、本地数据库查询、发送至相关机构如综合威胁情报中心等进行查询，或其他可获取所述ip触发的具体威胁行为的方式查询。
[0062]
上述优选方案对dns恶意数据的具体威胁行为进行查询，如木马、sql注入攻击、ddos攻击等，根据具体威胁行为，结合用户的安全配置，可通知防火墙或由用户自己对相应ip和dns报文进行截断，即对dns恶意请求或隐蔽信道进行截断，更好地保护用户网络数据安全。
[0063]
优选地，在所述进行告警的同时，所述方法还包括：
[0064]
将监测到的不包含nds恶意数据的流量数据发送至所述流量数据库，用于对所述dns恶意数据识别模型进行训练。该过程是数据反哺的过程，对流量数据库的数据资源进行完善，便于日后对现有白数据中尚未检出的恶意数据进行训练和检出，对dns恶意数据识别模型进行优化，提升识别能力，实现良性循环，进一步提高用户日常网络行为中dns恶意数据和隐蔽信道的检出率。
[0065]
为对本发明进一步进行说明，提供一种dns恶意数据识别模型训练方法实施例，如图2所示，包括：
[0066]
s21：读取流量数据库中的流量数据，获取所述流量数据的特征；
[0067]
s22：将同属性的特征进行合并，得到综合特征标签；
[0068]
s23：根据各综合特征标签对所述流量数据进行分类清洗，以此降低所述流量数据的维度；
[0069]
s24：采用孤立森林算法分别对清洗后得到的每一类流量数据进行计算，得到每一类流量数据中的可疑数据；
[0070]
s25：将所述可疑数据发送至专家系统进行审查；
[0071]
s26：判断所述可疑数据中是否包含恶意数据，若是，则提取所述可疑数据的特征写入所述dns恶意数据识别模型；否则不予处理。
[0072]
图2所述实施例的dns恶意数据识别模型是基于白数据、专家判定的黑数据和历史已知黑数据进行训练得到的，利用这样的模型对dns恶意数据进行检测，其检出结果更精确。
[0073]
为对本发明进一步进行说明，结合上述优选方案，提供另一种dns恶意数据检测方法实施例，如图3所示，包括：
[0074]
s31：对流量数据进行监测，解析所述流量数据中的dns数据；
[0075]
s32：判断所述dns数据是否符合dns协议，若否，则进入s35；若是，则进入s33；
[0076]
s33：提取所述流量数据的特征信息，并与基于数据降维训练得到的dns恶意数据识别模型中的特征进行对比；
[0077]
s34：判断是否存在dns恶意数据，若是，则进入s35；否则返回s31；
[0078]
s35：判定存在dns恶意数据，并进行告警；
[0079]
s36：获取dns恶意数据中包含的ip，将所述ip发送至综合威胁情报中心，查询所述ip触发的具体威胁行为；
[0080]
s37：根据所述具体威胁行为对所述ip和相应dns报文进行截断；
[0081]
s38：将监测到的不包含nds恶意数据的流量数据发送至所述流量数据库，用于对所述dns恶意数据识别模型进行训练。
[0082]
图2、图3所述实施例为基于图1所述实施例的优选方案得到，因此对图2、图3所述实施例的描述较为简单，相关之处请参照图1所述实施例。
[0083]
本发明提供一种dns恶意数据检测装置实施例，如图4所示，包括：
[0084]
流量监测模块41，用于对流量数据进行监测，解析所述流量数据中的dns数据；
[0085]
恶意数据判定模块42，用于判断所述dns数据是否符合dns协议，若是，则提取所述流量数据的特征信息，与基于数据降维训练得到的dns恶意数据识别模型中的特征进行对比，确定是否存在dns恶意特征。
[0086]
优选地，所述dns恶意数据识别模型的训练方式包括：
[0087]
读取流量数据库中的流量数据，获取所述流量数据的特征；
[0088]
将同属性的特征进行合并，得到综合特征标签；
[0089]
根据各综合特征标签对所述流量数据进行分类清洗，以此降低所述流量数据的维度；
[0090]
采用孤立森林算法分别对清洗后得到的每一类流量数据进行计算，得到每一类流量数据中的可疑数据；
[0091]
提取所述可疑数据的特征，写入所述dns恶意数据识别模型。
[0092]
优选地，所述提取所述可疑数据的特征，写入所述dns恶意数据识别模型，具体包括：
[0093]
将所述可疑数据发送至专家系统进行审查，判断所述可疑数据中是否包含恶意数据，若是，则提取所述可疑数据的特征写入所述dns恶意数据识别模型。
[0094]
优选地，所述将所述可疑数据发送至专家系统进行审查，审查方式至少包括下列之一：查询所述异常数据中包含的域名信息的合法性、查询所述异常数据可触发的威胁行为、与其他恶意数据库中的数据进行对比、与已公开的恶意信息进行对比。
[0095]
优选地，确定存在dns恶意数据后，所述恶意数据判定模块42还用于：
[0096]
进行告警，同时获取dns恶意数据中包含的ip，查询所述ip触发的具体威胁行为，用以进行应对处置。
[0097]
优选地，在所述进行告警的同时，所述恶意数据判定模块42还用于：
[0098]
将监测到的不包含nds恶意数据的流量数据发送至所述流量数据库，用于对所述dns恶意数据识别模型进行训练。
[0099]
本发明装置实施例部分过程与方法实施例相近，对于装置实施例的描述较为简单，相应部分请参照方法实施例。
[0100]
本发明实施例还提供一种电子设备，如图5所示，可以实现本发明图1-3所示实施例的流程，所述电子设备包括：壳体51、处理器52、存储器53、电路板54和电源电路55，其中，电路板54安置在壳体51围成的空间内部，处理器52、存储器53设置在电路板54上；电源电路55，用于为上述电子设备的各个电路或器件供电；存储器53用于存储可执行程序代码；处理
器52通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述实施例所述的方法。
[0101]
处理器52对上述步骤的具体执行过程以及处理器52通过运行可执行程序代码来进一步执行的步骤，可以参见本发明图1-3所示实施例的描述，在此不再赘述。
[0102]
该电子设备以多种形式存在，包括但不限于：
[0103]
(1)移动通信设备：这类设备的特点是具备移动通信功能，并且以提供话音、数据通信为主要目标。这类终端包括：智能手机(例如iphone)、多媒体手机、功能性手机，以及低端手机等。
[0104]
(2)超移动个人计算机设备：这类设备属于个人计算机的范畴，有计算和处理功能，一般也具备移动上网特性。这类终端包括：pda、mid和umpc设备等，例如ipad。
[0105]
(3)便携式娱乐设备：这类设备可以显示和播放多媒体内容。该类设备包括：音频、视频播放器(例如ipod)，掌上游戏机，电子书，以及智能玩具和便携式车载导航设备。
[0106]
(4)服务器：提供计算服务的设备，服务器的构成包括处理器、硬盘、内存、系统总线等，服务器和通用的计算机架构类似，但是由于需要提供高可靠的服务，因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
[0107]
(5)其他具有数据交互功能的电子设备。
[0108]
本发明实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现前述实施例所述的方法。
[0109]
本发明实施例还提供一种计算机程序产品，当所述计算机程序产品中的指令由处理器执行时，执行前述实施例所述的方法。
[0110]
本发明基于dns恶意数据识别模型对流量数据中的dns恶意数据和隐蔽信道进行检出，针对流量数据高维度的特点，所述dns恶意数据识别模型在训练数据前通过数据清洗对流量数据进行降维处理，使得训练结果更全面更准确，基于这样的训练模型对流量数据进行检测，能够高效准确的检出dns恶意数据，发现隐蔽信道，保护用户网络数据安全。
[0111]
以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。