一种异常DNS请求解析方法与流程

本技术涉及数据解析，更具体地，涉及一种异常dns请求解析方法。

背景技术：

1、异常dns请求解析方法涉及多个背景技术和综合的分析方法。在分析异常dns请求时，以下是一些关键的背景技术和综合阐述：

2、dns协议和请求解析：dns（domain name system）是互联网中用于将域名解析为ip 地址的协议。解析 dns 请求涉及对 dns 协议的理解，包括报文结构、标志位、查询类型和响应代码等。这是解析请求中的基础。

3、威胁情报与恶意域名分析：借助威胁情报和恶意域名分析，可以收集和整合来自不同来源的关于已知的恶意域名、ip地址和攻击模式的信息。这些信息可以用于比对和识别异常dns请求中潜在的恶意行为。

4、现有技术中，异常dns请求的解析准确性差，经常出现误判、漏判的问题，从而导致网络安全防护策略适应性差。

5、因此，如何提高解析准确性和策略适应性，是目前有待解决的技术问题。

技术实现思路

1、本发明提供一种异常dns请求解析方法，用以解决现有技术中解析准确性差、策略适应性低的技术问题。所述方法包括：

2、获取以往异常dns请求，并根据以往异常dns请求的日志建立多个异常标准指标；

3、获取待检测dns请求，并根据待检测dns请求的日志生成多个异常指标；

4、比对异常指标和异常标准指标，从而确定待检测dns请求是否为异常dns请求；

5、若待检测dns请求为异常dns请求，分析请求报文，并得到异常信息；

6、根据异常信息确定请求的时间属性，并建立对应的马尔科夫模型，从而预测未来dns请求；

7、分别建立当前博弈论模型以及未来博弈论模型，从而得到当前最优解以及未来最优解，以调整网络防护策略。

8、本技术一些实施例中，并根据以往异常dns请求的日志建立多个异常标准指标，包括：

9、获取以往异常dns请求的日志中所有特征数据种类；

10、获取威胁情报数据，并得到异常的dns请求的特征和攻击模式，从而确定第一特征集；

11、对正常的dns请求数据以及异常的dns请求数据进行比对，得到差异特征数据，并确定第二特征集；

12、通过机器学习算法对正常和异常dns请求的数据特征进行训练分类，识别与异常请求相关的特征数据，并确定第三特征集；

13、第一特征集、第二特征集和第三特征集中均包含特征的种类以及该种类对应的异常数据范围；

14、基于第一特征集、第二特征集和第三特征集建立多个异常标准指标。

15、本技术一些实施例中，基于第一特征集、第二特征集和第三特征集建立多个异常标准指标，包括：

16、将第一特征集、第二特征集和第三特征集三者共同的交集特征数据种类作为第一异常标准指标种类，并且将第一特征集、第二特征集和第三特征集三者共同的交集特征数据种类所对应的异常数据范围的并集作为第一异常标准指标种类的数据范围；

17、将第一特征集、第二特征集和第三特征集中两两相交的交集特征数据种类作为第二异常标准指标种类，并且将第一特征集、第二特征集和第三特征集两两相交的交集特征数据种类所对应的异常数据范围平均值作为第二异常标准指标种类的数据范围；

18、根据第一异常标准指标种类、第一异常标准指标种类的数据范围、第二异常标准指标种类和第二异常标准指标种类的数据范围建立多个异常标准指标。

19、本技术一些实施例中，分析请求报文，并得到异常信息，包括：

20、抓取dns请求报文，解析dns请求报文结构；

21、报文结构包括报文头部、查询部分以及响应部分；

22、分析报文头部，得到请求的性质和特征；

23、分析查询部分，得到请求的资源和查询类型；

24、分析响应部分，得到dns服务器返回的数据；

25、基于请求的性质、特征、资源和查询类型以及dns服务器返回的数据检查报文字段和值，从而得到异常信息。

26、本技术一些实施例中，根据异常信息确定请求的时间属性，并建立对应的马尔科夫模型，从而预测未来dns请求，包括：

27、获取多次请求之间的平均时间间隔，并定义时间属性为连续时间和离散时间；

28、；

29、其中，t为平均时间间隔，n为请求次数-1，为第i次时间间隔，为指数函数，为中最小值，为中最大值，为预设常数；

30、对连续时间上的请求建立第一马尔科夫模型，对离散时间上的请求建立第二马尔科夫模型；

31、根据第一马尔科夫模型或第二马尔科夫模型预测未来dns请求。

32、本技术一些实施例中，并定义时间属性为连续时间和离散时间，包括：

33、若多次请求中平均时间间隔大于时间间隔的次数超过第一预设次数，则将时间属性定义为连续时间；

34、若多次请求中平均时间间隔小于时间间隔的次数超过第二预设次数，则将时间属性定义为离散时间。

35、本技术一些实施例中，分别建立当前博弈论模型以及未来博弈论模型，包括：

36、确定博弈中的攻击者和防御者；

37、获取历史攻击记录，并根据历史攻击记录构建攻击者的攻击策略；

38、根据防御者的dns请求解析方法构建防御者的防御策略；

39、定义攻击收益、攻击成本、防御收益和防御成本；

40、建立信息不对称规则，历史攻击记录与实际攻击者的攻击策略存在预设差异，以保证攻击者攻击先进性。

41、本技术一些实施例中，从而得到当前最优解以及未来最优解，以调整网络防护策略，包括：

42、根据当前博弈论模型和未来博弈论模型得到纳什均衡解；

43、基于纳什均衡解来调整网络防护策略。

44、本技术一些实施例中，基于纳什均衡解来调整网络防护策略，包括：

45、若纳什均衡解数量为1，则根据该纳什均衡解调整网络防护策略；

46、否则，比较多个纳什均衡解的收益，根据收益最大的纳什均衡解调整网络防护策略。

47、通过应用以上技术方案，获取以往异常dns请求，并根据以往异常dns请求的日志建立多个异常标准指标；获取待检测dns请求，并根据待检测dns请求的日志生成多个异常指标；比对异常指标和异常标准指标，从而确定待检测dns请求是否为异常dns请求；若待检测dns请求为异常dns请求，分析请求报文，并得到异常信息；根据异常信息确定请求的时间属性，并建立对应的马尔科夫模型，从而预测未来dns请求；分别建立当前博弈论模型以及未来博弈论模型，从而得到当前最优解以及未来最优解，以调整网络防护策略。本技术通过根据以往异常dns请求的日志建立多个异常标准指标，来确定待检测dns请求是否异常，提高了解析的准确性。通过建立当前博弈论模型以及未来博弈论模型，来调整网络防护策略，保证了安全防护策略的适应性。