[發(fā)明專利]一種針對DNS查詢的異常檢測方法在審

申請?zhí)枺?/td>	201911197648.1	申請日：	2019-11-29
公開（公告）號：	CN110830505A	公開（公告）日：	2020-02-21
發(fā)明（設計）人：	黃韜;余思雨;鄂新華;潘恬;張嬌;劉江	申請（專利權）人：	北京工業(yè)大學
主分類號：	H04L29/06	分類號：	H04L29/06;H04L29/12
代理公司：	北京思海天達知識產權代理有限公司 11203	代理人：	吳蔭芳
地址：	100124 ***	國省代碼：	北京;11
權利要求書：	查看更多	說明書：	查看更多
摘要：
搜索關鍵詞：	一種針對 dns 查詢異常檢測方法
鉆瓜網技術展會專利詞庫專利權人專利榜在售專利公布日期熱門專利

【權利要求書】：

1.一種針對DNS查詢的異常檢測方法，其特征在于，包括以下步驟：

利用數(shù)據(jù)采集器提取DNS服務器中的日志信息；

根據(jù)設定的特征對提取數(shù)據(jù)進行預處理；

對預處理后的數(shù)據(jù)進行降維處理；

低維空間下對數(shù)據(jù)進行群分析；

基于相對密度計算降維后數(shù)據(jù)點的可信度；

根據(jù)數(shù)據(jù)的分布以及其可信度標記異常IP。

2.根據(jù)權利要求1所述方法，其特征在于，采集的數(shù)據(jù)來源于DNS服務器中的查詢日志；采集的數(shù)據(jù)包括源IP、目的IP、源端口號、DNS報文信息。

3.根據(jù)權利要求1所述方法，其特征在于，數(shù)據(jù)預處理操作包括：

數(shù)據(jù)的特征屬性包括源IP單位時間內的DNS請求次數(shù)、DNS請求次數(shù)的峰值、DNS請求失敗的比例、源端口的信息熵、域名種類的信息熵、域名種類數(shù)峰值、非法域名的比例、異常包的比例、服務器拒絕服務率；數(shù)據(jù)預處理過程依次包括規(guī)范化與歸一化處理，對于特征屬性的實際最小值和最大值未知的情況，采用標準分數(shù)進行標準化化處理，隨后再對所有數(shù)據(jù)進行歸一化處理。

4.根據(jù)權利要求1所述方法，其特征在于，數(shù)據(jù)降維操作是對多維數(shù)據(jù)集先進行中心化處理，再計算其的協(xié)方差矩陣，并進行特征值分解，選取其中較大的幾個特征值所對應的特征向量組成投影矩陣。

5.根據(jù)權利要求1所述方法，其特征在于，群分析處理操作可以分為確定最佳簇數(shù)，確定初始質心點和最佳簇劃分三部分；其中，確定最佳簇數(shù)主要是按簇數(shù)遞增的次序計算對應的簇間方差與全局方差的比值，選取其拐點的簇數(shù)作為最佳簇數(shù)；確定初始質心點主要是從輸入的數(shù)據(jù)集中隨機選擇一個點作為第一個質心點；對于數(shù)據(jù)集中的每個點，計算它與最近質心點的距離并保存在一個數(shù)組里，同時計算這些距離之和；最后，取一個隨機值，用權重的方式來取計算下一個質心點，直至選完所有質心點；最佳簇劃分主要是根據(jù)確定的最佳簇數(shù)、初始質心點，對數(shù)據(jù)集中每個點計算其與各質心點的歐幾里得距離，選取距離最近的點所對應的質心點的簇作為其所屬簇，并對質心點進更新，直至收斂。

6.根據(jù)權利要求1所述方法，其特征在于，計算數(shù)據(jù)點可信度操作是計算群分析后各簇內數(shù)據(jù)的相對距離，數(shù)據(jù)點的相對密度則是其相對距離的倒數(shù)；各簇中數(shù)據(jù)點的可信度用相對密度來表示。

7.根據(jù)權利要求1所述方法，其特征在于，標記異常數(shù)據(jù)點操作根據(jù)各簇內可信度的高低標記簇內的異常數(shù)據(jù)點，以及對各簇間數(shù)據(jù)進行對比尋找是否存在數(shù)據(jù)異常的簇。

下載完整專利技術內容需要扣除積分，VIP會員可以免費下載。

免登錄下載普通用戶下載升級VIP會員，免費下載

該專利技術資料僅供研究查看技術是否侵權等信息，商用須獲得專利權人授權。該專利全部權利屬于北京工業(yè)大學，未經北京工業(yè)大學許可，擅自商用是侵權行為。如果您想購買此專利、獲得商業(yè)授權和技術合作，請聯(lián)系【客服】

本文鏈接：http://www.szxzyx.cn/pat/books/201911197648.1/1.html，轉載請聲明來源鉆瓜專利網。