本發(fā)明公開一種針對DNS查詢的異常檢測方法，包括以下步驟：(1)利用數(shù)據(jù)采集器提取DNS服務器中的日志信息；(2)根據(jù)設定的特征對提取數(shù)據(jù)進行預處理；(3)對預處理后的數(shù)據(jù)進行降維處理；(4)低維空間下對數(shù)據(jù)進行群分析；(5)基于相對密度計算降維后數(shù)據(jù)點的可信度；(6)根據(jù)數(shù)據(jù)的分布以及其可信度標記異常IP。通過對DNS服務器中查詢?nèi)罩拘畔⑦M行提取與處理，從而對各IP的行為進行分析以實現(xiàn)對其異常行為的檢測。

技術(shù)領域

本發(fā)明數(shù)據(jù)信息網(wǎng)絡技術(shù)領域，具體的，本發(fā)明涉及一種針對DNS查詢異常檢測方法。

背景技術(shù)

DNS(Domain Name Server，域名服務器)是進行域名(domain name)和與之相對應的IP地址(IP address)轉(zhuǎn)換的服務器。DNS中保存了一張域名(domain name)和與之相對應的IP地址(IP address)的表，以解析消息的域名。在域名注冊查詢域名并購買了主機服務后，你需要將域名解析到所購買的主機上，才能看到網(wǎng)站內(nèi)容。目前，存在利用DNS查詢方式進行網(wǎng)絡攻擊的問題。

發(fā)明內(nèi)容

本發(fā)明的目的在于，針對各種利用DNS查詢方式進行網(wǎng)絡攻擊的問題，提出了一種針對DNS查詢的異常檢測方法，能夠通過對處理后低維數(shù)據(jù)的分析以及數(shù)據(jù)點的可信度指標，從而識別出發(fā)出異常DNS請求的IP。

一種針對DNS查詢的異常檢測方法，包括以下步驟：

利用數(shù)據(jù)采集器提取DNS服務器中的日志信息；

根據(jù)設定的特征對提取數(shù)據(jù)進行預處理；

對預處理后的數(shù)據(jù)進行降維處理；

低維空間下對數(shù)據(jù)進行群分析；

基于相對密度計算降維后數(shù)據(jù)點的可信度；

根據(jù)數(shù)據(jù)的分布以及其可信度標記異常IP。

作為優(yōu)選，采集的數(shù)據(jù)來源于DNS服務器中的查詢?nèi)罩荆徊杉臄?shù)據(jù)包括源IP、目的IP、源端口號、DNS報文信息。

作為優(yōu)選，數(shù)據(jù)預處理操作包括：

數(shù)據(jù)的特征屬性包括源IP單位時間內(nèi)的DNS請求次數(shù)、DNS請求次數(shù)的峰值、DNS請求失敗的比例、源端口的信息熵、域名種類的信息熵、域名種類數(shù)峰值、非法域名的比例、異常包的比例、服務器拒絕服務率；數(shù)據(jù)預處理過程依次包括規(guī)范化與歸一化處理，對于特征屬性的實際最小值和最大值未知的情況，采用標準分數(shù)進行標準化化處理，隨后再對所有數(shù)據(jù)進行歸一化處理。

作為優(yōu)選，數(shù)據(jù)降維操作是對多維數(shù)據(jù)集先進行中心化處理，再計算其的協(xié)方差矩陣，并進行特征值分解，選取其中較大的幾個特征值所對應的特征向量組成投影矩陣。

作為優(yōu)選，群分析處理操作可以分為確定最佳簇數(shù)，確定初始質(zhì)心點和最佳簇劃分三部分；其中，確定最佳簇數(shù)主要是按簇數(shù)遞增的次序計算對應的簇間方差與全局方差的比值，選取其拐點的簇數(shù)作為最佳簇數(shù)；確定初始質(zhì)心點主要是從輸入的數(shù)據(jù)集中隨機選擇一個點作為第一個質(zhì)心點；對于數(shù)據(jù)集中的每個點，計算它與最近質(zhì)心點的距離并保存在一個數(shù)組里，同時計算這些距離之和；最后，取一個隨機值，用權(quán)重的方式來取計算下一個質(zhì)心點，直至選完所有質(zhì)心點；最佳簇劃分主要是根據(jù)確定的最佳簇數(shù)、初始質(zhì)心點，對數(shù)據(jù)集中每個點計算其與各質(zhì)心點的歐幾里得距離，選取距離最近的點所對應的質(zhì)心點的簇作為其所屬簇，并對質(zhì)心點進更新，直至收斂。

作為優(yōu)選，計算數(shù)據(jù)點可信度操作是計算群分析后各簇內(nèi)數(shù)據(jù)的相對距離，數(shù)據(jù)點的相對密度則是其相對距離的倒數(shù)；各簇中數(shù)據(jù)點的可信度用相對密度來表示。

作為優(yōu)選，標記異常數(shù)據(jù)點操作根據(jù)各簇內(nèi)可信度的高低標記簇內(nèi)的異常數(shù)據(jù)點，以及對各簇間數(shù)據(jù)進行對比尋找是否存在數(shù)據(jù)異常的簇。