本申請(qǐng)公開了一種基于域名服務(wù)協(xié)議的數(shù)據(jù)處理方法及電子設(shè)備，該方法包括：在偵測(cè)到基于域名服務(wù)協(xié)議的第一請(qǐng)求的情況下，獲取第一請(qǐng)求對(duì)應(yīng)的基于域名服務(wù)協(xié)議的第一數(shù)據(jù)；對(duì)第一數(shù)據(jù)進(jìn)行解析，獲取多個(gè)特征集，其中特征集包括至少一個(gè)第一數(shù)據(jù)的特征信息；將特征信息輸入到完成訓(xùn)練的檢測(cè)模型中，利用檢測(cè)模型進(jìn)行計(jì)算，確定第一請(qǐng)求是否為異常的基于域名服務(wù)協(xié)議的特定請(qǐng)求，其中，檢測(cè)模型基于輸入非特定請(qǐng)求的樣本完成訓(xùn)練。本實(shí)施例數(shù)據(jù)處理方法，能夠利用基于無監(jiān)督方式(無需輸入異常樣本)完成訓(xùn)練的檢測(cè)模型，方便而準(zhǔn)確的檢測(cè)出網(wǎng)絡(luò)請(qǐng)求是否為基于DNS隧道技術(shù)的請(qǐng)求，進(jìn)而能夠加強(qiáng)對(duì)網(wǎng)絡(luò)安全漏洞的管理。

技術(shù)領(lǐng)域

本申請(qǐng)涉及網(wǎng)絡(luò)信息領(lǐng)域，特別涉及一種基于域名服務(wù)協(xié)議的數(shù)據(jù)處理方法及電子設(shè)備。

背景技術(shù)

在網(wǎng)絡(luò)環(huán)境中，DNS協(xié)議(Domain Name Server，域名服務(wù)協(xié)議，或Domain NameSystem，域名服務(wù)系統(tǒng)協(xié)議)是必不可少的網(wǎng)絡(luò)通信協(xié)議之一，為了訪問互聯(lián)網(wǎng)和內(nèi)網(wǎng)資源，DNS可以提供域名解析服務(wù)，將域名和IP地址進(jìn)行轉(zhuǎn)換。而網(wǎng)絡(luò)設(shè)備和邊界防護(hù)設(shè)備在一般情況下很少對(duì)DNS數(shù)據(jù)進(jìn)行過濾、分析或屏蔽，因此將數(shù)據(jù)或指令藏匿于DNS協(xié)議中進(jìn)行傳輸是一種隱蔽且有效的網(wǎng)絡(luò)操作行為。而一些非法攻擊者可能會(huì)利用上述技術(shù)原理，通過DNS隧道技術(shù)來達(dá)到避開防火墻的檢測(cè)，例如將網(wǎng)絡(luò)流量偽裝成DNS流量，再通過DNS的正常走向?qū)⒘髁總鞒鰜恚M(jìn)而實(shí)現(xiàn)非法目的。因此，檢測(cè)網(wǎng)絡(luò)的數(shù)據(jù)流量中是否存在DNS隧道技術(shù)顯得十分必要，但目前并沒有完善而準(zhǔn)確的檢測(cè)方式。

發(fā)明內(nèi)容

本申請(qǐng)實(shí)施例的目的在于提供一種基于域名服務(wù)協(xié)議的數(shù)據(jù)處理方法，該方法能夠通過訓(xùn)練好的檢測(cè)模型對(duì)網(wǎng)絡(luò)流量中的數(shù)據(jù)進(jìn)行檢測(cè)，方便而準(zhǔn)確的檢測(cè)出網(wǎng)絡(luò)請(qǐng)求是否為異常的基于域名服務(wù)協(xié)議的特定請(qǐng)求，其中包括基于DNS隧道技術(shù)的請(qǐng)求。

為了解決上述技術(shù)問題，本申請(qǐng)的實(shí)施例采用了如下技術(shù)方案：一種基于域名服務(wù)協(xié)議的數(shù)據(jù)處理方法，包括：

在偵測(cè)到基于域名服務(wù)協(xié)議的第一請(qǐng)求的情況下，獲取所述第一請(qǐng)求對(duì)應(yīng)的基于域名服務(wù)協(xié)議的第一數(shù)據(jù)；

對(duì)所述第一數(shù)據(jù)進(jìn)行解析，獲取多個(gè)特征集，其中所述特征集包括至少一個(gè)所述第一數(shù)據(jù)的特征信息；

將所述特征信息輸入到完成訓(xùn)練的檢測(cè)模型中，利用所述檢測(cè)模型進(jìn)行計(jì)算，確定所述第一請(qǐng)求是否為異常的基于域名服務(wù)協(xié)議的特定請(qǐng)求，其中，所述檢測(cè)模型基于輸入非特定請(qǐng)求的樣本完成訓(xùn)練。

作為可選，所述的對(duì)所述第一數(shù)據(jù)進(jìn)行解析，獲取多個(gè)特征集，包括：

將所述第一數(shù)據(jù)轉(zhuǎn)化為具有特定文件格式的第二數(shù)據(jù)；

從所述第二數(shù)據(jù)中解析出所述特征集，基于所述特征集確定所述特征信息；

基于所述特征信息生成相應(yīng)的特征向量，將進(jìn)行了標(biāo)準(zhǔn)化操作的所述特征向量作為所述檢測(cè)模型的輸入。

作為可選，所述特征集包括以下至少一種：負(fù)載長度信息集、記錄類型信息集和查詢名稱信息集；其中，所述查詢名稱信息集包括請(qǐng)求域名隨機(jī)性的特征信息。

作為可選，所述方法還包括基于無監(jiān)督方式訓(xùn)練所述檢測(cè)模型，其中包括：

向所述檢測(cè)模型輸入基于域名服務(wù)協(xié)議的訓(xùn)練數(shù)據(jù)，其中所述訓(xùn)練數(shù)據(jù)為非特定請(qǐng)求的樣本數(shù)據(jù)；

基于所述訓(xùn)練數(shù)據(jù)，并通過以提高所述檢測(cè)模型對(duì)未知樣本檢測(cè)的準(zhǔn)確率為目標(biāo)的至少一個(gè)預(yù)設(shè)檢測(cè)算法，對(duì)所述檢測(cè)模型進(jìn)行訓(xùn)練；

在所述檢測(cè)模型達(dá)到預(yù)定檢測(cè)標(biāo)準(zhǔn)時(shí)完成訓(xùn)練。

作為可選，所述的將所述特征信息輸入到完成訓(xùn)練的檢測(cè)模型中，利用所述檢測(cè)模型進(jìn)行計(jì)算，確定所述第一請(qǐng)求是否為異常的基于域名服務(wù)協(xié)議的特定請(qǐng)求，包括：