1.基于DNS數(shù)據(jù)分析的域名查詢與解析異常檢測方法，是依托于一種基于DNS數(shù)據(jù)分析的域名查詢與解析異常檢測系統(tǒng)實(shí)現(xiàn)的，該系統(tǒng)包括DNS數(shù)據(jù)分析的域名查詢異常檢測模塊和解析異常檢測模塊兩部分；

域名查詢異常檢測模塊用于收集域名信息、DNS記錄批量查詢和數(shù)據(jù)入庫分析；

解析異常檢測模塊用于域名異常查詢檢測、數(shù)據(jù)預(yù)處理、聚類分析和結(jié)果分析；其特征在于：具體方法步驟如下：

步驟一，搜索引擎查詢主域名地址，通過全網(wǎng)DNS反解析、全網(wǎng)IP掃描http端口；

步驟二，域名解析異常檢測包括收集域名信息，然后對DNS記錄批量查及數(shù)據(jù)入庫和數(shù)據(jù)分析,所述數(shù)據(jù)分析包括IP次數(shù)分析和泛解析分析，首先準(zhǔn)備域名集合keys，針對每一個域名key查詢其DNS資源記錄，判斷查詢所得資源記錄是否為A類或CNAME類記錄，如果是A類或CNAME類記錄則資源記錄信息保存到數(shù)據(jù)庫中，反之則不做記錄，最后針對收集到的所有子域名進(jìn)行惡意泛解析分析，通過惡意泛解析分析能夠找到存在惡意泛解析風(fēng)險(xiǎn)的域，并且能夠發(fā)現(xiàn)部分受到惡意泛域名解析的網(wǎng)站采取相應(yīng)的解決方案；

步驟三，異常查詢檢測由于DNS基礎(chǔ)結(jié)構(gòu)的分布式特性，考慮多個位置來收集有關(guān)DNS查詢和回復(fù)的信息，通過解析器是訪問直接來自客戶端計(jì)算機(jī)的查詢的位置，提供有關(guān)DNS查詢和響應(yīng)方面的客戶端的詳細(xì)信息；

步驟四，數(shù)據(jù)預(yù)處理為特征提取，從原始數(shù)據(jù)中提取出能夠準(zhǔn)確放映用戶訪問模式的時間行為特征，依次計(jì)算每個IP的時間特征，先從流量日志數(shù)據(jù)中提取出能夠準(zhǔn)確反映用戶訪問模式的時間行為特征，將DNS日志中的所有域名信息進(jìn)行規(guī)約處理

步驟五，聚類分析，其中的聚類算法包括基于距離的k-means算法和層次聚類算法，通過算法將獲得的時間特征進(jìn)行解析，從而得到判斷網(wǎng)絡(luò)狀態(tài)的數(shù)據(jù)；

兩種聚類算法的混合算法；

所述的k-means算法是基于距離的聚類算法，采用距離作為相似性的評價(jià)指標(biāo)，即認(rèn)為兩個對象的距離越近，其相似度就越大，該算法認(rèn)為簇是由距離相近的對象組成的，因此把得到緊湊且獨(dú)立的簇作為最終目標(biāo)，給定樣本集D＝{x₁，x₂，...，x_m}，k-means算法針對聚類所得簇劃分C＝{C₁，C₂，...，C_m}最小化平方誤差

其中是簇C_i的均值向量，E值越小，簇內(nèi)樣本相似度越高；

所述的層次聚類是聚類算法的一種，通過計(jì)算不同類別數(shù)據(jù)點(diǎn)之間的相似度來創(chuàng)建一棵有層次的嵌套聚類樹，在聚類樹中，不同類別的原始數(shù)據(jù)點(diǎn)是樹的最低層，樹的頂層是一個聚類的根節(jié)點(diǎn)，創(chuàng)建聚類樹有自底向上合并和自頂向下分裂兩種方法；層次聚類的合并算法通過計(jì)算兩類數(shù)據(jù)點(diǎn)間的相似性，對所有數(shù)據(jù)點(diǎn)中最為相似的兩個數(shù)據(jù)點(diǎn)進(jìn)行組合，并反復(fù)迭代這一過程，通過計(jì)算每一個類別的數(shù)據(jù)點(diǎn)與所有數(shù)據(jù)點(diǎn)之間的距離來確定它們之間的相似性，距離越小，相似度越高，并將距離最近的兩個數(shù)據(jù)點(diǎn)或類別進(jìn)行組合，生成聚類樹；

步驟六，對上述解析后的數(shù)據(jù)通過比對分析進(jìn)行最終的判斷。