本发明涉及网络安全技术领域,具体涉及一种网络攻击行为检测方法及装置。
背景技术:
随着互联网技术的发展,域名解析系统被广泛的应用,由域名解析系统所带来的网络安全问题也不断增多,比如针对域名服务器的DDoS(DDoS:Distributed Denial of Service,分布式拒绝服务攻击)、针对特定类型网络的DDoS攻击、大规模DNS(Domain Name System,域名系统)欺骗攻击、僵尸网络等等,由于上述网络攻击行为往往具有很强的欺骗性和伪装性,常规对所有数据进行抓包分析的检测方式效率较低,难以对其进行有效的检测。
技术实现要素:
针对现有技术中的缺陷,本发明提供一种网络攻击行为检测方法及装置,以高效的对网络攻击行为进行检测。
第一方面,本发明提供的一种网络攻击行为检测方法,包括:
获取域名系统解析数据;
采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果;
根据所述数据挖掘结果对网络攻击行为进行检测。
可选的,所述获取域名系统解析数据,包括:
利用流量捕获设备捕获指定网络范围内的多个客户端发送的域名系统解析数据。
可选的,所述数据挖掘算法包括聚类分析算法;
所述采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果,包括:
采用聚类分析算法,对所述域名系统解析数据中记载的域名和域名IP的对应关系进行聚类,将聚类后的域名与域名IP的对应关系作为数据挖掘结果;
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
对所述聚类后的域名与域名IP的对应关系进行模式分析,根据模式分析结果确定网络攻击行为的类型。
可选的,所述数据挖掘算法包括群集分析算法;
所述采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果,包括:
采用群集分析算法,在所述域名系统解析数据中记载的域名和域名IP的对应关系中寻找关联度较高的群集,将寻找出的关联度较高的所述群集作为数据挖掘结果;
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
对寻找出的关联度较高的所述群集,采用多层链接分析算法检测与网络攻击行为相关的域名IP。
可选的,所述数据挖掘算法包括时间序列分析算法;
所述采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果,包括:
采用时间序列分析算法,将所述域名系统解析数据中记载的域名IP与客户端IP的对应关系以时间序列的方式进行排序,根据排序结果确定所述域名IP与客户端IP的对应关系的规律和趋势,将所述域名IP与客户端IP的对应关系的规律和趋势作为数据挖掘结果;
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
根据所述域名IP与客户端IP的对应关系的规律和趋势确定网络攻击行为的攻击路径和数据流向。
可选的,所述数据挖掘算法包括路径分析算法;
所述采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果,包括:
采用路径分析算法,在所述域名系统解析数据中寻找域名IP与客户端IP之间的关联或路径,将寻找出的域名IP与客户端IP之间的关联或路径作为数据挖掘结果;
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
根据寻找出的域名IP与客户端IP之间的关联或路径确定网络攻击行为的攻击路径和数据流向。
第二方面,本发明提供的一种网络攻击行为检测装置,包括:
数据获取模块,用于获取域名系统解析数据;
数据挖掘模块,用于采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果;
攻击行为检测模块,用于根据所述数据挖掘结果对网络攻击行为进行检测。
可选的,所述数据获取模块,包括:
数据捕获单元,用于利用流量捕获设备捕获指定网络范围内的多个客户端发送的域名系统解析数据。
可选的,所述数据挖掘算法包括聚类分析算法;
所述数据挖掘模块,包括:
聚类分析单元,用于采用聚类分析算法,对所述域名系统解析数据中记载的域名和域名IP的对应关系进行聚类,将聚类后的域名与域名IP的对应关系作为数据挖掘结果;
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
攻击类型检测单元,用于对所述聚类后的域名与域名IP的对应关系进行模式分析,根据模式分析结果确定网络攻击行为的类型。
可选的,所述数据挖掘算法包括群集分析算法;
所述数据挖掘模块,包括:
群集分析单元,用于采用群集分析算法,在所述域名系统解析数据中记载的域名和域名IP的对应关系中寻找关联度较高的群集,将寻找出的关联度较高的所述群集作为数据挖掘结果;
所述攻击行为检测模块,包括:
群集检测单元,用于对寻找出的关联度较高的所述群集,采用多层链接分析算法检测与网络攻击行为相关的域名IP。
可选的,所述数据挖掘算法包括时间序列分析算法;
所述数据挖掘模块,包括:
时间序列分析单元,用于采用时间序列分析算法,将所述域名系统解析数据中记载的域名IP与客户端IP的对应关系以时间序列的方式进行排序,根据排序结果确定所述域名IP与客户端IP的对应关系的规律和趋势,将所述域名IP与客户端IP的对应关系的规律和趋势作为数据挖掘结果;
所述攻击行为检测模块,包括:
时间序列检测单元,用于根据所述域名IP与客户端IP的对应关系的规律和趋势确定网络攻击行为的攻击路径和数据流向。
可选的,所述数据挖掘算法包括路径分析算法;
所述数据挖掘模块,包括:
路径分析单元,用于采用路径分析算法,在所述域名系统解析数据中寻找域名IP与客户端IP之间的关联或路径,将寻找出的域名IP与客户端IP之间的关联或路径作为数据挖掘结果;
所述攻击行为检测模块,包括:
路径检测单元,用于根据寻找出的域名IP与客户端IP之间的关联或路径确定网络攻击行为的攻击路径和数据流向。
由上述技术方案可知,本发明提供的一种网络攻击行为检测方法,首先获取域名系统解析数据;然后,采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果;最后根据所述数据挖掘结果对网络攻击行为进行检测。不同于传统抓包分析的网络攻击行为检测方式,本发明以域名系统解析数据为处理对象,通过对其进行数据挖掘,从而根据挖掘结果能够更加有效、快速地对网络攻击行为进行检测。
本发明提供的一种网络攻击行为检测装置,与上述网络攻击行为检测方法出于相同的发明构思,具有相同的有益效果。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。
图1示出了本发明第一实施例所提供的一种网络攻击行为检测方法的流程图;
图2示出了本发明第二实施例所提供的一种网络攻击行为检测装置的示意图。
具体实施方式
下面将结合附图对本发明技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本发明的技术方案,因此只是作为示例,而不能以此来限制本发明的保护范围。
需要注意的是,除非另有说明,本申请使用的技术术语或者科学术语应当为本发明所属领域技术人员所理解的通常意义。
本发明提供一种网络攻击行为检测方法、一种网络攻击行为检测装置和一种网络攻击行为检测系统。下面结合附图对本发明的实施例进行说明。
图1示出了本发明第一实施例所提供的一种网络攻击行为检测方法的流程图。如图1所示,本发明第一实施例提供的一种网络攻击行为检测方法包括以下步骤:
步骤S101:获取域名系统解析数据。
本发明实施例中,所述域名系统解析数据(即DNS数据)可以采用流量捕获设备进行捕获,例如,在网关处布置一流量捕获设备,利用该流量捕获设备捕获指定网络范围内的多个客户端发送的域名系统解析数据。
步骤S102:采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果。
步骤S103:根据所述数据挖掘结果对网络攻击行为进行检测。
本发明实施例中,根据采用的数据挖掘算法的不同,可以对网络攻击行为的不同方面进行检测,例如,在本发明提供的一个实施例中,所述数据挖掘算法包括聚类分析算法;
所述采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果,包括:
采用聚类分析算法,对所述域名系统解析数据中记载的域名和域名IP的对应关系进行聚类,将聚类后的域名与域名IP的对应关系作为数据挖掘结果;
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
对所述聚类后的域名与域名IP的对应关系进行模式分析,根据模式分析结果确定网络攻击行为的类型。
又如,在本发明提供的一个实施例中,所述数据挖掘算法包括群集分析算法;
所述采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果,包括:
采用群集分析算法,在所述域名系统解析数据中记载的域名和域名IP的对应关系中寻找关联度较高的群集,将寻找出的关联度较高的所述群集作为数据挖掘结果;
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
对寻找出的关联度较高的所述群集,采用多层链接分析算法检测与网络攻击行为相关的域名IP。
其中,所述多层链接分析算法包括优化深度遍历和广度遍历算法等算法,可以从某一异常变化的DNS请求出发,查找相关的域名IP。
再如,在本发明提供的一个实施例中,所述数据挖掘算法包括时间序列分析算法;
所述采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果,包括:
采用时间序列分析算法,将所述域名系统解析数据中记载的域名IP与客户端IP的对应关系以时间序列的方式进行排序,根据排序结果确定所述域名IP与客户端IP的对应关系的规律和趋势,将所述域名IP与客户端IP的对应关系的规律和趋势作为数据挖掘结果;
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
根据所述域名IP与客户端IP的对应关系的规律和趋势确定网络攻击行为的攻击路径和数据流向。
在本发明提供的另一个实施例中,所述数据挖掘算法包括路径分析算法;
所述采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果,包括:
采用路径分析算法,在所述域名系统解析数据中寻找域名IP与客户端IP之间的关联或路径,将寻找出的域名IP与客户端IP之间的关联或路径作为数据挖掘结果;
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
根据寻找出的域名IP与客户端IP之间的关联或路径确定网络攻击行为的攻击路径和数据流向。
例如通过异常变化的DNS请求情况,可以得到可疑域名IP与客户端IP之间明确的数据流向、传输路径、连接规律及趋势等。
需要说明的是,上述四种数据挖掘算法可以单独使用,也可以组合使用,以对网络攻击行为进行更加全面和准确的检测,其均在本发明的保护范围之内。
例如,在域名系统解析数据中的域名与域名IP的记录,通过不同域名IP的分组,可以查看到那些域名被多少个域名IP解析过,域名IP解析次数的多少,域名IP归属地的不同,然后通过抓包或者其他方式查看是否在传输数据,进而确定网络攻击行为的攻击路径和数据流向。
至此,通过步骤S101至步骤S103,完成了本发明第一实施例所提供的一种网络攻击行为检测方法的流程。不同于传统抓包分析的网络攻击行为检测方式,本发明以域名系统解析数据为处理对象,通过对其进行数据挖掘,从而根据挖掘结果能够更加有效、快速地对网络攻击行为进行检测。
在上述的第一实施例中,提供了一种网络攻击行为检测方法,与之相对应的,本申请还提供一种网络攻击行为检测装置。请参考图2,其为本发明第二实施例提供的一种网络攻击行为检测装置的示意图。由于装置实施例基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。下述描述的装置实施例仅仅是示意性的。
本发明第二实施例提供的一种网络攻击行为检测装置,包括:
数据获取模块101,用于获取域名系统解析数据;
数据挖掘模块102,用于采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果;
攻击行为检测模块103,用于根据所述数据挖掘结果对网络攻击行为进行检测。
在本发明提供的一个实施例中,所述数据获取模块101,包括:
数据捕获单元,用于利用流量捕获设备捕获指定网络范围内的多个客户端发送的域名系统解析数据。
在本发明提供的一个实施例中,所述数据挖掘算法包括聚类分析算法;
所述数据挖掘模块102,包括:
聚类分析单元,用于采用聚类分析算法,对所述域名系统解析数据中记载的域名和域名IP的对应关系进行聚类,将聚类后的域名与域名IP的对应关系作为数据挖掘结果;
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
攻击类型检测单元,用于对所述聚类后的域名与域名IP的对应关系进行模式分析,根据模式分析结果确定网络攻击行为的类型。
在本发明提供的一个实施例中,所述数据挖掘算法包括群集分析算法;
所述数据挖掘模块102,包括:
群集分析单元,用于采用群集分析算法,在所述域名系统解析数据中记载的域名和域名IP的对应关系中寻找关联度较高的群集,将寻找出的关联度较高的所述群集作为数据挖掘结果;
所述攻击行为检测模块103,包括:
群集检测单元,用于对寻找出的关联度较高的所述群集,采用多层链接分析算法检测与网络攻击行为相关的域名IP。
在本发明提供的一个实施例中,所述数据挖掘算法包括时间序列分析算法;
所述数据挖掘模块102,包括:
时间序列分析单元,用于采用时间序列分析算法,将所述域名系统解析数据中记载的域名IP与客户端IP的对应关系以时间序列的方式进行排序,根据排序结果确定所述域名IP与客户端IP的对应关系的规律和趋势,将所述域名IP与客户端IP的对应关系的规律和趋势作为数据挖掘结果;
所述攻击行为检测模块103,包括:
时间序列检测单元,用于根据所述域名IP与客户端IP的对应关系的规律和趋势确定网络攻击行为的攻击路径和数据流向。
在本发明提供的一个实施例中,所述数据挖掘算法包括路径分析算法;
所述数据挖掘模块102,包括:
路径分析单元,用于采用路径分析算法,在所述域名系统解析数据中寻找域名IP与客户端IP之间的关联或路径,将寻找出的域名IP与客户端IP之间的关联或路径作为数据挖掘结果;
所述攻击行为检测模块103,包括:
路径检测单元,用于根据寻找出的域名IP与客户端IP之间的关联或路径确定网络攻击行为的攻击路径和数据流向。
以上,为本发明第二实施例提供的一种网络攻击行为检测装置的实施例说明。
本发明提供的一种网络攻击行为检测装置与上述网络攻击行为检测方法出于相同的发明构思,具有相同的有益效果,此处不再赘述。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
需要说明的是,附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本发明实施例所提供的网络攻击行为检测装置可以是计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。