1.一种网络攻击行为检测方法,其特征在于,包括:
获取域名系统解析数据;
采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果;
根据所述数据挖掘结果对网络攻击行为进行检测。
2.根据权利要求1所述的网络攻击行为检测方法,其特征在于,所述获取域名系统解析数据,包括:
利用流量捕获设备捕获指定网络范围内的多个客户端发送的域名系统解析数据。
3.根据权利要求1所述的网络攻击行为检测方法,其特征在于,所述数据挖掘算法包括聚类分析算法;
所述采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果,包括:
采用聚类分析算法,对所述域名系统解析数据中记载的域名和域名IP的对应关系进行聚类,将聚类后的域名与域名IP的对应关系作为数据挖掘结果;
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
对所述聚类后的域名与域名IP的对应关系进行模式分析,根据模式分析结果确定网络攻击行为的类型。
4.根据权利要求1所述的网络攻击行为检测方法,其特征在于,所述数据挖掘算法包括群集分析算法;
所述采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果,包括:
采用群集分析算法,在所述域名系统解析数据中记载的域名和域名IP的对应关系中寻找关联度较高的群集,将寻找出的关联度较高的所述群集作为数据挖掘结果;
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
对寻找出的关联度较高的所述群集,采用多层链接分析算法检测与网络攻击行为相关的域名IP。
5.根据权利要求1所述的网络攻击行为检测方法,其特征在于,所述数据挖掘算法包括时间序列分析算法;
所述采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果,包括:
采用时间序列分析算法,将所述域名系统解析数据中记载的域名IP与客户端IP的对应关系以时间序列的方式进行排序,根据排序结果确定所述域名IP与客户端IP的对应关系的规律和趋势,将所述域名IP与客户端IP的对应关系的规律和趋势作为数据挖掘结果;
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
根据所述域名IP与客户端IP的对应关系的规律和趋势确定网络攻击行为的攻击路径和数据流向。
6.根据权利要求1所述的网络攻击行为检测方法,其特征在于,所述数据挖掘算法包括路径分析算法;
所述采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果,包括:
采用路径分析算法,在所述域名系统解析数据中寻找域名IP与客户端IP之间的关联或路径,将寻找出的域名IP与客户端IP之间的关联或路径作为数据挖掘结果;
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
根据寻找出的域名IP与客户端IP之间的关联或路径确定网络攻击行为的攻击路径和数据流向。
7.一种网络攻击行为检测装置,其特征在于,包括:
数据获取模块,用于获取域名系统解析数据;
数据挖掘模块,用于采用预设的数据挖掘算法对所述域名系统解析数据中记载的域名与域名IP的对应关系或域名IP与客户端IP的对应关系进行数据挖掘,获得数据挖掘结果;
攻击行为检测模块,用于根据所述数据挖掘结果对网络攻击行为进行检测。
8.根据权利要求7所述的网络攻击行为检测装置,其特征在于,所述数据获取模块,包括:
数据捕获单元,用于利用流量捕获设备捕获指定网络范围内的多个客户端发送的域名系统解析数据。
9.根据权利要求7所述的网络攻击行为检测装置,其特征在于,所述数据挖掘算法包括聚类分析算法;
所述数据挖掘模块,包括:
聚类分析单元,用于采用聚类分析算法,对所述域名系统解析数据中记载的域名和域名IP的对应关系进行聚类,将聚类后的域名与域名IP的对应关系作为数据挖掘结果;
所述根据所述数据挖掘结果对网络攻击行为进行检测,包括:
攻击类型检测单元,用于对所述聚类后的域名与域名IP的对应关系进行模式分析,根据模式分析结果确定网络攻击行为的类型。
10.根据权利要求7所述的网络攻击行为检测装置,其特征在于,所述数据挖掘算法包括群集分析算法;
所述数据挖掘模块,包括:
群集分析单元,用于采用群集分析算法,在所述域名系统解析数据中记载的域名和域名IP的对应关系中寻找关联度较高的群集,将寻找出的关联度较高的所述群集作为数据挖掘结果;
所述攻击行为检测模块,包括:
群集检测单元,用于对寻找出的关联度较高的所述群集,采用多层链接分析算法检测与网络攻击行为相关的域名IP。