域名系统分析方法及装置的制造方法
【技术领域】
[0001]本发明涉及互联网技术领域,尤其涉及一种域名系统分析方法及装置。
【背景技术】
[0002]域名系统(英文!Domain Name System,缩写:DNS)是因特网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。DNS通过主机名最终得到该主机名对应的IP地址的过程叫做域名解析(或主机名解析)。
[0003]例如,当用户的网站制作完成后上传到虚拟主机时,用户可以直接在浏览器中输入IP地址浏览这一网站,也可以输入域名查询这一网站。虽然两者方式最终的调用结果都是一样的,但是调用的过程却不一样一一输入IP地址实际上是直接从主机上调用网站的内容,输入域名实际上则是通过DNS指向对应的主机的IP地址,再从主机上调用网站的内容。
[0004]处于DNS所带来的便利,用户通常都会通过DNS服务器来访问互联网,从而现有技术常会通过对DNS服务器进行安全防护的设置来确保网络的安全。例如,通过在DNS服务器上安装防火墙来抵御来自外部的分布式拒绝服务攻击(Distributed Denial of Service,DDoS)。然而,无论采用何种方式来进行安全防护,都需要基于对DNS服务器上的网络访问数据进行的分析汇总。
[0005]但是,随着网络设备的更新换代,几乎每一台DNS服务器上的网络访问数据的数据量都极为庞大,因而传统的分析和检测方法中对每一访问记录的操作都会给DNS的分析汇总增加巨大的负担。例如,现有技术会使用根据经验设定的攻击特征库来查找到可以与任一类型攻击匹配的访问记录集合,但为了保证其有效性需要将所有安全级别未知的访问记录都与攻击特征库中的每一项都进行比对,会给DNS的分析汇总过程带来了大量的工作量。
【发明内容】
[0006]针对现有技术中的缺陷,本发明提供一种域名系统分析方法及装置,可以解决DNS服务器中大量网络访问数据难以进行分析汇总的问题。
[0007]第一方面,本发明提供了一种域名系统分析装置,包括:
[0008]获取单元,用于获取与待分析网络对应的多个域名分类,并用于按照所述域名分类获取待分析网络的域名访问记录;
[0009]比较单元,用于将所述获取单元获取的、对应于任一所述域名分类的域名访问记录与对应于该域名分类的至少一个预设事件模型进行比较;
[0010]生成单元,用于在所述域名访问记录与任一所述预设事件模型相匹配时,生成与该预设事件模型对应的事件报告,所述事件报告中包括对应的域名分类的标识以及所述域名访问记录中的至少部分信息。
[0011]可选地,所述获取单元进一步用于通过对域名系统的旁路侦听实时地获取所述域名访问记录。
[0012]可选地,所述至少一个预设事件模型包括访问量激增事件模型,所述访问量激增事件模型中设有一时间长度阈值和一访问量阈值;
[0013]所述生成单元进一步用于:
[0014]在对应于任一所述域名分类的所述域名访问记录中,长度为所述时间长度阈值的任意时间内的访问量大于所述访问量阈值时,生成与所述访问量激增事件模型对应的事件?艮胃。
[0015]可选地,所述多个域名分类包括不安全域名类;与对应于所述不安全域名类的至少一个预设事件模型包括报警事件模型;
[0016]所述生成单元进一步用于:
[0017]在对应于所述不安全域名类的域名访问记录不为空时,生成与所述报警事件模型对应的事件报告。
[0018]可选地,所述获取单元包括:
[0019]获取模块,用于获取待分析网络的域名访问记录;
[0020]生成模块,用于根据所述获取模块获取到的所述域名访问记录生成预设数据类型的待训练数据,所述预设数据类型与预设无监督特征学习算法对应;
[0021]训练模块,用于利用所述预设无监督特征学习算法对所述生成模块生成的待训练数据进行训练,获取所述域名访问记录中包括的各个域名的无监督特征向量;
[0022]聚类模块,用于根据各个无监督特征向量的相似度对与无监督特征向量对应的域名进行聚类,得到多个域名集合,一个域名集合中所有域名属于同一域名分类;
[0023]所述获取模块还用于获取所述各个域名的无监督特征向量的相似度。
[0024]可选地,所述预设无监督特征学习算法为word2vector算法;
[0025]所述生成模块进一步用于:
[0026]根据每一个客户端的域名访问记录生成一个文本数据类型的待训练数据,一个文本数据类型的待训练数据中的每一个词组表示一个域名,且一个文本数据类型的待训练数据中的各个词组按照其对应的域名被该客户端访问的时间排列。
[0027]第二方面,本发明还提供了一种域名分类方法,包括:
[0028]获取与待分析网络对应的多个域名分类;
[0029]按照所述域名分类获取待分析网络的域名访问记录;
[0030]将对应于任一所述域名分类的域名访问记录与对应于该域名分类的至少一个预设事件模型进行比较;
[0031]若所述域名访问记录与任一所述预设事件模型相匹配,则生成与该预设事件模型对应的事件报告,所述事件报告中包括对应的域名分类的标识以及所述域名访问记录中的至少部分信息。
[0032]可选地,所述按照所述域名分类获取待分析网络的域名访问记录,包括:
[0033]通过对域名系统的旁路侦听实时地获取所述域名访问记录。
[0034]可选地,所述至少一个预设事件模型包括访问量激增事件模型,所述访问量激增事件模型中设有一时间长度阈值和一访问量阈值;
[0035]所述若所述域名访问记录与任一所述预设事件模型相匹配,则生成与该预设事件模型对应的事件报告,包括:
[0036]若对应于任一所述域名分类的所述域名访问记录中,长度为所述时间长度阈值的任意时间内的访问量大于所述访问量阈值,则生成与所述访问量激增事件模型对应的事件?艮胃。
[0037]可选地,所述多个域名分类包括不安全域名类;与对应于所述不安全域名类的至少一个预设事件模型包括报警事件模型;
[0038]所述若所述域名访问记录与任一所述预设事件模型相匹配,则生成与该预设事件模型对应的事件报告,包括:
[0039]若对应于所述不安全域名类的域名访问记录不为空,则生成与所述报警事件模型对应的事件报告。
[0040]可选地,获取与待分析网络对应的多个域名分类,包括:
[0041 ] 获取待分析网络的域名访问记录;
[0042]根据所述域名访问记录生成预设数据类型的待训练数据,所述预设数据类型与预设无监督特征学习算法对应;
[0043]利用所述预设无监督特征学习算法对所述待训练数据进行训练,获取所述域名访问记录中包括的各个域名的无监督特征向量;
[0044]获取所述各个域名的无监督特征向量的相似度;
[0045]根据获取到的各个无监督特征向量的相似度对与无监督特征向量对应的域名进行聚类,得到多个域名集合,一个域名集合中所有域名属于同一域名分类。
[0046]可选地,所述预设无监督特征学习算法为word2vector算法;
[0047]所述根据所述域名访问记录生成预设数据类型的待训练数据,包括:
[0048]根据每一个客户端的域名访问记录生成一个文本数据类型的待训练数据,一个文本数据类型的待训练数据中的每一个词组表示一个域名,且一个文本数据类型的待训练数据中的各个词组按照其对应的域名被该客户端访问的时间排列。
[0049]由上述技术方案可知,本发明由于将DNS中的网络访问数据按照域名分类来进行处理,对于不同的类别可以利用不同的预设事件模型来进行匹配,因而可以大大减少DNS分析汇总过程对单个域名访问记录的操作数量,降低了整体的工作量。
[0050]而且,本发明由于将同一域名分类下的域名访问记录统一进行了事件提取,相当于对DNS中的网络访问数据进行了信息提取,从得到的事件报告中可以方便地获取到关于每一域名分类的整体访问情况,不仅能更全面更直观地反映DNS中的网络访问数据,还有利于对网络攻击行为的及时发现。
[0051]进一步地,本发明由于可以得到针对不同域名分类的事件报告,因而可以在此基础之上进行包括而不仅限于安全防护方面的综合性数据分析,例如对所属客户端进行网络需求分析等等。
[0052]可见,本发明不仅可以解决DNS服务器中大量网络访问数据难以进行分析汇总的问题,还可以通过简便的方法有效地提取出DNS中网络访问数据的有效信息,有利于提升基于DNS服务器的各类应用程序的执行效率。
【附图说明】
[0053]图1为本发明一实施例中一种域名系统分析方法的流程示意图;
[0054]图2为本发明一实施例中一种获取域名分类的方法流程示意图;
[0055]图3为本发明一实施例中一种具体的获取域名分类的方法流程示意图;
[0056]图4为本发明一实施例中一种域名系统分析系统的结构框图;
[0057]图5为本发明一实施例中一种获取单元的结构框图。
【具体实施方式】
[0058]下面结合附图和实施例,对本发明的【具体实施方式】作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
[0059]图1为本发明一实施例提供的一种域名系统分析方法的流程示意图。参见图1,该方法包括:
[0060]步骤101:获取与待分析网络对应的多个域名分类;
[0061]步骤102:按照所述域名分类获取待分析网络的域名访问记录;
[0062]步骤103:将对应于任一所述域名分类的域名访问记录与对应于该域名分类的至少一个预设事件模型进行比较;
[0063]步骤104:若所述域名访问记录与任一所述预设事件模型相匹配,则生成与该预设事件模型对应的事件报告,所述事件报告中包括对应的域名分类的标识以及所述域名访问记录中的至少部分信息。
[0064]上述步骤101中,待分析网络主要指的是使用同一个域名系统(DNS)的网络,具体可以是诸如企业内部网络的局域网、互联网、或是任意形式的虚拟网络,如VLAN (VirtualLocal Ar