一种针对DNS查询的异常检测方法与流程

本发明数据信息网络技术领域，具体的，本发明涉及一种针对dns查询异常检测方法。

背景技术：

dns(domainnameserver，域名服务器)是进行域名(domainname)和与之相对应的ip地址(ipaddress)转换的服务器。dns中保存了一张域名(domainname)和与之相对应的ip地址(ipaddress)的表，以解析消息的域名。在域名注册查询域名并购买了主机服务后，你需要将域名解析到所购买的主机上，才能看到网站内容。目前，存在利用dns查询方式进行网络攻击的问题。

技术实现要素：

本发明的目的在于，针对各种利用dns查询方式进行网络攻击的问题，提出了一种针对dns查询的异常检测方法，能够通过对处理后低维数据的分析以及数据点的可信度指标，从而识别出发出异常dns请求的ip。

一种针对dns查询的异常检测方法，包括以下步骤：

利用数据采集器提取dns服务器中的日志信息；

根据设定的特征对提取数据进行预处理；

对预处理后的数据进行降维处理；

低维空间下对数据进行群分析；

基于相对密度计算降维后数据点的可信度；

根据数据的分布以及其可信度标记异常ip。

作为优选，采集的数据来源于dns服务器中的查询日志；采集的数据包括源ip、目的ip、源端口号、dns报文信息。

作为优选，数据预处理操作包括：

数据的特征属性包括源ip单位时间内的dns请求次数、dns请求次数的峰值、dns请求失败的比例、源端口的信息熵、域名种类的信息熵、域名种类数峰值、非法域名的比例、异常包的比例、服务器拒绝服务率；数据预处理过程依次包括规范化与归一化处理，对于特征属性的实际最小值和最大值未知的情况，采用标准分数进行标准化化处理，随后再对所有数据进行归一化处理。

作为优选，数据降维操作是对多维数据集先进行中心化处理，再计算其的协方差矩阵，并进行特征值分解，选取其中较大的几个特征值所对应的特征向量组成投影矩阵。

作为优选，群分析处理操作可以分为确定最佳簇数，确定初始质心点和最佳簇划分三部分；其中，确定最佳簇数主要是按簇数递增的次序计算对应的簇间方差与全局方差的比值，选取其拐点的簇数作为最佳簇数；确定初始质心点主要是从输入的数据集中随机选择一个点作为第一个质心点；对于数据集中的每个点，计算它与最近质心点的距离并保存在一个数组里，同时计算这些距离之和；最后，取一个随机值，用权重的方式来取计算下一个质心点，直至选完所有质心点；最佳簇划分主要是根据确定的最佳簇数、初始质心点，对数据集中每个点计算其与各质心点的欧几里得距离，选取距离最近的点所对应的质心点的簇作为其所属簇，并对质心点进更新，直至收敛。

作为优选，计算数据点可信度操作是计算群分析后各簇内数据的相对距离，数据点的相对密度则是其相对距离的倒数；各簇中数据点的可信度用相对密度来表示。

作为优选，标记异常数据点操作根据各簇内可信度的高低标记簇内的异常数据点，以及对各簇间数据进行对比寻找是否存在数据异常的簇。

通过本发明，一种针对dns查询异常检测方法，能够通过对处理后低维数据的分析以及数据点的可信度指标，从而识别出发出异常dns请求的ip。

附图说明

图1示出了依据本发明一实施方式的针对dns查询异常检测方法流程图

图2示出了依据本发明一实施方式的针对dns查询异常检测方法结构图

图3示出了依据本发明一实施方式的针对dns查询异常检测方法网络组织流程图

具体实施方式

下文为对本发明实施方式的详细描述，所述实施方式在附图中已标示出，所有附图中以相同或者类似的标号表示相同或类似的组件或具有相同功能或类似功能的组件。下面通过参考附图描述的实施方式使示例性的，仅用于解释本发明，而不能解释为对本发明的限制。

本技术领域技术人员可以理解，除非特意声明，这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是，本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件，但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解，当我们称元件被“连接”或“耦接”到另一元件时，它可以直接连接或耦接到其他元件，或者也可以存在中间元件。此外，这里使用的“连接”或“耦接”可以包括无线连接或“耦接”。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的任一单元和全部组合。

本技术领域技术人员可以理解，除非另外定义，这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非像这里一样定义，不会用理想化或过于正式的含义来解释。

如图1所示，本发明一实施方式的针对dns查询异常检测方法流程图：

101，利用数据采集器提取dns服务器中的日志信息；

102，根据设定的特征对提取数据进行预处理；

103，对预处理后的数据进行降维处理；

104，低维空间下对数据进行群分析；

105，基于相对密度计算降维后数据点的可信度；

106，根据数据的分布以及其可信度标记异常ip。

在步骤101中，数据采集器收集的数据包括：

采集的数据主要来源于dns服务器中的查询日志；

采集的数据包括但不限于源ip、目的ip、源端口号、dns报文信息等。

在步骤102中，数据预处理操作包括：

数据的特征属性包括但不限于源ip单位时间内的dns请求次数、dns请求次数的峰值、dns请求失败的比例、源端口的信息熵、域名种类的信息熵、域名种类数峰值、非法域名的比例、异常包的比例、服务器拒绝服务率等。数据预处理过程依次包括规范化与归一化处理。对于特征属性的实际最小值和最大值未知的情况，采用标准分数进行标准化化处理。随后再对所有数据进行归一化处理。

在步骤103中，数据降维操作包括：

数据降维操作的主要过程是对多维数据集先进行中心化处理，再计算其的协方差矩阵，并进行特征值分解，选取其中较大的几个特征值所对应的特征向量组成投影矩阵。数据降维操作旨在利用采用映射关系将高维空间中的数据点映射到低维空间中，考虑到对低维数据分析的需要，经常降维到二维空间或三维空间。

在步骤104中，群分析操作包括：

群分析处理操作具体去可以分为确定最佳簇数，确定初始质心点和最佳簇划分三部分。确定最佳簇数主要是按簇数递增的次序计算对应的簇间方差与全局方差的比值，选取其拐点的簇数作为最佳簇数。确定初始质心点主要是从输入的数据集中随机选择一个点作为第一个质心点；对于数据集中的每个点，计算它与最近质心点的距离并保存在一个数组里，同时计算这些距离之和；最后，取一个随机值，用权重的方式来取计算下一个质心点，直至选完所有质心点。最佳簇划分主要是根据确定的最佳簇数、初始质心点，对数据集中每个点计算其与各质心点的欧几里得距离，选取距离最近的点所对应的质心点的簇作为其所属簇，并对质心点进更新，直至收敛。

在步骤105中，计算数据点可信度操作包括：

计算数据点可信度操作主要是计算群分析后各簇内数据的相对距离，数据点的相对密度则是其相对距离的倒数。各簇中数据点的可信度用相对密度来表示，相对密度越大的数据点可信度越高，相对密度越小的数据点可信度越低。

在步骤106中，标记异常数据点操作包括：

标记异常数据点操作主要是根据各簇内可信度的高低标记簇内的异常数据点，以及对各簇间数据进行对比寻找是否存在数据异常的簇。

图2示出了依据本发明一实施方式的针对dns查询异常检测方法结构图。其中，数据采集器对dns服务器的日志信息中的源ip、目的ip、源端口号、dns报文进行提取；数据预处理模块将提取设定的特征，并依次对数据进行规范化及归一化处理；降维模块对多维数据集进行降维，以挖掘各维度间的相关性，同时有利于直观地观察数据在低维的分布特征；群分析模块旨在合理划分数据的所属簇；异常检测模块主要是基于相对密度计算各数据点的可信度以检测出同簇中的异常ip，同时基于各簇质心点进行对比分析以检测出异常的数据簇。

图3示出了依据本发明一实施方式的针对dns查询异常检测方法网络组织流程图。本方法运用数据采集器提取dns服务器中的日志信息，其中包含源ip、目的ip、源端口号、dns报文等信息；提取信息中的统计属性特征，并进行规范化或归一化处理；对多维数据集进行降维处理以发现各维度间的相关性，同时有利于更直观地观察数据的分布；在低维空间下对降维后的数据进行群分析，以合理地划分各数据点所属的簇；对同簇数据内部采取异常点检测的方法以及对异簇间数据的总体特征进行可视化分析，从而能够在全局及局部两个层面实现dns异常查询的ip检测。

通过本发明所提出的技术方案，不仅可以根据可信度的高低检测出异常dns查询的主机ip，而且能够直观观察到主机ip行为间的隐含关系以分析网络中的异常问题。

本技术领域技术人员可以理解，本发明可以涉及用于执行本申请中所述操作中的一项或多项操作的设备。所述设备可以为所需的目的而专门设计和制造，或者也可以包括通用计算机中的已知设备，所述通用计算机有存储在其内的程序选择性地激活或重构。

本技术领域技术人员可以理解，可以用计算机程序指令来实现这些结构图和/或框图和/或流图中的每个框以及这些结构图和/或框图和/或流图中的框的组合。可以将这些计算机程序指令提供给通用计算机、专业计算机或其他可编程数据处理方法的处理器来生成机器，从而通过计算机或其他可编程数据处理方法的处理器来执行的指令创建了用于实现结构图和/或框图和/或流图的框或多个框中指定的方法。

本技术领域技术人员可以理解，本发明中已经讨论过的各种操作、方法、流程中的步骤、措施、方案可以被交替、更改、组合或删除。进一步地，具有本发明中已经讨论过的各种操作、方法、流程中的其他步骤、措施、方案也可以被交替、更改、重排、分解、组合或删除。进一步地，现有技术中的具有与本发明中公开的各种操作、方法、流程中的步骤、措施、方案也可以被交替、更改、重排、分解、组合或删除。

以上所述仅是本发明的部分实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。