[发明专利]一种网络访问识别方法及系统

权利要求书

1.一种网络访问识别方法，其特征在于，所述方法包括：

从预设网络设备中引入待识别的流量；

从所述待识别的流量中分离出DNS数据包；

对所述DNS数据包进行解析，以生成符合预设数据结构的DNS数据；

根据预先训练的数据模型，对所述DNS数据进行模型匹配，并根据匹配结果确定所述DNS数据中的异常数据；

将所述异常数据的提示信息通过预设通知机制发送至管理人员处。

2.根据权利要求1所述的网络访问识别方法，其特征在于，所述方法还包括：

接收所述管理人员发来的针对所述异常数据的判定信息；

根据所述判定信息以及与所述判定信息相对应的DNS数据，对所述预先训练的数据模型再次进行训练，以修正所述数据模型中的错误。

3.根据权利要求1所述的网络访问识别方法，其特征在于，在从预设网络设备中引入待识别的流量的步骤之后，所述方法还包括：

对所述待识别的流量进行OSI参考模型中的传输层预处理，以提供具备可识别的数据格式的流量；

从所述待识别的流量中分离出DNS数据包的步骤具体包括：

对所述待识别的流量进行OSI参考模型的应用层预处理，以获取来自53端口的UDP请求数据。

4.根据权利要求1所述的网络访问识别方法，其特征在于，在将所述异常数据的提示信息通过预设通知机制发送至管理人员处之后，所述方法还包括：

将所述异常数据对应的网络通信地址加入黑名单中，以屏蔽所述异常数据对应的网络通信地址后续发来的数据。

5.根据权利要求1所述的网络访问识别方法，其特征在于，所述数据模型按照下述方式训练得到：

获取预设数量的域名访问记录，并将获取的域名访问记录作为训练样本；

利用预设特征学习算法对所述训练样本进行计算，以获取所述域名访问记录中各个域名的特征向量；

按照预设聚类算法对各个域名的特征向量进行聚类，得到至少一个向量集合，其中，每个向量集合对应一个诊断信息；

其中，所述预设特征学习算法包括word2vec算法；所述预设聚类算法包括以下至少一种：

K-Means聚类算法；

凝聚层次聚类算法；或者

DBSCAN算法。

6.根据权利要求5所述的网络访问识别方法，其特征在于，在获取所述域名访问记录中各个域名的特征向量之后，所述方法还包括：

根据预设分类算法对所述各个域名的特征向量进行分类，以区分正常域名和异常域名；其中，所述预设分类算法包括贝叶斯分类算法或者K最近邻算法。

7.根据权利要求5所述的网络访问识别方法，其特征在于，根据预先训练的数据模型，对所述DNS数据进行模型匹配具体包括：

利用预设特征学习算法对所述DNS数据进行计算，以得到所述DNS数据对应的目标特征向量；

确定所述目标特征向量所属的目标向量集合，并将所述目标向量集合对应的诊断信息作为所述DNS数据的匹配结果。

8.一种网络访问识别系统，其特征在于，所述系统包括：

流量引入单元，用于从预设网络设备中引入待识别的流量；

DNS数据包分离单元，用于从所述待识别的流量中分离出DNS数据包；

解析单元，用于对所述DNS数据包进行解析，以生成符合预设数据结构的DNS数据；

异常数据确定单元，用于根据预先训练的数据模型，对所述DNS数据进行模型匹配，并根据匹配结果确定所述DNS数据中的异常数据；

提示信息发送单元，用于将所述异常数据的提示信息通过预设通知机制发送至管理人员处。