[发明专利]一种针对DNS查询的异常检测方法

说明书

本发明公开一种针对DNS查询的异常检测方法，包括以下步骤：(1)利用数据采集器提取DNS服务器中的日志信息；(2)根据设定的特征对提取数据进行预处理；(3)对预处理后的数据进行降维处理；(4)低维空间下对数据进行群分析；(5)基于相对密度计算降维后数据点的可信度；(6)根据数据的分布以及其可信度标记异常IP。通过对DNS服务器中查询日志信息进行提取与处理，从而对各IP的行为进行分析以实现对其异常行为的检测。

技术领域

本发明数据信息网络技术领域，具体的，本发明涉及一种针对DNS查询异常检测方法。

背景技术

DNS(Domain Name Server，域名服务器)是进行域名(domain name)和与之相对应的IP地址(IP address)转换的服务器。DNS中保存了一张域名(domain name)和与之相对应的IP地址(IP address)的表，以解析消息的域名。在域名注册查询域名并购买了主机服务后，你需要将域名解析到所购买的主机上，才能看到网站内容。目前，存在利用DNS查询方式进行网络攻击的问题。

发明内容

本发明的目的在于，针对各种利用DNS查询方式进行网络攻击的问题，提出了一种针对DNS查询的异常检测方法，能够通过对处理后低维数据的分析以及数据点的可信度指标，从而识别出发出异常DNS请求的IP。

一种针对DNS查询的异常检测方法，包括以下步骤：

利用数据采集器提取DNS服务器中的日志信息；

根据设定的特征对提取数据进行预处理；

对预处理后的数据进行降维处理；

低维空间下对数据进行群分析；

基于相对密度计算降维后数据点的可信度；

根据数据的分布以及其可信度标记异常IP。

作为优选，采集的数据来源于DNS服务器中的查询日志；采集的数据包括源IP、目的IP、源端口号、DNS报文信息。

作为优选，数据预处理操作包括：

数据的特征属性包括源IP单位时间内的DNS请求次数、DNS请求次数的峰值、DNS请求失败的比例、源端口的信息熵、域名种类的信息熵、域名种类数峰值、非法域名的比例、异常包的比例、服务器拒绝服务率；数据预处理过程依次包括规范化与归一化处理，对于特征属性的实际最小值和最大值未知的情况，采用标准分数进行标准化化处理，随后再对所有数据进行归一化处理。

作为优选，数据降维操作是对多维数据集先进行中心化处理，再计算其的协方差矩阵，并进行特征值分解，选取其中较大的几个特征值所对应的特征向量组成投影矩阵。

作为优选，群分析处理操作可以分为确定最佳簇数，确定初始质心点和最佳簇划分三部分；其中，确定最佳簇数主要是按簇数递增的次序计算对应的簇间方差与全局方差的比值，选取其拐点的簇数作为最佳簇数；确定初始质心点主要是从输入的数据集中随机选择一个点作为第一个质心点；对于数据集中的每个点，计算它与最近质心点的距离并保存在一个数组里，同时计算这些距离之和；最后，取一个随机值，用权重的方式来取计算下一个质心点，直至选完所有质心点；最佳簇划分主要是根据确定的最佳簇数、初始质心点，对数据集中每个点计算其与各质心点的欧几里得距离，选取距离最近的点所对应的质心点的簇作为其所属簇，并对质心点进更新，直至收敛。

作为优选，计算数据点可信度操作是计算群分析后各簇内数据的相对距离，数据点的相对密度则是其相对距离的倒数；各簇中数据点的可信度用相对密度来表示。

作为优选，标记异常数据点操作根据各簇内可信度的高低标记簇内的异常数据点，以及对各簇间数据进行对比寻找是否存在数据异常的簇。