[发明专利]一种DNS异常检测方法

权利要求书

1.一种DNS异常检测方法，其特征在于，包括，

获取DNS日志历史数据，将所述日志数据存入指定的数据库；

提取DNS流量的特定参数值作为训练集，以不同维度的流量为目标集，利用多元回归分析算法进行数据训练，根据拟合度高的算法建立相应维度的DNS流量基线预测模型；

将待检测的DNS数据输入所述预测模型，得到不同维度的DNS流量预测值，若特定维度的DNS流量实际值与预测值的偏离度超过预设的阈值，则判断DNS异常。

2.根据权利要求1所述的检测方法，其特征在于，所述训练集包括发送数据字节数与包数量、接收数据字节数与包数量；所述不同维度包括时间段、源IP、目的IP之一。

3.根据权利要求2所述的检测方法，其特征在于，以源IP和/或目的IP的流量为目标集时，将字符串格式的IP地址向量化；以不同时间段的流量为目标集时，将DNS日志数据中的时间戳转换为不同维度的时间，至少包括第一维度“时刻”与第二维度“周”。

4.根据权利要求3所述的检测方法，其特征在于，特定时刻DNS流量基线预测模型的确定过程，包括：以特定时刻流量值作为目标集，选择套索回归算法与岭回归算法分别对所述训练集进行数据训练，分别得到第一回归值与第二回归值；对比特定时刻流量的第一回归值与第二回归值和实际观测值的拟合度，选择拟合度高的回归模型作为特定时刻流量基线的预测模型。

5.根据权利要求3所述的检测方法，其特征在于，周DNS流量基线预测模型的确定过程，包括：以周流量值作为目标集，选择套索回归算法与岭回归算法分别对所述训练集进行数据训练，分别得到第三回归值与第四回归值；对比周流量的第三回归值与第四回归值和实际观测值的拟合度，选择拟合度高的回归模型作为周流量基线的预测模型。

6.根据权利要求4所述的检测方法，其特征在于，周DNS流量基线还可以通过对该周内的特定时刻的DNS流量预测基线进行加权计算得到，所述特定时刻DNS流量的权值用于表示特定时刻DNS流量对本周DNS流量的贡献度。

7.根据权利要求6所述的检测方法，其特征在于，通过对所述特定时刻的DNS流量基线进行加权计算得到其他时间维度的DNS流量基线，所述其他时间维度包括日，月，季，年；长时段的DNS流量基线，通过组成该长时段的短时段DNS流量基线进行加权计算得到。

8.根据权利要求1所述的检测方法，其特征在于，所述获取DNS日志数据，包括从网络设备TCP53端口的数据库进行获取，所述网络设备包括IPS设备；所述将DNS日志数据存入指定数据库，包括存入Elastic Search数据库中。

9.根据权利要求1任一所述的检测方法，其特征在于，定时的获取最新的DNS日志数据构建训练集，重新进行数据训练，用于更新所述流量基线预测模型。