[发明专利]一种DNS异常检测方法

说明书

本发明公开一种DNS异常检测方法，获取DNS历史日志，提取流量相关参数，对不同维度的流量进行数据训练，得到相应维度的预测模型，根据预测模型预测流量基线，并定时更新模型与基线，当检测到当前流量偏离所述基线超过预设的阈值，则判断DNS异常。该技术方案，对不同维度的流量进行基线预测，并定时更新，从多维度判断是否异常，有利于提高检测的准确性，为攻击阶段的确定提供可靠依据。

技术领域

本发明属于计算机网络技术领域，尤其是涉及一种基于流量基线的DNS的异常检测方法。

背景技术

计算机网络的主机之间互相通信需要通过IP地址进行。实际中，用户通常使用更直观也便于记忆的域名(如www.baidu.com)代替IP地址，因此需要将用户输入的域名转换为对应的IP地址，这个过程被称为域名解析。为了完成域名解析，需要域名系统(DomainName System，DNS)来配合，其是一种用于TCP/IP应用程序的分布式数据库，提供域名与IP地址之间的转换。DNS递归服务器是DNS解析系统中的重要设备，根据缓存中的域名地址信息，对终端用户发起的DNS查询进行响应。

但是，DNS在实际中经常遭受到恶意攻击，常见的攻击行为发生时，DNS流量通常都表现异常。因此通过对DNS流量异常的检测，能够及时发现DNS攻击行为的发生，从而可以采取有效措施，使损失降到最小。

发明内容

基于上述背景，本发明旨在提出一种DNS异常检测方法，获取DNS日志数据进行数据训练，预测正常流量基线，通过判断流量与基线的偏离度，判断DNS是否发生异常。具体的技术方案如下所述：

DNS异常检测方法，包括，

获取DNS日志历史数据，将所述日志数据存入指定的数据库；

提取DNS流量的特定参数值作为训练集，以不同维度的流量为目标集，利用多元回归分析算法进行数据训练，根据拟合度高的算法建立相应维度的DNS流量基线预测模型；

将待检测的DNS数据输入所述预测模型，得到不同维度的DNS流量预测值，若特定维度的DNS流量实际值与预测值的偏离度超过预设的阈值，则判断DNS异常。

作为优选的，所述训练集包括发送数据字节数与包数量、接收数据字节数与包数量；所述不同维度包括时间段、源IP、目的IP之一。以源IP和/或目的IP的流量为目标集时，将字符串格式的IP地址向量化；以不同时间段的流量为目标集时，将DNS日志数据中的时间戳转换为不同维度的时间，至少包括第一维度“时刻”与第二维度“周”。

优选的，特定时刻DNS流量基线预测模型的确定过程，包括：以特定时刻流量值作为目标集，选择套索回归算法与岭回归算法分别对所述训练集进行数据训练，分别得到第一回归值与第二回归值；对比特定时刻流量的第一回归值与第二回归值和实际观测值的拟合度，选择拟合度高的回归模型作为特定时刻流量基线的预测模型。

周DNS流量基线预测模型的确定过程，包括：以周流量值作为目标集，选择套索回归算法与岭回归算法分别对所述训练集进行数据训练，分别得到第三回归值与第四回归值；对比周流量的第三回归值与第四回归值和实际观测值的拟合度，选择拟合度高的回归模型作为周流量基线的预测模型。周DNS流量基线还可以通过对该周内的特定时刻的DNS流量预测基线进行加权计算得到，所述特定时刻DNS流量的权值用于表示特定时刻DNS流量对本周DNS流量的贡献度。

进一步优选的，通过对所述特定时刻的DNS流量基线进行加权计算得到其他时间维度的DNS流量基线，所述其他时间维度包括日，月，季，年；长时段的DNS流量基线，通过组成该长时段的短时段DNS流量基线进行加权计算得到。

所述获取DNS日志数据，包括从网络设备TCP53端口的数据库进行获取，所述网络设备包括IPS设备；所述将DNS日志数据存入指定数据库，包括存入Elastic Search数据库中。