[发明专利]一种异常通信检测方法、装置及电子设备和存储介质有效
| 申请号: | 202010392083.9 | 申请日: | 2020-05-11 |
| 公开(公告)号: | CN111600865B | 公开(公告)日: | 2022-06-07 |
| 发明(设计)人: | 沈伟;范渊;黄进 | 申请(专利权)人: | 杭州安恒信息技术股份有限公司 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40;H04L61/4511;H04L43/028 |
| 代理公司: | 北京集佳知识产权代理有限公司 11227 | 代理人: | 王晓坤 |
| 地址: | 310000 浙江省*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 异常 通信 检测 方法 装置 电子设备 存储 介质 | ||
本申请公开了一种异常通信检测方法、装置及一种电子设备和存储介质,该方法包括:对流经DNS端口的流量进行采集;获取采集到的流量的应用层内容,并判断所述应用层内容是否符合DNS协议规范;分别对不符合DNS协议规范的种类和次数进行统计,得到各个流量IP地址对应的异常种类和异常次数;若所述异常种类超过第一阈值,且所述异常次数占总次数的比例超过第二预设阈值,则判定对应的流量IP地址使用DNS端口进行异常通信,生成告警信息。由上可知,本申请能够检测出使用DNS端口但不使用DNS协议进行通信的情况,识别出使用DNS端口进行异常通信的行为,使得DNS端口的通信异常检测更加全面,提高通信安全性。
技术领域
本申请涉及计算机技术领域,更具体地说,涉及一种异常通信检测方法、装置及一种电子设备和一种计算机可读存储介质。
背景技术
DNS是万维网上作为域名和IP地址相互映射的一个分布式数据库,能够帮助用户更方便的使用互联网,一般防火墙不会阻断DNS流量,而大部分防火墙在实现时往往不阻断DNS协议所用的端口,因此有用户使用DNS端口进行异常通信以绕过防火墙,有些病毒、木马也使用DNS端口进行回连访问命令与控制服务器。
因此,如何解决上述问题是本领域技术人员需要重点关注的。
发明内容
本申请的目的在于提供一种异常通信检测方法、装置及一种电子设备和一种计算机可读存储介质,能够检测出使用DNS端口但不使用DNS协议进行通信的情况。
为实现上述目的,本申请提供了一种异常通信检测方法,包括:
对流经DNS端口的流量进行采集;
获取采集到的流量的应用层内容,并判断所述应用层内容是否符合DNS协议规范;
分别对不符合DNS协议规范的种类和次数进行统计,得到各个流量IP地址对应的异常种类和异常次数;
若所述异常种类超过第一阈值,且所述异常次数占总次数的比例超过第二预设阈值,则判定对应的流量IP地址使用DNS端口进行异常通信,生成告警信息。
可选的,所述分别对不符合DNS协议规范的种类和次数进行统计,得到各个流量IP地址对应的异常种类和异常次数,包括:
获取采集到的流量的传输层内容,得到各个流量对应的源IP地址和目的IP地址;
将所述源IP地址和所述目的IP地址作为地址对,分别统计各个地址对不符合DNS协议规范的异常种类和异常次数。
可选的,还包括:
将不符合DNS协议规范的流量数据保存至存储区,以便进行回溯分析。
可选的,所述判断所述应用层内容是否符合DNS协议规范,包括:
判断请求类型是否在有效请求类型范围内,和/或判断数据偏移长度是否低于数据总长度,和/或判断响应类型是否在有效响应类型范围内,和/或判断响应类型与实际响应内容是否相同,和/或域名是否符合域名基本特征。
可选的,所述判定对应的流量IP地址使用DNS端口进行异常通信,生成告警信息之后,还包括:
根据所述流量IP地址确定对应的目标进程,对所述目标进程进行关闭操作。
可选的,所述告警信息包括:流量IP地址、异常种类、异常次数,异常次数占总次数的比例和异常对应的流量数据中任一项或任几项的组合。
为实现上述目的,本申请提供了一种异常通信检测装置,包括:
流量采集模块,用于对流经DNS端口的流量进行采集;
协议判断模块,用于获取采集到的流量的应用层内容,并判断所述应用层内容是否符合DNS协议规范;
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州安恒信息技术股份有限公司,未经杭州安恒信息技术股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202010392083.9/2.html,转载请声明来源钻瓜专利网。
