[发明专利]基于DNS数据分析的域名查询与解析异常检测系统及方法

权利要求书

1.基于DNS数据分析的域名查询与解析异常检测方法，是依托于一种基于DNS数据分析的域名查询与解析异常检测系统实现的，该系统包括DNS数据分析的域名查询异常检测模块和解析异常检测模块两部分；

域名查询异常检测模块用于收集域名信息、DNS记录批量查询和数据入库分析；

解析异常检测模块用于域名异常查询检测、数据预处理、聚类分析和结果分析；其特征在于：具体方法步骤如下：

步骤一，搜索引擎查询主域名地址，通过全网DNS反解析、全网IP扫描http端口；

步骤二，域名解析异常检测包括收集域名信息，然后对DNS记录批量查及数据入库和数据分析,所述数据分析包括IP次数分析和泛解析分析，首先准备域名集合keys，针对每一个域名key查询其DNS资源记录，判断查询所得资源记录是否为A类或CNAME类记录，如果是A类或CNAME类记录则资源记录信息保存到数据库中，反之则不做记录，最后针对收集到的所有子域名进行恶意泛解析分析，通过恶意泛解析分析能够找到存在恶意泛解析风险的域，并且能够发现部分受到恶意泛域名解析的网站采取相应的解决方案；

步骤三，异常查询检测由于DNS基础结构的分布式特性，考虑多个位置来收集有关DNS查询和回复的信息，通过解析器是访问直接来自客户端计算机的查询的位置，提供有关DNS查询和响应方面的客户端的详细信息；

步骤四，数据预处理为特征提取，从原始数据中提取出能够准确放映用户访问模式的时间行为特征，依次计算每个IP的时间特征，先从流量日志数据中提取出能够准确反映用户访问模式的时间行为特征，将DNS日志中的所有域名信息进行规约处理

步骤五，聚类分析，其中的聚类算法包括基于距离的k-means算法和层次聚类算法，通过算法将获得的时间特征进行解析，从而得到判断网络状态的数据；

两种聚类算法的混合算法；

所述的k-means算法是基于距离的聚类算法，采用距离作为相似性的评价指标，即认为两个对象的距离越近，其相似度就越大，该算法认为簇是由距离相近的对象组成的，因此把得到紧凑且独立的簇作为最终目标，给定样本集D＝{x₁，x₂，...，x_m}，k-means算法针对聚类所得簇划分C＝{C₁，C₂，...，C_m}最小化平方误差

其中是簇C_i的均值向量，E值越小，簇内样本相似度越高；

所述的层次聚类是聚类算法的一种，通过计算不同类别数据点之间的相似度来创建一棵有层次的嵌套聚类树，在聚类树中，不同类别的原始数据点是树的最低层，树的顶层是一个聚类的根节点，创建聚类树有自底向上合并和自顶向下分裂两种方法；层次聚类的合并算法通过计算两类数据点间的相似性，对所有数据点中最为相似的两个数据点进行组合，并反复迭代这一过程，通过计算每一个类别的数据点与所有数据点之间的距离来确定它们之间的相似性，距离越小，相似度越高，并将距离最近的两个数据点或类别进行组合，生成聚类树；

步骤六，对上述解析后的数据通过比对分析进行最终的判断。

2.根据权利要求1所述的基于DNS数据分析的域名查询与解析异常检测方法，其特征在于：所述的子域名收集的方法或者借助子域名爆破工具进行分析，向预定的搜索引擎发送子域名搜索请求，在搜索请求中包含相关联的域名关键字；对返回的响应页面进行正则匹配，从页面中提取出该域名所关联的所有子域名，对于一个域名，至少需要获取前100个搜索页面中包含的子域名；子域名爆破工具subDomainsBrute依赖于dnspython插件，其使用小字典递归地发现三级域名、四级域名，使用114DNS、百度DNS、阿里DNS的Public DNS查询，并且自动去重泛解析的域名。

3.根据权利要求2所述的基于DNS数据分析的域名查询与解析异常检测方法，其特征在于：步骤三中，异常查询检测由于DNS基础结构的分布式特性，考虑多个位置来收集有关DNS查询和回复的信息；在所涉及的所有服务器中，通过解析器访问直接来自客户端计算机的查询的位置，提供有关DNS查询和响应方面的客户端的详细信息；

关于原始DNS流量日志的处理，先从流量日志数据中提取出能够准确反映用户访问模式的时间行为特征，再提前将DNS日志中的所有域名信息进行规约处理。