[发明专利]识别基于CDN流量伪装攻击的方法、装置、设备和介质

权利要求书

1.一种识别基于CDN流量伪装攻击的方法，其特征在于，包括：

实时采集网络节点处的CDN流量数据，对所述CDN流量数据执行分组处理并从所述分组处理的结果中获取DNS流量数据；

对所述DNS流量数据进行预处理获取特征信息并基于所述特征信息获取特征值；

将所述特征值输入分类模型，输出所述CDN流量数据是否存在恶意攻击；

对同一CDN流量数据进行间断式多次检测，在不同时间段下的多次检测结果中，若存在一半以上的结果为恶意攻击，则将所述CDN流量定义为存在恶意攻击；

若输出的所述CDN流量数据存在恶意攻击，则对所述CDN流量进行阻断；

其中， 所述对所述DNS流量数据进行预处理获取特征信息包括：基于开源情报信息和采集的历史CDN流量数据对所述CDN流量数据的域名信息进行扩展；基于扩展后的所述域名信息在所述CDN流量数据中确定所述DNS流量数据的访问行为特征；

所述方法还包括：将所述CDN流量数据分为DNS解析流量和日常网络流量，以及对所述DNS解析流量进行分析处理，找到所述CDN流量数据中隐藏的真实IP；

所述扩展后的域名信息包括白名单标记、域名备案信息、CDN归属、解析IP、解析次数。

2.根据权利要求1所述的识别基于CDN流量伪装攻击的方法，其特征在于， 所述访问行为特征包括访问频率、访问时间、访问时长、源IP、目的IP、banner信息、证书信息。

3.根据权利要求1所述的识别基于CDN流量伪装攻击的方法，其特征在于，还包括：

创建黑名单库；

所述若输出的所述CDN流量数据存在恶意攻击，则对所述CDN流量进行阻断之后，将所述CDN流量数据的目的IP记录到所述黑名单库中。

4.根据权利要求3所述的识别基于CDN流量伪装攻击的方法，其特征在于，在所述将所述特征值输入分类模型之前还包括：

将所述特征信息中的目的IP信息与所述黑名单库中的目的IP信息进行匹配，所述特征信息中的IP信息存在于所述黑名单库中，则对所述CDN流量进行阻断。

5.根据权利要求1所述的识别基于CDN流量伪装攻击的方法，其特征在于，所述实时采集网络节点处的CDN流量数据包括：

对所述网络节点处的CDN流量采用端口镜像采集；

或者对所述网络节点处的CDN流量采用分光器采集。

6.根据权利要求1所述的识别基于CDN流量伪装攻击的方法，其特征在于，所述对所述CDN流量数据执行分组处理并从所述分组处理的结果中获取DNS流量数据包括：

根据应用层的DNS协议从所述CDN流量中获取所述DNS流量数据。

7.根据权利要求1所述的识别基于CDN流量伪装攻击的方法，其特征在于，所述分类模型通过如下方式训练得到：

基于无监督聚类算法对历史采集的CDN流量数据进行聚类，所述聚类的结果包括正常访问和恶意攻击两类；

对历史采集的CDN流量数据进行特征提取并获取特征值；

将所述特征值作为所述分类模型的输入，基于所述分类模型的输出和所述聚类的结果对所述分类模型进行训练。