[发明专利]一种基于流量特征的攻击检测方法及系统

权利要求书

1.一种基于流量特征的攻击检测方法，其特征在于，包括：

获取待识别域名在预设时间窗内的流量数据；

基于所述流量数据生成特征向量信息，所述特征向量信息包括所述待识别域名的域名静态特征、域名统计特征、上下文特征中的一种或多种；

加载预训练模型并将所述特征向量信息输入至所述预训练模型；

基于所述预训练模型和所述特征向量信息获得所述待识别域名为CC攻击的评估结果。

2.根据权利要求1所述的基于流量特征的攻击检测方法，其特征在于，所述获取待识别域名在预设时间窗内的流量数据的步骤，包括：

获取流量采集设备采集的DNS流量数据；

解析所述DNS流量数据并提取所述待识别域名和所述待识别域名对应的解析IP；

获取在所述预设时间窗内与所述待识别域名和所述解析IP通信的所有流量，生成流量数据。

3.根据权利要求2所述的基于流量特征的攻击检测方法，其特征在于，在获取在所述预设时间窗内与所述待识别域名和所述解析IP通信的所有流量，生成流量数据的步骤之后，所述方法还包括：

将所述待识别域名和所述解析IP对应的流量储存到预设格式的原始数据文件；

根据所述评估结果记录并更新恶意域名信息和恶意IP信息。

4.根据权利要求1所述的基于流量特征的攻击检测方法，其特征在于，所述域名静态特征包括域名长度、域名level数量、子域名1-gram熵、主域名1-gram熵、子域名最大子词长度、主域名最大子词长度、全限定域名中特殊字符比例、全限定域名中数字比例、全限定域名中大写字母比例、全限定域名中连续数字比例、全限定域名中最长连续数字、全限定域名中最长连续字符、主域名在Alexa中的排名中的一种或多种；

所述域名统计特征包括预设时间窗内所述待识别域名解析的IP数、平均DNS AnswerRRs数、平均DNS Authority RRs数、同一个IP对应的域名数、与域名黑名单中有相同B类地址的IP数、平均域名缓存TTL、平均每天域名所解析IP的变化频次、平均每天DNS查询数中的一种或多种；

所述上下文特征包括该时间窗内HTTP响应状态数、异常协议和端口流量比例、TCP连接时长均值、方差、最大值、最小值、所有流量上行数据长度和下数据长度比例的均值、总上行数据长度和总下行数据长度的比例、所有流量TCP RTT方差的均值、所有流量TCP len方差的均值中的一种或多种。

5.根据权利要求1所述的基于流量特征的攻击检测方法，其特征在于，所述预训练模型为梯度提升树模型，所述梯度提升树模型定义为：

其中，f_t(x)表示第t步的梯度提升树模型，h_t(x)表示第t棵CART树，所述梯度提升树模型的训练采用前向分步算法，第t步的模型由第t-1步的模型确定，每棵CART树拟合损失函数在当前模型的负梯度，最终提升树模型为多个CART数的线性相加，第t步的所述梯度提升树模型表示为：

f_t(x)＝f_t-1(x)+h_t(x)。

6.根据权利要求5所述的基于流量特征的攻击检测方法，其特征在于，在加载预训练模型并将所述特征向量信息输入至所述预训练模型的步骤之前，所述方法还包括：

根据恶意域名信息和恶意IP信息对训练样本中的特征向量信息进行标注，获得标注特征数据；

根据所述标注特征数据对梯度提升树模型进行训练，获得所述预训练模型。

7.根据权利要求5所述的基于流量特征的攻击检测方法，其特征在于，基于所述预训练模型和所述特征向量信息获得所述待识别域名为CC攻击的评估结果的步骤，包括：

将所述特征向量信息输入至所述梯度提升树模型进行推理预测，所述梯度提升树模型输出所述评估结果，其中，所述评估结果包括所述待识别域名为CC攻击的概率p。