[发明专利]一种基于流量特征的攻击检测方法及系统

说明书

本申请实施例提供一种基于流量特征的攻击检测方法及系统，涉及数据检测技术领域。该基于流量特征的攻击检测方法包括：获取待识别域名在预设时间窗内的流量数据；基于所述流量数据生成特征向量信息，所述特征向量信息包括所述待识别域名的域名静态特征、域名统计特征、上下文特征中的一种或多种；加载预训练模型并将所述特征向量信息输入至所述预训练模型；基于所述预训练模型和所述特征向量信息获得所述待识别域名为CC攻击的评估结果。该方法可以实现提高对CC攻击的检测效果。

技术领域

本申请涉及数据检测技术领域，具体而言，涉及一种基于流量特征的攻击检测方法、系统、电子设备及计算机可读存储介质。

背景技术

目前，高级持续性威胁(APT，Advanced Persistent Threat)已成为针对高度机密的金融企业、各类机构等高安全等级网络的最主要威胁之一。APT攻击主要目的是窃取敏感数据信息，APT攻击一旦发生，会给受害主体带来严重的经济和信誉损失，甚至会对战略安全造成重大威胁。APT攻击属于攻击时间链长，攻击方式隐蔽、攻击手段高级且不断升级的高级网络攻击行为。但APT攻击目的比较固定，其攻击中通信行为有一定规律可寻，根据攻击者在入侵、建立监控通道、数据资源发现与上传等阶段的行为特点，可以检测在入侵过程中的CC通信场景。

现有技术中，APT攻击往往会使用很多不同的方法、工具、手段来攻击同一个目标，而现有方案仅使用域名和IP等静态特征，无法有效地表征攻击的行为特点；此外，对于APT攻击入侵阶段，如钓鱼、访问恶意域名等攻击场景下很少会表现出如上描述的流量异常行为，最直观的差异往往为域名本身，而现有方案仅使用流量的上下文特征，没有考虑域名的静态特征，现有方案使用的上下文特征仅覆盖常规的流量异常行为，没有使用APT长时间内高隐蔽性的相关特征。

发明内容

本申请实施例的目的在于提供一种基于流量特征的攻击检测方法、系统、电子设备及计算机可读存储介质，可以实现提高对CC攻击的检测效果。

第一方面，本申请实施例提供了一种基于流量特征的攻击检测方法，包括：

获取待识别域名在预设时间窗内的流量数据；

基于所述流量数据生成特征向量信息，所述特征向量信息包括所述待识别域名的域名静态特征、域名统计特征、上下文特征中的一种或多种；

加载预训练模型并将所述特征向量信息输入至所述预训练模型；

基于所述预训练模型和所述特征向量信息获得所述待识别域名为CC攻击的评估结果。

在上述实现过程中，该基于流量特征的攻击检测方法通过待识别域名中提取域名静态特征、域名统计特征、上下文特征，生成相应的特征向量信息，进而基于预训练模型和特征向量信息获得待识别域名为CC攻击的评估结果，从而结合动态特征和静态特征检测CC攻击，解决现有方案仅使用单一静态特征或动态特征的问题，可以实现提高对CC攻击的检测效果。

进一步地，所述获取待识别域名在预设时间窗内的流量数据的步骤，包括：

获取流量采集设备采集的DNS流量数据；

解析所述DNS流量数据并提取所述待识别域名和所述待识别域名对应的解析IP；

获取在所述预设时间窗内与所述待识别域名和所述解析IP通信的所有流量，生成流量数据。

在上述实现过程中，通过流量采集设备采集对应的DNS流量数据，解析并提取每条流量的域名以及域名解析IP；然后，将该域名作为待识别域名，在预设时间窗内与该待识别域名和解析IP通信的所有流量，生成流量数据。

进一步地，在获取在所述预设时间窗内与所述待识别域名和所述解析IP通信的所有流量，生成流量数据的步骤之后，所述方法还包括：

将所述待识别域名和所述解析IP对应的流量储存到预设格式的原始数据文件；