[发明专利]一种基于DNS日志分析的APT攻击检测方法

摘要

一种基于DNS日志分析的APT攻击检测系统，包括DNS查询日志记录模块、日志分析模块和攻击检测检测模块；同时，利用该检测系统实现了APT的攻击检测首先，通过DNS查询日志记录模块采集DNS查询请求，形成DNS查询日志；其次，日志分析模块对DNS查询日志与SSH登录尝试信息进行模式匹配，分析计算时间密度、覆盖范围和时间关联；然后，按照源IP地址对SSH登录尝试信息进行分组；最后，攻击检测模块根据日志分析模块的结果判断是否发生攻击并确定攻击类型。本发明是一种轻量级的攻击检测方式，消耗的资源远远小于分析整个网络流量所需资源，且采用日志分析的方式，不需要实时对网络进行监听，从而对网络几乎不产生影响。

主权项

一种基于DNS日志分析的APT攻击检测系统的基于DNS日志分析的APT攻击检测方法，其特征在于，包括：提供一种基于DNS日志分析的APT攻击检测系统，包括DNS查询日志记录模块、日志分析模块和攻击检测模块；所述DNS查询日志记录模块用于记录DNS查询请求，所述DNS查询日志包括查询时间、源IP地址和查询内容；所述日志分析模块用于根据所述DNS查询日志记录模块记录的所述DNS查询日志计算源IP地址关联、时间关联和查询内容关联；所述攻击检测模块用于根据所述日志分析模块分析的结果判断是否存在攻击以及确定攻击来源和类型；步骤一，所述DNS查询日志记录模块采集DNS查询请求，并形成相应的DNS查询日志；步骤二，在所述日志分析模块中，对所述DNS查询日志与SSH登录尝试信息进行模式匹配，并分析计算时间密度、覆盖范围和时间关联；步骤三，对所述SSH登录尝试信息按照源IP地址进行分组，每一个源IP地址对应一个SSH登录尝试信息组；步骤四，在所述攻击检测模块中，根据所述时间密度、所述覆盖范围和所述时间关联判断是否发生攻击并确定攻击类型；所述步骤四还包括：计算每一个源IP地址对应的SSH登录尝试信息组的体积比和密度比，并将体积比和密度比分别与体积比阈值和密度比阈值进行比较，以判断是否发生攻击和确定攻击类型，计算体积比和密度比的步骤为：(41)将点分制IP作为4维空间坐标，放入4维空间；(42)采用RPCL竞争学习算法进行聚类，聚类标准是各点之间欧氏距离；(43)计算密度比体积比其中Sp为聚类得到的各类的请求密度，Sa为总请求密度，Vp为聚类得到的各类地址空间体积，Va为总地址空间体积；其中，Sp＝Cp/Vp，Cp为该类中请求总数，Vp为该类地址空间体积；Sa＝Ca/Va，Ca为对应请求总数，Va为对应地址空间总体积。