技術(shù)特征:1.一種基于反向DNS查詢屬性聚合的異常檢測(cè)方法�����,具體步驟如下:
1)收集用戶網(wǎng)絡(luò)設(shè)備產(chǎn)生的DNS訪問日志�,將含有PTR字段的反向DNS查詢?nèi)罩具^濾出來,并提取反向DNS查詢?nèi)罩镜娜罩咎卣髯侄危?/p>
2)將提取的日志特征字段以目標(biāo)IP地址為屬性進(jìn)行聚合����,得到相應(yīng)的聚合信息元組��;
3)針對(duì)聚合信息元組提取特征向量��;
4)根據(jù)提取出的特征向量及用戶的網(wǎng)絡(luò)歷史數(shù)據(jù)�����,訓(xùn)練出正向模型��;
5)使用正向模型檢測(cè)目標(biāo)IP地址是否存在異常�。
2.如權(quán)利要求1所述的一種基于反向DNS查詢屬性聚合的異常檢測(cè)方法��,其特征在于�����,步驟1)中����,所述日志特征字段包括反向DNS查詢?nèi)罩局械拿恳粭l訪問記錄的有效信息元組=<目標(biāo)IP地址、查詢IP地址>���。
3.如權(quán)利要求1所述的一種基于反向DNS查詢屬性聚合的異常檢測(cè)方法����,其特征在于,步驟2)中所述聚合分為橫向聚合和縱向聚合:
橫向聚合是將具有相同目標(biāo)IP地址的反向DNS查詢?nèi)罩揪酆系揭黄?���,統(tǒng)計(jì)出對(duì)應(yīng)的查詢IP,之后根據(jù)統(tǒng)計(jì)出的查詢IP確定查詢IP的類型并標(biāo)示�,得到的橫向聚合信息元組=<目標(biāo)IP地址�,[<查詢IP,標(biāo)識(shí)>]>���;
縱向聚合是將具有相同目標(biāo)IP地址的日志聚合到一起�,統(tǒng)計(jì)出對(duì)應(yīng)的查詢IP以及每個(gè)查詢IP出現(xiàn)的次數(shù)�����,得到的縱向聚合信息元組=<目標(biāo)IP地址,[<查詢IP���,數(shù)量>]>�����。
4.如權(quán)利要求3所述的一種基于反向DNS查詢屬性聚合的異常檢測(cè)方法�,其特征在于,針對(duì)聚合信息元組提取特征向量包括:
3‐1)針對(duì)橫向聚合信息元組提取屬性特征��,該步驟又包括:
3‐1‐1)統(tǒng)計(jì)查詢目標(biāo)IP地址的查詢IP地址列表數(shù)量�,得到查詢IP查詢方數(shù)量和查詢IP查詢方/24數(shù)量;
3‐1‐2)查詢知識(shí)庫����,確認(rèn)查詢IP地址所使用的訪問類型,統(tǒng)計(jì)單個(gè)目標(biāo)IP地址所訪問的類型的數(shù)量�����;
3‐2)針對(duì)縱向聚合信息元組提取屬性特征�,該步驟又包括:
3‐2‐1)計(jì)算出查詢IP查詢單個(gè)目標(biāo)IP地址次數(shù)的最大值;
3‐2‐2)計(jì)算出查詢IP查詢單個(gè)目標(biāo)IP地址次數(shù)的最小值�����;
3‐2‐3)計(jì)算出所有查詢IP查詢目標(biāo)IP地址次數(shù)的均值���;
3‐2‐4)計(jì)算出所有查詢IP查詢目標(biāo)IP地址次數(shù)的中位數(shù)���;
3‐2‐5)計(jì)算出所有查詢IP查詢目標(biāo)IP地址次數(shù)的方差;
3‐3)提取橫向聚合屬性特征和縱向聚合屬性特征的特征向量。
5.如權(quán)利要求4所述的一種基于反向DNS查詢屬性聚合的異常檢測(cè)方法��,其特征在于����,步驟3-1-2)中,查詢IP地址所使用的訪問類型包括郵件服務(wù)器�����,IDS�����,防火墻和電腦�。
6.一種基于反向DNS查詢屬性聚合的異常檢測(cè)系統(tǒng)�����,包括:
日志收集提取模塊���,用于收集DNS日志�,提取DNS日志中含有PTR字段的反向DNS查詢?nèi)罩?,并從反向DNS查詢?nèi)罩局刑崛∪罩咎卣髯侄危?/p>
數(shù)據(jù)聚合模塊,用于將提取的日志特征字段以目標(biāo)IP地址為屬性進(jìn)行聚合��,得到相應(yīng)的聚合信息元組;
特征提取模塊�����,用于提取聚合后信息元組的特征向量�;
數(shù)據(jù)訓(xùn)練模塊,用于使用提取出的特征向量及網(wǎng)絡(luò)歷史數(shù)據(jù)����,訓(xùn)練出正向模型;
異常檢測(cè)模塊�,用于使用正向模型檢測(cè)目標(biāo)IP地址是否存在異常行為。
7.如權(quán)利要求6所述的一種基于反向DNS查詢屬性聚合的異常檢測(cè)系統(tǒng)���,其特征在于�����,所述日志特征字段包括反向DNS查詢?nèi)罩局械拿恳粭l訪問記錄的有效信息元組=<目標(biāo)IP地址��、查詢IP地址>���。
8.如權(quán)利要求6所述的一種基于反向DNS查詢屬性聚合的異常檢測(cè)系統(tǒng),其特征在于,所述聚合信息元組包括橫向聚合信息元組=<目標(biāo)IP地址��,[<查詢IP��,標(biāo)識(shí)>]>和縱向聚合信息元組=<目標(biāo)IP地址,[<查詢IP��,數(shù)量>]>��。
9.如權(quán)利要求6所述的一種基于反向DNS查詢屬性聚合的異常檢測(cè)系統(tǒng)�����,其特征在于�����,所述橫向聚合信息元組的特征向量包括:查詢IP查詢方數(shù)量���,查詢IP查詢方/24數(shù)量,單個(gè)目標(biāo)IP地址所訪問的類型的數(shù)量��;所述縱向聚合信息元組的特征向量包括:查詢IP查詢單個(gè)目標(biāo)IP地址次數(shù)的最大值和最小值����,所有查詢IP查詢目標(biāo)IP地址次數(shù)的均值,中位數(shù)和方差。
10.如權(quán)利要求9所述的一種基于反向DNS查詢屬性聚合的異常檢測(cè)系統(tǒng)��,其特征在于�����,查詢IP地址所使用的訪問類型包括郵件服務(wù)器�,IDS,防火墻和電腦���。