一种基于DNS日志的网络安全威胁检测方法系统及装置.pdf

(19)中华人民共和国国家知识产权局

(12)(12)发明专利说明书

(10)申请公布号CN112738040A

(43)申请公布日2021.04.30

(21)申请号CN202011507913.4

(22)申请日2020.12.18

(71)申请人国家计算机网络与信息安全管理中心国家计算机网络与信息安全管理中心;长安通信科技有限责任公司

地址100029北京市朝阳区裕民路甲3号

(72)发明人李明哲徐剑郭晶周昊严寒冰丁丽李志辉朱天饶毓贺铮吕志泉韩志辉马

莉雅雷君高川贾世琳吕卓航黄亮刘伟郝帅杨云龙

(74)专利代理机构1168111681北京惠智天成知识产权代理事务所(特殊普通合伙)

代理人周建

(51)Int.CI(51)Int.CI

H04L29/06

权利要求说明书说明书幅图

(54)发明名称

一种基于DNS日志的网络安全威

胁检测方法、系统及装置

(57)摘要

本发明公开了一种基于DNS日志

的网络安全检测方法、系统和装置，该方

法包括：获得特征数据、CTI查询研判、

CTI订阅聚合、异常IP发现、安全信息与

事件管理。采用本发明的检测方法、系统

和装置能够以层层切片方式逐步降低需要

处理DNS日志数据的资源开销，以层次

化、插件化形式部署检测模型，能够解决

威胁检测中数据量和资源量压力大的问

题，有助于实现功能的可扩展性，可对不

断涌现的新威胁类型和威胁迹象进行检

测，综合了机器诊断和专家诊断意见，提

高检测的覆盖范围，以便能够发现网络中

的各种安全威胁。

法律状态

法律状态公告日法律状态信息法律状态

2021-04-302021-04-30公开公开

权利要求说明书

1.一种基于DNS日志的网络安全检测方法,其特征在于,所述方法包括:

从DNS日志数据中抽取统计特征,获得特征数据;

可疑域名发现,调用异常检测模型对所述特征数据进行处理,获得可疑域名;

CTI查询研判,调用CTI查询站对所述可疑域名进行核对验证,得到第一高可疑域名

集合及其上下文;

CTI订阅聚合,通过收集和利用CTI订阅站,直接搜集和提取恶意域名数据,得到第二

高可疑域名集合及其上下文;

异常IP发现,对所述特征数据进行统计研判,发现异常IP,所述异常IP包括异常请求

IP、异常服务IP和异常解析IP;

安全信息与事件管理,基于所述第一高可疑域名集合及其上下文、第二高可疑域名

集合及其上下文、异常IP,执行预警关联、诊断管理、量化评估和情报输出等功能,

输出自主发现的安全事件和威胁情报。

2.根据权利要求1所述的基于DNS日志的网络安全检测方法,其特征在于,所述从

DNS日志数据中抽取统计特征,获得特征数据,具体如下:

对DNS日志数据中若干特征字段的联合取值执行分组聚合统计,形成多级特征数据,

得到DNS日志统计特征;

所述分组聚合统计过程是将DNS日志数据视作一组记录的集合,记作R={r

i

},i=1,2,...,|R|,其中,每条记录包含若干特征字段,记作r

i

=(c

i1

,c

i2

,...,c

ik

),在{1,2,...,k}中选择一个子集G作为分组元组,剩余下标集合A={1,2,...,k}-G构成聚

合运算元组,R

G

是R在G上的投影,{R

G

}是可出现的所有分组组合值,选择f个特征算子Ψ=(ψ

1

,...,ψ

f

),对于

ψ

i

(g)=ψ

i

({r

A

|r|r

G

=g