logo好方法网

一种异常通信检测方法、装置及电子设备和存储介质

发布时间:2020-09-11 发布人:admin 分类:专利技术 资料大小:1.25M 资料格式:pdf 举报 版权申诉

技术摘要:
本申请公开了一种异常通信检测方法、装置及一种电子设备和存储介质,该方法包括:对流经DNS端口的流量进行采集;获取采集到的流量的应用层内容,并判断所述应用层内容是否符合DNS协议规范;分别对不符合DNS协议规范的种类和次数进行统计,得到各个流量IP地址对应的异常  全部
背景技术:
DNS是万维网上作为域名和IP地址相互映射的一个分布式数据库,能够帮助用户 更方便的使用互联网,一般防火墙不会阻断DNS流量,而大部分防火墙在实现时往往不阻断 DNS协议所用的端口,因此有用户使用DNS端口进行异常通信以绕过防火墙,有些病毒、木马 也使用DNS端口进行回连访问命令与控制服务器。 因此,如何解决上述问题是本领域技术人员需要重点关注的。
技术实现要素:
本申请的目的在于提供一种异常通信检测方法、装置及一种电子设备和一种计算 机可读存储介质,能够检测出使用DNS端口但不使用DNS协议进行通信的情况。 为实现上述目的,本申请提供了一种异常通信检测方法,包括: 对流经DNS端口的流量进行采集; 获取采集到的流量的应用层内容,并判断所述应用层内容是否符合DNS协议规范; 分别对不符合DNS协议规范的种类和次数进行统计,得到各个流量IP地址对应的 异常种类和异常次数; 若所述异常种类超过第一阈值,且所述异常次数占总次数的比例超过第二预设阈 值,则判定对应的流量IP地址使用DNS端口进行异常通信,生成告警信息。 可选的,所述分别对不符合DNS协议规范的种类和次数进行统计,得到各个流量IP 地址对应的异常种类和异常次数,包括: 获取采集到的流量的传输层内容,得到各个流量对应的源IP地址和目的IP地址; 将所述源IP地址和所述目的IP地址作为地址对,分别统计各个地址对不符合DNS 协议规范的异常种类和异常次数。 可选的,还包括: 将不符合DNS协议规范的流量数据保存至存储区,以便进行回溯分析。 可选的,所述判断所述应用层内容是否符合DNS协议规范,包括: 判断请求类型是否在有效请求类型范围内,和/或判断数据偏移长度是否低于数 据总长度,和/或判断响应类型是否在有效响应类型范围内,和/或判断响应类型与实际响 应内容是否相同,和/或域名是否符合域名基本特征。 可选的,所述判定对应的流量IP地址使用DNS端口进行异常通信,生成告警信息之 后,还包括: 根据所述流量IP地址确定对应的目标进程,对所述目标进程进行关闭操作。 可选的,所述告警信息包括:流量IP地址、异常种类、异常次数,异常次数占总次数 4 CN 111600865 A 说 明 书 2/7 页 的比例和异常对应的流量数据中任一项或任几项的组合。 为实现上述目的,本申请提供了一种异常通信检测装置,包括: 流量采集模块,用于对流经DNS端口的流量进行采集; 协议判断模块,用于获取采集到的流量的应用层内容,并判断所述应用层内容是 否符合DNS协议规范; 异常统计模块,用于分别对不符合DNS协议规范的种类和次数进行统计,得到各个 流量IP地址对应的异常种类和异常次数; 异常告警模块,用于若所述异常种类超过第一阈值,且所述异常次数占总次数的 比例超过第二预设阈值,则判定对应的流量IP地址使用DNS端口进行异常通信,生成告警信 息。 可选的,所述异常统计模块,包括: 确定单元,用于获取采集到的流量的传输层内容,得到各个流量对应的源IP地址 和目的IP地址; 统计单元,用于将所述源IP地址和所述目的IP地址作为地址对,分别统计各个地 址对不符合DNS协议规范的异常种类和异常次数。 为实现上述目的,本申请提供了一种电子设备,包括: 存储器,用于存储计算机程序; 处理器,用于执行所述计算机程序时实现前述公开的任一种异常通信检测方法的 步骤。 为实现上述目的,本申请提供了一种计算机可读存储介质,所述计算机可读存储 介质上存储有计算机程序,所述计算机程序被处理器执行时实现前述公开的任一种异常通 信检测方法的步骤。 通过以上方案可知,本申请提供的一种异常通信检测方法,包括:对流经DNS端口 的流量进行采集;获取采集到的流量的应用层内容,并判断所述应用层内容是否符合DNS协 议规范;分别对不符合DNS协议规范的种类和次数进行统计,得到各个流量IP地址对应的异 常种类和异常次数;若所述异常种类超过第一阈值,且所述异常次数占总次数的比例超过 第二预设阈值,则判定对应的流量IP地址使用DNS端口进行异常通信,生成告警信息。由上 可知,本申请采集到DNS端口的流量之后,通过对其进行解析,识别流量是否使用DNS协议, 若流量不符合DNS协议规范,则统计该流量IP地址的异常种类和异常次数,并在异常种类和 异常次数满足告警条件后生成异常通信的告警信息,也即,本申请能够检测出使用DNS端口 但不使用DNS协议进行通信的情况,识别出使用DNS端口进行异常通信的行为,使得异常检 测更加全面,提高通信安全性。 本申请还公开了一种异常通信检测装置及一种电子设备和一种计算机可读存储 介质,同样能实现上述技术效果。 应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本 申请。 附图说明 为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现 5 CN 111600865 A 说 明 书 3/7 页 有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本 申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以 根据这些附图获得其他的附图。 图1为本申请实施例公开的一种异常通信检测方法的流程图; 图2为本申请实施例公开的异常通信检测方法的一种
    分享到:
    收藏

    相关推荐