[发明专利]网络数据检测方法及相关设备

说明书

本申请提供了一种网络数据检测方法，可以获得预构建的检测模型，检测模型是由机器学习算法对训练样本训练得到的，训练样本为DNS查询请求，且训练样本具有用于区分DNS查询请求是否异常的属性项，获得待检测的DNS查询请求后，获得DNS查询请求在这些属性项上的属性值，并将这些属性值输入至检测模型中，检测模型通过对属性值进行分类判断便可以确定DNS查询请求的分类结果，分类结果表示DNS查询请求为正常还是异常。该方法中，检测模型使用的属性项更为复杂，且无需依靠人工经验设置的判断阈值，检测使用的人工成本较低且检测结果的准确度更高。另外，本申请还提供了一种网络数据检测装置，用以保证所述方法在实际中的应用及实现。

技术领域

本申请涉及网络检测技术领域，更具体地，是网络数据检测方法及相关设备。

背景技术

企业等单位会构建内部网络，内部网络可能会受到外部恶意程序的攻击，虽然内部网络可以通过设置防火墙阻挡一部分恶意攻击，但对于某些恶意攻击行为如高级持续性威胁(Advanced Persistent Threat，简称为APT)却不能有效地检测并进行处理。这些恶意程序拥有防火墙穿透技术，可以将数据包伪装后通过内部网络的基础通信通道将数据包隐蔽地传输出去，从而与外界网络进行通信。

如图1所示，一种常用的穿透防火墙的手段是，域名系统(Domain Name System，简称为DNS)隧道技术。使用DNS隧道技术的恶意程序可以在内部网络植入客户端并在外部伪装DNS服务器，客户端与伪装DNS服务器之间能够建立隧道，从而避开防火墙的检测。

因此，为了能够发现这种能够穿透防火墙的恶意攻击，需要提供一种网络数据检测方案。

发明内容

有鉴于此，本申请提供了一种网络数据检测方法，用于发现使用DNS隧道技术进行恶意攻击的网络攻击行为。

为实现所述目的，本申请提供的技术方案如下：

第一方面，本申请提供了一种网络数据检测方法，包括：

获得通过机器学习算法构建的检测模型，其中，所述检测模型是对DNS查询请求样本训练得到的，所述DNS查询请求样本具有属性项，所述属性项为用于区分DNS查询请求是否异常的特征；

获得待检测的DNS查询请求；

确定所述待检测的DNS查询请求在所述属性项上的属性值；

将所述属性值输入至所述检测模型中，以确定所述待检测的DNS查询请求是否为异常的DNS查询请求。

第二方面，本申请提供了一种网络数据检测装置，包括：

检测模型获得单元，用于获得通过机器学习算法构建的检测模型，其中，所述检测模型是对DNS查询请求样本训练得到的，所述DNS查询请求样本具有属性项，所述属性项为用于区分DNS查询请求是否异常的特征；

查询请求获得单元，用于获得待检测的DNS查询请求；

属性值确定单元，用于确定所述待检测的DNS查询请求在所述属性项上的属性值；

查询请求检测单元，用于将所述属性值输入至所述检测模型中，以确定所述待检测的DNS查询请求是否为异常的DNS查询请求。

第三方面，本申请提供了一种网络数据检测设备，包括：处理器和存储器，所述处理器通过运行存储在所述存储器内的软件程序、调用存储在所述存储器内的数据，至少执行如下步骤：

获得通过机器学习算法构建的检测模型，其中，所述检测模型是对DNS查询请求样本训练得到的，所述DNS查询请求样本具有属性项，所述属性项为用于区分DNS查询请求是否异常的特征；

获得待检测的DNS查询请求；