[发明专利]一种基于元数据分析的DNS防护及防数据泄露的方法

摘要

本发明涉及一种基于元数据分析的DNS防护及防数据泄露的方法。所述方法首先将全量DNS数据的原始数据和元数据进行提取并科学分类的存储；然后通过针对DNS的元数据科学合理的分类，将海量的DNS数据划分成不同类别的子数据集，并通过系统自带的元数据扩展知识库(IP，AS属地属主等)，可简便快捷的定位查找DNS各类安全事件；同时通过各子数据集间的交叉验证，可将看似毫无关联的DNS数据行为，准确快速的定义为恶意数据行为，比如有掩护性的隐蔽数据传输或远程控制行为。通过本发明可对所部署网络环境中的DNS行为进行科学合理的监管与可视。对安全管理及政策实施提供高准确性的技术支撑。

主权项

一种基于元数据分析的DNS防护及防数据泄露的方法，其特征在于，其包括如下步骤：S1：捕获全量DNS数据；S2：对所述步骤S1捕获的全量DNS数据进行区分并标识数据流方向；S3：将经过所述步骤S2处理后的全量DNS数据与标准DNS协议进行匹配；将不符合所述标准DNS协议格式的数据归类存储，提取并存储其五元组信息DB1；将符合所述标准DNS协议格式的数据按照元数据中的transaction ID字段与QR字段进行匹配，按照配对情况分类提取并存储其五元组信息且存储原始数据；S4：将所述步骤S3中配对情况分为有请求有响应的数据DB2、有请求无响应的数据DB3和无请求无响应的数据DB4四种类型的数据；S5：按照外网IP属性将所述步骤S4中四种数据类型的元数据进行拆分，产生不符合所述标准DNS协议格式的数据的五元组信息DB1境内、不符合所述标准DNS协议格式的数据的五元组信息DB1_境外、有请求有响应的数据DB2_境内、有请求有响应的数据DB2_境外、有请求无响应的数据DB3_境内、有请求无响应的数据DB3_境外、无请求无响应的数据DB4_境内和无请求无响应的数据DB4_境外8个子数据库；S6：对所述S5中8个子数据库中数据进行分析，定义非法恶意DNS行为，从而对DNS进行防护及防止数据泄露。