基于设备角色的物联网设备异常检测方法、系统及装置转让专利
申请号 : CN202111523646.4
文献号 : CN113935438B
文献日 : 2022-04-26
发明人 : 张峰 , 王滨 , 郭明 , 刘松 , 赵海涛 , 李超豪 , 闫琛
申请人 : 杭州海康威视数字技术股份有限公司
摘要 :
本申请提供了基于设备角色的物联网设备异常检测方法、系统及装置。本实施例中,通过一定时间段内物联网设备在DNS解析过程中的设备角色(比如DNS请求角色(用于发起DNS请求)、DNS响应角色(用于响应接收的DNS请求)、DNS服务器(用于域名解析)等)发起的行为比如发起DNS请求、响应DNS请求、域名解析等,借助该行为(经由物联网核心交换机的DNS报文)构建物联网设备的特征向量,最后基于该特征向量与检测模型中已训练出的各类别标签对应的中心特征向量之间的距离确定物联网设备所属的类别,不再依赖于规则库或者规则表,实现了基于设备角色的物联网设备检测。
权利要求 :
1.一种基于设备角色的物联网设备检测方法,其特征在于,该方法应用于电子设备,该方法包括:
获得第一指定时间段内经由物联网核心交换机的域名系统DNS报文;所述DNS报文包括DNS请求和DNS响应;
依据已获得的第一指定时间段内的DNS报文,基于目标物联网设备涉及的物联网设备角色确定该目标物联网设备的目标特征向量;所述目标物联网设备涉及的物联网设备角色包括:用于发起DNS请求的DNS请求角色、用于响应接收的DNS请求的DNS响应角色、用于域名解析的DNS服务器;所述目标特征向量至少包括:所述目标物联网设备发起的DNS请求的DNS请求数量、发向所述目标物联网设备的DNS响应的DNS响应数量、以及DNS解析成功信息;所述DNS解析成功信息是指所述目标物联网设备发起的DNS请求中的域名被成功解析的信息;
计算目标物联网设备的目标特征向量分别与已训练出的检测模型中各类别标签对应的中心特征向量之间的距离;
依据目标物联网设备的目标特征向量与所述检测模型中各类别标签对应的中心特征向量之间的距离,确定目标物联网设备所属的目标类别,所述目标类别为所述检测模型中一个类别标签对应的类别或者为未知异常,所述检测模型中的类别标签至少包括:正常业务设备标签、DNS服务器标签、异常业务设备标签,所述正常业务设备标签至少包括:目标物联网设备作为DNS请求角色正常、或者目标物联网设备作为DNS响应角色正常。
2.根据权利要求1所述的方法,其特征在于,所述依据已获得的第一指定时间段内的DNS报文,基于目标物联网设备涉及的物联网设备角色确定该目标物联网设备的目标特征向量包括:
当DNS报文为DNS请求时,将所述DNS请求中源IP地址对应的目标物联网设备的DNS请求数量增加设定值,将所述DNS请求中目的IP地址对应的目标物联网设备的DNS响应数量增加设定值;
当DNS报文为DNS响应时,将所述DNS响应中源IP地址对应的目标物联网设备的DNS响应数量增加设定值,将所述DNS响应中目的IP地址对应的目标物联网设备的DNS请求数量增加设定值,并识别DNS响应中携带的DNS解析结果,当所述DNS解析结果包含表示DNS解析成功的标识时,将所述DNS响应中目的IP地址对应的目标物联网设备的DNS解析成功数量增加设定值;
在所述第一指定时间段结束时,针对每一目标物联网设备,依据该目标物联网设备的DNS解析成功数量确定该目标物联网设备的DNS解析成功信息,将该目标物联网设备的DNS请求数量、该目标物联网设备的DNS响应数量、以及该目标物联网设备的DNS解析成功信息确定为该目标物联网设备的特征向量。
3.根据权利要求1所述的方法,其特征在于,所述检测模型通过以下方式训练:基于第二指定时间段内经由所述物联网核心交换机的DNS报文,确定样本物联网设备的样本特征向量,所述样本特征向量至少包括:所述样本物联网设备发起的DNS请求的DNS请求数量、发向所述样本物联网设备的DNS响应的DNS响应数量、以及DNS解析成功信息;所述DNS解析成功信息是指所述样本物联网设备发起的DNS请求中的域名被成功解析的信息;
所述第二指定时间段不同于所述第一指定时间段;
依据各个样本物联网设备的样本特征向量对各个样本物联网设备进行分类;
确定每一类别对应的类别标签,依据每一类别标签以及该类别标签对应的中心特征向量训练得到所述检测模型,所述类别标签对应的中心特征向量是基于所述类别标签对应的类别中的各样本物联网设备的样本特征向量确定。
4.根据权利要求3所述的方法,其特征在于,所述基于第二指定时间段内经由所述物联网核心交换机的DNS报文,确定样本物联网设备的样本特征向量包括:当第二指定时间段内经由所述物联网核心交换机的DNS报文为DNS请求时,将该DNS请求中源IP地址对应的样本物联网设备的DNS请求数量增加设定值,将该DNS请求中目的IP地址对应的样本物联网设备的DNS响应数量增加设定值;
当第二指定时间段内经由所述物联网核心交换机的DNS报文为DNS响应时,将该DNS响应中源IP地址对应的样本物联网设备的DNS响应数量增加设定值,将该DNS响应中目的IP地址对应的样本物联网设备的DNS请求数量增加设定值,并识别该DNS响应携带的DNS解析结果,当DNS解析结果包含DNS解析成功的标识时,将该DNS响应中目的IP地址对应的样本物联网设备的DNS解析成功数量增加设定值;
在第二指定时间段结束时,针对每一样本物联网设备,依据该样本物联网设备的DNS解析成功数量确定该样本物联网设备的DNS解析成功信息,将该样本物联网设备的DNS解析成功信息、该样本物联网设备的DNS请求数量、以及该样本物联网设备的DNS响应数量确定为该样本物联网设备的样本特征向量。
5.根据权利要求3所述的方法,其特征在于,所述确定每一类别对应的类别标签包括:针对每一类别,依据该类别中各样本物联网设备的样本特征向量,确定该类别对应的类别标签分析参数,所述类别标签分析参数至少包括:DNS报文总数量;所述DNS报文总数量依据该类别中各样本物联网设备的DNS请求数量和DNS响应数量确定;
从所有类别中选择DNS报文总数量取值最大的第一类别,确定第一类别对应的类别标签为DNS服务器类别标签,针对除第一类别之外的每一类别,依据该类别中样本物联网设备的DNS请求数量、DNS响应数量、DNS解析成功信息确定该类别对应的类别标签。
6.根据权利要求5所述的方法,其特征在于,所述依据该类别中样本物联网设备的DNS请求数量、DNS响应数量、DNS解析成功信息确定该类别对应的类别标签包括:针对除所述第一类别之外的每一类别,
确定该类别对应的DNS请求平均数、DNS响应平均数、DNS解析成功平均占比;其中,所述DNS请求平均数依据该类别中各样本物联网设备的DNS请求数量与该类别中样本物联网设备的设备总数量确定,所述DNS响应平均数依据该类别中各样本物联网设备的DNS响应数量与该类别中样本物联网设备的设备总数量确定;所述DNS解析成功平均占比是依据该类别中各样本物联网设备的DNS解析成功信息以及该类别中样本物联网设备的设备总数量确定;
依据该类别对应的DNS请求平均数、DNS响应平均数、DNS解析成功平均占比确定该类别对应的类别标签。
7.根据权利要求6所述的方法,其特征在于,所述依据该类别对应的DNS请求平均数、DNS响应平均数、DNS解析成功平均占比确定该类别对应的类别标签包括:针对除所述第一类别之外的每一类别,
计算该类别对应的DNS请求平均数与DNS响应平均数之间的比值;
若所述比值小于第一设定阈值,则确定该类别对应的类别标签为第一异常业务设备类别标签,第一异常业务设备类别标签用于指示DNS反射攻击;
若所述比值大于第二设定阈值,则确定该类别对应的类别标签为第二异常业务设备类别标签,所述第二异常业务设备类别标签用于指示DNS洪泛攻击;其中,第二设定阈值大于第一设定阈值;
若所述DNS解析成功平均占比小于第三设定阈值,则确定该类别对应的类别标签为第三异常业务设备类别标签,所述第三异常业务设备类别标签用于指示恶意程序;
若所述比值在所述第一设定阈值和所述第二设定阈值之间、且所述DNS解析成功平均占比大于第三设定阈值,则确定该类别对应的类别标签为正常业务设备类别标签。
8.根据权利要求1所述的方法,其特征在于,所述依据每一目标物联网设备的目标特征向量与所述检测模型中各类别标签对应的中心特征向量之间的距离,确定目标物联网设备所属的目标类别包括:
针对每一目标物联网设备,若该目标物联网设备的目标特征向量与所述检测模型中各类别标签对应的中心特征向量之间的距离均大于最大距离MAX,则确定目标物联网设备所属的目标类别为未知异常,否则,
从所述检测模型的各类别标签中确定目标类别标签,所述目标类别标签对应的中心特征向量与目标物联网设备的目标特征向量之间的距离满足指定距离条件,确定目标物联网设备所属的目标类别为所述目标类别标签对应的类别。
9.根据权利要求8所述的方法,其特征在于,所述检测模型中还存在各类别标签对应的样本距离,每一类别标签对应的样本距离是该类别标签对应的类别中各样本物联网设备的样本特征向量与该类别标签对应的中心特征向量之间的距离中的最大值;
所述最大距离MAX为所述检测模型中各类别标签对应的样本距离中的最大值。
10.根据权利要求1至9任一所述的方法,其特征在于,该方法进一步包括:在确定目标物联网设备所属的目标类别为用于指示DNS反射攻击的第一异常设备类别标签对应的类别时,在DNS服务器上限制针对该类别中各目标物联网设备的DNS响应次数;
在确定目标物联网设备所属的目标类别为用于指示DNS洪泛攻击的第二异常设备类别标签对应的类别时,针对该类别中各目标物联网设备进行基础配置检查和/或安全扫描;
在确定目标物联网设备所属的目标类别为用于指示恶意程序的第三异常设备类别标签对应的类别时,联动已配置的安全设备对该类别中各目标物联网设备进行安全加固。
11.根据权利要求1所述的方法,其特征在于,该方法进一步包括:在检测到模型更新事件时,重新训练更新所述检测模型;所述模型更新事件至少包括:模型更新时间到达、或者检测到目标物联网设备所属的类别为未知异常。
12.一种基于角色的物联网设备异常检测系统,其特征在于,该系统包括:物联网核心交换机、用于执行如权利要求1至11任一方法的电子设备;所述电子设备部署在物联网核心交换机的旁路或者独立于所述物联网核心交换机。
13.一种电子设备,其特征在于,该电子设备包括:处理器和机器可读存储介质;
所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;
所述处理器用于执行机器可执行指令,以实现权利要求1‑11任一项的方法步骤。
说明书 :
基于设备角色的物联网设备异常检测方法、系统及装置
技术领域
[0001] 本申请涉及物联网,特别涉及基于设备角色的物联网设备异常检测方法、系统及装置。
背景技术
[0002] 目前,域名系统(DNS:Domain Name System)解析出的异常都是基于规则库或者规则表实现的,比如:通过规则库或者规则表识别恶意的域名或者可疑的IP地址等,则认为异
常。但目前这种基于规则库或者规则表解析出异常的方式,常会因为规则库或者规则表配
置延迟而导致不能及时发现异常比如被攻击的设备等,同时配置规则库或者规则表也会加
大工作量。
常。但目前这种基于规则库或者规则表解析出异常的方式,常会因为规则库或者规则表配
置延迟而导致不能及时发现异常比如被攻击的设备等,同时配置规则库或者规则表也会加
大工作量。
发明内容
[0003] 本申请实施例提供了基于角色的物联网设备检测方法、系统及装置,以实现基于设备角色进行物联网设备检测,防止现有基于规则库或者规则表解析异常带来的技术问
题。
题。
[0004] 本申请实施例提供了一种基于设备角色的物联网设备检测方法,该方法应用于电子设备,该方法包括:
[0005] 获得第一指定时间段内经由物联网核心交换机的域名系统DNS报文;所述DNS报文包括DNS请求和DNS响应;
[0006] 依据已获得的第一指定时间段内的DNS报文,确定至少一个目标物联网设备的目标特征向量;所述目标特征向量至少包括:所述目标物联网设备发起的DNS请求的DNS请求
数量、发向所述目标物联网设备的DNS响应的DNS响应数量、以及DNS解析成功信息;所述DNS
解析成功信息是指所述目标物联网设备发起的DNS请求中的域名被成功解析的信息;
数量、发向所述目标物联网设备的DNS响应的DNS响应数量、以及DNS解析成功信息;所述DNS
解析成功信息是指所述目标物联网设备发起的DNS请求中的域名被成功解析的信息;
[0007] 计算目标物联网设备的目标特征向量分别与已训练出的检测模型中各类别标签对应的中心特征向量之间的距离;
[0008] 依据目标物联网设备的目标特征向量与所述检测模型中各类别标签对应的中心特征向量之间的距离,确定目标物联网设备所属的目标类别,所述目标类别为所述检测模
型中一个类别标签对应的类别或者为未知异常,所述检测模型中的类别标签至少包括:正
常业务设备标签、DNS服务器标签、异常业务设备标签。
型中一个类别标签对应的类别或者为未知异常,所述检测模型中的类别标签至少包括:正
常业务设备标签、DNS服务器标签、异常业务设备标签。
[0009] 本申请实施例还提供了一种基于角色的物联网设备异常检测系统,该系统包括:
[0010] 物联网核心交换机、用于执行如上方法的电子设备;
[0011] 所述电子设备部署在物联网核心交换机的旁路或者独立于所述物联网
[0012] 核心交换机。
[0013] 本申请实施例还提供了一种电子设备。该电子设备包括:处理器和机器可读存储介质;
[0014] 所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;
[0015] 所述处理器用于执行机器可执行指令,以实现上述公开的方法的步骤。
[0016] 由以上技术方案可以看出,在本实施例中,通过一定时间段内物联网设备在DNS解析过程中的设备角色(比如DNS请求角色(用于发起DNS请求)、DNS响应角色(用于响应接收
的DNS请求)、DNS服务器(用于域名解析)等)发起的行为比如发起DNS请求、响应DNS请求、域
名解析等,借助该行为(经由物联网核心交换机的DNS报文)构建物联网设备的特征向量,最
后基于该特征向量与检测模型中已训练出的各类别标签对应的中心特征向量之间的距离
确定物联网设备所属的类别,不再依赖于规则库或者规则表,实现了基于设备角色的物联
网设备检测。
的DNS请求)、DNS服务器(用于域名解析)等)发起的行为比如发起DNS请求、响应DNS请求、域
名解析等,借助该行为(经由物联网核心交换机的DNS报文)构建物联网设备的特征向量,最
后基于该特征向量与检测模型中已训练出的各类别标签对应的中心特征向量之间的距离
确定物联网设备所属的类别,不再依赖于规则库或者规则表,实现了基于设备角色的物联
网设备检测。
[0017] 进一步地,在本实施例中,在进行物联网设备检测时是依赖于一定时间段内物联网设备在DNS解析过程中的设备角色(比如DNS请求角色(用于发起DNS请求)、DNS响应角色
(用于响应接收的DNS请求)、DNS服务器(用于域名解析)等)发起的行为比如发起DNS请求、
响应DNS请求、域名解析等(最终会形成经由物联网核心交换机的DNS报文),不再依赖于物
联网设备本身的基础信息比如进程、内存、网络等信息,不会对物联网设备产生影响或干
扰。
(用于响应接收的DNS请求)、DNS服务器(用于域名解析)等)发起的行为比如发起DNS请求、
响应DNS请求、域名解析等(最终会形成经由物联网核心交换机的DNS报文),不再依赖于物
联网设备本身的基础信息比如进程、内存、网络等信息,不会对物联网设备产生影响或干
扰。
附图说明
[0018] 此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
[0019] 图1为本申请实施例提供的方法流程图;
[0020] 图2为本申请实施例提供的检测模型训练流程图;
[0021] 图3为本申请实施例提供的步骤203中确定类别标签的流程图;
[0022] 图4为本申请实施例提供的步骤104实现流程图;
[0023] 图5为本申请实施例提供的系统结构图;
[0024] 图6为本申请实施例提供的装置结构图;
[0025] 图7为本申请实施例提供的电子设备结构图。
具体实施方式
[0026] 这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例
中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如本申
请的一些方面相一致的装置和方法的例子。
中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如本申
请的一些方面相一致的装置和方法的例子。
[0027] 在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文
清楚地表示其他含义。
清楚地表示其他含义。
[0028] 在物联网应用中,域名解析具有如下特点,即:通过DNS请求发起域名解析的请求,通过DNS响应接收DNS服务器对域名解析的结果。正常情况下一次DNS请求必定有一次DNS响
应。相应地,域名解析会涉及以下三个设备角色:DNS请求角色(用于发起DNS请求)、DNS响应
角色(用于响应接收的DNS请求)、DNS服务器(用于域名解析)。在正常情况下,DNS服务器担
任DNS响应角色,但是对于一些攻击,则常会导致DNS服务器与DNS响应角色不一致。
应。相应地,域名解析会涉及以下三个设备角色:DNS请求角色(用于发起DNS请求)、DNS响应
角色(用于响应接收的DNS请求)、DNS服务器(用于域名解析)。在正常情况下,DNS服务器担
任DNS响应角色,但是对于一些攻击,则常会导致DNS服务器与DNS响应角色不一致。
[0029] 在具体应用中,域名解析涉及的以上三个设备角色具有以下特点:
[0030] 对于DNS服务器,DNS服务器收到的DNS请求的数量较多,发送的DNS响应的数量也较多,但DNS服务器通常不会发起DNS请求;
[0031] 对于DNS请求角色,假若担任DNS请求角色的业务设备(其之所以称为业务设备,是相比DNS服务器而言的,这里业务设备是指运行物联网相关业务的设备比如终端、服务器
等)正常,则其发起DNS请求的数量较少,相应地,收到DNS响应的数量也较少;假若担任DNS
请求角色的业务设备异常比如被攻击等,则其发起的DNS请求的数量很多、或者收到的DNS
响应的数量很多,或者发起的DNS请求都得不到正常响应等。可选地,在本实施例中,上述的
业务设备可举例为网络摄像机(IPC)、硬盘录像机(DNR)、网络录像机(NVR)等安防设备,本
实施例并不具体限定。
等)正常,则其发起DNS请求的数量较少,相应地,收到DNS响应的数量也较少;假若担任DNS
请求角色的业务设备异常比如被攻击等,则其发起的DNS请求的数量很多、或者收到的DNS
响应的数量很多,或者发起的DNS请求都得不到正常响应等。可选地,在本实施例中,上述的
业务设备可举例为网络摄像机(IPC)、硬盘录像机(DNR)、网络录像机(NVR)等安防设备,本
实施例并不具体限定。
[0032] 基于上述域名解析的特点以及域名解析过程中涉及的物联网设备角色的特点,本申请提供了基于设备角色的物联网设备异常检测方法。为了使本领域技术人员更好地理解
本申请实施例提供的技术方案,并使本申请实施例的上述目的、特征和优点能够更加明显
易懂,下面结合附图对本申请实施例中技术方案作进一步详细的说明。
本申请实施例提供的技术方案,并使本申请实施例的上述目的、特征和优点能够更加明显
易懂,下面结合附图对本申请实施例中技术方案作进一步详细的说明。
[0033] 参见图1,图1为本申请实施例提供的方法流程图。在一个例子中,该方法可应用于电子设备。
[0034] 可选地,作为一个实施例,这里的电子设备可部署在物联网核心交换机上(具体是作为物联网核心交换机的其中一个逻辑模块)。或者,作为另一个实施例,这里的电子设备
也可独立于物联网核心交换机,比如部署在物联网核心交换机的旁路等,本实施例并不具
体限定。
也可独立于物联网核心交换机,比如部署在物联网核心交换机的旁路等,本实施例并不具
体限定。
[0035] 如图1所示,该流程可包括以下步骤:
[0036] 步骤101,获得第一指定时间段内经由物联网核心交换机的DNS报文。
[0037] 在本实施例中,第一指定时间段可根据实际需求设置,比如可为过去一端时间比如最近一周、最近一天等,再比如可为未来一段时间比如一天、一周等,本实施例并不具体
限定。
限定。
[0038] 可选地,作为一个实施例,当电子设备部署在物联网核心交换机上,则一旦DNS报文到达物联网核心交换机,则电子设备在不影响DNS报文转发的前提下复制一份DNS报文发
送至上述电子设备。即最终实现了电子设备获得DNS报文。
送至上述电子设备。即最终实现了电子设备获得DNS报文。
[0039] 可选地,作为另一个实施例,当电子设备独立于物联网核心交换机,则一旦DNS报文到达物联网核心交换机,则物联网核心交换机在不影响DNS报文转发的前提下通过镜像
的方式复制一份DNS报文并转发给上述电子设备。即最终实现了电子设备获得DNS报文。
的方式复制一份DNS报文并转发给上述电子设备。即最终实现了电子设备获得DNS报文。
[0040] 在本实施例中,上述DNS报文包括DNS请求和DNS响应。这里,DNS请求、DNS响应分别为DNS协议规定的请求报文、响应报文。
[0041] 步骤102,依据已获得的第一指定时间段内的DNS报文,确定至少一个目标物联网设备的特征向量。
[0042] 在本实施例中,当电子设备获得DNS报文后,其会识别该DNS报文为DNS请求还是DNS响应。基于DNS协议,当一个报文为DNS请求时,该报文会携带用于指示DNS请求的请求标
识。同样,当一个报文为DNS响应时,该报文会携带用于指示DNS响应的响应标识。基于此,若
DNS报文携带上述请求标识,则确定该DNS报文为DNS请求,若DNS报文携带上述响应标识,则
确定该DNS报文为DNS响应。
识。同样,当一个报文为DNS响应时,该报文会携带用于指示DNS响应的响应标识。基于此,若
DNS报文携带上述请求标识,则确定该DNS报文为DNS请求,若DNS报文携带上述响应标识,则
确定该DNS报文为DNS响应。
[0043] 作为一个实施例,在上述第一指定时间段内,当获得的DNS报文为DNS请求时,将DNS请求中源IP地址对应的物联网设备(此时记为属于上述第一指定时间段的目标物联网
设备)的DNS请求数量增加设定值,并将DNS请求中目的IP地址对应的物联网设备(此时记为
属于上述第一指定时间段的目标物联网设备)的DNS响应数量增加设定值。
设备)的DNS请求数量增加设定值,并将DNS请求中目的IP地址对应的物联网设备(此时记为
属于上述第一指定时间段的目标物联网设备)的DNS响应数量增加设定值。
[0044] 同样,在上述第一指定时间段,当获得的DNS报文为DNS响应时,将DNS响应中源IP地址对应的物联网设备(此时记为属于上述第一指定时间段的目标物联网设备)的DNS响应
数量增加设定值,将DNS响应中目的IP地址对应的物联网设备(此时记为属于上述第一指定
时间段的目标物联网设备)的DNS请求数量增加设定值,并识别DNS响应中携带的DNS解析结
果,当DNS解析结果包含表示DNS解析成功的标识时,将DNS响应中目的IP地址对应的物联网
设备(此时记为属于上述第一指定时间段的目标物联网设备)的DNS解析成功数量增加设定
值。
数量增加设定值,将DNS响应中目的IP地址对应的物联网设备(此时记为属于上述第一指定
时间段的目标物联网设备)的DNS请求数量增加设定值,并识别DNS响应中携带的DNS解析结
果,当DNS解析结果包含表示DNS解析成功的标识时,将DNS响应中目的IP地址对应的物联网
设备(此时记为属于上述第一指定时间段的目标物联网设备)的DNS解析成功数量增加设定
值。
[0045] 可选地,这里的设定值可根据实际情况设置,比如取值为1等,本实施例并不具体限定。
[0046] 需要说明的是,在本实施例中,对于上述任一目标物联网设备,在上述第一指定时间段内首次发起DNS请求或者首次接收到DNS响应之前,该目标物联网设备的DNS请求数量、
DNS响应数量、DNS解析成功数量均为预设值比如0或者其他值等,本实施例并不具体限定。
DNS响应数量、DNS解析成功数量均为预设值比如0或者其他值等,本实施例并不具体限定。
[0047] 之后,在上述第一指定时间段结束后,针对每一目标物联网设备,依据该目标物联网设备的DNS解析成功数量确定该目标物联网设备的DNS解析成功信息,将该目标物联网设
备的DNS解析成功信息、该目标物联网设备的DNS请求数量、以及该目标物联网设备的DNS响
应数量确定为该目标物联网设备的特征向量。最终实现了上述步骤102中确定上述第一指
定时间段内各目标物联网设备的目标特征向量。
备的DNS解析成功信息、该目标物联网设备的DNS请求数量、以及该目标物联网设备的DNS响
应数量确定为该目标物联网设备的特征向量。最终实现了上述步骤102中确定上述第一指
定时间段内各目标物联网设备的目标特征向量。
[0048] 在一个例子中,上述目标物联网设备的DNS解析成功信息可为DNS解析成功占比,具体可为该目标物联网设备的DNS解析成功数量除以该目标物联网设备的DNS请求数量得
到的比值。
到的比值。
[0049] 步骤103,计算目标物联网设备的目标特征向量分别与已训练出的检测模型中各类别标签对应的中心特征向量之间的距离。
[0050] 可选地,在本实施例中,在执行本步骤103之前,可先对各个目标物联网设备的目标特征向量进行规范化处理,以保证各目标特征向量中同一位置上的值的差异比较小(比
如在同一预设范围内),消除各目标特征向量中同一位置上的值的差异比较大而对后续确
定类别带来的影响。
如在同一预设范围内),消除各目标特征向量中同一位置上的值的差异比较大而对后续确
定类别带来的影响。
[0051] 在本实施例中,已训练出的检测模型支持至少一个类别标签,针对每一类别标签,其具有对应的中心特征向量。下文会描述类别标签对应的中心特征向量,这里暂不描述。
[0052] 步骤104,依据目标物联网设备特征向量与检测模型中各类别标签对应的中心特征向量之间的距离,确定目标物联网设备所属的目标类别。
[0053] 可选地,在本实施例中,上述目标类别为检测模型中一个类别标签(也即检测模型支持的一个类别标签)对应的类别或者为未知异常。
[0054] 作为一个实施例,检测模型的类别标签(也即检测模型支持的类别标签)至少包括:正常业务设备标签、DNS服务器标签、异常业务设备标签。下文会具体描述检测模型的类
别标签,这里暂不赘述。
别标签,这里暂不赘述。
[0055] 最终,通过上述步骤101至步骤104实现了基于物联网设备角色(DNS请求角色、DNS响应角色、DNS服务器)确定物联网设备的特征向量,以确定物联网设备所属的类别,实现了
基于物联网设备角色(DNS请求角色、DNS响应角色、DNS服务器)的检测。
基于物联网设备角色(DNS请求角色、DNS响应角色、DNS服务器)的检测。
[0056] 至此,完成图1所示流程。
[0057] 通过图1所示流程可以看出,在本实施例中,通过一定时间段内物联网设备在DNS解析过程中的设备角色(比如DNS请求角色(用于发起DNS请求)、DNS响应角色(用于响应接
收的DNS请求)、DNS服务器(用于域名解析)等)发起的行为比如发起DNS请求、响应DNS请求、
域名解析等,借助该行为(经由物联网核心交换机的DNS报文)构建物联网设备的特征向量,
最后基于该特征向量与检测模型中已训练出的各类别标签对应的中心特征向量之间的距
离确定物联网设备所属的类别,不再依赖于规则库或者规则表,实现了基于设备角色的物
联网设备检测。
收的DNS请求)、DNS服务器(用于域名解析)等)发起的行为比如发起DNS请求、响应DNS请求、
域名解析等,借助该行为(经由物联网核心交换机的DNS报文)构建物联网设备的特征向量,
最后基于该特征向量与检测模型中已训练出的各类别标签对应的中心特征向量之间的距
离确定物联网设备所属的类别,不再依赖于规则库或者规则表,实现了基于设备角色的物
联网设备检测。
[0058] 进一步地,在本实施例中,在进行物联网设备检测时是依赖于一定时间段内物联网设备在DNS解析过程中的设备角色(比如DNS请求角色(用于发起DNS请求)、DNS响应角色
(用于响应接收的DNS请求)、DNS服务器(用于域名解析)等)发起的行为比如发起DNS请求、
响应DNS请求、域名解析等(最终会形成经由物联网核心交换机的DNS报文),不再依赖于物
联网设备本身的基础信息比如进程、内存、网络等信息,不会对物联网设备产生影响或干
扰。
(用于响应接收的DNS请求)、DNS服务器(用于域名解析)等)发起的行为比如发起DNS请求、
响应DNS请求、域名解析等(最终会形成经由物联网核心交换机的DNS报文),不再依赖于物
联网设备本身的基础信息比如进程、内存、网络等信息,不会对物联网设备产生影响或干
扰。
[0059] 下面通过图2对检测模型的训练进行描述:
[0060] 参见图2,图2为本申请实施例提供的检测模型训练流程图。如图2所示,该流程可包括以下步骤:
[0061] 步骤201,基于第二指定时间段内经由物联网核心交换机的DNS报文,确定样本物联网设备的样本特征向量。
[0062] 这里,第二指定时间段不同于上述第一指定时间段,其可为过去经过的且在第一指定时间段之前的一个时间端。
[0063] 与上述步骤102类似,在本实施例中,当第二指定时间段内经由物联网核心交换机的DNS报文为DNS请求时,将该DNS请求中源IP地址对应的物联网设备(记为第二指定时间段
内用于检测模型训练的样本物联网设备)的DNS请求数量增加设定值,将该DNS请求中目的
IP地址对应的物联网设备(记为第二指定时间段内用于检测模型训练的样本物联网设备)
的DNS响应数量增加设定值。
内用于检测模型训练的样本物联网设备)的DNS请求数量增加设定值,将该DNS请求中目的
IP地址对应的物联网设备(记为第二指定时间段内用于检测模型训练的样本物联网设备)
的DNS响应数量增加设定值。
[0064] 同样,当第二指定时间段内经由物联网核心交换机的DNS报文为DNS响应时,将该DNS响应中源IP地址对应的物联网设备(记为第二指定时间段内用于检测模型训练的样本
物联网设备)的DNS响应数量增加设定值,将该DNS响应中目的IP地址对应的物联网设备(记
为第二指定时间段内用于检测模型训练的样本物联网设备)的DNS请求数量增加设定值,并
识别该DNS响应携带的DNS解析结果,当DNS解析结果包含DNS解析成功的标识时,将该DNS响
应中目的IP地址对应的物联网设备(记为第二指定时间段内用于检测模型训练的样本物联
网设备)的DNS解析成功数量增加设定值。
物联网设备)的DNS响应数量增加设定值,将该DNS响应中目的IP地址对应的物联网设备(记
为第二指定时间段内用于检测模型训练的样本物联网设备)的DNS请求数量增加设定值,并
识别该DNS响应携带的DNS解析结果,当DNS解析结果包含DNS解析成功的标识时,将该DNS响
应中目的IP地址对应的物联网设备(记为第二指定时间段内用于检测模型训练的样本物联
网设备)的DNS解析成功数量增加设定值。
[0065] 如上描述,这里的设定值可根据实际需求设置,比如设置为1或者其他值等,本实施例并不具体限定。
[0066] 在第二指定时间段结束时,针对每一样本物联网设备,依据该样本物联网设备的DNS解析成功数量确定该样本物联网设备的DNS解析成功信息。在一个例子中,上述样本物
联网设备的DNS解析成功信息可为DNS解析成功占比,具体可为该样本物联网设备的DNS解
析成功数量除以该样本物联网设备的DNS请求数量得到的比值。
联网设备的DNS解析成功信息可为DNS解析成功占比,具体可为该样本物联网设备的DNS解
析成功数量除以该样本物联网设备的DNS请求数量得到的比值。
[0067] 之后,作为一个实施例,可将该样本物联网设备的DNS解析成功信息、该样本物联网设备的DNS请求数量、以及该样本物联网设备的DNS响应数量确定为该样本物联网设备的
样本特征向量。也即,上述样本特征向量至少包括:样本物联网设备发起的DNS请求的DNS请
求数量、发向样本物联网设备的DNS响应的DNS响应数量、以及DNS解析成功信息。
样本特征向量。也即,上述样本特征向量至少包括:样本物联网设备发起的DNS请求的DNS请
求数量、发向样本物联网设备的DNS响应的DNS响应数量、以及DNS解析成功信息。
[0068] 步骤202,依据各个样本物联网设备的样本特征向量对各个样本物联网设备进行分类。
[0069] 可选地,在本实施例中,在对各个样本物联网设备进行分类之前,可先对各个样本物联网设备的样本特征向量进行规范化处理,以保证各样本特征向量中同一位置上的值的
差异比较小(比如在同一预设范围内),消除各样本特征向量中同一位置上的值的差异比较
大而对后续聚类带来的影响。
差异比较小(比如在同一预设范围内),消除各样本特征向量中同一位置上的值的差异比较
大而对后续聚类带来的影响。
[0070] 可选地,在本实施例中,本步骤202可使用K‑means算法进行计算。K‑means算法是一种典型的非层次聚类算法,其通过计算样本物联网设备之间的距离作为分类的指标。
[0071] 最终,通过步骤202,可实现将上述各样本物联网设备进行分类,每一样本物联网设备只属于一个类别。
[0072] 步骤203,确定每一类别对应的类别标签,依据每一类别标签以及该类别标签对应的中心特征向量训练得到所述检测模型,类别标签对应的中心特征向量是基于类别标签对
应的类别中的各样本物联网设备的样本特征向量确定。
应的类别中的各样本物联网设备的样本特征向量确定。
[0073] 在本实施例中,本步骤203中确定每一类别对应的类别标签可依据DNS攻击特点确定,下文通过图3举例描述确定每一类别对应的类别标签的一种实现方式,这里暂不赘述。
[0074] 在本实施例中,上述类别标签对应的中心特征向量是基于类别标签对应的类别中的各样本物联网设备的样本特征向量确定,比如,针对每一类别,可从该类别中的各样本物
联网设备的样本特征向量中确定处于中心的样本特征向量,将该处于中心的样本特征向量
确定为该类别(也即该类别对应的类别标签)对应的中心特征向量。这里只是举例描述类别
标签对应的中心特征向量,并非用于限定。
联网设备的样本特征向量中确定处于中心的样本特征向量,将该处于中心的样本特征向量
确定为该类别(也即该类别对应的类别标签)对应的中心特征向量。这里只是举例描述类别
标签对应的中心特征向量,并非用于限定。
[0075] 最终,通过图2所示流程实现了检测模型的训练。最终,训练出的检测模型中会存在上述各类别标签以及各类别标签对应的中心特征向量。
[0076] 下面对上述步骤203中确定每一类别对应的类别标签进行举例描述:
[0077] 参见图3,图3为本申请实施例提供的步骤203中确定类别标签的流程图。如图3所示,该流程可包括以下步骤:
[0078] 步骤301,针对每一类别,依据该类别中各样本物联网设备的样本特征向量,确定该类别对应的类别标签分析参数,类别标签分析参数至少包括:DNS报文总数量;DNS报文总
数量依据该类别中各样本物联网设备的DNS请求数量和DNS响应数量确定。
数量依据该类别中各样本物联网设备的DNS请求数量和DNS响应数量确定。
[0079] 可选地,这里的DNS报文总数量可为该类别中各样本物联网设备的DNS请求数量和DNS响应数量之和。
[0080] 步骤302,从所有类别中选择DNS报文总数量取值最大的第一类别,确定第一类别对应的类别标签为DNS服务器类别标签,针对除第一类别之外的每一类别,依据该类别中样
本物联网设备的DNS请求数量、DNS响应数量、DNS解析成功信息确定该类别对应的类别标
签。
本物联网设备的DNS请求数量、DNS响应数量、DNS解析成功信息确定该类别对应的类别标
签。
[0081] 对于DNS解析,DNS服务器收到的DNS请求、发起的DNS都是最多,所以这里将DNS报文总数量取值最大的一类别对应的类别标签为DNS服务器类别标签。至于其他类别,则需要
借助据该类别中样本物联网设备的DNS请求数量、DNS响应数量、DNS解析成功信息确定该类
别对应的类别标签。
借助据该类别中样本物联网设备的DNS请求数量、DNS响应数量、DNS解析成功信息确定该类
别对应的类别标签。
[0082] 可选地,在本实施例中,上述依据该类中样本物联网设备的DNS请求数量、DNS响应数量、DNS解析成功信息确定该类别对应的类别标签包括:
[0083] 步骤a1,针对除第一类别之外的每一类别,确定该类别对应的DNS请求平均数、DNS响应平均数、DNS解析成功平均占比。
[0084] 这里,DNS请求平均数依据该类别中各样本物联网设备的DNS请求数量与该类别中样本物联网设备的设备总数量确定,比如可为该类别中各样本物联网设备的DNS请求数量
之和除以该类别中样本物联网设备的设备总数量得到的结果。
之和除以该类别中样本物联网设备的设备总数量得到的结果。
[0085] DNS响应平均数依据该类别中各样本物联网设备的DNS响应数量与该类别中样本物联网设备的设备总数量确定,比如可为该类别中各样本物联网设备的DNS响应数量之和
除以该类别中样本物联网设备的设备总数量得到的结果。
除以该类别中样本物联网设备的设备总数量得到的结果。
[0086] DNS解析成功平均占比是依据该类别中各样本物联网设备的DNS解析成功信息以及该类别中样本物联网设备的设备总数量确定。以各样本物联网设备的DNS解析成功信息
包括各样本物联网设备的DNS解析成功占比为例,则DNS解析成功平均占比可为该类别中各
样本物联网设备的DNS解析成功占比之和除以该类别中样本物联网设备的设备总数量得到
的结果。
包括各样本物联网设备的DNS解析成功占比为例,则DNS解析成功平均占比可为该类别中各
样本物联网设备的DNS解析成功占比之和除以该类别中样本物联网设备的设备总数量得到
的结果。
[0087] 步骤a2,依据该类别对应的DNS请求平均数、DNS响应平均数、DNS解析成功平均占比确定该类别对应的类别标签。
[0088] 比如,针对除上述第一类别之外的每一类别,计算该类别对应的DNS请求平均数与DNS响应平均数之间的比值;
[0089] 若上述比值小于第一设定阈值,则确定该类别对应的类别标签为第一异常业务设备类别标签,第一异常业务设备类别标签用于指示DNS反射攻击;
[0090] 若上述比值大于第二设定阈值,则确定该类别对应的类别标签为第二异常业务设备类别标签,第二异常业务设备类别标签用于指示DNS洪泛攻击;
[0091] 若上述DNS解析成功平均占比小于第三设定阈值,则确定该类别对应的类别标签为第三异常业务设备类别标签,第三异常业务设备类别标签用于指示恶意程序;
[0092] 若上述比值在第一设定阈值和第二设定阈值之间、且DNS解析成功平均占比大于第三设定阈值,则确定该类别对应的类别标签为正常业务设备类别标签。
[0093] 在本实施例中,第一设定阈值、第二设定阈值、第三设定阈值可根据实际需求设置,不过在设置时需要保证第二设定阈值大于第一设定阈值,至于第三设定阈值,其可与第
一设定阈值、第二设定阈值。可选地,比如第一设定阈值为0.1、第二设定阈值为10,第三设
定阈值为0.1。
一设定阈值、第二设定阈值。可选地,比如第一设定阈值为0.1、第二设定阈值为10,第三设
定阈值为0.1。
[0094] 即,通过上面描述最终确定出上述各类别对应的类别标签。
[0095] 下面对上述步骤104中如何依据每一目标物联网设备的目标特征向量与所述检测模型中各类别标签对应的中心特征向量之间的距离,确定目标物联网设备所属的目标类别
进行描述:
进行描述:
[0096] 参见图4,图4为本申请实施例提供的步骤104实现流程图。如图4所示,该流程可包括:
[0097] 步骤401,针对每一目标物联网设备,若该目标物联网设备的目标特征向量与检测模型中各类别标签对应的中心特征向量之间的距离均大于最大距离MAX,则确定目标物联
网设备所属的目标类别为未知异常,否则,执行步骤402。
网设备所属的目标类别为未知异常,否则,执行步骤402。
[0098] 在本实施例中,上述检测模型还存在以下参数:各类别标签对应的样本距离。可选地,每一类别标签对应的样本距离可通过以下步骤确定:针对每一类别标签,获得该类别标
签对应类中各样本物联网设备的样本特征向量,计算该获得的每一样本特征向量与该类别
标签对应的中心特征向量之间的距离,选择最大距离中的最大值作为类别标签对应的样本
距离。
签对应类中各样本物联网设备的样本特征向量,计算该获得的每一样本特征向量与该类别
标签对应的中心特征向量之间的距离,选择最大距离中的最大值作为类别标签对应的样本
距离。
[0099] 基于此,在本实施例中,上述最大距离MAX为上述检测模型中各类别标签对应的样本距离中的最大值。也即,上述最大距离MAX是从各类别标签对应的样本距离中选取的取值
最大的距离。
最大的距离。
[0100] 需要说明的是,上述最大距离MAX的确定方式只是一种举例,并非用于限定。
[0101] 一旦目标物联网设备的目标特征向量与检测模型中各类别标签对应的中心特征向量之间的距离均大于最大距离MAX,则表示目标物联网设备所属的目标类别不是检测模
型中类别标签对应的类别,此时可暂先将目标物联网设备所属的目标类别确定为未知异
常。
型中类别标签对应的类别,此时可暂先将目标物联网设备所属的目标类别确定为未知异
常。
[0102] 而假若目标物联网设备的目标特征向量与检测模型中各类别标签对应的中心特征向量之间的距离并非均大于最大距离MAX,则说明目标物联网设备所属的目标类别是检
测模型中的类别标签,至于具体是哪一个类别,则需要进一步基于下述步骤402确定。
测模型中的类别标签,至于具体是哪一个类别,则需要进一步基于下述步骤402确定。
[0103] 步骤402,从检测模型的各类别标签中确定目标类别标签,目标类别标签对应的中心特征向量与目标物联网设备的目标特征向量之间的距离满足指定距离条件,确定目标物
联网设备所属的目标类别为目标类别标签。
联网设备所属的目标类别为目标类别标签。
[0104] 可选地,在本实施例中,上述指定距离条件可为距离最小,也即,最终选择的目标类别标签对应的中心特征向量与目标物联网设备的目标特征向量之间的距离最小,均小于
检测模型中其他任一类别标签对应的中心特征向量与目标物联网设备的目标特征向量之
间的距离。
检测模型中其他任一类别标签对应的中心特征向量与目标物联网设备的目标特征向量之
间的距离。
[0105] 最终,通过图4举例描述了如何依据每一目标物联网设备的目标特征向量与所述检测模型中各类别标签对应的中心特征向量之间的距离,确定目标物联网设备所属的目标
类别。
类别。
[0106] 可选地,在本实施例中,在确定出目标物联网设备所属的目标类别之后,可在目标类别为异常业务设备类别标签对应的类别时,可进一步执行异常处理,比如,在确定目标物
联网设备所属的目标类别为用于指示DNS反射攻击的第一异常设备类别标签对应的类别
时,在域名DNS服务器上限制针对该类别中各目标物联网设备的DNS响应次数,比如限制DNS
服务器每分钟仅针对该类别中的目标物联网设备响应10次。
联网设备所属的目标类别为用于指示DNS反射攻击的第一异常设备类别标签对应的类别
时,在域名DNS服务器上限制针对该类别中各目标物联网设备的DNS响应次数,比如限制DNS
服务器每分钟仅针对该类别中的目标物联网设备响应10次。
[0107] 再比如,在确定目标物联网设备所属的目标类别为用于指示DNS洪泛攻击的第二异常设备类别标签对应的类别时,则针对该类别中各目标物联网设备进行基础配置检查
和/或安全扫描,比如先检查该类别中各目标物联网设备进行基础配置,防止因为基础配置
错误导致DNS洪泛,之后再对该类别中各目标物联网设备进行安全扫描,查杀可能的病毒文
件。
和/或安全扫描,比如先检查该类别中各目标物联网设备进行基础配置,防止因为基础配置
错误导致DNS洪泛,之后再对该类别中各目标物联网设备进行安全扫描,查杀可能的病毒文
件。
[0108] 再比如,在确定目标物联网设备所属的目标类别为用于指示恶意程序的第三异常设备类别标签对应的类别时,则联动已配置的安全设备比如防火墙等对该类别中各目标物
联网设备进行安全加固,比如,联动防火墙等安全设备对该类别中各目标物联网设备进行
安全检查和病毒查杀加固。
联网设备进行安全加固,比如,联动防火墙等安全设备对该类别中各目标物联网设备进行
安全检查和病毒查杀加固。
[0109] 另外,还需要说明的是,在本实施例中,由于网络中环境可能会发生变化,为应对这种变化,还需要进一步更新检测模型。
[0110] 可选地,在本实施例中,在检测到模型更新事件时,可重新训练更新所述检测模型。
[0111] 作为一个实施例,这里的模型更新事件至少包括:模型更新时间到达、或者检测到目标物联网设备所属的目标类别为未知异常。
[0112] 至此,完成本申请实施例提供的方法描述。下面对本申请实施例提供的系统和装置进行描述:
[0113] 参见图5,图5为本申请实施例提供的系统结构图。如图5所示,该系统包括:物联网核心交换机、电子设备。
[0114] 可选地,电子设备部署在物联网核心交换机的旁路或者独立于物联网核
[0115] 心交换机。在本实施例中,电子设备用于执行如图1所示流程。
[0116] 下面对电子设备的软件结构进行描述:
[0117] 参见图6,图6为本申请实施例提供的装置结构图。该装置对应上述图1所示流程,可包括:
[0118] 获得单元,用于获得第一指定时间段内经由物联网核心交换机的域名系统DNS报文;所述DNS报文包括DNS请求和DNS响应;
[0119] 确定单元,用于依据已获得的第一指定时间段内的DNS报文,确定至少一个目标物联网设备的目标特征向量;所述目标特征向量至少包括:所述目标物联网设备发起的DNS请
求的DNS请求数量、发向所述目标物联网设备的DNS响应的DNS响应数量、以及DNS解析成功
信息;所述DNS解析成功信息是指所述目标物联网设备发起的DNS请求中的域名被成功解析
的信息;
求的DNS请求数量、发向所述目标物联网设备的DNS响应的DNS响应数量、以及DNS解析成功
信息;所述DNS解析成功信息是指所述目标物联网设备发起的DNS请求中的域名被成功解析
的信息;
[0120] 计算单元,用于针对每一目标物联网设备,计算该目标物联网设备的目标特征向量分别与已训练出的检测模型中各类别标签对应的中心特征向量之间的距离;
[0121] 处理单元,用于依据每一目标物联网设备的目标特征向量与所述检测模型中各类别标签对应的中心特征向量之间的距离,确定目标物联网设备所属的目标类别,所述目标
类别为所述检测模型中一个类别标签对应的类别或者为未知异常,所述检测模型中的类别
标签至少包括:正常业务设备类别标签、DNS服务器类别标签、异常业务设备类别标签。
类别为所述检测模型中一个类别标签对应的类别或者为未知异常,所述检测模型中的类别
标签至少包括:正常业务设备类别标签、DNS服务器类别标签、异常业务设备类别标签。
[0122] 可选地,确定单元依据已获得的第一指定时间段内的DNS报文,确定至少一个物联网设备对应的物联网设备特征向量包括:
[0123] 当DNS报文为DNS请求时,将所述DNS请求中源IP地址对应的目标物联网设备的DNS请求数量增加设定值,将所述DNS请求中目的IP地址对应的目标物联网设备的DNS响应数量
增加设定值;
增加设定值;
[0124] 当DNS报文为DNS响应时,将所述DNS响应中源IP地址对应的目标物联网设备的DNS响应数量增加设定值,将所述DNS响应中目的IP地址对应的目标物联网设备的DNS请求数量
增加设定值,并识别DNS响应中携带的DNS解析结果,当所述DNS解析结果包含表示DNS解析
成功的标识时,将所述DNS响应中目的IP地址对应的目标物联网设备的DNS解析成功数量增
加设定值;
增加设定值,并识别DNS响应中携带的DNS解析结果,当所述DNS解析结果包含表示DNS解析
成功的标识时,将所述DNS响应中目的IP地址对应的目标物联网设备的DNS解析成功数量增
加设定值;
[0125] 在所述第一指定时间段结束时,针对每一目标物联网设备,依据该目标物联网设备的DNS解析成功数量确定该目标物联网设备的DNS解析成功信息,将该目标物联网设备的
DNS请求数量、该目标物联网设备的DNS响应数量、以及该目标物联网设备的DNS解析成功信
息确定为该目标物联网设备的特征向量。
DNS请求数量、该目标物联网设备的DNS响应数量、以及该目标物联网设备的DNS解析成功信
息确定为该目标物联网设备的特征向量。
[0126] 可选地,所述检测模型通过以下方式训练:
[0127] 基于第二指定时间段内经由所述物联网核心交换机的DNS报文,确定样本物联网设备的样本特征向量,所述样本特征向量至少包括:所述样本物联网设备发起的DNS请求的
DNS请求数量、发向所述样本物联网设备的DNS响应的DNS响应数量、以及DNS解析成功信息;
所述DNS解析成功信息是指所述样本物联网设备发起的DNS请求中的域名被成功解析的信
息;所述第二指定时间段不同于所述第一指定时间段;
DNS请求数量、发向所述样本物联网设备的DNS响应的DNS响应数量、以及DNS解析成功信息;
所述DNS解析成功信息是指所述样本物联网设备发起的DNS请求中的域名被成功解析的信
息;所述第二指定时间段不同于所述第一指定时间段;
[0128] 依据各个样本物联网设备的样本特征向量对各个样本物联网设备进行分类;
[0129] 确定每一类别对应的类别标签,依据每一类别标签以及该类别标签对应的中心特征向量训练得到所述检测模型,所述类别标签对应的中心特征向量是基于所述类别标签对
应的类别中的各样本物联网设备的样本特征向量确定。
应的类别中的各样本物联网设备的样本特征向量确定。
[0130] 其中,所述基于第二指定时间段内经由所述物联网核心交换机的DNS报文,确定样本物联网设备的样本特征向量包括:
[0131] 当第二指定时间段内经由所述物联网核心交换机的DNS报文为DNS请求时,将该DNS请求中源IP地址对应的样本物联网设备的DNS请求数量增加设定值,将该DNS请求中目
的IP地址对应的样本物联网设备的DNS响应数量增加设定值;
的IP地址对应的样本物联网设备的DNS响应数量增加设定值;
[0132] 当第二指定时间段内经由所述物联网核心交换机的DNS报文为DNS响应时,将该DNS响应中源IP地址对应的样本物联网设备的DNS响应数量增加设定值,将该DNS响应中目
的IP地址对应的样本物联网设备的DNS请求数量增加设定值,并识别该DNS响应携带的DNS
解析结果,当DNS解析结果包含DNS解析成功的标识时,将该DNS响应中目的IP地址对应的样
本物联网设备的DNS解析成功数量增加设定值;
的IP地址对应的样本物联网设备的DNS请求数量增加设定值,并识别该DNS响应携带的DNS
解析结果,当DNS解析结果包含DNS解析成功的标识时,将该DNS响应中目的IP地址对应的样
本物联网设备的DNS解析成功数量增加设定值;
[0133] 在第二指定时间段结束时,针对每一样本物联网设备,依据该样本物联网设备的DNS解析成功数量确定该样本物联网设备的DNS解析成功信息,将该样本物联网设备的DNS
解析成功信息、该样本物联网设备的DNS请求数量、以及该样本物联网设备的DNS响应数量
确定为该样本物联网设备的样本特征向量。
解析成功信息、该样本物联网设备的DNS请求数量、以及该样本物联网设备的DNS响应数量
确定为该样本物联网设备的样本特征向量。
[0134] 其中,所述确定每一类别对应的类别标签包括:
[0135] 针对每一类别,依据该类别中各样本物联网设备的样本特征向量,确定该类别对应的类别标签分析参数,所述类别标签分析参数至少包括:DNS报文总数量;所述DNS报文总
数量依据该类别中各样本物联网设备的DNS请求数量和DNS响应数量确定;
数量依据该类别中各样本物联网设备的DNS请求数量和DNS响应数量确定;
[0136] 从所有类别中选择DNS报文总数量取值最大的第一类别,确定第一类别对应的类别标签为DNS服务器类别标签,针对除第一类别之外的每一类别,依据该类别中样本物联网
设备的DNS请求数量、DNS响应数量、DNS解析成功信息确定该类别对应的类别标签。
设备的DNS请求数量、DNS响应数量、DNS解析成功信息确定该类别对应的类别标签。
[0137] 其中,所述依据该类别中样本物联网设备的DNS请求数量、DNS响应数量、DNS解析成功信息确定该类别对应的类别标签包括:
[0138] 针对除所述第一类别之外的每一类别,
[0139] 确定该类别对应的DNS请求平均数、DNS响应平均数、DNS解析成功平均占比;其中,所述DNS请求平均数依据该类别中各样本物联网设备的DNS请求数量与该类别中样本物联
网设备的设备总数量确定,所述DNS响应平均数依据该类别中各样本物联网设备的DNS响应
数量与该类别中样本物联网设备的设备总数量确定;所述DNS解析成功平均占比是依据该
类别中各样本物联网设备的DNS解析成功信息以及该类别中样本物联网设备的设备总数量
确定;
网设备的设备总数量确定,所述DNS响应平均数依据该类别中各样本物联网设备的DNS响应
数量与该类别中样本物联网设备的设备总数量确定;所述DNS解析成功平均占比是依据该
类别中各样本物联网设备的DNS解析成功信息以及该类别中样本物联网设备的设备总数量
确定;
[0140] 依据该类别对应的DNS请求平均数、DNS响应平均数、DNS解析成功平均占比确定该类别对应的类别标签。
[0141] 可选地,所述依据该类别对应的DNS请求平均数、DNS响应平均数、DNS解析成功平均占比确定该类别对应的类别标签包括:
[0142] 针对除所述第一类别之外的每一类别,
[0143] 计算该类别对应的DNS请求平均数与DNS响应平均数之间的比值;
[0144] 若所述比值小于第一设定阈值,则确定该类别对应的类别标签为第一异常业务设备类别标签,第一异常业务设备类别标签用于指示DNS反射攻击;
[0145] 若所述比值大于第二设定阈值,则确定该类别对应的类别标签为第二异常业务设备类别标签,所述第二异常业务设备类别标签用于指示DNS洪泛攻击;其中,第二设定阈值
大于第一设定阈值;
大于第一设定阈值;
[0146] 若所述DNS解析成功平均占比小于第三设定阈值,则确定该类别对应的类别标签为第三异常业务设备类别标签,所述第三异常业务设备类别标签用于指示恶意程序;
[0147] 若所述比值在所述第一设定阈值和所述第二设定阈值之间、且所述DNS解析成功平均占比大于第三设定阈值,则确定该类别对应的类别标签为正常业务设备类别标签。
[0148] 在本实施例,处理单元依据每一目标物联网设备的目标特征向量与所述检测模型中各类别标签对应的中心特征向量之间的距离,确定目标物联网设备所属的目标类别包
括:
括:
[0149] 针对每一目标物联网设备,若该目标物联网设备的目标特征向量与所述检测模型中各类别标签对应的中心特征向量之间的距离均大于最大距离MAX,则确定目标物联网设
备所属的目标类别为未知异常,否则,
备所属的目标类别为未知异常,否则,
[0150] 从所述检测模型的各类别标签中确定目标类别标签,所述目标类别标签对应的中心特征向量与目标物联网设备的目标特征向量之间的距离满足指定距离条件,确定目标物
联网设备所属的目标类别为所述目标类别标签对应的类别。
联网设备所属的目标类别为所述目标类别标签对应的类别。
[0151] 可选地,所述检测模型中还存在各类别标签对应的样本距离,每一类别标签对应的样本距离是该类别标签对应的类别中各样本物联网设备的样本特征向量与该类别标签
对应的中心特征向量之间的距离中的最大值;
对应的中心特征向量之间的距离中的最大值;
[0152] 所述最大距离MAX为所述检测模型中各类别标签对应的样本距离中的最大值。
[0153] 在本实施例中,处理单元进一步在确定目标物联网设备所属的目标类别为用于指示DNS反射攻击的第一异常设备类别标签对应的类别时,在DNS服务器上限制针对该类别中
各目标物联网设备的DNS响应次数;在确定目标物联网设备所属的目标类别为用于指示DNS
洪泛攻击的第二异常设备类别标签对应的类别时,针对该类别中各目标物联网设备进行基
础配置检查和/或安全扫描;在确定目标物联网设备所属的目标类别为用于指示恶意程序
的第三异常设备类别标签对应的类别时,联动已配置的安全设备对该类别中各目标物联网
设备进行安全加固。
各目标物联网设备的DNS响应次数;在确定目标物联网设备所属的目标类别为用于指示DNS
洪泛攻击的第二异常设备类别标签对应的类别时,针对该类别中各目标物联网设备进行基
础配置检查和/或安全扫描;在确定目标物联网设备所属的目标类别为用于指示恶意程序
的第三异常设备类别标签对应的类别时,联动已配置的安全设备对该类别中各目标物联网
设备进行安全加固。
[0154] 在本实施例中,处理单元进一步在检测到模型更新事件时,重新训练更新所述检测模型;所述模型更新事件至少包括:模型更新时间到达、或者检测到目标物联网设备所属
的类别为未知异常。
的类别为未知异常。
[0155] 至此,完成图6所示装置结构描述。
[0156] 本申请实施例还提供了电子设备的硬件结构。参见图7,图7为本申请实施例提供的电子设备硬件结构图。如图7所示,该硬件结构可包括:处理器和机器可读存储介质,机器
可读存储介质存储有能够被所述处理器执行的机器可执行指令;所述处理器用于执行机器
可执行指令,以实现本申请上述示例公开的方法。
可读存储介质存储有能够被所述处理器执行的机器可执行指令;所述处理器用于执行机器
可执行指令,以实现本申请上述示例公开的方法。
[0157] 基于与上述方法同样的申请构思,本申请实施例还提供一种机器可读存储介质,所述机器可读存储介质上存储有若干计算机指令,所述计算机指令被处理器执行时,能够
实现本申请上述示例公开的方法。
实现本申请上述示例公开的方法。
[0158] 示例性的,上述机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM
(Radom Access Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动
器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,
或者它们的组合。
(Radom Access Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动
器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,
或者它们的组合。
[0159] 上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可
以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放
器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的
任意几种设备的组合。
以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放
器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的
任意几种设备的组合。
[0160] 为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
[0161] 本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实
施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的
计算机可用存储介质(包括但不限于磁盘存储器、CD‑ROM、光学存储器等)上实施的计算机
程序产品的形式。
施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的
计算机可用存储介质(包括但不限于磁盘存储器、CD‑ROM、光学存储器等)上实施的计算机
程序产品的形式。
[0162] 本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一
流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程
序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以
产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于
实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装
置。
流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程
序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以
产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于
实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装
置。
[0163] 而且,这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生
包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一
个方框或者多个方框中指定的功能。
包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一
个方框或者多个方框中指定的功能。
[0164] 这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机
或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图
一个方框或多个方框中指定的功能的步骤。
或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图
一个方框或多个方框中指定的功能的步骤。
[0165] 以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同
替换、改进等,均应包含在本申请的权利要求范围之内。
替换、改进等,均应包含在本申请的权利要求范围之内。