[发明专利]一种基于DNS日志分析的APT攻击检测方法

权利要求书

1.一种基于DNS日志分析的APT攻击检测系统的基于DNS日志分析的APT攻击检测方法，其特征在于，包括：

提供一种基于DNS日志分析的APT攻击检测系统，包括DNS查询日志记录模块、日志分析模块和攻击检测模块；

所述DNS查询日志记录模块用于记录DNS查询请求，所述DNS查询日志包括查询时间、源IP地址和查询内容；

所述日志分析模块用于根据所述DNS查询日志记录模块记录的所述DNS查询日志计算源IP地址关联、时间关联和查询内容关联；

所述攻击检测模块用于根据所述日志分析模块分析的结果判断是否存在攻击以及确定攻击来源和类型；

步骤一，所述DNS查询日志记录模块采集DNS查询请求，并形成相应的DNS查询日志；

步骤二，在所述日志分析模块中，对所述DNS查询日志与SSH登录尝试信息进行模式匹配，并分析计算时间密度、覆盖范围和时间关联；

步骤三，对所述SSH登录尝试信息按照源IP地址进行分组，每一个源IP地址对应一个SSH登录尝试信息组；

步骤四，在所述攻击检测模块中，根据所述时间密度、所述覆盖范围和所述时间关联判断是否发生攻击并确定攻击类型；

所述步骤四还包括：计算每一个源IP地址对应的SSH登录尝试信息组的体积比和密度比，并将体积比和密度比分别与体积比阈值和密度比阈值进行比较，以判断是否发生攻击和确定攻击类型，计算体积比和密度比的步骤为：

(41)将点分制IP作为4维空间坐标，放入4维空间；

(42)采用RPCL竞争学习算法进行聚类，聚类标准是各点之间欧氏距离；

(43)计算密度比体积比其中S_p为聚类得到的各类的请求密度，S_a为总请求密度，V_p为聚类得到的各类地址空间体积，V_a为总地址空间体积；

其中，S_p＝C_p/V_p，C_p为该类中请求总数，V_p为该类地址空间体积；S_a＝C_a/V_a，C_a为对应请求总数，V_a为对应地址空间总体积。

2.如权利要求1所述的基于DNS日志分析的APT攻击检测方法，其中，所述步骤二中，所述DNS查询请求与所述SSH登录尝试信息之间的模式匹配包括按时间顺序读取所述DNS查询日志；并对所述DNS查询日志中的每一条DNS查询请求进行如下操作：

步骤21，判断DNS查询请求是否为反解请求：如果是，则跳转至步骤22，如果不是，则放弃DNS查询请求；

步骤22，判断DNS反解是否成功：如果DNS反解失败，则DNS查询请求是SSH登录尝试，并跳转至步骤24；如果DNS反解成功，则跳转至步骤23；如果DNS反解超出TTL时间，则丢弃DNS查询请求；

步骤23，对DNS查询请求继续向后搜索，并判断是否存在反解结果的正向解析请求：如果存在，则认为DNS查询请求是SSH登录尝试，并跳转至步骤24；如果不存在，则丢弃DNS查询请求；

步骤24，DNS反解请求中的查询内容所对应的IP地址即SSH登录源IP地址，发出DNS查询的IP地址即SSH登录的目标。

3.如权利要求1所述的基于DNS日志分析的APT攻击检测方法，其中，当所述体积比大于体积比阈值、且SSH登录源IP地址为内网IP，则判定内网IP进行SSH扫描，并且，内网主机已被非法控制。

4.如权利要求1所述的基于DNS日志分析的APT攻击检测方法，其中，当所述密度比大于密度比阈值、且SSH登录源IP地址为内网IP，则判定内网IP进行SSH暴力破解，并且，内网主机已被非法控制。

5.如权利要求1所述的基于DNS日志分析的APT攻击检测方法，其中，当所述体积比大于体积比阈值、且SSH登录源IP地址为外网IP，则判定为外网IP进行SSH扫描，并且，有组织或个人在尝试进入内网。

6.如权利要求1所述的基于DNS日志分析的APT攻击检测方法，其中，当所述密度比大于密度比阈值、SSH登录源IP地址为外网IP，则判定为外网IP进行SSH暴力破解，并且有组织或个人在尝试进入内网。

7.如权利要求4～6中任一所述的基于DNS日志分析的APT攻击检测方法，其中，内网IP进行SSH扫描或SSH暴力破解，且内网IP为SSH登录源IP地址，同时外网IP进行SSH扫描或SSH暴力破解，且外网IP为SSH登录的目标，则判定有组织或个人渗透进入内网。