[发明专利]一种电网威胁情报实现DNS域名请求分析方法及其平台

权利要求书

1.一种基于大数据的电网威胁情报实现DNS域名请求分析方法，其特征在于，该方法包括以下步骤：

步骤S01，利用大数据挖掘技术对公开威胁情报源进行搜集并及时更新，利用大数据分析处理搜集到的威胁情报中的域名、URL、IP数据；

步骤S02，利用爬虫脚本自动、定时进行威胁情报采集；

步骤S03，通过数据挖掘及数据匹配从安全咨询类文章中筛选、提取出IoC信息并更新IoC的来源；

步骤S04，利用日志抓取工具在受保护的两台DNS服务器上对DNS域名请求日志进行记录、解析和分析；

步骤S05，在数据库中分别设置表格存储不同的威胁情报源信息以及DNS请求日志；

步骤S06，使用request.py脚本对数据库中存储的不同威胁情报源与DNS请求日志进行匹配分析、输出结果。

2.如权利要求1所述的一种基于大数据的电网威胁情报实现DNS域名请求分析方法，其特征在于，在所述步骤S01中，公开威胁情报源包括开源的黑名单和安全咨询类网站上的信息。

3.如权利要求1所述的一种基于大数据的电网威胁情报实现DNS域名请求分析方法，其特征在于，在所述步骤S02中，爬虫脚本包括编制方法和脚本运行，其中，编制方法采用Python技术中包括但不限于urllib、beautifulsoup以及mysqldb的python库编制；对于脚本运行，(1)通过抓包发现正在请求的JSON文件，获取基础页面中的文件链接；(2)使用多线程的方式将存有IP、域名的文件取回；(3)依据文件中的数据类别，分别将文件中的内容存入到数据库中的URL表、IP表、域名表，给不同的来源建立一个索引，存储在数据库中；

所述步骤S02包括以下具体步骤：

步骤S02-1，DNS服务器生成一个文件，存储电网网络中每条电网的中心点的坐标，中心坐标是一个二维坐标，即为中心点的横纵坐标，其中，每条电网是指在此区域上除了两端的路口外无其他路口的一段路；

步骤S02-2，计算路口概率转移矩阵，概率转移矩阵如下：

其中，M(v)表示电网网络中路口v的概率转移矩阵，下标1到n表示电网网络中含有相同的路口v的电网编号，p_i,j表示处于电网网络中电网j的用户向电网i运动的概率，p_i,j＝N_i,j/N_j，N_i,j表示从电网j向电网i运动的用户数，N_j表示在电网j上的用户数；

步骤S02-3，根据存储在DNS服务器中大量的历史数据，通过估计用户速度变化的均值和方差，拟合用户速度变化，其中，拟合用户速度变化的样本至少选取10000个，速度变化是指用户在相邻时刻速度的差值。

4.如权利要求1所述的一种基于大数据的电网威胁情报实现DNS域名请求分析方法，其特征在于，在所述步骤S03中，提取IoC信息包括提取IoC数据的来源和提取IoC数据，其中，提取IoC数据的来源为badcyber.com，提取IoC数据包括恶意IP、恶意URL、恶意域名；利用数据匹配技术筛选安全咨询类文章中威胁情报类的事件咨询，提取出其中使用的IoC数据和IoC数据来源。