本發(fā)明涉及網絡安全技術領域，具體涉及一種網絡攻擊行為檢測方法及裝置。

背景技術：

隨著互聯(lián)網技術的發(fā)展，各種網絡安全問題也層出不窮，如木馬、釣魚網站、釣魚郵件、針對域名服務器的DDoS(DDoS:Distributed Denial of Service，分布式拒絕服務攻擊)、針對特定類型網絡的DDoS攻擊、大規(guī)模DNS(Domain Name System，域名系統(tǒng))欺騙攻擊、僵尸網絡等網絡攻擊行為嚴重威脅著網絡用戶的信息和數據安全，由于上述網絡攻擊行為往往具有很強的欺騙性和偽裝性，常規(guī)對所有數據進行抓包分析的檢測方式效率較低、準確性低，難以對其進行有效的檢測。

技術實現要素：

針對現有技術中的缺陷，本發(fā)明提供一種網絡攻擊行為檢測方法及裝置，以高效、準確的對網絡攻擊行為進行檢測。

第一方面，本發(fā)明提供的一種網絡攻擊行為檢測方法，包括：

獲取域名系統(tǒng)解析數據；

采用預設的數據挖掘算法對所述域名系統(tǒng)解析數據進行數據挖掘，獲得數據挖掘結果；

根據所述數據挖掘結果對網絡攻擊行為進行檢測。

可選的，所述獲取域名系統(tǒng)解析數據，包括：

預先在指定網絡范圍的網絡出口或數據交換設備上部署流量捕獲設備；

利用所述流量捕獲設備捕獲指定所述網絡范圍內的多個客戶端發(fā)送的域名系統(tǒng)解析數據。

可選的，所述采用預設的數據挖掘算法對所述域名系統(tǒng)解析數據進行數據挖掘，獲得數據挖掘結果，包括：

通過將所述域名系統(tǒng)解析數據中的域名IP與預先存儲的網絡攻擊者黑名單或白名單進行比對，判斷所述域名IP是否在所述黑名單或白名單中；

所述根據所述數據挖掘結果對網絡攻擊行為進行檢測，包括：

根據所述域名IP是否在所述黑名單或白名單中，判斷是否存在網絡攻擊行為。

可選的，所述網絡攻擊行為檢測方法，還包括：

若所述域名IP存在于所述黑名單中或所述域名IP不存在于所述白名單中時，對所述域名IP收發(fā)的數據進行全包捕獲；

對捕獲的數據進行還原分析；

根據還原分析結果判斷所述域名IP對應的主機是否存在網絡攻擊行為。

可選的，所述網絡攻擊行為檢測方法，還包括：

在確定所述域名IP對應的主機是否存在網絡攻擊行為后，根據所述域名IP對應的主機是否存在網絡攻擊行為，將所述域名IP添加到所述黑名單或白名單中，對所述黑名單或所述白名單進行更新。

可選的，所述采用預設的數據挖掘算法對所述域名系統(tǒng)解析數據進行數據挖掘，獲得數據挖掘結果，包括：

根據所述域名系統(tǒng)解析數據計算所述域名系統(tǒng)解析數據中各域名的域名IP變化特征數據；

所述根據所述數據挖掘結果對網絡攻擊行為進行檢測，包括：

根據所述域名IP變化特征數據是否符合預設的異常域名判定條件分別判斷對應的各所述域名是否是異常域名，在確定所述域名為異常域名時，判斷存在網絡攻擊行為。

可選的，所述采用預設的數據挖掘算法對所述域名系統(tǒng)解析數據進行數據挖掘，獲得數據挖掘結果，包括：

采用預設的數據挖掘算法對所述域名系統(tǒng)解析數據中記載的域名與域名IP的對應關系或域名IP與客戶端IP的對應關系進行數據挖掘，獲得數據挖掘結果；

所述根據所述數據挖掘結果對網絡攻擊行為進行檢測，包括：

根據所述數據挖掘結果對網絡攻擊行為進行檢測。

可選的，所述網絡攻擊行為檢測方法，還包括：

在確定存在網絡攻擊行為后，獲取網絡攻擊行為中傳輸的數據；

采用預設的關聯(lián)分析算法對所述數據進行關聯(lián)分析，獲得關聯(lián)分析結果；

根據所述關聯(lián)分析結果確定所述網絡攻擊行為中的攻擊主體。

可選的，所述域名系統(tǒng)解析數據是郵件收發(fā)過程中產生的域名系統(tǒng)解析數據；

所述采用預設的數據挖掘算法對所述域名系統(tǒng)解析數據進行數據挖掘，獲得數據挖掘結果，包括：

通過對所述域名系統(tǒng)解析數據進行針對郵件數據的數據挖掘；其中，所述針對郵件數據的數據挖掘包括：對用戶行為進行畫像、釣魚郵件分析、郵件頭部分析、郵件登陸日志分析和郵件收發(fā)行為分析中的至少一種。

所述根據所述數據挖掘結果對網絡攻擊行為進行檢測，包括：

根據所述針對郵件數據的數據挖掘的挖掘結果判斷是否存在針對郵件的網絡攻擊行為。

第二方面，本發(fā)明提供的一種網絡攻擊行為檢測裝置，包括：

數據獲取模塊，用于獲取域名系統(tǒng)解析數據；

數據挖掘模塊，用于采用預設的數據挖掘算法對所述域名系統(tǒng)解析數據進行數據挖掘，獲得數據挖掘結果；

攻擊行為檢測模塊，用于根據所述數據挖掘結果對網絡攻擊行為進行檢測。

可選的，所述數據獲取模塊，包括：

流量捕獲設備部署單元，用于預先在指定網絡范圍的網絡出口或數據交換設備上部署流量捕獲設備；

域名解析數據捕獲單元，用于利用所述流量捕獲設備捕獲指定所述網絡范圍內的多個客戶端發(fā)送的域名系統(tǒng)解析數據。

可選的，所述數據挖掘模塊，包括：

黑白名單對比單元，用于通過將所述域名系統(tǒng)解析數據中的域名IP與預先存儲的網絡攻擊者黑名單或白名單進行比對，判斷所述域名IP是否在所述黑名單或白名單中；

所述攻擊行為檢測模塊，包括：

黑白名單判斷單元，用于根據所述域名IP是否在所述黑名單或白名單中，判斷是否存在網絡攻擊行為。

可選的，所述網絡攻擊行為檢測裝置，還包括：

全包數據捕獲模塊，用于若所述域名IP存在于所述黑名單中或所述域名IP不存在于所述白名單中時，對所述域名IP收發(fā)的數據進行全包捕獲；

數據還原模塊，用于對捕獲的數據進行還原分析；

數據還原判斷模塊，用于根據還原分析結果判斷所述域名IP對應的主機是否存在網絡攻擊行為。

可選的，所述網絡攻擊行為檢測裝置，還包括：

黑白名單更新模塊，用于在確定所述域名IP對應的主機是否存在網絡攻擊行為后，根據所述域名IP對應的主機是否存在網絡攻擊行為，將所述域名IP添加到所述黑名單或白名單中，對所述黑名單或所述白名單進行更新。

可選的，所述數據挖掘模塊，包括：

IP變化特征數據計算單元，用于根據所述域名系統(tǒng)解析數據計算所述域名系統(tǒng)解析數據中各域名的域名IP變化特征數據；

所述攻擊行為檢測模塊，包括：

異常域名判斷單元，用于根據所述域名IP變化特征數據是否符合預設的異常域名判定條件分別判斷對應的各所述域名是否是異常域名，在確定所述域名為異常域名時，判斷存在網絡攻擊行為。

可選的，所述數據挖掘模塊，包括：

對應關系挖掘單元，用于采用預設的數據挖掘算法對所述域名系統(tǒng)解析數據中記載的域名與域名IP的對應關系或域名IP與客戶端IP的對應關系進行數據挖掘，獲得數據挖掘結果；

所述攻擊行為檢測模塊，包括：

對應關系檢測單元，用于根據所述數據挖掘結果對網絡攻擊行為進行檢測。

可選的，所述網絡攻擊行為檢測裝置，還包括：

網絡數據獲取模塊，用于在確定存在網絡攻擊行為后，獲取網絡攻擊行為中傳輸的數據；

關聯(lián)分析模塊，用于采用預設的關聯(lián)分析算法對所述數據進行關聯(lián)分析，獲得關聯(lián)分析結果；

攻擊主體確定模塊，用于根據所述關聯(lián)分析結果確定所述網絡攻擊行為中的攻擊主體。

可選的，所述域名系統(tǒng)解析數據是郵件收發(fā)過程中產生的域名系統(tǒng)解析數據；

所述數據挖掘模塊，包括：

郵件數據挖掘單元，用于通過對所述域名系統(tǒng)解析數據進行針對郵件數據的數據挖掘；其中，所述針對郵件數據的數據挖掘包括：對用戶行為進行畫像、釣魚郵件分析、郵件頭部分析、郵件登陸日志分析和郵件收發(fā)行為分析中的至少一種。

所述攻擊行為檢測模塊，包括：

郵件攻擊行為檢測單元，用于根據所述針對郵件數據的數據挖掘的挖掘結果判斷是否存在針對郵件的網絡攻擊行為。

由上述技術方案可知，本發(fā)明提供的一種網絡攻擊行為檢測方法，首先獲取域名系統(tǒng)解析數據；然后采用預設的數據挖掘算法對所述域名系統(tǒng)解析數據進行數據挖掘，獲得數據挖掘結果；最后根據所述數據挖掘結果對網絡攻擊行為進行檢測。不同于傳統(tǒng)抓包分析的網絡攻擊行為檢測方式，本發(fā)明以域名系統(tǒng)解析數據為處理對象，通過對其進行數據挖掘，從而根據挖掘結果能夠更加高效、準確地對網絡攻擊行為進行檢測。

本發(fā)明提供的一種網絡攻擊行為檢測裝置，與上述網絡攻擊行為檢測方法出于相同的發(fā)明構思，具有相同的有益效果。

附圖說明

為了更清楚地說明本發(fā)明具體實施方式或現有技術中的技術方案，下面將對具體實施方式或現有技術描述中所需要使用的附圖作簡單地介紹。

圖1示出了本發(fā)明第一實施例所提供的一種網絡攻擊行為檢測方法的流程圖；

圖2示出了本發(fā)明第二實施例所提供的一種網絡攻擊行為檢測裝置的示意圖。

具體實施方式

下面將結合附圖對本發(fā)明技術方案的實施例進行詳細的描述。以下實施例僅用于更加清楚地說明本發(fā)明的技術方案，因此只是作為示例，而不能以此來限制本發(fā)明的保護范圍。

需要注意的是，除非另有說明，本申請使用的技術術語或者科學術語應當為本發(fā)明所屬領域技術人員所理解的通常意義。

本發(fā)明提供一種網絡攻擊行為檢測方法、一種網絡攻擊行為檢測裝置和一種網絡攻擊行為檢測系統(tǒng)。下面結合附圖對本發(fā)明的實施例進行說明。

圖1示出了本發(fā)明第一實施例所提供的一種網絡攻擊行為檢測方法的流程圖。如圖1所示，本發(fā)明第一實施例提供的一種網絡攻擊行為檢測方法包括以下步驟：

步驟S101：獲取域名系統(tǒng)解析數據。

本發(fā)明實施例中，所述域名系統(tǒng)解析數據(即DNS數據)可以采用流量捕獲設備進行捕獲，例如，預先在指定網絡范圍的網絡出口或數據交換設備上部署流量捕獲設備；利用所述流量捕獲設備捕獲指定所述網絡范圍內的多個客戶端發(fā)送的域名系統(tǒng)解析數據。

步驟S102：采用預設的數據挖掘算法對所述域名系統(tǒng)解析數據進行數據挖掘，獲得數據挖掘結果；

步驟S103：根據所述數據挖掘結果對網絡攻擊行為進行檢測。

本發(fā)明實施例中，根據采用的數據挖掘算法的不同，可以對網絡攻擊行為的不同方面進行檢測，例如，在本發(fā)明提供的一個實施例中，所述采用預設的數據挖掘算法對所述域名系統(tǒng)解析數據進行數據挖掘，獲得數據挖掘結果，包括：

通過將所述域名系統(tǒng)解析數據中的域名IP與預先存儲的網絡攻擊者黑名單或白名單進行比對，判斷所述域名IP是否在所述黑名單或白名單中；

所述根據所述數據挖掘結果對網絡攻擊行為進行檢測，包括：

根據所述域名IP是否在所述黑名單或白名單中，判斷是否存在網絡攻擊行為。

本發(fā)明實施例中，黑名單中是已知的惡意程序的反彈域名，通過黑域名，可以迅速發(fā)現已知木馬的活動線索，并可以迅速定位中馬計算機IP，發(fā)現攻擊行為。

白名單是基于大量的DNS解析請求數據進行統(tǒng)計整理的。一般的用戶在日常的網絡訪問過程中，其域名訪問行為95％是存在一致性的，對于獲取到的大量DNS記錄，可以從中分析得到大量的白域名，同時白域名名單又可以在流量的分析過程中不斷自主完善。當從流量中發(fā)現少量的、非白域名的DNS記錄時，就非常值得重點關注，有可能是惡意程序所使用的反彈域。

根據黑名單或白名單的對比結果，可以對是否存在網絡攻擊行為進行初步判斷，為了保證判斷的準確性，在本發(fā)明提供的一個實施例中，在上述實施例步驟后，還包括：

若所述域名IP存在于所述黑名單中或所述域名IP不存在于所述白名單中時，對所述域名IP收發(fā)的數據進行全包捕獲；

對捕獲的數據進行還原分析；

根據還原分析結果判斷所述域名IP對應的主機是否存在網絡攻擊行為。

為了增強本發(fā)明的檢測能力，保證黑名單和白名單的最新，在本發(fā)明提供的一個實施例中，在確定所述域名IP對應的主機是否存在網絡攻擊行為后，根據所述域名IP對應的主機是否存在網絡攻擊行為，將所述域名IP添加到所述黑名單或白名單中，對所述黑名單或所述白名單進行更新。

在本發(fā)明提供的一個實施例中，所述采用預設的數據挖掘算法對所述域名系統(tǒng)解析數據進行數據挖掘，獲得數據挖掘結果，包括：

根據所述域名系統(tǒng)解析數據計算所述域名系統(tǒng)解析數據中各域名的域名IP變化特征數據；

所述根據所述數據挖掘結果對網絡攻擊行為進行檢測，包括：

根據所述域名IP變化特征數據是否符合預設的異常域名判定條件分別判斷對應的各所述域名是否是異常域名，在確定所述域名為異常域名時，判斷存在網絡攻擊行為。

例如：

基于域名與IP的歷史對應關系的數據，根據統(tǒng)計數據，采用變化次數值或者變化次數排名來發(fā)現異常域名。統(tǒng)計特定時間段內(1秒、1分鐘、1小時、1天、1個月、1個季度等時間刻度)IP變化次數超過閾值的域名，并發(fā)送報警；統(tǒng)計特定時間段內(1秒、1分鐘、1小時、1天、1個月、1個季度等時間刻度)IP變化次數，并進行排序，重點關注排名靠前的域名，并發(fā)送警報。

例：在后臺數據中發(fā)現某域名在一個月內解析的域名IP，變換了三次，域名ip的歸屬地都不是同一個國家或地區(qū)，在Ssess ion和HTTP等數據中發(fā)現該域名解析的ip都有大流量數據。通過抓包分析，發(fā)現該域名為木馬使用的域名。

在本發(fā)明提供的一個實施例中，所述采用預設的數據挖掘算法對所述域名系統(tǒng)解析數據進行數據挖掘，獲得數據挖掘結果，包括：

采用預設的數據挖掘算法對所述域名系統(tǒng)解析數據中記載的域名與域名IP的對應關系或域名IP與客戶端IP的對應關系進行數據挖掘，獲得數據挖掘結果；

所述根據所述數據挖掘結果對網絡攻擊行為進行檢測，包括：

根據所述數據挖掘結果對網絡攻擊行為進行檢測。

例如：

針對域名服務器的DDoS攻擊、針對特定類型網絡的DDoS攻擊、大規(guī)模DNS欺騙攻擊、僵尸網絡等攻擊行為中，域名與IP的歷史對應關系的規(guī)律，并利用這種規(guī)律進行相應的攻擊檢測。采用的攻擊檢測算法包括：

采用聚類分析算法，對相似屬性的域名和IP地址信息進行聚類，并進行模式的比較和分析，以發(fā)現特定類型的攻擊行為。

采用時間序列分析算法，將對象以時間序列的方式進行排列，以發(fā)現規(guī)律和趨勢性線索。例如通過異常變化的DNS請求情況，得到可疑IP之間明確的數據流向、傳輸路徑、連接規(guī)律及趨勢等。

通過群集分析算法，在大量域名與IP歷史記錄中尋找關聯(lián)度較高的群集；通過多層鏈接分析算法，采用優(yōu)化深度遍歷和廣度遍歷算法等，從某一異常變化的DNS請求出發(fā)，查找相關的IP；

通過路徑分析算法，采用優(yōu)化的最短路徑、最佳路徑和自適應路徑分析算法，在大量域名與IP的歷史記錄中尋找特定IP間可能存在的關聯(lián)或路徑，如：查找兩個IP之間的攻擊路徑及數據包流向。

例：在后臺數據中的域名與域名IP的記錄通過不同ip的分組，可以查看到那些域名被多少個IP解析過，IP解析次數的多少，IP歸屬地的不同，然后通過抓包或者其他方式查看是否在傳輸數據。

在本發(fā)明提供的一個實施例中，所述的網絡攻擊行為檢測方法，還包括：

在確定存在網絡攻擊行為后，獲取網絡攻擊行為中傳輸的數據；

采用預設的關聯(lián)分析算法對所述數據進行關聯(lián)分析，獲得關聯(lián)分析結果；

根據所述關聯(lián)分析結果確定所述網絡攻擊行為中的攻擊主體。

例如：

關聯(lián)分析系統(tǒng)用于對后臺的數據進行關聯(lián)分析和深度挖掘，以便可以進一步發(fā)現受控的主機、受控的郵箱、受控的服務器以及對攻擊者進行輪廓描繪。具體關聯(lián)分析方法，如下幾種：

木馬關聯(lián)分析(木馬來源、木馬發(fā)送地址、木馬接收地址、木馬連接地址關聯(lián)分析)

惡意腳本關聯(lián)分析(郵件來源、郵件發(fā)件人、收件人、主題、惡意腳本連接地址等進行關聯(lián)分析)

虛擬對象關聯(lián)分析(能夠對IP、MAC、QQ、郵件地址等信息進行關聯(lián)分析，挖掘出虛擬對象的輪廓及網絡關系)

郵件關聯(lián)分析(對郵件賬號、聯(lián)系人進行級聯(lián)的關聯(lián)分析、對主題進行關聯(lián)分析)

例：在后臺的數據中發(fā)現一個ip與國外的一個ip存在大量的異常流量數據，通過后臺的數據中的日志分析在一條日志中，發(fā)現一個請求中帶有郵件地址，通過有郵件地址發(fā)現該郵箱中一個附件包含惡意程序，該惡意程序記錄了用戶平時的操作信息，獲取了服務器密碼，導致服務器上的文件上傳到境外服務器中。

在本發(fā)明提供的一個實施例中，所述域名系統(tǒng)解析數據是郵件收發(fā)過程中產生的域名系統(tǒng)解析數據；

所述采用預設的數據挖掘算法對所述域名系統(tǒng)解析數據進行數據挖掘，獲得數據挖掘結果，包括：

通過對所述域名系統(tǒng)解析數據進行針對郵件數據的數據挖掘；其中，所述針對郵件數據的數據挖掘包括：對用戶行為進行畫像、釣魚郵件分析、郵件頭部分析、郵件登陸日志分析和郵件收發(fā)行為分析中的至少一種。

所述根據所述數據挖掘結果對網絡攻擊行為進行檢測，包括：

根據所述針對郵件數據的數據挖掘的挖掘結果判斷是否存在針對郵件的網絡攻擊行為。

例如：

通過采集郵件的相關流量，可以有效的發(fā)現外部APT攻擊的郵件入口攻擊或者郵件竊聽盜取等行為，同時可以有效的發(fā)現內部的安全威脅。

對用戶行為進行畫像

分析郵件日志，通過地理區(qū)域、源地址、時間、郵件主題分詞、認證成功與失敗、客戶端信息、主機名等因素建模來進行行為分析。

釣魚郵件分析

釣魚郵件是現在不法分子用來騙取密碼等個人信息的重要手段，系統(tǒng)可在離線方式下發(fā)現有釣魚行為的郵件。

郵件頭部分析

通過郵件頭部信息的分析，可以提取出郵件的真實發(fā)件時間、時區(qū)、IP地址、計算機名等信息，定位發(fā)件人的物理位置。

對統(tǒng)一格式郵箱賬號的各種登陸日志信息進行智能分析，以確定

是否存在一個郵箱賬號被多個IP地址訪問

是否存在一個IP地址訪問多個郵箱賬號

是否有郵箱被Google的IP地址訪問

深度分析每個郵箱的郵件收發(fā)行為，以確定

是否有郵箱被設置了轉發(fā)賬號，以致這些郵箱收到郵件自動轉發(fā)到指定的郵箱

是否有郵箱被用于群發(fā)郵件

是否有郵件附件被重復下載。

詳細分析訪問郵箱賬戶的客戶端的屬性信息，以發(fā)現是否有異常的網絡訪問行為。

郵件內容還原以及關聯(lián)分析，以確定郵箱賬號被控制的技術方法。

對特殊賬號的訪問行為進行單獨全方位的分析和檢測。

本發(fā)明實施例中，對根據數據格式、內容的不同，采用全面的協(xié)議還原取證方法，如：

識別http、ftp、smtp、pop3、DNS、IMAP、IP會話等主流協(xié)議報文并進行數據重組還原。

對doc,xls,ppt,swf,pdf,java,rar,zip,rar,exe,vbs,scr,html等多種文件解析，并標記來源。

對基于木馬回連的非法數據傳輸等行為進行取證分析，包括回連主機IP、服務器IP、傳輸數據大小、協(xié)議類型等。

郵件惡意附件的還原以及行為檢測。

此外，本發(fā)明提供的一個實施例中，還包括：域名與IP歷史記錄的可視化展現技術，具體包括：

采用眾多圖形化分析算法技術從大量圖表數據中揭示更深層次的關聯(lián)信息和線索，實現域名與IP歷史記錄中的可視化分析展現，采用連接分析、路徑分析、時間序列分析等方法來發(fā)現和揭示數據中隱含的公共要素和線索關聯(lián)。從而把異常流量和正常流量用圖形方式展現，一目了然的對域名與IP歷史記錄進行監(jiān)控。

在本發(fā)明提供的另一個實施例中，還包括對數據的追蹤溯源，具體包括：

通過回溯分析中心，關聯(lián)不同的APT攻擊線索中的發(fā)現時間、攻擊類型、家族、POST/GET特征、網絡流量特征、端口、備注、瀏覽器user agent、字符串、MD5、樣本、數據包、分析日期、whois信息、相關URL、證書等信息，溯源整個組織的攻擊行為。例如通過回溯子系統(tǒng)將沙箱告警中的木馬來源IP關聯(lián)到涉密文件外傳解析IP為同一IP，同時目標IP終端的行為分析又關聯(lián)到存在文件打包行為并且文件名與外傳文件名相同，從而確定多個攻擊行為的同源性，既為同一組織或個人所為，針對目標為被檢網絡，以竊取文件為主要目的的APT攻擊。同時還能夠關聯(lián)出該APT攻擊持續(xù)的時間跨度。通過由面到點的深度分析，發(fā)現網絡中存在的APT攻擊。

在本發(fā)明提供的另一個實施例中，還包括：對木馬的安全檢測，具體包括：

高級威脅檢測系統(tǒng)通過直連或旁路方式部署在網絡出口和核心交換設備上，對全網范圍內的木馬通信行為進行實時監(jiān)控、分析、識別、預警和阻斷隔離，彌補傳統(tǒng)安全軟件(防火墻、入侵檢測系統(tǒng)、防毒墻等)在網絡層對木馬檢測的技術空白。

在本發(fā)明提供的另一個實施例中，還可以采用如下靈活的數據采集方式：

通過直連或旁路方式部署在網絡出口和核心交換設備上，對進出口網絡和核心交換設備的網絡通信數據進行實時采集，根據用戶實際網絡環(huán)境需要，部署靈活的數據采集方式，支持策略采集、支持網橋模式、支持BYPASS模式、支持雙機熱備、支持數據鏡像、支持多機鏡像等。

在本發(fā)明提供的另一個實施例中，還包括全面的協(xié)議分析和還原，包括對主流的TCP/IP、UDP/IP、DNS協(xié)議、HTTP協(xié)議、HTTP代理協(xié)議、POPS協(xié)議、SMTP協(xié)議、IMAP協(xié)議、FTP協(xié)議、TELNET協(xié)議、QQ協(xié)議、MSN協(xié)議等通信協(xié)議的分析和還原，管理員可以根據自己協(xié)議分析需要，自定義分析協(xié)議和內容，如只對DNS協(xié)議的特定域名進行解析和還原。

在本發(fā)明提供的另一個實施例中，還包括：基于行為和特征的檢測方法，具體包括：

高級威脅檢測系統(tǒng)通過強大的特征庫和行為庫，使用基于行為和特征的木馬檢測方法，在網絡層對各種已知和未知木馬的網絡通信行為進行實時監(jiān)控、分析、識別、預警和阻斷隔離，如通過黑域名、黑IP和廣譜特征碼對已知木馬進行檢測和發(fā)現，通過心跳規(guī)律、可疑流出流量、動態(tài)域名等木馬行為對未知木馬進行檢測和發(fā)現。

在本發(fā)明提供的另一個實施例中，還包括：強大的木馬追蹤和地址定位，具體包括：一旦發(fā)現網絡內部具有木馬行為，則可以對內網的主機和外網的目標地址進行準確定位，判斷目標主機所在的國家和地區(qū)，并獲取與木馬相關的深度信息，包括木馬名稱、木馬編號、木馬類型、木馬家族、制作組織、來源國家、木馬特征、危害等級、風險描述和安全建議。

在本發(fā)明提供的另一個實施例中，還包括：已知和未知木馬檢測，具體包括：通過基于特征(如黑域名、黑IP和廣譜特征碼等)的木馬檢測方法，發(fā)現已知木馬的網絡通信行為；通過基于行為(動態(tài)域名、心跳信號和可疑流出流量等)的木馬檢測方法，發(fā)現未知木馬的網絡通信行為。

至此，通過步驟S101至步驟S103，完成了本發(fā)明第一實施例所提供的一種網絡攻擊行為檢測方法的流程。不同于傳統(tǒng)抓包分析的網絡攻擊行為檢測方式，本發(fā)明以域名系統(tǒng)解析數據為處理對象，通過對其進行數據挖掘，從而根據挖掘結果能夠更加高效、準確地對網絡攻擊行為進行檢測。

在上述的第一實施例中，提供了一種網絡攻擊行為檢測方法，與之相對應的，本申請還提供一種網絡攻擊行為檢測裝置。請參考圖2，其為本發(fā)明第二實施例提供的一種網絡攻擊行為檢測裝置的示意圖。由于裝置實施例基本相似于方法實施例，所以描述得比較簡單，相關之處參見方法實施例的部分說明即可。下述描述的裝置實施例僅僅是示意性的。

本發(fā)明第二實施例提供的一種網絡攻擊行為檢測裝置，包括：

數據獲取模塊101，用于獲取域名系統(tǒng)解析數據；

數據挖掘模塊102，用于采用預設的數據挖掘算法對所述域名系統(tǒng)解析數據進行數據挖掘，獲得數據挖掘結果；

攻擊行為檢測模塊103，用于根據所述數據挖掘結果對網絡攻擊行為進行檢測。

可選的，所述數據獲取模塊101，包括：

流量捕獲設備部署單元，用于預先在指定網絡范圍的網絡出口或數據交換設備上部署流量捕獲設備；

域名解析數據捕獲單元，用于利用所述流量捕獲設備捕獲指定所述網絡范圍內的多個客戶端發(fā)送的域名系統(tǒng)解析數據。

可選的，所述數據挖掘模塊102，包括：

黑白名單對比單元，用于通過將所述域名系統(tǒng)解析數據中的域名IP與預先存儲的網絡攻擊者黑名單或白名單進行比對，判斷所述域名IP是否在所述黑名單或白名單中；

所述攻擊行為檢測模塊103，包括：

黑白名單判斷單元，用于根據所述域名IP是否在所述黑名單或白名單中，判斷是否存在網絡攻擊行為。

可選的，所述網絡攻擊行為檢測裝置，還包括：

全包數據捕獲模塊，用于若所述域名IP存在于所述黑名單中或所述域名IP不存在于所述白名單中時，對所述域名IP收發(fā)的數據進行全包捕獲；

數據還原模塊，用于對捕獲的數據進行還原分析；

數據還原判斷模塊，用于根據還原分析結果判斷所述域名IP對應的主機是否存在網絡攻擊行為。

可選的，所述網絡攻擊行為檢測裝置，還包括：

黑白名單更新模塊，用于在確定所述域名IP對應的主機是否存在網絡攻擊行為后，根據所述域名IP對應的主機是否存在網絡攻擊行為，將所述域名IP添加到所述黑名單或白名單中，對所述黑名單或所述白名單進行更新。

可選的，所述數據挖掘模塊102，包括：

IP變化特征數據計算單元，用于根據所述域名系統(tǒng)解析數據計算所述域名系統(tǒng)解析數據中各域名的域名IP變化特征數據；

所述攻擊行為檢測模塊103，包括：

異常域名判斷單元，用于根據所述域名IP變化特征數據是否符合預設的異常域名判定條件分別判斷對應的各所述域名是否是異常域名，在確定所述域名為異常域名時，判斷存在網絡攻擊行為。

可選的，所述數據挖掘模塊102，包括：

對應關系挖掘單元，用于采用預設的數據挖掘算法對所述域名系統(tǒng)解析數據中記載的域名與域名IP的對應關系或域名IP與客戶端IP的對應關系進行數據挖掘，獲得數據挖掘結果；

所述攻擊行為檢測模塊103，包括：

對應關系檢測單元，用于根據所述數據挖掘結果對網絡攻擊行為進行檢測。

可選的，所述網絡攻擊行為檢測裝置，還包括：

網絡數據獲取模塊101，用于在確定存在網絡攻擊行為后，獲取網絡攻擊行為中傳輸的數據；

關聯(lián)分析模塊，用于采用預設的關聯(lián)分析算法對所述數據進行關聯(lián)分析，獲得關聯(lián)分析結果；

攻擊主體確定模塊，用于根據所述關聯(lián)分析結果確定所述網絡攻擊行為中的攻擊主體。

可選的，所述域名系統(tǒng)解析數據是郵件收發(fā)過程中產生的域名系統(tǒng)解析數據；

所述數據挖掘模塊102，包括：

郵件數據挖掘單元，用于通過對所述域名系統(tǒng)解析數據進行針對郵件數據的數據挖掘；其中，所述針對郵件數據的數據挖掘包括：對用戶行為進行畫像、釣魚郵件分析、郵件頭部分析、郵件登陸日志分析和郵件收發(fā)行為分析中的至少一種。

所述攻擊行為檢測模塊103，包括：

郵件攻擊行為檢測單元，用于根據所述針對郵件數據的數據挖掘的挖掘結果判斷是否存在針對郵件的網絡攻擊行為。

以上，為本發(fā)明第二實施例提供的一種網絡攻擊行為檢測裝置的實施例說明。

本發(fā)明提供的一種網絡攻擊行為檢測裝置與上述網絡攻擊行為檢測方法出于相同的發(fā)明構思，具有相同的有益效果，此處不再贅述。

在本說明書的描述中，參考術語“一個實施例”、“一些實施例”、“示例”、“具體示例”、或“一些示例”等的描述意指結合該實施例或示例描述的具體特征、結構、材料或者特點包含于本發(fā)明的至少一個實施例或示例中。在本說明書中，對上述術語的示意性表述不必須針對的是相同的實施例或示例。而且，描述的具體特征、結構、材料或者特點可以在任一個或多個實施例或示例中以合適的方式結合。此外，在不相互矛盾的情況下，本領域的技術人員可以將本說明書中描述的不同實施例或示例以及不同實施例或示例的特征進行結合和組合。

需要說明的是，附圖中的流程圖和框圖顯示了根據本發(fā)明的多個實施例的系統(tǒng)、方法和計算機程序產品的可能實現的體系架構、功能和操作。在這點上，流程圖或框圖中的每個方框可以代表一個模塊、程序段或代碼的一部分，所述模塊、程序段或代碼的一部分包含一個或多個用于實現規(guī)定的邏輯功能的可執(zhí)行指令。也應當注意，在有些作為替換的實現中，方框中所標注的功能也可以以不同于附圖中所標注的順序發(fā)生。例如，兩個連續(xù)的方框實際上可以基本并行地執(zhí)行，它們有時也可以按相反的順序執(zhí)行，這依所涉及的功能而定。也要注意的是，框圖和/或流程圖中的每個方框、以及框圖和/或流程圖中的方框的組合，可以用執(zhí)行規(guī)定的功能或動作的專用的基于硬件的系統(tǒng)來實現，或者可以用專用硬件與計算機指令的組合來實現。

本發(fā)明實施例所提供的網絡攻擊行為檢測裝置可以是計算機程序產品，包括存儲了程序代碼的計算機可讀存儲介質，所述程序代碼包括的指令可用于執(zhí)行前面方法實施例中所述的方法，具體實現可參見方法實施例，在此不再贅述。

所屬領域的技術人員可以清楚地了解到，為描述的方便和簡潔，上述描述的系統(tǒng)、裝置和單元的具體工作過程，可以參考前述方法實施例中的對應過程，在此不再贅述。

在本申請所提供的幾個實施例中，應該理解到，所揭露的系統(tǒng)、裝置和方法，可以通過其它的方式實現。以上所描述的裝置實施例僅僅是示意性的，例如，所述單元的劃分，僅僅為一種邏輯功能劃分，實際實現時可以有另外的劃分方式，又例如，多個單元或組件可以結合或者可以集成到另一個系統(tǒng)，或一些特征可以忽略，或不執(zhí)行。另一點，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些通信接口，裝置或單元的間接耦合或通信連接，可以是電性，機械或其它的形式。

所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個地方，或者也可以分布到多個網絡單元上?？梢愿鶕嶋H的需要選擇其中的部分或者全部單元來實現本實施例方案的目的。

另外，在本發(fā)明各個實施例中的各功能單元可以集成在一個處理單元中，也可以是各個單元單獨物理存在，也可以兩個或兩個以上單元集成在一個單元中。

所述功能如果以軟件功能單元的形式實現并作為獨立的產品銷售或使用時，可以存儲在一個計算機可讀取存儲介質中?；谶@樣的理解，本發(fā)明的技術方案本質上或者說對現有技術做出貢獻的部分或者該技術方案的部分可以以軟件產品的形式體現出來，該計算機軟件產品存儲在一個存儲介質中，包括若干指令用以使得一臺計算機設備(可以是個人計算機，服務器，或者網絡設備等)執(zhí)行本發(fā)明各個實施例所述方法的全部或部分步驟。而前述的存儲介質包括：U盤、移動硬盤、只讀存儲器(ROM，Read-Only Memory)、隨機存取存儲器(RAM，Random Access Memory)、磁碟或者光盤等各種可以存儲程序代碼的介質。

最后應說明的是：以上各實施例僅用以說明本發(fā)明的技術方案，而非對其限制；盡管參照前述各實施例對本發(fā)明進行了詳細的說明，本領域的普通技術人員應當理解：其依然可以對前述各實施例所記載的技術方案進行修改，或者對其中部分或者全部技術特征進行等同替換；而這些修改或者替換，并不使相應技術方案的本質脫離本發(fā)明各實施例技術方案的范圍，其均應涵蓋在本發(fā)明的權利要求和說明書的范圍當中。