(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111463283.X (22)申请日 2021.12.02 (71)申请人 北京安天网络安全技 术有限公司 地址 100195 北京市海淀区闵庄路3号清华 科技园玉泉慧谷一期1号楼 (72)发明人 谢正强　李林哲　 (74)专利代理 机构 北京锺维联合知识产权代理 有限公司 1 1579 代理人 安娜 (51)Int.Cl. H04L 9/40(2022.01) H04L 61/4511(2022.01) G06K 9/62(2022.01) G06N 3/08(2006.01) (54)发明名称 一种DNS恶意数据检测方法、 装置、 设备及介 质 (57)摘要 本发明涉及一种DNS恶意数据检测方法、 装 置、 设备及介质， 包括： 对流量数据进行监测， 解 析所述流量数据中的DNS数据； 判断所述DNS数据 是否符合DNS协议， 若是， 则对所述流量数据进行 清洗， 将清洗后的流量数据分别发送至对应的基 于数据降维训练得到的DNS恶 意数据识别模型进 行检测， 确定是否存在DNS恶 意数据。 本发明采用 多种DNS恶意数据识别模型对流量数据进行检 测， 能够高效准确的检出DNS 恶意数据， 发现隐蔽 信道， 实现高识别率和低误报率， 保护用户网络 数据安全。 权利要求书2页 说明书9页 附图4页 CN 114301631 A 2022.04.08 CN 114301631 A 1.一种DNS恶意数据检测方法， 其特 征在于， 包括： 对流量数据进行监测， 解析 所述流量数据中的DNS数据； 判断所述DNS数据是否符合DNS协议， 若是， 则对所述流量数据进行清洗， 将清洗后的流 量数据分别发送至对应的基于数据降维训练得到的DNS恶意数据识别模型进行检测， 确定 是否存在DNS恶意数据。 2.根据权利要求1所述的方法， 其特征在于， 所述对所述流量数据进行清洗， 将清洗后 的流量数据分别发送至对应的基于数据降维训练得到的DNS恶意数据识别模型进行检测， 具体包括： 分别根据流 量数据特 征和DNS恶意行为特 征对所述 流量数据进行分类清洗； 将清洗后得到的每一类流量数据， 根据其所属的分类清洗的类型， 分别发送至对应的 基于数据降维训练得到的DNS恶意数据识别模型进行检测。 3.根据权利要求2所述的方法， 其特征在于， 所述DNS恶意数据识别模型的训练方式包 括： 读取流量数据库中的流 量数据； 分别根据流量数据特征和DNS恶意行为特征对所述流量数据进行分类清洗， 以此降低 所述流量数据的维度； 通过孤立森林算法分别对清洗后得到的每一类流量数据进行计算， 得到每一类流量数 据中的可疑数据； 提取所述可疑数据的特 征， 将所述可疑数据的特 征写入对应的DNS恶意数据识别模型。 4.根据权利要求3所述的方法， 其特征在于， 所述分别根据流量数据特征和DNS恶意行 为特征对所述 流量数据进行分类清洗， 具体包括： 获取所述流量数据的特征， 将同属性的特征进行合并， 得到综合特征标签， 根据 各综合 特征标签对所述 流量数据进行分类清洗； 按照所述DNS恶意行为特 征的特征类型， 对所述 流量数据进行分类清洗 。 5.根据权利要求4所述的方法， 其特征在于， 所述提取所述可疑数据的特征， 将所述可 疑数据的特 征写入对应的DNS恶意数据识别模型， 具体包括： 将所述可疑数据发送至专家系统进行审查， 判断所述可疑数据中是否包含恶意数据， 若是， 则提取所述可疑数据的特征， 将所述可疑数据的特征写入对应的DNS恶意数据 识别模 型。 6.根据权利要求5所述的方法， 其特征在于， 所述将所述可疑数据的特征写入对应的 DNS恶意数据识别模型， 具体包括： 确定所述可疑数据的特征所对应的可疑数据 所属的分类清洗后的流量数据， 确定所述 分类清洗后的流量数据所属的分类清洗的类型， 根据所述分类清洗的类型， 将所述可疑数 据的特征写入用于检测对应 类型流量数据的DNS恶意数据识别模型。 7.根据权利要求6所述的方法， 其特征在于， 确定存在DNS恶意数据后， 所述方法还包 括： 进行告警， 同时获取DNS恶意数据中包含 的IP， 并查询所述IP触发的具体威胁行为， 用 以进行应对处置 。 8.根据权利要求7 所述的方法， 其特 征在于， 在所述进行告警的同时， 所述方法还 包括：权　利　要　求　书 1/2 页 2 CN 114301631 A 2将监测到的不包含NDS恶意数据的流量数据发送至所述流量数据库， 用于对各DNS恶意 数据识别模型进行训练。 9.一种DNS恶意数据检测装置， 其特 征在于， 包括： 流量监测模块， 用于对流 量数据进行监测， 解析 所述流量数据中的DNS数据； 恶意数据判定模块， 用于判断所述DNS数据是否符合DNS协议， 若是， 则 对所述流量数据 进行清洗， 将清洗后得到的流量数据根据流量数据类型分别发送至对应的基于数据降维训 练得到的DNS恶意数据识别模型进行检测， 确定是否存在DNS恶意数据。 10.一种电子设备， 其特征在于， 所述电子设备包括： 壳体、 处理器、 存储器、 电路板和电 源电路， 其中， 电路板安置在壳体围成的空间内部， 处理器、 存储器设置在电路板上； 电源电 路， 用于为上述电子 设备的各个电路或器件供电； 存储器用于存储可执行程序 代码； 处理器 通过读取存储器中存储的可执行程序 代码来运行与可执行程序代码对应的程序， 用于执行 权利要求1 ‑8项任一所述的方法。 11.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储有一个或者 多个程序， 所述一个或者多个程序可被一个或者多个处理器执行， 以实现权利要求 1‑8项任 一所述的方法。权　利　要　求　书 2/2 页 3 CN 114301631 A 3