(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211072762.3 (22)申请日 2022.09.02 (71)申请人 中国电信股份有限公司 地址 100033 北京市西城区金融大街31号 (72)发明人 汪来富　刘东鑫　史国水　吴波　 邓博仁　 (74)专利代理 机构 北京律智知识产权代理有限 公司 11438 专利代理师 孙宝海 (51)Int.Cl. H04L 9/40(2022.01) H04L 61/4511(2022.01) H04L 41/142(2022.01) (54)发明名称 异常设备检测方法、 装置、 电子设备和存储 介质 (57)摘要 本发明涉及网络与信息安全技术领域， 提供 一种异常设备检测方法、 装置、 电子设备和存储 介质。 异常设备检测方法包括： 解析目标网络中 的域名系统DNS流量， 获得包含查询设备信息、 DNS服务器信息及域名信息的DNS查询信息； 根据 查询设备信息， 自DNS查询信息中获得每个查询 设备的DNS查询日志； 对每个查询设备的DNS查询 日志进行特征计算， 获得每个查询设备的包含查 询类型特征、 查询DNS服务器特征、 查询域名特征 和查询次数特征的DNS查询行为特征； 对目标网 络中的所有 查询设备的DNS查询行为特征进行聚 类， 以根据聚类结果确定异常的查询设备。 本发 明的异常设备检测方案， 基于DNS行为分析来检 测内网异常主机， 采用无监督学习算法， 具有较 好的普适 性。 权利要求书3页 说明书10页 附图4页 CN 115412357 A 2022.11.29 CN 115412357 A 1.一种异常 设备检测方法， 其特 征在于， 包括： 解析目标网络中的域名系 统DNS流量， 获得包含查询 设备信息、 DNS服务器信息及域名 信息的DNS查询信息； 根据所述 查询设备信息， 自所述DNS查询信息中获得每 个查询设备的DNS查询日志； 对每个所述查询设备的DNS查询日志进行特征计算， 获得每个所述查询设备的包含查 询类型特征、 查询DNS服 务器特征、 查询域名特 征和查询次数 特征的DNS查询行为特 征； 对所述目标网络中的所有查询设备的DNS查询行为特征进行聚类， 以根据聚类结果确 定异常的查询设备。 2.如权利要求1所述的异常设备检测方法， 其特征在于， 每个所述查询设备的DNS查询 日志包括多条DNS查询记录； 所述查询类型 特征的计算方式为： 计算每个所述查询 设备的DNS查询日志中， A记录的个数占所有DNS查询记录的个数的 比例， 作为所述 查询类型 特征。 3.如权利要求1所述的异常设备检测方法， 其特征在于， 所述查询DNS服务器特征的计 算方式为： 计算每个所述查询设备的DNS查询日志所查询的DNS服务器的数量， 占所有DNS查询信 息所查询的DNS服 务器的数量的比例， 作为所述 查询DNS服 务器特征。 4.如权利要求1所述的异常设备检测方法， 其特征在于， 所述查询域名特征的计算方式 为： 计算每个所述查询设备的DNS查询日志所查询的域名的数量， 占所有DNS查询信息所查 询的域名的数量的比例， 作为所述 查询域名特 征。 5.如权利要求1所述的异常设备检测方法， 其特征在于， 所述DNS查询信息和每个所述 查询设备的DNS查询日志分别包括多条DNS查询记录； 所述查询次数 特征的计算方式为： 计算每个所述查询设备的DNS查询日志的DNS查询记录的数量， 占所有DNS查询信息的 DNS查询记录的数量的比例， 作为所述 查询次数 特征。 6.如权利要求1所述的异常设备检测方法， 其特征在于， 每个所述查询设备的DNS查询 行为特征， 表征为四维归一 化的特征向量； 所述对所述目标网络中的所有查询设备的DNS查询行为特征进行聚类， 以根据聚类结 果确定异常的查询设备， 包括： 根据所有查询设备的特征向量的分布， 计算具有噪声的基于密度的聚类算法的邻域距 离阈值； 采用至少以所述邻域距离 阈值为参数的聚类算法， 对所有所述查询设备的特征向量进 行聚类； 根据聚类结果， 将孤立节点对应的查询设备确定为异常的查询设备。 7.如权利要求6所述的异常设备检测方法， 其特征在于， 所述根据 所有查询设备的特征 向量的分布， 计算具有噪声的基于密度的聚类算法的邻域距离阈值， 包括： 基于所有所述查询设备的特征向量， 计算两两查询设备的特征向量之间的距离， 获得 距离集合；权　利　要　求　书 1/3 页 2 CN 115412357 A 2根据所述距离集 合的期望， 计算所述距离集 合的标准差； 根据所述距离集 合的标准差和幂次分布参数， 计算所述邻域距离阈值。 8.如权利要求7所述的异常设备检测方法， 其特征在于， 所述计算所述距离集合的标准 差， 采用如下公式： 其中， σ 为所述距离集合的标准差， n为所述距离集合中的元素个数， xi为所述距离集合 中的第i个元 素， μ为所述距离集 合的期望； 所述计算所述邻域距离阈值， 采用如下公式： eps＝σ /m； 其中， eps为所述邻域距离阈值， m为所述幂次分布参数， m取2或4。 9.如权利要求1 ‑8任一项所述的异常设备检测方法， 其特征在于， 所述DNS查询信息还 包括时间戳； 所述自所述DNS查询信息中获得每 个查询设备的DNS查询日志前， 还 包括： 基于设定的时间窗口， 对所述DNS查询信息进行切片， 以针对每个切片的DNS查询信息， 执行所述自所述DNS查询 信息中获得每个查询设备的DNS查询日志、 所述对每个所述查询设 备的DNS查询日志进 行特征计算、 以及所述对 所述目标网络中的所有查询设备的DNS查询行 为特征进行聚类的步骤。 10.如权利要求1所述的异常设备检测方法， 其特征在于， 所述自所述DNS查询信 息中获 得每个查询设备的DNS查询日志前， 还 包括： 确定所述DNS查询信息中是否存在命中黑名单库的DNS查询记录； 若是， 将命中所述 黑名单库的DNS查询记录所对应的查询设备确定为异常的查询设备； 其中， 所述 黑名单库包括妥协指标规则库和概念 验证规则库。 11.如权利要求1所述的异常设备检测方法， 其特征在于， 所述自所述DNS查询信 息中获 得每个查询设备的DNS查询日志， 包括： 根据所述DNS查询信息， 形成包含多条DNS查询记录 的DNS查询日志， 每条DNS查询记录 包括自查询至响应的会话信息； 基于所述查询设备信息， 对所述DNS查询日志进行分组， 以获得每个所述查询设备的 DNS查询日志。 12.一种异常 设备检测装置， 其特 征在于， 包括： 流量解析模块， 用于解析目标网络中的域名系统DNS流量， 获得包含查询设备信息、 DNS 服务器信息及域名信息的DNS查询信息； 日志分组模块， 用于根据所述查询设备信息， 自所述DNS查询信息 中获得每个查询设备 的DNS查询日志； 行为特征计算模块， 用于对每个所述查询设备的DNS查询日志进行特征计算， 获得每个 所述查询设备的包含查询类型特征、 查询DNS服务器特征、 查询域名特征和查询次数特征的 DNS查询行为特 征； 聚类检测模块， 用于对所述目标网络中的所有查询设备的DNS查询行为特征进行聚类， 以根据聚类结果确定异常的查询设备。权　利　要　求　书 2/3 页 3 CN 115412357 A 3