一种攻击检测方法、装置、设备及存储介质与流程

1.本技术涉及计算机应用技术领域，特别是涉及一种攻击检测方法、装置、设备及存储介质。


背景技术：

2.随着计算机技术和网络技术的快速发展，对主机安全的关注程度越来越高，但攻击者的攻击手段也越来越多，如apt(advanced persistent threat，高级可持续威胁)攻击。
3.apt攻击是一种隐匿而持久的主机入侵过程，通常由攻击者精心策划，针对特定目标，要求在长时间内保持高隐蔽性，包含三个要素：高级、长期、威胁。高级是指使用复杂精密的恶意软件及技术以利用系统中的漏洞，长期是指攻击者会持续监控特定目标，并从其获取数据，威胁是指人为参与策划的攻击。apt攻击对应有攻击者的命令控制服务器(command and control server，c2服务器)，可简称为控制服务器或者c2，是攻击者用于下发控制指令并获得攻陷主机上信息的服务器，也是攻击者在攻击任务开展前必须部署的基础设施。要应对apt等攻击，就要对可疑攻击服务器进行及时有效地检测。
4.目前，对可疑攻击服务器进行检测的方案主要是：利用已发现的对攻击者通过多种途径分发的恶意软件的动态或静态分析结果，获得网络通信ioc(indicator of compromise，入侵指标)情报，从而获得可疑攻击服务器的地址。
5.这种方案存在一定的缺点，其是以能够获取到攻击者分发的恶意软件为前提，不利于发现新出现的攻击事件中未知的攻击者的控制服务器，即无法对可疑攻击服务器进行及时有效地检测，无法保障主机安全性。


技术实现要素：

6.本技术的目的是提供一种攻击检测方法、装置、设备及存储介质，以及时发现可疑攻击服务器，有效应对相应攻击，保障主机安全性。
7.为解决上述技术问题，本技术提供如下技术方案：
8.一种攻击检测方法，包括：
9.获得设定时间段内目标系统的dns源数据集；
10.对所述dns源数据集中的dns数据进行设定维度的排序处理，获得dns目标数据集；
11.根据所述dns目标数据集中每个域名的二级域名的域名特征，确定第一可疑域名集；
12.将所述第一可疑域名集中各域名对应的服务器确定为可疑攻击服务器。
13.在本技术的一种具体实施方式中，所述设定维度包括dns请求出现概率维度，所述对所述dns源数据集中的dns数据进行设定维度的排序处理，获得dns目标数据集，包括：
14.按照dns请求出现概率从小到大的顺序，对所述dns源数据集中的dns数据进行排序处理；
15.将前x个dns数据加入到dns目标数据集中，x为正整数。
16.在本技术的一种具体实施方式中，所述设定维度包括dns请求长度维度，所述对所述dns源数据集中的dns数据进行设定维度的排序处理，获得dns目标数据集，包括：
17.按照dns请求长度从长到短的顺序，对所述dns源数据集中的dns数据进行排序处理；
18.将前y个dns数据加入到dns目标数据集中，y为正整数。
19.在本技术的一种具体实施方式中，所述设定维度包括dns响应长度维度，所述对所述dns源数据集中的dns数据进行设定维度的排序处理，获得dns目标数据集，包括：
20.按照dns响应长度从长到短的顺序，对所述dns源数据集中的dns数据进行排序处理；
21.确定dns响应长度大于设定长度阈值的dns数据的数量是否达到设定数量阈值；
22.如果达到所述数量阈值，则将前z个dns数据加入到dns目标数据集中，z与所述数量阈值相等；
23.如果未达到所述数量阈值，则将dns响应长度大于所述长度阈值的dns数据加入到dns目标数据集中。
24.在本技术的一种具体实施方式中，在所述根据所述dns目标数据集中每个域名的二级域名的域名特征，确定第一可疑域名集之前，还包括：
25.在所述dns源数据集或者所述dns目标数据集中过滤掉与白信息匹配的dns数据。
26.在本技术的一种具体实施方式中，在所述根据所述dns目标数据集中每个域名的二级域名的域名特征，确定第一可疑域名集之前，还包括：
27.确定所述dns目标数据集与最新出现的域名/主机名信息的第一交集和第一非交集；
28.将所述第一非交集中每个dns数据的dns响应与所述最新出现的域名/主机名信息对应的dns解析结果进行比较，并根据比较结果确定第二交集和第二非交集；
29.将所述第一交集和所述第二交集的并集确定为第二可疑域名集；
30.在所述dns目标数据集中过滤掉除所述第二非交集包括的dns数据外的其他dns数据；
31.相应的，将所述第一可疑域名集中各域名对应的服务器确定为可疑攻击服务器，包括：
32.将所述第一可疑域名集和所述第二可疑域名集中各域名对应的服务器确定为可疑攻击服务器。
33.在本技术的一种具体实施方式中，所述根据所述dns目标数据集中每个域名的二级域名的域名特征，确定第一可疑域名集，包括：
34.在黑域名库中查询所述dns目标数据集中每个域名的二级域名及其dns响应，并基于查询结果确定黑域名集和非黑域名集；
35.根据所述非黑域名集中每个域名的二级域名的icp信息和/或域名使用时长信息，确定未知可疑域名集；
36.将所述黑域名集和所述未知可疑域名集的并集确定为第一可疑域名集。
37.在本技术的一种具体实施方式中，还包括：
38.按照设备获得的响应为否定回答的数量从大到小的顺序，对所述dns源数据集中的dns数据进行排序处理；
39.将前m个dns数据中的dns请求域名的集合确定为第三可疑域名集，m为正整数；
40.相应的，所述将所述第一可疑域名集中各域名对应的服务器确定为可疑攻击服务器，包括：
41.将所述第一可疑域名集和所述第三可疑域名集中各域名对应的服务器确定为可疑攻击服务器。
42.在本技术的一种具体实施方式中，还包括：
43.在所述dns源数据集中筛选出a记录请求的dns响应为设定地址的dns数据；
44.将筛选出的dns数据中的dns请求域名构成的集合确定为第四可疑域名集；
45.相应的，所述将所述第一可疑域名集和所述第三可疑域名集中各域名对应的服务器确定为可疑攻击服务器，包括：
46.将所述第一可疑域名集、所述第三可疑域名集和所述第四域名集中各域名对应的服务器确定为可疑攻击服务器。
47.一种攻击检测装置，包括：
48.源数据集获得模块，用于获得设定时间段内目标系统的dns源数据集；
49.目标数据集获得模块，用于对所述dns源数据集中的dns数据进行设定维度的排序处理，获得dns目标数据集；
50.可疑域名确定模块，用于根据所述dns目标数据集中每个域名的二级域名的域名特征，确定第一可疑域名集；
51.可疑攻击服务器确定模块，用于将所述第一可疑域名集中各域名对应的服务器确定为可疑攻击服务器。
52.一种攻击检测设备，包括：
53.存储器，用于存储计算机程序；
54.处理器，用于执行所述计算机程序时实现上述任一项所述的攻击检测方法的步骤。
55.一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现上述任一项所述的攻击检测方法的步骤。
56.应用本技术实施例所提供的技术方案，获得设定时间段内目标系统的dns源数据集后，对dns源数据集中的dns数据进行设定维度的排序处理，得到dns目标数据集，再根据dns目标数据集中每个域名的二级域名的域名特征，确定第一可疑域名集，最后将第一可疑域名集中各域名对应的服务器确定为可疑攻击服务器。通过对dns源数据集的排序、二级域名的进一步判定等处理，可以及时发现可疑攻击服务器，有效应对相应攻击，保障主机安全性。
附图说明
57.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以
根据这些附图获得其他的附图。
58.图1为本技术实施例中一种攻击检测方法的实施流程图；
59.图2为本技术实施例中一种攻击检测装置的结构示意图；
60.图3为本技术实施例中一种攻击检测设备的结构示意图。
具体实施方式
61.为了使本技术领域的人员更好地理解本技术方案，下面结合附图和具体实施方式对本技术作进一步的详细说明。显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
62.参见图1所示，为本技术实施例所提供的一种攻击检测方法的实施流程图，该方法可以包括以下步骤：
63.s110：获得设定时间段内目标系统的dns源数据集。
64.dns(domain name system，域名系统)，是互联网的一项基础服务，作为将域名和ip地址相互映射的一个分布式数据库，能够使用户更方便访问互联网。dns使用tcp(transmission control protocol，传输控制协议)和udp(user datagram protocol，用户数据包协议)端口53。相关技术中，对于每一级域名长度的限制是63个字符，域名总长度不超过253个字符。dns协议由dns请求和dns响应构成。
65.通过流量采集、日志采集等方式可以获得dns请求日志，基于dns请求日志可以获得设定时间段内目标系统的dns源数据集。该时间段可以根据实际情况进行设定和调整，如设定为2周。dns源数据集是指目标系统在设定时间段内产生的所有dns数据构成的集合。dns数据可以包括dns请求、dns响应、设备标识、客户名等信息。
66.s120：对dns源数据集中的dns数据进行设定维度的排序处理，获得dns目标数据集。
67.在本技术实施例中，可以预先设定一个或多个维度，如对dns源数据集进行极限值运营，确定极限值对应的维度。在获得设定时间段内目标系统的dns源数据集后，可以对dns源数据集中的dns数据进行设定维度的排序处理，在排序后的dns源数据集中选出符合特定条件的dns数据，获得dns目标数据集。
68.在本技术的一种具体实施方式中，设定维度可以包括dns请求出现概率维度，可以按照dns请求出现概率从小到大的顺序，对dns源数据集中的dns数据进行排序处理，将前x个dns数据加入到dns目标数据集中，x为正整数。
69.可以理解的是，apt攻击是一种隐匿而持久的主机入侵过程，攻击者通过控制服务器下发控制指令并获取攻陷主机上的信息的操作不会太频繁，所以，dns请求出现概率较小的dns数据包含的域名对应可疑攻击服务器的可能性较大。
70.可以基于设定时间段内dns源数据集中每个dns数据包括的dns请求出现次数，确定相应的出现概率，还可以对设定时间段内dns源数据集中的dns数据进行采样，基于采样结果确定dns请求出现概率。
71.然后，按照dns请求出现概率从小到大的顺序，对dns源数据集中的dns数据进行排序处理，取出前x个dns数据，即dns请求出现概率较小的dns数据，将其加入到dns目标数据
集中。x为正整数，可以根据实际情况设定具体数值，如设定为10k。
72.如加入到dns目标数据集中的dns数据为：
73.出现概率最小的dns请求 dns响应 设备id 客户名：dnsquerydomain(least 1～10k)&dnsanswer&device_id&客户名。
74.在本技术的另一种具体实施方式中，设定维度可以包括dns请求长度维度，可以按照dns请求长度从长到短的顺序，对dns源数据集中的dns数据进行排序处理，将前y个dns数据加入到dns目标数据集中，y为正整数。
75.通过处理经验和对历史安全数据的分析可知，dns请求长度越长，相应的域名对应可疑攻击服务器的可能性越大。可以按照dns源数据集中每个dns数据的dns请求的长度从长到短的顺序，对dns源数据集中的dns数据进行排序处理，取出前y个dns数据，即dns请求长度较长的dns数据，将其加入到dns目标数据集中。y为正整数，可以根据实际情况设定具体数值，如设定为10k。
76.如加入到dns目标数据集中的dns数据为：
77.长度最长的dns请求 dns响应 设备id 客户名：dnsquerydomain(length:top1～10k)&dnsanswer&device_id&客户名。
78.在本技术的另一种具体实施方式中，设定维度可以包括dns响应长度维度，可以确定dns响应长度大于设定长度阈值的dns数据的数量是否达到设定数量阈值，如果达到数量阈值，则将前z个dns数据加入到dns目标数据集中，z与数量阈值相等，如果未达到数量阈值，则将dns响应长度大于长度阈值的dns数据加入到dns目标数据集中。
79.通过处理经验和对历史安全数据的分析可知，dns响应长度越长，相应的域名对应可疑攻击服务器的可能性越大。可以按照dns源数据集中每个dns数据的dns响应的长度从长到短的顺序，对dns源数据集中的dns数据进行排序处理。
80.针对排序后的dns源数据集，可以进一步确定dns响应长度大于设定长度阈值的dns数据的数量是否达到设定数量阈值。如果达到该数量阈值，则可以取出前z个dns数据，即dns响应长度较长的dns数据，将其加入到dns目标数据集中。如果未达到数量阈值，则可以将dns响应长度大于长度阈值的dns数据加入到dns目标数据集中。
81.z与数量阈值相等。长度阈值和数量阈值根据实际情况设定具体数值，如将长度阈值设定为40，将数量阈值设定为10k。
82.如加入到dns目标数据集中的dns数据为：
83.长度最长的dns响应 dns请求 设备id 客户名：dnsquerydomain&dnsanswer(length:top1～10k，且大于设定长度阈值)&device_id&客户名。
84.需要说明的是，在本技术实施例中，设定维度可以包括上述dns请求出现概率维度、dns请求长度维度、dns响应长度维度中的一种或多种。如果包括上述三种维度，则获得的dns目标数据集中将包括：dns请求出现概率最小的前x个dns数据、dns请求长度最长的前y个数据和dns响应长度最长的前z个dns数据(或者dns响应长度大于长度阈值的dns数据)。
85.对dns源数据集进行极限值运营，按照设定维度进行排序，容易发现潜在的apt对应c2或者信标域名(dns
‑
beacon)任务下发通信情况。
86.s130：根据dns目标数据集中每个域名的二级域名的域名特征，确定第一可疑域名集。
87.对dns源数据集中的dns数据进行设定维度的排序处理，获得dns目标数据集后，进一步可以根据dns目标数据集中的每个域名的二级域名的域名特征，确定第一可疑域名集。第一可疑域名集中包括的可疑域名可以有多个，第一仅是为了对根据dns目标数据集中的每个域名的二级域名的域名特征确定出的可疑域名集进行标识，是为了与后续确定的第二可疑域名集进行区分，并非是对顺序的限定。
88.具体的，可以在黑域名库中查询dns目标数据集中每个域名的二级域名及其dns响应，并基于查询结果确定黑域名集和非黑域名集，再根据非黑域名集中每个域名的二级域名的icp信息和/或域名使用时长信息，确定未知可疑域名集，将黑域名集和未知可疑域名集的并集确定为第一可疑域名集。
89.在本技术实施例中，可以预先建立黑域名库，如可以基于vt(virus total，一种在线查杀平台)、threatbook(安全威胁情报公司)、沙箱等建立黑域名库，黑域名库中包括已被确认为有安全威胁的dns数据。
90.在黑域名库中查询dns目标数据集中每个域名的二级域名及其dns响应，dns响应可以为cname(别名记录、规范名字)和/或ip等。对于dns目标数据集中的任意一个域名而言，如果该域名的二级域名或者其dns响应命中黑域名库，则可以将该域名确定为黑域名，如果该域名的二级域名及其dns响应未命中黑域名库，则可以将该域名确定为非黑域名，非黑域名可能为白域名或灰域名。黑域名构成的集合为黑域名集，如suspicious
‑
vt、suspiciousthreatbook、suspicioussandbox等，非黑域名构成的集合为非黑域名集。
91.确定出非黑域名集后，可以进一步根据非黑域名集中每个域名的二级域名的icp(internet content provide，网络内容服务商)信息和/或域名使用时长信息，确定未知可疑域名集。
92.如可以通过查询icp，将非黑域名集中二级域名具有合法icp信息的域名丢弃，认为这样的域名大概率为白域名。
93.还可以通过查询whois(一个用来查询域名是否已经被注册，以及注册域名的详细信息的数据库)，将非黑域名集中二级域名使用时长超过设定时长阈值，如2年的域名丢弃，认为这样的域名大概率为白域名。
94.根据非黑域名集中每个域名的二级域名的icp信息和/或域名使用时长信息，确定出大概率为白域名的域名后，在非黑域名集中丢弃相应的白域名，可以将剩余的域名构成的集合确定为未知可疑域名集，即suspicious
‑
unknown。
95.可以将黑域名集和未知可疑域名集的并集确定为第一可疑域名集。
96.s140：基于第一可疑域名集和第二可疑域名集，确定可疑攻击服务器。
97.在确定出第一可疑域名集和第二可疑域名集之后，进一步可以基于第一可疑域名集和第二可疑域名集，确定可疑攻击服务器。具体的，可以基于第一可疑域名集和第二可疑域名集，生成高可疑的控制服务器情报，提供给情报分析人员，通过进一步分析确定可疑攻击服务器。
98.应用本技术实施例所提供的方法，获得设定时间段内目标系统的dns源数据集后，对dns源数据集中的dns数据进行设定维度的排序处理，得到dns目标数据集，再根据dns目标数据集中每个域名的二级域名的域名特征，确定第一可疑域名集，最后将第一可疑域名集中各域名对应的服务器确定为可疑攻击服务器。通过对dns源数据集的排序、二级域名的
domain/host，nod/noh)信息，可以认为最新出现的域名/主机名对应可疑攻击服务器的可能性较大。基于此，在获得dns目标数据集后，可以将dns目标数据集中的每个dns数据与最新出现的域名/主机名信息进行比较，获得第一交集和第一非交集。具体的，可以将dns目标数据集与最新出现的域名/主机名信息计算交集，得到第一交集和第一非交集。第一交集由dns目标数据集中命中最新出现的域名/主机名信息的dns数据构成，可以定义为suspicious
‑
nod，其中的域名对应可疑攻击服务器的可能性较大。第一非交集由dns目标数据集中未命中最新出现的域名/主机名信息的dns数据构成，需要对其中包括的dns数据进行进一步安全判定。第一仅为对集合进行标识，不是顺序限定。
114.基于最新出现的域名/主机名信息可以获得其对应近期dns解析结果，将第一非交集中每个dns数据的dns响应与最新出现的域名/主机名信息对应的dns解析结果进行比较，根据比较结果可以确定第二交集和第二非交集。第二交集由第一非交集中命中最新出现的域名/主机名信息对应的dns解析结果的dns数据构成，可以定义为suspicious
‑
nod
‑
dnsans。第二非交集由第一非交集中未命中最新出现的域名/主机名信息对应的dns解析结果的dns数据构成，其较大概率为安全的。第二仅为对集合进行标识，不是顺序限定。
115.可以将第一交集和第二交集的并集确定为第二可疑域名集。
116.在dns目标数据集中可以过滤掉除第二非交集包括的dns数据外的其他dns数据，进而可以根据过滤后的dns目标数据集中每个域名的二级域名的域名特征，确定第一可疑域名集，再将第一可疑域名集和第二可疑域名集中各域名对应的服务器确定为可疑攻击服务器。
117.需要说明的是，在dns目标数据集中基于白信息的过滤和基于最新出现的域名/主机名信息的过滤，可以只执行其中一种过滤操作，或者同时执行两种过滤操作，先后顺序不做限定。
118.在本技术的一个实施例中，该方法还可以包括以下步骤：
119.第一个步骤：按照设备获得的响应为否定回答的数量从大到小的顺序，对dns源数据集中的dns数据进行排序处理；
120.第二个步骤：将前m个dns数据中的dns请求域名构成的集合确定为第三可疑域名集，m为正整数；
121.相应的，将第一可疑域名集中各域名对应的服务器确定为可疑攻击服务器，包括：
122.将第一可疑域名集和第三可疑域名集中各域名对应的服务器确定为可疑攻击服务器。
123.为便于描述，将上述几个步骤结合起来进行说明。
124.设备获得的响应为否定回答即nxdomain，表示没有相应的域名。设备获得的响应为否定回答的数量越大，则其对应的dns请求的域名为信标域名的可能性越大。信标(beacon)，代指攻击者通过多种投递方式在攻陷主机上部署的恶意软件和c2服务器的通信。
125.在本技术实施例中，获得设定时间段内目标系统的dns源数据集后，可以按照设备获得的响应为否定回答的数量从大到小的顺序，对dns源数据集中的dns数据进行排序处理。取出前m个dns数据，将其构成的集合确定为第三可疑域名集。第三仅为对集合进行标识，不是顺序限定。
126.相应的，可以将第一可疑域名集和第三可疑域名集中各域名对应的服务器确定为可疑攻击服务器。
127.基于设备获得的响应为否定回答的数量最大的dns数据，确定第三可疑域名集，再结合第一可疑域名集，确定可疑攻击服务器，使得确定可疑攻击服务器所基于的数据集更为全面，可以提高可疑攻击服务器的确定准确性。
128.当然，该实施例还可以与基于白信息进行过滤操作或者基于最新出现的域名/主机名信息进行过滤操作的过程结合起来实施，将第一可疑域名集、第二可疑域名集和第三可疑域名集中各域名对应的服务器确定为可疑攻击服务器。
129.在本技术的一个实施例中，该方法还可以包括以下步骤：
130.步骤一：在dns源数据集中筛选出a记录请求的dns响应为设定地址的dns数据；
131.步骤二：将筛选出的dns数据中的dns请求域名构成的集合确定为第四可疑域名集；
132.相应的，将第一可疑域名集和第三可疑域名集中各域名对应的服务器确定为可疑攻击服务器，包括：
133.将第一可疑域名集、第三可疑域名集和第四域名集中各域名对应的服务器确定为可疑攻击服务器。
134.为便于描述，将上述几个步骤结合起来进行说明。
135.在本技术实施例中，在获得设定时间段内目标系统的dns源数据集后，可以在dns源数据集中确定a记录请求的dns响应为设定地址的dns数据。a(address)记录用于指定主机名或域名对应的ip地址记录。设定地址具有攻击特征，可以根据实际情况进行设定和调整，如设定为0.0.0.0、127.0.0.1等，筛选出的dns数据为：dnsquerydomain&(dnsanswer＝＝’0.0.0.0’ordnsanswer＝＝’127.0.0.1’)&device_id(top1～10k)&客户名。此类响应通常是默认的信标域名心跳。
136.将筛选出的dns数据构成的集合可以确定为第四可疑域名集，可以定义为suspicious
‑
beacon0。
137.相应的，可以将第一可疑域名集、第三可疑域名集和第四可疑域名集中各域名对应的服务器确定为可疑攻击服务器。
138.在dns源数据集中筛选出a记录请求的dns响应为设定地址的dns数据，并将筛选出的dns数据中的dns请求域名构成的集合确定为第四可疑域名集，再结合第一可疑域名集和第三可疑域名集，确定可疑攻击服务器，使得确定可疑攻击服务器所基于的数据集更为全面，可以提高可疑攻击服务器的确定准确性。
139.当然，该实施例还可以与基于白信息进行过滤操作或者基于最新出现的域名/主机名信息进行过滤操作的过程结合起来实施，将第一可疑域名集、第二可疑域名集、第三可疑域名集和第四可疑域名集中各域名对应的服务器确定为可疑攻击服务器。
140.相应于上面的方法实施例，本技术实施例还提供了一种攻击检测装置，下文描述的攻击检测装置与上文描述的攻击检测方法可相互对应参照。
141.参见图2所示，该装置可以包括以下模块：
142.源数据集获得模块210，用于获得设定时间段内目标系统的dns源数据集；
143.目标数据集获得模块220，用于对dns源数据集中的dns数据进行设定维度的排序
处理，获得dns目标数据集；
144.可疑域名确定模块230，用于根据dns目标数据集中每个域名的二级域名的域名特征，确定第一可疑域名集；
145.可疑攻击服务器确定模块240，用于将第一可疑域名集中各域名对应的服务器确定为可疑攻击服务器。
146.应用本技术实施例所提供的装置，获得设定时间段内目标系统的dns源数据集后，对dns源数据集中的dns数据进行设定维度的排序处理，得到dns目标数据集，再根据dns目标数据集中每个域名的二级域名的域名特征，确定第一可疑域名集，最后将第一可疑域名集中各域名对应的服务器确定为可疑攻击服务器。通过对dns源数据集的排序、二级域名的进一步判定等处理，可以及时发现可疑攻击服务器，有效应对相应攻击，保障主机安全性。
147.在本技术的一种具体实施方式中，设定维度包括dns请求出现概率维度，目标数据集获得模块220，用于：
148.按照dns请求出现概率从小到大的顺序，对dns源数据集中的dns数据进行排序处理；
149.将前x个dns数据加入到dns目标数据集中，x为正整数。
150.在本技术的一种具体实施方式中，设定维度包括dns请求长度维度，目标数据集获得模块220，用于：
151.按照dns请求长度从长到短的顺序，对dns源数据集中的dns数据进行排序处理；
152.将前y个dns数据加入到dns目标数据集中，y为正整数。
153.在本技术的一种具体实施方式中，设定维度包括dns响应长度维度，目标数据集获得模块220，包括：
154.按照dns响应长度从长到短的顺序，对dns源数据集中的dns数据进行排序处理；
155.确定dns响应长度大于设定长度阈值的dns数据的数量是否达到设定数量阈值；
156.如果达到数量阈值，则将前z个dns数据加入到dns目标数据集中，z与数量阈值相等；
157.如果未达到数量阈值，则将dns响应长度大于长度阈值的dns数据加入到dns目标数据集中。
158.在本技术的一种具体实施方式中，还包括数据集过滤模块，用于：
159.在根据dns目标数据集中每个域名的二级域名的域名特征，确定第一可疑域名集之前，在dns源数据集或者dns目标数据集中过滤掉与白信息匹配的dns数据。
160.在本技术的一种具体实施方式中，数据集过滤模块，还用于：
161.在根据dns目标数据集中每个域名的二级域名的域名特征，确定第一可疑域名集之前，确定dns目标数据集与最新出现的域名/主机名信息的第一交集和第一非交集；
162.将第一非交集中每个dns数据的dns响应与最新出现的域名/主机名信息对应的dns解析结果进行比较，并根据比较结果确定第二交集和第二非交集；
163.将第一交集和第二交集的并集确定为第二可疑域名集；
164.在dns目标数据集中过滤掉除第二非交集包括的dns数据外的其他dns数据；
165.相应的，可疑攻击服务器确定模块240，用于：
166.将第一可疑域名集和第二可疑域名集中各域名对应的服务器确定为可疑攻击服
务器。
167.在本技术的一种具体实施方式中，可疑域名确定模块230，用于：
168.在黑域名库中查询dns目标数据集中每个域名的二级域名及其dns响应，并基于查询结果确定黑域名集和非黑域名集；
169.根据非黑域名集中每个域名的二级域名的icp信息和/或域名使用时长信息，确定未知可疑域名集；
170.将黑域名集和未知可疑域名集的并集确定为第一可疑域名集。
171.在本技术的一种具体实施方式中，可疑域名确定模块230，还用于：
172.按照设备获得的响应为否定回答的数量从大到小的顺序，对dns源数据集中的dns数据进行排序处理；
173.将前m个dns数据中的dns请求域名的集合确定为第三可疑域名集，m为正整数；
174.相应的，可疑攻击服务器确定模块240，用于：
175.将第一可疑域名集和第三可疑域名集中各域名对应的服务器确定为可疑攻击服务器。
176.在本技术的一种具体实施方式中，可疑域名确定模块230，还用于：
177.在dns源数据集中筛选出a记录请求的dns响应为设定地址的dns数据；
178.将筛选出的dns数据中的dns请求域名构成的集合确定为第四可疑域名集；
179.相应的，可疑攻击服务器确定模块240，用于：
180.将第一可疑域名集、第三可疑域名集和第四域名集中各域名对应的服务器确定为可疑攻击服务器。
181.相应于上面的方法实施例，本技术实施例还提供了一种攻击检测设备，包括：
182.存储器，用于存储计算机程序；
183.处理器，用于执行计算机程序时实现上述攻击检测方法的步骤。
184.如图3所示，为攻击检测设备的组成结构示意图，攻击检测设备可以包括：处理器10、存储器11、通信接口12和通信总线13。处理器10、存储器11、通信接口12均通过通信总线13完成相互间的通信。
185.在本技术实施例中，处理器10可以为中央处理器(central processing unit，cpu)、特定应用集成电路、数字信号处理器、现场可编程门阵列或者其他可编程逻辑器件等。
186.处理器10可以调用存储器11中存储的程序，具体的，处理器10可以执行攻击检测方法的实施例中的操作。
187.存储器11中用于存放一个或者一个以上程序，程序可以包括程序代码，程序代码包括计算机操作指令，在本技术实施例中，存储器11中至少存储有用于实现以下功能的程序：
188.获得设定时间段内目标系统的dns源数据集；
189.对dns源数据集中的dns数据进行设定维度的排序处理，获得dns目标数据集；
190.根据dns目标数据集中每个域名的二级域名的域名特征，确定第一可疑域名集；
191.将第一可疑域名集中各域名对应的服务器确定为可疑攻击服务器。
192.在一种可能的实现方式中，存储器11可包括存储程序区和存储数据区，其中，存储
程序区可存储操作系统，以及至少一个功能(比如数据处理功能、可疑判定功能)所需的应用程序等；存储数据区可存储使用过程中所创建的数据，如dns数据、集合数据等。
193.此外，存储器11可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件或其他易失性固态存储器件。
194.通信接口12可以为通信模块的接口，用于与其他设备或者系统连接。
195.当然，需要说明的是，图3所示的结构并不构成对本技术实施例中攻击检测设备的限定，在实际应用中攻击检测设备可以包括比图3所示的更多或更少的部件，或者组合某些部件。
196.相应于上面的方法实施例，本技术实施例还提供了一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现上述攻击检测方法的步骤。
197.本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。
198.专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术的范围。
199.结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd
‑
rom、或技术领域内所公知的任意其它形式的存储介质中。
200.本文中应用了具体个例对本技术的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本技术的技术方案及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本技术原理的前提下，还可以对本技术进行若干改进和修饰，这些改进和修饰也落入本技术权利要求的保护范围内。