本發(fā)明專利技術提供了一種基于域名解析的惡意域名檢測方法和系統(tǒng),該方法包括:獲取域名解析的請求解析數(shù)據(jù),對域名解析的解析數(shù)據(jù)進行數(shù)據(jù)清洗,根據(jù)已知的惡意域名網(wǎng)站黑、白名單,過濾掉惡意域名與非惡意域名;再根據(jù)域名字符串特征以及解析日志時間屬性,判斷域名是否為惡意域名,輸出疑似惡意域名。本發(fā)明專利技術基于HADOOP大數(shù)據(jù)分析平臺,可以全量分析用戶的訪問域名情況,挖掘出潛在的惡意域名。并且,進一步通過分析可以確定惡意程序服務器IP地址,可以針對IP地址進行封殺,此外,還可以找出受惡意程序感染的肉雞IP,及時提醒用戶殺毒,遏制惡意程序的擴散。
【技術實現(xiàn)步驟摘要】
本專利技術涉及網(wǎng)絡安全應用領域,尤其涉及一種基于域名解析的惡意域名檢測方法與系統(tǒng)。
技術介紹
目前,惡意域名已經(jīng)成為國內乃至全世界的網(wǎng)絡安全領域最為關注的危害之一。惡意域名也叫惡意網(wǎng)站,是指該網(wǎng)站利用瀏覽器或者應用軟件的漏洞,嵌入惡意代碼,在用戶不知情的情況下,對用戶的機器進行篡改或破壞的網(wǎng)站。對于彈出插件或提示用戶是否將其設為首頁的網(wǎng)站,因為需要用戶確認,則不被定義為惡意域名。對于內容不合法、不健康的網(wǎng)站,如果它并未對用戶的機器進行篡改或破壞,也不被定義為惡意域名。但是對于仿冒其他網(wǎng)站比如銀行網(wǎng)站、電子商務網(wǎng)站的,雖然未對用戶的機器進行篡改或破壞,但是也被定義為惡意域名。惡意域名往往與木馬傳播、僵尸網(wǎng)絡、網(wǎng)絡釣魚等惡意行為伴生,攻擊者借助惡意域名能夠發(fā)起各種各樣的破壞行為,由于平臺的搭建使得這些破壞行為產(chǎn)生聚合,造成比傳統(tǒng)破壞行為更大的危害,并且使得攻擊的防范難度增大。惡意域名能夠形成一個龐大的網(wǎng)絡體系,通過網(wǎng)絡來控制受感染的系統(tǒng),同時不同地造成網(wǎng)絡危害,如更快地傳播木馬蠕蟲、短時間內竊取大量敏感信息、搶占系統(tǒng)資源進行非法目的牟利、發(fā)起大范圍的DDoS攻擊等,給危害追蹤和損失抑制帶來巨大的麻煩。傳統(tǒng)惡意域名檢測主要采用惡意程序逆向、DPI(深度包檢測)等技術。逆向分析是惡意程序分析的常用方法之一,在揭示惡意程序意圖以及行為方面發(fā)揮著其他方法無法比擬的作用。逆向分析將可執(zhí)行惡意程序反匯編,通過反匯編代碼來理解其代碼功能,從啟動函數(shù)、函數(shù)參數(shù)傳遞、數(shù)據(jù)結構、控制語句、API等方面歸納總結惡意程序反匯編代碼的一般規(guī)律, 逆向分析原程序思路,全面或重點掌握惡意程序行為,從中分析出其他方法無法發(fā)現(xiàn)的證據(jù)或線索。DPI技術即深度包檢測技術是一種基于應用層的流量檢測和控制技術,當IP數(shù)據(jù)包、TCP或UDP數(shù)據(jù)流通過基于DPI技術的系統(tǒng)時,該系統(tǒng)通過深入讀取IP包載荷的內容來對OSI七層協(xié)議中的應用層信息進行重組,從而得到整個應用程序的內容,然后按照系統(tǒng)定義的策略對流量進行操作。DPI技術通過特征匹配的方法,發(fā)現(xiàn)惡意程序的行為特征。傳統(tǒng)的技術手段惡意程序逆向、DPI(深度包檢測)均存在實施成本高的弊端,重要的是,對未知的惡意程序無能為力。
技術實現(xiàn)思路
本專利技術所要解決的技術問題是提供一種基于域名解析的解析數(shù)據(jù)的惡意域名檢測方法和系統(tǒng),用于大規(guī)模發(fā)現(xiàn)惡意域名。相對于傳統(tǒng)的程序逆向、DPI等基于內容的檢測技術,基于域名解析的數(shù)據(jù)的惡意域名檢測技術具有部署簡單、覆蓋范圍廣、匹配精確等獨特優(yōu)勢。本專利技術解決上述技術問題所采取的技術方案如下:一種基于域名解析的解析數(shù)據(jù)的惡意域名檢測方法,包括:步驟1)獲取域名解析的請求解析數(shù)據(jù);所述域名解析的請求解析數(shù)據(jù)包括:日期、時間、訪問信息、請求IP信息、請求域名信息、解析類型、解析IP信息;步驟2)對域名解析的解析數(shù)據(jù)進行數(shù)據(jù)清洗,將統(tǒng)計沒有影響的字段去掉,保留或修改影響統(tǒng)計結果的字段;步驟3)根據(jù)已知的惡意域名網(wǎng)站黑、白名單,過濾掉惡意域名與非惡意域名;步驟4)根據(jù)域名字符串特征以及解析日志時間屬性,判斷域名是否為惡意域名,輸出疑似惡意域名。進一步地,優(yōu)選的是,步驟2中,基于HADOOP分布式計算,按照域名解析的協(xié)議字段對海量域名解析的解析數(shù)據(jù)進行解析、清洗、入庫,清 洗后的域名解析的解析數(shù)據(jù)包括:請求域名、CNAME、請求IP信息、解析IP信息、訪問時間,其中訪問時間精確到秒。進一步地,優(yōu)選的是,步驟3中,通過已知的惡意域名網(wǎng)站黑、白名單,過濾掉惡意域名與非惡意域名,提高算法檢測效率。已知的黑白名單包括ALEXA排名前10000的域名及其子域名,以及來自國內知名安全廠商的黑白名單庫。進一步地,優(yōu)選的是,步驟4中,根據(jù)域名字符串特征以及解析日志時間屬性,判斷域名是否為惡意域名,輸出疑似惡意域名。具體包括:模式一:域名字符長度大于設定的字符長度;模式二:域名由數(shù)字和字母混雜無序組成;模式三:域名解析具有時間上的突發(fā)性。進一步地,優(yōu)選的是,步驟4中,解析日志時間屬性,具體包括:設置域名的活躍時間段,按照設定的時間單位對域名的活躍度分布進行統(tǒng)計,活躍度越高,該域名成為惡意域名的幾率越大。一種基于域名解析的解析數(shù)據(jù)的惡意域名檢測系統(tǒng),包括:數(shù)據(jù)采集單元,用于獲取域名解析的請求解析數(shù)據(jù);所述域名解析的請求解析數(shù)據(jù)包括:日期、時間、訪問信息、請求IP信息、請求域名信息、解析類型、解析IP信息;數(shù)據(jù)清洗單元,用于對域名解析的數(shù)據(jù)進行清洗,將統(tǒng)計沒有影響的字段去掉,保留或修改影響統(tǒng)計結果的字段;域名黑白名單庫,通過特征對比,過濾掉惡意域名與非惡意域名;域名分析單元,用于根據(jù)域名字符串特征以及解析日志時間屬性,判斷域名是否為惡意域名,輸出疑似惡意域名。優(yōu)選的是,所述數(shù)據(jù)采集單元,通過架設域名解析的流量采集服務器、鏡像交換機以及光電轉換等設備,實現(xiàn)域名解析的請求解析數(shù)據(jù)的采集匯聚。優(yōu)選的是,所述數(shù)據(jù)清洗單元,基于HADOOP分布式計算,按照域名解析的協(xié)議字段對海量域名解析的解析數(shù)據(jù)進行解析、清洗、入庫,清洗后的域名解析的解析數(shù)據(jù)包括:請求域名|CNAME|請求IP信息|解析IP信 息|訪問時間,其中訪問時間精確到秒。優(yōu)選的是,所述域名分析單元,根據(jù)域名字符串特征以及解析日志時間屬性,判斷域名是否為惡意域名,輸出疑似惡意域名。具體包括:模式一:域名字符長度大于設定的字符長度;模式二:域名由數(shù)字和字母混雜無序組成;模式三:域名解析具有時間上的突發(fā)性。優(yōu)選的是,所述域名分析單元,解析日志時間屬性,具體包括:設置域名的活躍時間段,按照設定的時間單位對域名的活躍度分布進行統(tǒng)計,活躍度越高,該域名成為惡意域名的幾率越大。本專利技術采取了上述方案以后,基于HADOOP大數(shù)據(jù)分析平臺,可以全量分析用戶的訪問域名情況,挖掘出潛在的惡意域名。并且,進一步通過分析可以確定惡意程序服務器IP地址,可以針對IP地址進行封殺,此外,還可以找出受惡意程序感染的肉雞IP,及時提醒用戶殺毒,遏制惡意程序的擴散。本專利技術的其它特征和優(yōu)點將在隨后的說明書中闡述,并且,部分地從說明書中變得顯而易見,或者通過實施本專利技術而了解。本專利技術的目的和其他優(yōu)點可通過在所寫的說明書、權利要求書、以及附圖中所特別指出的結構來實現(xiàn)和獲得。附圖說明圖1是本專利技術基于域名解析的數(shù)據(jù)的惡意域名分析方法的業(yè)務流程圖;圖2是本專利技術基于域名解析的數(shù)據(jù)的惡意域名分析方法的數(shù)據(jù)流程圖;圖3是本專利技術基于域名解析的數(shù)據(jù)的惡意域名分析方法的數(shù)據(jù)清洗的流程示意圖;圖4是本專利技術基于域名解析的數(shù)據(jù)的惡意域名分析系統(tǒng)的結構示意圖。具體實施方式以下將結合附圖及實施例來詳細說明本專利技術的實施方式,借此對本專利技術如何應用技術手段來解決技術問題,并達成技術效果的實現(xiàn)過程能充分理 解并據(jù)以實施。需要說明的是,只要不構成沖突,本專利技術中的各個實施例以及各實施例中的各個特征可以相互結合,所形成的技術方案均在本專利技術的保護范圍之內。基于上述問題,本專利技術基于大數(shù)據(jù)分析平臺HADOOP,結合域名解析的解析數(shù)據(jù),分析惡意域名共同特征,找出疑似惡意域名,挖掘出相對完整的惡意域名全景圖。其中,本技術方案依托于HADOOP大數(shù)據(jù)分析平臺,依賴域名解析的解析數(shù)據(jù)。參照圖1、圖2所示,本專利技術的具體方案由以下步驟組成:一種基于域名解本文檔來自技高網(wǎng)...
【技術保護點】
一種基于域名解析的惡意域名檢測方法,包括:步驟1)獲取域名解析的請求解析數(shù)據(jù);所述域名解析的請求解析數(shù)據(jù)包括:日期、時間、訪問信息、請求IP信息、請求域名信息、解析類型、解析IP信息;步驟2)對域名解析的解析數(shù)據(jù)進行數(shù)據(jù)清洗,將統(tǒng)計沒有影響的字段去掉,保留或修改影響統(tǒng)計結果的字段;步驟3)根據(jù)已知的惡意域名網(wǎng)站的黑名單和白名單,過濾掉惡意域名與非惡意域名;步驟4)根據(jù)域名字符串特征以及解析日志時間屬性,判斷域名是否為惡意域名,輸出疑似惡意域名。
【技術特征摘要】
1.一種基于域名解析的惡意域名檢測方法,包括:步驟1)獲取域名解析的請求解析數(shù)據(jù);所述域名解析的請求解析數(shù)據(jù)包括:日期、時間、訪問信息、請求IP信息、請求域名信息、解析類型、解析IP信息;步驟2)對域名解析的解析數(shù)據(jù)進行數(shù)據(jù)清洗,將統(tǒng)計沒有影響的字段去掉,保留或修改影響統(tǒng)計結果的字段;步驟3)根據(jù)已知的惡意域名網(wǎng)站的黑名單和白名單,過濾掉惡意域名與非惡意域名;步驟4)根據(jù)域名字符串特征以及解析日志時間屬性,判斷域名是否為惡意域名,輸出疑似惡意域名。2.根據(jù)權利要求1所述的惡意域名檢測方法,其特征在于,在步驟2中,是基于HADOOP分布式計算,按照域名解析的協(xié)議字段對海量域名解析的解析數(shù)據(jù)進行解析、清洗、入庫,清洗后的域名解析的解析數(shù)據(jù)包括:請求域名、CNAME、請求IP信息、解析IP信息、訪問時間,其中訪問時間精確到秒。3.根據(jù)權利要求1所述的惡意域名檢測方法,其特征在于,在步驟3中,已知的黑、白名單包括ALEXA排名前10000的域名及其子域名,以及來自國內知名安全廠商的黑白名單庫。4.根據(jù)權利要求1所述的惡意域名檢測方法,其特征在于,步驟4中,惡意域名的字符串特征,通過下述三種方式中的至少一種來判斷:域名字符長度大于設定的字符長度;域名由數(shù)字和字母混雜無序組成;域名解析具有時間上的突發(fā)性。5.根據(jù)權利要求1或4所述的惡意域名檢測方法,其特征在于,步驟4中,解析日志時間屬性,具體包括:設置域名的活躍時間段,按照設定的時間單位對域名的活躍度分布進行統(tǒng)計,活躍度越高,該域名成為惡意域名的幾率越大。6.一種基于域名解析的惡意域名檢測系統(tǒng),包括:數(shù)據(jù)采集單元,...
【專利技術屬性】
技術研發(fā)人員:房婧,孫波,李應博,李軼夫,魯驍,姜棟,張建松,蓋偉麟,姚珊,司成祥,杜雄杰,張偉,劉成,陳曉光,
申請(專利權)人:國家計算機網(wǎng)絡與信息安全管理中心,
類型:發(fā)明
國別省市:北京;11
還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。