專利名稱:一種僵尸網(wǎng)絡(luò)域名的檢測(cè)與處理方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種域名檢測(cè)與處理方法及系統(tǒng)�,特別涉及一種僵尸網(wǎng)絡(luò)域名的檢測(cè)與處理。
背景技術(shù):
隨著社會(huì)信息化的發(fā)展�����,互聯(lián)網(wǎng)已經(jīng)深入到社會(huì)生活的各個(gè)方面�����。因此���,互聯(lián)網(wǎng)面臨的安全攻擊也愈發(fā)頻繁和嚴(yán)重。而作為互聯(lián)網(wǎng)最基本的尋址協(xié)議���,DNS是幾乎所有互聯(lián)網(wǎng)應(yīng)用得以順利開展的基礎(chǔ)���,而其在設(shè)計(jì)之初未能充分考慮安全保障的缺陷及其完全開放的特點(diǎn)也使其成為各種惡意應(yīng)用首選的攻擊目標(biāo)或工具。僵尸網(wǎng)絡(luò)就是一種危害及其嚴(yán)重的互聯(lián)網(wǎng)惡意攻擊模式��,而為了隱藏僵尸網(wǎng)絡(luò)的控制和命令端�,DNS成為僵尸網(wǎng)絡(luò)近些年來(lái)進(jìn)行通信的主流形式。其主要形式為Fast-flux服務(wù)網(wǎng)絡(luò)技術(shù)�����,F(xiàn)ast-flux服務(wù)網(wǎng)絡(luò)是由一些被控制的計(jì)算機(jī)系統(tǒng)組成,這些計(jì)算機(jī)系統(tǒng)的公共DNS記錄在持續(xù)變化����,甚至有些時(shí)候每隔幾分鐘就變化一次。這種DNS記錄不斷變化的機(jī)制致使犯罪行為的追蹤和阻斷更為困難�����。因此�����,如何通過檢測(cè)手段��,從DNS查詢?nèi)罩局刑崛〗┦W(wǎng)絡(luò)域名�����,進(jìn)行阻斷和隔離以打擊僵尸網(wǎng)絡(luò)犯罪的同時(shí)��,對(duì)僵尸域名進(jìn)行采集��,進(jìn)行其行為研究非常必要。
發(fā)明內(nèi)容
本發(fā)明的目的是解決現(xiàn)有技術(shù)中僵尸網(wǎng)絡(luò)域名的檢測(cè)及處理的不足�����,提出適合僵尸網(wǎng)絡(luò)環(huán)境的域名特征��,然后通過機(jī)器學(xué)習(xí)手段�,到達(dá)從正常數(shù)據(jù)中提取僵尸網(wǎng)絡(luò)域名進(jìn)而進(jìn)行處理。為了到達(dá)上述目的�����,本發(fā)明的技術(shù)方案如下:一種僵尸網(wǎng)絡(luò)域名的檢測(cè)與處理方法��,其步驟包括:I)對(duì)待檢測(cè)的網(wǎng)絡(luò)域名進(jìn)行日志查詢�,得到域名查詢?nèi)罩居涗洸⑤斎氲綑z測(cè)端Π ����;2)根據(jù)所述域名查詢?nèi)罩居涗浱崛〉玫接蛎卣鳎瑢?duì)所述域名特征進(jìn)行機(jī)器學(xué)習(xí)����;3)通過所述機(jī)器學(xué)習(xí)后提取出線上域名日志和/或本地域名日志中僵尸網(wǎng)絡(luò)域名;4)建立所述僵尸網(wǎng)絡(luò)域名數(shù)據(jù)庫(kù)通過黑洞權(quán)威服務(wù)器進(jìn)行阻斷�����,完成處理。所述域名特征為:域名每日相似性��、域名每小時(shí)重復(fù)模式�����、域名查詢IP分布���、域名查詢類型數(shù)量�、域名典型RR查詢比例和域名有效字符串長(zhǎng)度比例�����。所述機(jī)器學(xué)習(xí)可通過如下方法實(shí)現(xiàn):Bagging, Naive Bayes classifier和k—Nearest Neighbor algorithm���。所述黑洞權(quán)威服務(wù)器阻斷僵尸網(wǎng)絡(luò)傳播的方法是:4-1)當(dāng)所述遞歸服務(wù)器查詢所述僵尸網(wǎng)絡(luò)域名時(shí)����,頂級(jí)服務(wù)器響應(yīng)的NS記錄中包含該黑洞權(quán)威服務(wù)器的地址��;4-2)該遞歸服務(wù)器再次向黑洞權(quán)威服務(wù)器發(fā)起DNS查詢時(shí)���,所述黑洞權(quán)威服務(wù)器通過環(huán)回地址的方式阻止查詢�����。所述域名每日平均相似性計(jì)算方法如下:
權(quán)利要求
1.一種僵尸網(wǎng)絡(luò)域名的檢測(cè)與處理方法�,其步驟包括: 1)對(duì)待檢測(cè)的網(wǎng)絡(luò)域名進(jìn)行日志查詢,得到域名查詢?nèi)罩居涗洸⑤斎氲綑z測(cè)端口���; 2)根據(jù)所述域名查詢?nèi)罩居涗浱崛〉玫接蛎卣?,?duì)所述域名特征進(jìn)行機(jī)器學(xué)習(xí)��; 3)通過所述機(jī)器學(xué)習(xí)后提取出線上域名日志和/或本地域名日志中僵尸網(wǎng)絡(luò)域名����; 4)建立所述僵尸網(wǎng)絡(luò)域名數(shù)據(jù)庫(kù)通過黑洞權(quán)威服務(wù)器進(jìn)行阻斷����,完成處理。
2.如權(quán)利要求1所述的僵尸網(wǎng)絡(luò)域名的檢測(cè)與處理方法����,其特征在于,所述域名特征為:域名每日相似性��、域名每小時(shí)重復(fù)模式、域名查詢IP分布����、域名查詢類型數(shù)量、域名典型RR查詢比例和域名有效字符串長(zhǎng)度比例�����。
3.如權(quán)利要求1所述的僵尸網(wǎng)絡(luò)域名的檢測(cè)與處理方法���,其特征在于��,所述機(jī)器學(xué)習(xí)可通過如下方法實(shí)現(xiàn):Bagging, Naive Bayes Classifier 和 k-Nearest Neighboralgorithm��。
4.如權(quán)利要求1所述的僵尸網(wǎng)絡(luò)域名的檢測(cè)與處理方法���,其特征在于,所述黑洞權(quán)威服務(wù)器阻斷僵尸網(wǎng)絡(luò)傳播的方法是: 4-1)當(dāng)所述遞歸服務(wù)器查詢所述僵尸網(wǎng)絡(luò)域名時(shí)����,頂級(jí)服務(wù)器響應(yīng)的NS記錄中包含該黑洞權(quán)威服務(wù)器的地址; 4-2)該遞歸服務(wù)器再次向黑洞權(quán)威服務(wù)器發(fā)起DNS查詢時(shí)�����,所述黑洞權(quán)威服務(wù)器通過環(huán)回地址的方式阻止查詢。
5.如權(quán)利要求2述的僵尸網(wǎng)絡(luò)域名的檢測(cè)與處理方法��,其特征在于����,所述域名每日平均相似性計(jì)算方法如下:
6.如權(quán)利要求2所述的僵尸網(wǎng)絡(luò)域名的檢測(cè)與處理方法,其特征在于�����,所述典型RR的查詢比例中查詢類型為:A��、AAAA����、NS和MX。
7.如權(quán)利要求2所述的僵尸網(wǎng)絡(luò)域名的檢測(cè)與處理方法��,其特征在于�,所述域名有效字符串長(zhǎng)度比例通過計(jì)算連續(xù)字母和連續(xù)數(shù)字長(zhǎng)度之和占據(jù)域名總長(zhǎng)度的比例得到�����。
8.一種僵尸網(wǎng)絡(luò)域名的檢測(cè)與處理系統(tǒng)���,包括: 用于輸入域名查詢?nèi)罩镜妮斎肽K和輸出僵尸網(wǎng)絡(luò)域名的輸出模塊�����,和連接所述輸入模塊和輸出模塊的實(shí)時(shí)校驗(yàn)?zāi)K����,所述實(shí)時(shí)校驗(yàn)?zāi)K用于所述僵尸網(wǎng)絡(luò)域名提取并對(duì)該些僵尸網(wǎng)絡(luò)域名進(jìn)行機(jī)器學(xué)習(xí),以及用于阻斷僵尸網(wǎng)絡(luò)傳播的處置模塊���; 所述實(shí)時(shí)校驗(yàn)?zāi)K根據(jù)僵尸網(wǎng)絡(luò)域名特征對(duì)所述僵尸網(wǎng)絡(luò)進(jìn)行域名提取�。
所述處置模塊由至少一黑洞權(quán)威服務(wù)器組成����。
9.如權(quán)利要求8所述的僵尸網(wǎng)絡(luò)域名的檢測(cè)與處理系統(tǒng),其特征在于���,所述處置模塊中黑洞權(quán)威服務(wù)器還連接:DNS中遞歸服務(wù)器和頂級(jí)權(quán)威服務(wù)器��。
10.如權(quán)利要求8所述的僵尸網(wǎng)絡(luò)域名的檢測(cè)與處理系統(tǒng)����,其特征在于�,所述實(shí)時(shí)校驗(yàn)?zāi)K中用于所述僵尸網(wǎng)絡(luò)域名提取特征為:域名每日相似性��、域名每小時(shí)重復(fù)模式�����、域名查詢IP分布����、域名查詢類型數(shù)量�、域名典型RR查詢比例和域名有效字符串長(zhǎng)度比例。
全文摘要
本發(fā)明涉及一種僵尸網(wǎng)絡(luò)域名的檢測(cè)與處理方法與系統(tǒng)���,由輸入模塊�����、輸出模塊�、實(shí)時(shí)校驗(yàn)?zāi)K和處置模塊的組成的系統(tǒng)�����,其方法為1)對(duì)待檢測(cè)的網(wǎng)絡(luò)域名進(jìn)行日志查詢�����,得到域名查詢?nèi)罩居涗洸⑤斎氲綑z測(cè)端口��;2)根據(jù)所述域名查詢?nèi)罩居涗浱崛〉玫接蛎卣?����,?duì)所述域名特征進(jìn)行機(jī)器學(xué)習(xí)����;3)通過所述機(jī)器學(xué)習(xí)后提取出線上域名日志和/或本地域名日志中僵尸網(wǎng)絡(luò)域名;4)建立所述僵尸網(wǎng)絡(luò)域名數(shù)據(jù)庫(kù)通過黑洞權(quán)威服務(wù)器進(jìn)行阻斷��,完成處理��。本發(fā)明能夠從DNS查詢?nèi)罩局刑崛〗┦W(wǎng)絡(luò)域名��,進(jìn)行阻斷和隔離以打擊僵尸網(wǎng)絡(luò)犯罪的同時(shí)����,對(duì)僵尸域名進(jìn)行采集,有效阻止了僵尸主機(jī)利用域名連接控制端進(jìn)而接收惡意指令的網(wǎng)絡(luò)不良行為�。
文檔編號(hào)H04L12/26GK103152442SQ20131003920
公開日2013年6月12日 申請(qǐng)日期2013年1月31日 優(yōu)先權(quán)日2013年1月31日
發(fā)明者延志偉 申請(qǐng)人:中國(guó)科學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)信息中心