僵尸網(wǎng)絡(luò)惡意域名的分布式協(xié)同檢測(cè)系統(tǒng)和方法
【專利摘要】本發(fā)明公開了一種僵尸網(wǎng)絡(luò)的分布式協(xié)同檢測(cè)系統(tǒng)和方法，所述檢測(cè)系統(tǒng)由多個(gè)協(xié)同檢測(cè)的對(duì)等節(jié)點(diǎn)組成，并通過(guò)HDFS來(lái)共享文件；每個(gè)節(jié)點(diǎn)包括DNS日志分割模塊、域名查詢周期性分析模塊、白名單過(guò)濾模塊、協(xié)同分析模塊、HDFS模塊和黑名單查詢模塊。檢測(cè)方法是以各DNS服務(wù)器的DNS日志作為輸入，在各節(jié)點(diǎn)對(duì)本地DNS日志按查詢者IP地址進(jìn)行分割，并通過(guò)HDFS進(jìn)行共享文件，使得同一IP地址的所有DNS行為都能夠被一個(gè)節(jié)點(diǎn)所獲取，易于判斷對(duì)應(yīng)的IP地址查詢的每個(gè)域名的查詢周期性，從而在白名單過(guò)慮后能夠判斷其是否屬于惡意域名，該查詢者IP是否屬于僵尸網(wǎng)絡(luò)主機(jī)。同時(shí)，本發(fā)明還提供完整IP黑名單和域名黑名單的查詢。
【專利說(shuō)明】僵尸網(wǎng)絡(luò)惡意域名的分布式協(xié)同檢測(cè)系統(tǒng)和方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域的僵尸網(wǎng)絡(luò)惡意域名檢測(cè)系統(tǒng)和方法，尤其涉及一種僵尸網(wǎng)絡(luò)惡意域名的分布式協(xié)同檢測(cè)系統(tǒng)和方法。
【背景技術(shù)】
[0002]計(jì)算機(jī)網(wǎng)絡(luò)是當(dāng)今社會(huì)最為重要的信息設(shè)施，隨著社會(huì)的高速發(fā)展，人們對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的要求也越來(lái)越高。僵尸網(wǎng)絡(luò)(Botnet)是指攻擊者制造并傳播僵尸程序以控制大量主機(jī)(通常所說(shuō)的僵尸機(jī)或肉雞)，利用命令和控制(Co_and and Control,C&C)通道組織成的網(wǎng)絡(luò)，僵尸網(wǎng)絡(luò)經(jīng)常被用于發(fā)起分布式拒絕服務(wù)(DistributedDenial-of-Service, DDoS)攻擊、發(fā)送垃圾郵件、傳播或托管惡意代碼和釣魚網(wǎng)站,或者實(shí)施身份信息竊取等攻擊。近年來(lái)，僵尸網(wǎng)絡(luò)已對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全和社會(huì)經(jīng)濟(jì)構(gòu)成了極大的威脅，成為網(wǎng)絡(luò)安全領(lǐng)域的重要問(wèn)題，僵尸網(wǎng)絡(luò)攻擊相關(guān)的網(wǎng)絡(luò)刑事案件也頻頻出現(xiàn)于各種媒體之上。
[0003]現(xiàn)有的基于網(wǎng)絡(luò)通信監(jiān)測(cè)的僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)和方法，大多基于對(duì)僵尸網(wǎng)絡(luò)C&C通信常用的互聯(lián)網(wǎng)中繼聊天 IRC (Internet Relay Chat)和 HTTP (hypertext transportprotocol)協(xié)議分析，以及僵尸網(wǎng)絡(luò)感染主機(jī)的攻擊等異常行為的檢測(cè)?？傮w看來(lái)，在現(xiàn)有的技術(shù)中，僵尸網(wǎng)絡(luò)檢測(cè)機(jī)制大多是對(duì)于特定監(jiān)測(cè)點(diǎn)的流量特征和行為特征進(jìn)行分析，局限于僵尸網(wǎng)絡(luò)在特定區(qū)域的活動(dòng)。然而，僵尸網(wǎng)絡(luò)普遍具有克隆和遷移的現(xiàn)象，在一個(gè)監(jiān)測(cè)點(diǎn)的僵尸網(wǎng)絡(luò)可能通過(guò)操作系統(tǒng)和軟件漏洞等途徑，傳播到另一個(gè)監(jiān)測(cè)點(diǎn)的網(wǎng)絡(luò)中。因此，將分布在不同地區(qū)的監(jiān)測(cè)點(diǎn)聯(lián)合起來(lái)進(jìn)行協(xié)同檢測(cè)是快速、準(zhǔn)確地發(fā)現(xiàn)和跟蹤僵尸網(wǎng)絡(luò)的有效手段。
[0004]Hadoop 分布式文件系統(tǒng) HDFS (Hadoop Distributed File System)被設(shè)計(jì)成適合運(yùn)行在通用硬件(commodity hardware)上的分布式文件系統(tǒng)。HDFS是一個(gè)高容錯(cuò)性的系統(tǒng)，適合部署在廉價(jià)的機(jī)器上。HDFS能夠提供高吞吐量的數(shù)據(jù)訪問(wèn)，非常適合大規(guī)模數(shù)據(jù)集上的應(yīng)用。
[0005]因此，本發(fā)明致力于提供一種結(jié)合特定監(jiān)測(cè)點(diǎn)的流量特征與行為特征的僵尸網(wǎng)絡(luò)惡意域名分布式協(xié)同檢測(cè)系統(tǒng)與檢測(cè)方法。

【發(fā)明內(nèi)容】

[0006]有鑒于現(xiàn)有的僵尸網(wǎng)絡(luò)檢測(cè)方法的缺陷，本發(fā)明提出了一種僵尸網(wǎng)絡(luò)的分布式協(xié)同檢測(cè)系統(tǒng)和方法，利用HDFS將分布在不同監(jiān)測(cè)點(diǎn)通過(guò)分析域名查詢周期性的僵尸網(wǎng)絡(luò)檢測(cè)程序結(jié)合，實(shí)現(xiàn)分布式協(xié)同檢測(cè)，從而提高僵尸網(wǎng)絡(luò)檢測(cè)和跟蹤的效率和準(zhǔn)確性。
[0007]為實(shí)現(xiàn)上述目的，本發(fā)明提供了一種僵尸網(wǎng)絡(luò)惡意域名的分布式協(xié)同檢測(cè)系統(tǒng)，其特征在于，所述檢測(cè)系統(tǒng)包括多個(gè)協(xié)同檢測(cè)的對(duì)等節(jié)點(diǎn)，所述節(jié)點(diǎn)通過(guò)HDFS分布式文件系統(tǒng)共享文件；所述節(jié)點(diǎn)包括:
[0008]DNS日志分割模塊:用于將相同IP的查詢者的DNS日志分割到所述HDFS分布式文件系統(tǒng)的同一 DNS日志文件中；
[0009]域名查詢周期性分析模塊:分析DNS日志文件中對(duì)某一域名的查詢是否具有周期性；
[0010]白名單過(guò)濾模塊:過(guò)濾已知的合法域名；
[0011]協(xié)同分析模塊:通過(guò)所述HDFS分布式文件系統(tǒng)實(shí)現(xiàn)獲取其他所述節(jié)點(diǎn)的分析結(jié)果，協(xié)同分析判斷:某一域名是否是惡意域名和某一 IP地址是否是僵尸主機(jī)地址；
[0012]HDFS模塊:用于實(shí)現(xiàn)所述HDFS分布式文件系統(tǒng)；
[0013]黑名單查詢模塊:用于查詢發(fā)布的黑名單。
[0014]一種使用所述檢測(cè)系統(tǒng)的僵尸網(wǎng)絡(luò)的分布式協(xié)同檢測(cè)方法，其特征在于，所述檢測(cè)系統(tǒng)的每個(gè)所述節(jié)點(diǎn)通過(guò)共享所述HDFS分布式文件系統(tǒng)進(jìn)行僵尸網(wǎng)絡(luò)的分布式協(xié)同檢測(cè)，所述檢測(cè)系統(tǒng)的一個(gè)所述節(jié)點(diǎn)通過(guò)所述HDFS分布式文件系統(tǒng)的檢測(cè)方法包括:
[0015]步驟一，將通過(guò)所述節(jié)點(diǎn)輸入的DNS日志通過(guò)所述節(jié)點(diǎn)內(nèi)的所述DNS日志分割模塊進(jìn)行分割，并且根據(jù)域名查詢者的IP地址，將IP地址相同的DNS日志通過(guò)所述HDFS模塊分類存儲(chǔ)到所述HDFS分布式文件系統(tǒng)的同一 DNS日志文件中；
[0016]步驟二，對(duì)存儲(chǔ)到所述HDFS分布式文件系統(tǒng)中的DNS日志文件進(jìn)行分配和標(biāo)識(shí)，以達(dá)到一個(gè)DNS日志文件由所述檢測(cè)系統(tǒng)中的一個(gè)所述節(jié)點(diǎn)負(fù)責(zé)處理分析；
[0017]步驟三，過(guò)濾已知的合法域名:通過(guò)所述白名單過(guò)濾模塊對(duì)DNS日志文件中的合法域名進(jìn)行過(guò)濾；
[0018]步驟四，在所述域名查詢周期性模塊中生產(chǎn)查詢行為對(duì)象:對(duì)過(guò)濾后的DNS日志文件，將每一條DNS日志生成一個(gè)查詢行為；
[0019]步驟五，在所述域名查詢周期性模塊中，對(duì)所述查詢行為以查詢者的IP地址為關(guān)鍵字進(jìn)行分析，得出該查詢者IP地址的主機(jī)活動(dòng)時(shí)間；
[0020]步驟六，在所述域名查詢周期性模塊中，對(duì)所述節(jié)點(diǎn)中的所有所述查詢行為以查詢者IP地址和查詢域名為關(guān)鍵字進(jìn)行統(tǒng)計(jì)分析，得出查詢行為中的可疑查詢，并將所述可疑查詢的查詢行為通過(guò)所述HFDS模塊記錄入所述HDFS分布式文件系統(tǒng)的灰名單中；
[0021]步驟七，在所述協(xié)同分析模塊中判斷所述HDSF分布式文件系統(tǒng)中的灰名單中的查詢行為是否是僵尸主機(jī)對(duì)惡意域名的查詢，并將判斷出的查詢，并將判斷出的查詢域名和查詢IP寫入黑名單。
[0022]進(jìn)一步地，所述步驟二中，有負(fù)責(zé)節(jié)點(diǎn)的DNS日志文件使用負(fù)責(zé)節(jié)點(diǎn)名稱來(lái)進(jìn)行文件標(biāo)識(shí)，沒有負(fù)責(zé)節(jié)點(diǎn)的DNS日志文件使用NULL來(lái)進(jìn)行文件標(biāo)識(shí)。
[0023]進(jìn)一步地，所述查詢行為包括查詢者IP地址、查詢域名和查詢時(shí)間。
[0024]進(jìn)一步地，所述步驟五中，所述IP地址的主機(jī)活動(dòng)時(shí)間確定是通過(guò)對(duì)同一查詢者IP地址的域名查詢行為按照查詢時(shí)間進(jìn)行排序，通過(guò)計(jì)算相鄰查詢行為的時(shí)間間隔，根據(jù)選定的時(shí)間間隔Λ τ，相鄰查詢行為的時(shí)間間隔大于ΛΤ所對(duì)應(yīng)的查詢行為的查詢時(shí)間作為已排序的域名查詢行為的分割點(diǎn)，分割出所述IP地址的主機(jī)的活動(dòng)時(shí)間。
[0025]進(jìn)一步地，選定的所述時(shí)間間隔Λ T的值位于所述相鄰查詢行為的最小時(shí)間間隔和最大時(shí)間間隔之間。
[0026]進(jìn)一步地，所述步驟六中，對(duì)所述節(jié)點(diǎn)中的所有查詢行為以查詢者IP地址和查詢域名為關(guān)鍵字進(jìn)行的統(tǒng)計(jì)分析包括:統(tǒng)計(jì)同一所述關(guān)鍵字中的查詢行為的數(shù)量，得到一段活動(dòng)期內(nèi)查詢一個(gè)域名的次數(shù)；對(duì)所述IP地址的主機(jī)活動(dòng)時(shí)間內(nèi)的同一組所述關(guān)鍵字的查詢行為按查詢時(shí)間排序；計(jì)算排序后的相鄰查詢行為的查詢時(shí)間間隔、平均查詢時(shí)間間隔、標(biāo)準(zhǔn)差和變異系數(shù)；通過(guò)所述排序后的相鄰查詢行為的查詢時(shí)間間隔、所述平均查詢時(shí)間間隔、所述標(biāo)準(zhǔn)差和變異系數(shù)判斷出所述可疑查詢。
[0027]進(jìn)一步地，在所述步驟七中，所述協(xié)同分析模塊通過(guò)統(tǒng)計(jì)每五分鐘內(nèi)灰名單中對(duì)域名進(jìn)行查詢的所有IP地址數(shù)量nip,和所在網(wǎng)段數(shù)nnet,計(jì)算重復(fù)系數(shù)r=nip/nnet,來(lái)判斷所述HDSF分布式文件系統(tǒng)中的灰名單中的查詢行為是否是僵尸主機(jī)對(duì)惡意域名的查詢。
[0028]進(jìn)一步地，在所述步驟七中，還包括選定常數(shù)NIP、NNET、R，當(dāng)域名的nip>NIP且nnet<NNET且r>R時(shí)，所述域名和查詢所述域名的IP地址被判定為惡意域名和僵尸主機(jī)。
[0029]進(jìn)一步地，所述HDFS分布式文件系統(tǒng)對(duì)黑名單的處理是滿足過(guò)期機(jī)制的。
[0030]本發(fā)明的基于域名查詢周期性的僵尸網(wǎng)絡(luò)惡意域名分布式協(xié)同檢測(cè)系統(tǒng)和方法，將分布在不同節(jié)點(diǎn)的僵尸網(wǎng)絡(luò)檢測(cè)程序利用HDFS聯(lián)系起來(lái)。本發(fā)明以DNS日志文件為輸入，進(jìn)行按查詢者IP地址為key的日志文件劃分，使同一查詢者IP的記錄被劃分在同一文件中，并通過(guò)HDFS來(lái)實(shí)現(xiàn)單個(gè)分割結(jié)果的共享，從而，同一查詢者IP地址的DNS日志記錄將匯聚到同一個(gè)節(jié)點(diǎn)進(jìn)行分析，該節(jié)點(diǎn)掌握了該IP地址主機(jī)的全部行為，易于判斷檢測(cè)該IP主機(jī)查詢的域名是否存在周期性，從而發(fā)現(xiàn)該IP地址的主機(jī)是否屬于僵尸網(wǎng)絡(luò)主機(jī)，查詢的域名是否是惡意域名。同時(shí)，本發(fā)明通過(guò)HDFS進(jìn)行文件共享，在任意一個(gè)節(jié)點(diǎn)上都能方便查詢到黑名單的全部?jī)?nèi)容。本發(fā)明基于域名查詢周期性實(shí)現(xiàn)多個(gè)節(jié)點(diǎn)的協(xié)同檢測(cè)，可提供更廣泛和全面的主機(jī)行為辨識(shí)，提高僵尸網(wǎng)絡(luò)檢測(cè)和跟蹤的效率和準(zhǔn)確性。
[0031]以下將結(jié)合附圖對(duì)本發(fā)明的構(gòu)思、具體結(jié)構(gòu)及產(chǎn)生的技術(shù)效果作進(jìn)一步說(shuō)明，以充分地了解本發(fā)明的目的、特征和效果。
【專利附圖】

【附圖說(shuō)明】
[0032]圖1是本發(fā)明的一個(gè)較佳實(shí)施例中的基于域名查詢周期性的僵尸網(wǎng)絡(luò)惡意域名分布式協(xié)同檢測(cè)系統(tǒng)的結(jié)構(gòu)示意圖；
[0033]圖2是本發(fā)明的一個(gè)較佳實(shí)施例中的基于域名查詢周期性的僵尸網(wǎng)絡(luò)惡意域名分布式協(xié)同檢測(cè)系統(tǒng)節(jié)點(diǎn)結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0034]下面結(jié)合附圖對(duì)本發(fā)明的實(shí)施例作詳細(xì)說(shuō)明:本實(shí)施例在以本發(fā)明技術(shù)方案前提下進(jìn)行實(shí)施，給出了詳細(xì)的實(shí)施方式和具體的操作過(guò)程，但本發(fā)明的保護(hù)范圍不限于下述的實(shí)施例。
[0035]本發(fā)明的僵尸網(wǎng)絡(luò)惡意域名的分布式協(xié)同檢測(cè)系統(tǒng)的一個(gè)較佳實(shí)施例中，檢測(cè)系統(tǒng)由多個(gè)協(xié)同檢測(cè)的對(duì)等節(jié)點(diǎn)組成，通過(guò)HDFS分布式文件系統(tǒng)來(lái)進(jìn)行文件共享，其結(jié)構(gòu)如圖1所示。本發(fā)明的檢測(cè)系統(tǒng)的每個(gè)節(jié)點(diǎn)以DNS日志為輸入；與每個(gè)節(jié)點(diǎn)接口可以接口多個(gè)查詢客戶端，也可以不連接查詢客戶端。節(jié)點(diǎn)在不連接查詢客戶端時(shí)，該節(jié)點(diǎn)僅用于數(shù)據(jù)存儲(chǔ)和協(xié)同檢測(cè)。
[0036]本發(fā)明的一個(gè)較佳實(shí)施例的的分布式協(xié)同檢測(cè)系統(tǒng)的節(jié)點(diǎn)結(jié)構(gòu)如圖2所示，包括:
[0037]DNS日志分割模塊:用于將從查詢客戶端輸入的DNS日志，按照查詢者的IP地址，將IP地址相同的DNS日志分割到HDFS分布式文件系統(tǒng)的同一 DNS日志文件中；
[0038]域名查詢周期性分析模塊:用于判斷DNS日志文件中對(duì)某一域名的查詢是否具有周期性；
[0039]白名單過(guò)濾模塊:用于對(duì)DNS日志文件中的合法域名進(jìn)行過(guò)濾；
[0040]協(xié)同分析模塊:節(jié)點(diǎn)可以利用HDFS分布式文件系統(tǒng)獲取其他節(jié)點(diǎn)的分析結(jié)果，協(xié)同分析判斷IP地址是否為僵尸主機(jī)地址，某一域名是否為惡意域名，生成黑名單；
[0041 ] HDFS模塊:用于實(shí)現(xiàn)HDFS分布式文件系統(tǒng)；
[0042]黑名單查詢模塊:用于查詢發(fā)布的黑名單。
[0043]進(jìn)一步地，本發(fā)明的僵尸網(wǎng)絡(luò)的分布式協(xié)同檢測(cè)方法是利用本發(fā)明的僵尸網(wǎng)絡(luò)的分布式協(xié)同檢測(cè)系統(tǒng)，檢測(cè)系統(tǒng)的每個(gè)節(jié)點(diǎn)通過(guò)共享HDFS分布式文件系統(tǒng)進(jìn)行僵尸網(wǎng)絡(luò)的分布式協(xié)同檢測(cè)，檢測(cè)系統(tǒng)的一個(gè)節(jié)點(diǎn)通過(guò)HDFS分布式文件系統(tǒng)的檢測(cè)方法包括:
[0044]步驟一，查詢客戶端通過(guò)各個(gè)節(jié)點(diǎn)輸入DNS日志，節(jié)點(diǎn)通過(guò)各自的DNS日志分割模塊對(duì)DNS日志進(jìn)行分割，按照域名查詢者的IP地址，將IP地址相同的DNS日志分類通過(guò)HDFS模塊分類存儲(chǔ)到HDFS分布式文件系統(tǒng)的同一 DNS日志文件中。
[0045]步驟二，對(duì)存儲(chǔ)到所述HDFS分布式文件系統(tǒng)中的DNS日志文件進(jìn)行分配和標(biāo)識(shí)，以達(dá)到一個(gè)DNS日志文件由所述檢測(cè)系統(tǒng)中的一個(gè)所述節(jié)點(diǎn)負(fù)責(zé)處理分析:
[0046]HDFS分布式文件系統(tǒng)將DNS日志文件分配給對(duì)應(yīng)的節(jié)點(diǎn)來(lái)負(fù)責(zé)分析，并將該DNS日志文件的文件標(biāo)識(shí)為對(duì)應(yīng)的節(jié)點(diǎn)名稱，如果DNS日志文件沒有對(duì)應(yīng)的負(fù)責(zé)節(jié)點(diǎn)，則將該DNS日志文件標(biāo)識(shí)為NULL。各個(gè)節(jié)點(diǎn)在自身的DNS日志輸入操作時(shí)，DNS日志分割模塊添加原來(lái)沒有的文件記錄，把文件標(biāo)識(shí)設(shè)為該節(jié)點(diǎn)名稱，執(zhí)行完畢后，對(duì)所有修改過(guò)的HDFS中的DNS日志文件，修改原有的記錄把其文件標(biāo)識(shí)改為NULL ；
[0047]對(duì)于檢測(cè)系統(tǒng)中存在的空閑節(jié)點(diǎn)，即節(jié)點(diǎn)沒有對(duì)應(yīng)的負(fù)責(zé)分析的DNS日志文件，那么如果檢測(cè)系統(tǒng)中的DNS日志文件均有對(duì)應(yīng)節(jié)點(diǎn)負(fù)責(zé)分析，那么空閑節(jié)點(diǎn)保持空閑狀態(tài)；如果檢測(cè)系統(tǒng)中的存在有沒有對(duì)應(yīng)節(jié)點(diǎn)負(fù)責(zé)的DNS日志文件，則將該沒有對(duì)應(yīng)節(jié)點(diǎn)負(fù)責(zé)的DNS日志文件分配給該空閑節(jié)點(diǎn)負(fù)責(zé)，并將該DNS日志文件標(biāo)識(shí)改為空閑節(jié)點(diǎn)名稱。
[0048]步驟三，過(guò)濾已知的合法域名:通過(guò)節(jié)點(diǎn)內(nèi)的白名單過(guò)過(guò)濾模塊對(duì)DNS日志文件中的合法域名進(jìn)行過(guò)濾。
[0049]步驟四，在域名查詢周期性模塊中生產(chǎn)查詢行為對(duì)象:對(duì)過(guò)濾后的DNS日志文件，在域名查詢周期性模塊中，將每一條DNS記錄生成一個(gè)有查詢者IP地址、查詢域名和查詢時(shí)間組成的查詢行為。
[0050]步驟五，在域名查詢周期性模塊中，對(duì)查詢行為以查詢者的IP地址為關(guān)鍵字進(jìn)行分析，得出該查詢者IP地址的主機(jī)活動(dòng)時(shí)間:
[0051]首先，對(duì)同一查詢者IP地址的一組域名查詢行為的所有查詢域名按照查詢時(shí)間進(jìn)行排序；
[0052]其次，對(duì)排序后的這組域名查詢行為計(jì)算查詢間隔時(shí)間，相鄰的查詢行為的時(shí)間間隔為Λ T[i]=Ti+1 - Ti，其中i是排序后的查詢行為的序號(hào)，i=l, 2，3...，Ti為第i個(gè)查詢行為的查詢時(shí)間，Ti+1為第i+Ι個(gè)查詢行為的查詢時(shí)間；[0053]最后，選定一個(gè)時(shí)間間隔Λ T:Δ T是一個(gè)經(jīng)驗(yàn)產(chǎn)值，通過(guò)調(diào)查計(jì)算機(jī)用戶兩次使用計(jì)算機(jī)的間隔時(shí)間，選取一個(gè)較小的時(shí)間作為Λ T0本發(fā)明的Λ T的值位于相鄰查詢行為的最小時(shí)間間隔和最大時(shí)間間隔之間。將計(jì)算出的相鄰查詢行為的時(shí)間間隔Λ T[i]與Δ T相比較，當(dāng)相鄰查詢行為的時(shí)間間隔大于Λ T時(shí)，該IP地址的主機(jī)處于關(guān)機(jī)狀態(tài)，因此把得到的所有相鄰查詢行為的時(shí)間間隔大于ΛΤ所對(duì)應(yīng)的查詢行為的序號(hào)作為已排序的域名查詢行為的分割點(diǎn)，分割出該IP地址的主機(jī)的活動(dòng)時(shí)間。
[0054]步驟六，在域名查詢周期性模塊中，對(duì)查詢行為以查詢者IP地址和查詢域名為關(guān)鍵字進(jìn)行統(tǒng)計(jì)分析，得出查詢行為中的可疑查詢，并將可疑查詢的查詢行為通過(guò)HFDS模塊記錄入HDFS分布式文件系統(tǒng)的灰名單:
[0055]首先，對(duì)節(jié)點(diǎn)中的所有域名查詢行為重新以查詢者IP地址，查詢域名為關(guān)鍵字，統(tǒng)計(jì)同一關(guān)鍵字的查詢行為的數(shù)量，得到一段活動(dòng)期內(nèi)查詢一個(gè)域名的次數(shù)count ；
[0056]其次，在相對(duì)應(yīng)的查詢IP地址的主機(jī)活動(dòng)時(shí)間內(nèi)，對(duì)同一組關(guān)鍵字的所有查詢行為按查詢時(shí)間進(jìn)行排序，排序后計(jì)算查詢同一域名的查詢間隔時(shí)間，相鄰的查詢同一域名的查詢行為的查詢時(shí)間間隔:Λ Tl[m]=Tffl+1 - Tm，其中m是排序后的查詢同一域名的查詢行
為的序號(hào)，m=0, 1, 2，3...n，計(jì)算平均查詢時(shí)間間隔
【權(quán)利要求】
1.一種僵尸網(wǎng)絡(luò)惡意域名的分布式協(xié)同檢測(cè)系統(tǒng)，其特征在于，所述檢測(cè)系統(tǒng)包括多個(gè)協(xié)同檢測(cè)的對(duì)等節(jié)點(diǎn)，所述節(jié)點(diǎn)通過(guò)HDFS分布式文件系統(tǒng)共享文件；所述節(jié)點(diǎn)包括: DNS日志分割模塊:用于將相同IP的查詢者的DNS日志分割到所述HDFS分布式文件系統(tǒng)的同一 DNS日志文件中； 域名查詢周期性分析模塊:分析DNS日志文件中對(duì)某一域名的查詢是否具有周期性； 白名單過(guò)濾模塊:過(guò)濾已知的合法域名； 協(xié)同分析模塊:通過(guò)所述HDFS分布式文件系統(tǒng)實(shí)現(xiàn)獲取其他所述節(jié)點(diǎn)的分析結(jié)果，協(xié)同分析判斷:某一域名是否是惡意域名和某一 IP地址是否是僵尸主機(jī)地址； HDFS模塊:用于實(shí)現(xiàn)所述HDFS分布式文件系統(tǒng)； 黑名單查詢模塊:用于查詢發(fā)布的黑名單。
2.一種使用如權(quán)利要求1所述檢測(cè)系統(tǒng)的僵尸網(wǎng)絡(luò)的分布式協(xié)同檢測(cè)方法，其特征在于，所述檢測(cè)系統(tǒng)的每個(gè)所述節(jié)點(diǎn)通過(guò)共享所述HDFS分布式文件系統(tǒng)進(jìn)行僵尸網(wǎng)絡(luò)的分布式協(xié)同檢測(cè)，所述檢測(cè)系統(tǒng)的一個(gè)所述節(jié)點(diǎn)通過(guò)所述HDFS分布式文件系統(tǒng)的檢測(cè)方法包括: 步驟一，將通過(guò)所述節(jié)點(diǎn)輸入的DNS日志通過(guò)所述節(jié)點(diǎn)內(nèi)的所述DNS日志分割模塊進(jìn)行分割，并且根據(jù)域名查詢者的IP地址，將IP地址相同的DNS日志通過(guò)所述HDFS模塊分類存儲(chǔ)到所述HDFS分布式文件系統(tǒng)的同一 DNS日志文件中； 步驟二，對(duì)存儲(chǔ)到所述HDFS分布式文件系統(tǒng)中的DNS日志文件進(jìn)行分配和標(biāo)識(shí)，以達(dá)到一個(gè)DNS日志文件由所述檢測(cè)系統(tǒng)中的一個(gè)所述節(jié)點(diǎn)負(fù)責(zé)處理分析； 步驟三,過(guò)濾已知的合法域名:通過(guò)所述白名單過(guò)濾模塊對(duì)DNS日志文件中的合法域名進(jìn)行過(guò)濾；` 步驟四，在所述域名查詢周期性模塊中生產(chǎn)查詢行為對(duì)象:對(duì)過(guò)濾后的DNS日志文件，將每一條DNS日志生成一個(gè)查詢行為； 步驟五，在所述域名查詢周期性模塊中，對(duì)所述查詢行為以查詢者的IP地址為關(guān)鍵字進(jìn)行分析，得出該查詢者IP地址的主機(jī)活動(dòng)時(shí)間； 步驟六，在所述域名查詢周期性模塊中，對(duì)所述節(jié)點(diǎn)中的所有所述查詢行為以查詢者IP地址和查詢域名為關(guān)鍵字進(jìn)行統(tǒng)計(jì)分析，得出查詢行為中的可疑查詢，并將所述可疑查詢的查詢行為通過(guò)所述HFDS模塊記錄入所述HDFS分布式文件系統(tǒng)的灰名單中； 步驟七，在所述協(xié)同分析模塊中判斷所述HDSF分布式文件系統(tǒng)中的灰名單中的查詢行為是否是僵尸主機(jī)對(duì)惡意域名的查詢，并將判斷出的查詢，并將判斷出的查詢域名和查詢IP寫入黑名單。
3.如權(quán)利要求2所述的一種僵尸網(wǎng)絡(luò)的分布式協(xié)同檢測(cè)方法，其中，所述步驟二中，有負(fù)責(zé)節(jié)點(diǎn)的DNS日志文件使用負(fù)責(zé)節(jié)點(diǎn)名稱來(lái)進(jìn)行文件標(biāo)識(shí)，沒有負(fù)責(zé)節(jié)點(diǎn)的DNS日志文件使用NULL來(lái)進(jìn)行文件標(biāo)識(shí)。
4.如權(quán)利要求2所述的一種僵尸網(wǎng)絡(luò)的分布式協(xié)同檢測(cè)方法，其中，所述查詢行為包括查詢者IP地址、查詢域名和查詢時(shí)間。
5.如權(quán)利要求2所述的一種僵尸網(wǎng)絡(luò)的分布式協(xié)同檢測(cè)方法，其中，所述步驟五中，所述IP地址的主機(jī)活動(dòng)時(shí)間確定是通過(guò)對(duì)同一查詢者IP地址的域名查詢行為按照查詢時(shí)間進(jìn)行排序，通過(guò)計(jì)算相鄰查詢行為的時(shí)間間隔，根據(jù)選定的時(shí)間間隔AT，相鄰查詢行為的時(shí)間間隔大于Λτ所對(duì)應(yīng)的查詢行為的查詢時(shí)間作為已排序的域名查詢行為的分割點(diǎn)，分割出所述IP地址的主機(jī)的活動(dòng)時(shí)間。
6.如權(quán)利要去5所述的一種僵尸網(wǎng)絡(luò)的分布式協(xié)同檢測(cè)方法，其中，選定的所述時(shí)間間隔Λ T的值位于所述相鄰查詢行為的最小時(shí)間間隔和最大時(shí)間間隔之間。
7.如權(quán)利要求6所述的一種僵尸網(wǎng)絡(luò)的分布式協(xié)同檢測(cè)方法，其中，所述步驟六中，對(duì)所述節(jié)點(diǎn)中的所有查詢行為以查詢者IP地址和查詢域名為關(guān)鍵字進(jìn)行的統(tǒng)計(jì)分析包括:統(tǒng)計(jì)同一所述關(guān)鍵字中的查詢行為的數(shù)量，得到一段活動(dòng)期內(nèi)查詢一個(gè)域名的次數(shù)；對(duì)所述IP地址的主機(jī)活動(dòng)時(shí)間內(nèi)的同一組所述關(guān)鍵字的查詢行為按查詢時(shí)間排序；計(jì)算排序后的相鄰查詢行為的查詢時(shí)間間隔、平均查詢時(shí)間間隔、標(biāo)準(zhǔn)差和變異系數(shù)；通過(guò)所述排序后的相鄰查詢行為的查詢時(shí)間間隔、所述平均查詢時(shí)間間隔、所述標(biāo)準(zhǔn)差和變異系數(shù)判斷出所述可疑查詢。
8.如權(quán)利要求2所述的一種僵尸網(wǎng)絡(luò)的分布式協(xié)同檢測(cè)方法，其中，在所述步驟七中，所述協(xié)同分析模塊通過(guò)統(tǒng)計(jì)每五分鐘內(nèi)灰名單中對(duì)域名進(jìn)行查詢的所有IP地址數(shù)量nip，和所在網(wǎng)段數(shù)nnet,計(jì)算重復(fù)系數(shù)r=nip/nnet,來(lái)判斷所述HDSF分布式文件系統(tǒng)中的灰名單中的查詢行為是否是僵尸主機(jī)對(duì)惡意域名的查詢。
9.如權(quán)利要求8所述的一種僵尸網(wǎng)絡(luò)的分布式協(xié)同檢測(cè)方法，其中，在所述步驟七中，還包括選定常數(shù)NIP、NNET、R，當(dāng)域名的nip>NIP且nnet〈NNET且r>R時(shí)，所述域名和查詢所述域名的IP地址被判定為惡意域名和僵尸主機(jī)。
10.如權(quán)利要求2所述的一種僵尸網(wǎng)絡(luò)的分布式協(xié)同檢測(cè)方法，其中，所述HDFS分布式文件系統(tǒng)對(duì)黑名單的處 理是滿足過(guò)期機(jī)制的。
【文檔編號(hào)】H04L29/12GK103685230SQ201310534381
【公開日】2014年3月26日 申請(qǐng)日期:2013年11月1日 優(yōu)先權(quán)日:2013年11月1日
【發(fā)明者】鄒福泰, 潘思遠(yuǎn), 易平, 李建華 申請(qǐng)人:上海交通大學(xué)