一種基于dns解析數(shù)據(jù)的惡意域名檢測(cè)方法及系統(tǒng)的制作方法
【專利說明】
[0001]技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全應(yīng)用領(lǐng)域�����,尤其涉及一種基于DNS解析數(shù)據(jù)的惡意域名檢測(cè)方法及系統(tǒng)��。
[0002]【背景技術(shù)】:
目前�,惡意域名已經(jīng)成為國內(nèi)乃至全世界的網(wǎng)絡(luò)安全領(lǐng)域最為關(guān)注的危害之一。惡意域名也叫惡意網(wǎng)站�,是指該網(wǎng)站利用瀏覽器或者應(yīng)用軟件的漏洞,嵌入惡意代碼��,在用戶不知情的情況下���,對(duì)用戶的機(jī)器進(jìn)行篡改或破壞的網(wǎng)站�����。對(duì)于仿冒其他網(wǎng)站比如銀行網(wǎng)站����、電子商務(wù)網(wǎng)站的����,雖然未對(duì)用戶的機(jī)器進(jìn)行篡改或破壞�,但是也被定義為惡意域名����。
[0003]惡意域名能夠形成一個(gè)龐大的網(wǎng)絡(luò)體系�,通過網(wǎng)絡(luò)來控制受感染的系統(tǒng),同時(shí)不同地造成網(wǎng)絡(luò)危害�����,如更快地傳播木馬蠕蟲�、短時(shí)間內(nèi)竊取大量敏感信息、搶占系統(tǒng)資源進(jìn)行非法目的牟利�、發(fā)起大范圍的DDoS攻擊等,給危害追蹤和損失抑制帶來巨大的麻煩����。
[0004]傳統(tǒng)惡意域名檢測(cè)主要采用惡意程序逆向、DPI (深度包檢測(cè))等技術(shù)����。逆向分析是惡意程序分析的常用方法之一,在揭示惡意程序意圖以及行為方面發(fā)揮著其他方法無法比擬的作用����。逆向分析將可執(zhí)行惡意程序反匯編,通過反匯編代碼來理解其代碼功能��,從啟動(dòng)函數(shù)、函數(shù)參數(shù)傳遞�、數(shù)據(jù)結(jié)構(gòu)、控制語句�����、API等方面歸納總結(jié)惡意程序反匯編代碼的一般規(guī)律���。DPI技術(shù)即當(dāng)IP數(shù)據(jù)包�����、TCP或UDP數(shù)據(jù)流通過基于DPI技術(shù)的系統(tǒng)時(shí)����,該系統(tǒng)通過深入讀取IP包載荷的內(nèi)容來對(duì)OSI七層協(xié)議中的應(yīng)用層信息進(jìn)行重組��,從而得到整個(gè)應(yīng)用程序的內(nèi)容����,然后按照系統(tǒng)定義的策略對(duì)流量進(jìn)行操作通過特征匹配的方法,發(fā)現(xiàn)惡意程序的行為特征��。傳統(tǒng)的技術(shù)手段惡意程序逆向�����、DPI均存在實(shí)施成本高的弊端�����,重要的是����,對(duì)未知的惡意程序無能為力。
[0005]
【發(fā)明內(nèi)容】
:
針對(duì)上述問題����,本發(fā)明要解決的技術(shù)問題是提供一種基于DNS解析數(shù)據(jù)的惡意域名檢測(cè)方法及系統(tǒng)。
[0006]本發(fā)明的一種基于DNS解析數(shù)據(jù)的惡意域名檢測(cè)方法���,包括以下步驟:
a.獲取DNS解析數(shù)據(jù)�����;
b.對(duì)DNS解析數(shù)據(jù)進(jìn)行數(shù)據(jù)清洗�����,將統(tǒng)計(jì)沒有影響的字段去掉�,保留或修改影響統(tǒng)計(jì)結(jié)果的字段;
c.根據(jù)已知的惡意域名網(wǎng)站黑���、白名單�,過濾掉惡意域名與非惡意域名���;
d.根據(jù)域名字符串特征以及解析日志時(shí)間屬性�����,判斷域名是否為惡意域名��,輸出疑似惡意域名�����。
[0007]優(yōu)選的�����,所述DNS解析數(shù)據(jù)包括:日期�、時(shí)間�����、訪問信息、請(qǐng)求IP信息�、請(qǐng)求域名信息���、解析類型和解析IP信息��。
[0008]優(yōu)選的���,所述數(shù)據(jù)清洗是基于HADOOP分布式計(jì)算,按照DNS協(xié)議字段對(duì)海量DNS解析數(shù)據(jù)進(jìn)行解析�����、清洗����、入庫,清洗后的DNS解析數(shù)據(jù)包括請(qǐng)求域名�、CNAME、請(qǐng)求IP信息�����、解析IP信息、訪問時(shí)間��,所述訪問時(shí)間精確到秒��。
[0009]優(yōu)選的�,所述的已知的惡意域名網(wǎng)站黑、白名單包括ALEX排名前10000的域名及其子域名以及來自國內(nèi)知名安全廠商的黑白名單庫�。
[0010]優(yōu)選的,所述根據(jù)域名字符串特征以及解析日志時(shí)間屬性�����,判斷域名是否為惡意域名�,輸出疑似惡意域名,具體包括:域名字符長(zhǎng)度大于X個(gè)字符����;域名由數(shù)字和字母混雜無序組成;域名解析具有時(shí)間上的突發(fā)性�。
[0011]優(yōu)選的,所述解析日志時(shí)間屬性包括設(shè)置域名的活躍時(shí)間段�,按照設(shè)定的時(shí)間單位對(duì)域名的活躍度分布進(jìn)行統(tǒng)計(jì)。
[0012]本發(fā)明的一種基于DNS解析數(shù)據(jù)的惡意域名檢測(cè)系統(tǒng)�����,包括:
數(shù)據(jù)采集單元,用于獲取DNS解析數(shù)據(jù)��;
數(shù)據(jù)清洗單元��,用于對(duì)DNS數(shù)據(jù)進(jìn)行清洗����,將統(tǒng)計(jì)沒有影響的字段去掉�,保留或修改影響統(tǒng)計(jì)結(jié)果的字段;
黑白名單比對(duì)單元�,通過特征對(duì)比,過濾掉惡意域名與非惡意域名���;
域名分析單元���,用于根據(jù)域名字符串特征以及解析日志時(shí)間屬性,判斷域名是否為惡意域名���,輸出疑似惡意域名����。
[0013]優(yōu)選的�,所述數(shù)據(jù)采集單元包括DNS采集服務(wù)器、鏡像交換機(jī)以及光電轉(zhuǎn)換設(shè)備。
[0014]本發(fā)明有益效果:基于HADOOP大數(shù)據(jù)分析平臺(tái)�,可以全量分析用戶的訪問域名情況,挖掘出潛在的惡意域名�����。并且���,進(jìn)一步通過分析可以確定惡意程序服務(wù)器IP地址����,可以針對(duì)IP地址進(jìn)行封殺���,此外����,還可以找出受惡意程序感染的肉雞IP���,及時(shí)提醒用戶殺毒����,遏制惡意程序的擴(kuò)散�����。
[0015]【附圖說明】:
為了易于說明,本發(fā)明由下述的具體實(shí)施及附圖作以詳細(xì)描述���。
[0016]圖1是本發(fā)明基于DNS數(shù)據(jù)的惡意域名分析方法的業(yè)務(wù)流程圖����;
圖2是本發(fā)明基于DNS數(shù)據(jù)的惡意域名分析方法的數(shù)據(jù)流程圖�����;
圖3是本發(fā)明基于DNS數(shù)據(jù)的惡意域名分析方法的數(shù)據(jù)清洗的流程示意圖���;
圖4是本發(fā)明基于DNS數(shù)據(jù)的惡意域名分析系統(tǒng)的結(jié)構(gòu)示意圖。
[0017]【具體實(shí)施方式】:
為使本發(fā)明的目的����、技術(shù)方案和優(yōu)點(diǎn)更加清楚明了,下面通過附圖中示出的具體實(shí)施例來描述本發(fā)明����。但是應(yīng)該理解,這些描述只是示例性的���,而并非要限制本發(fā)明的范圍����。此夕卜,在以下說明中�,省略了對(duì)公知結(jié)構(gòu)和技術(shù)的描述,以避免不必要地混淆本發(fā)明的概念��。
[0018]如圖1-4所示���,本實(shí)施例的一種基于DNS解析數(shù)據(jù)的惡意域名檢測(cè)方法����,包括以下步驟:
a.獲取DNS解析數(shù)據(jù)���;
b.對(duì)DNS解析數(shù)據(jù)進(jìn)行數(shù)據(jù)清洗�,將統(tǒng)計(jì)沒有影響的字段去掉��,保留或修改影響統(tǒng)計(jì)結(jié)果的字段����;
c.根據(jù)已知的惡意域名網(wǎng)站黑、白名單�,過濾掉惡意域名與非惡意域名�;
d.根據(jù)域名字符串特征以及解析日志時(shí)間屬性�,判斷域名是否為惡意域名,輸出疑似惡意域名����。
[0019]本實(shí)施例步驟a中,DNS解析數(shù)據(jù)包括:日期���、時(shí)間���、訪問信息、請(qǐng)求IP信息�����、請(qǐng)求域名信息���、解析類型和解析IP信息。
[0020]本實(shí)施例步驟b中�����,數(shù)據(jù)清洗是基于HADOOP分布式計(jì)算�����,按照DNS協(xié)議字段對(duì)海量DNS解析數(shù)據(jù)進(jìn)行解析、清洗��、入庫�����,將日志中對(duì)于統(tǒng)計(jì)沒有影響的字段去掉�����,保留或修改影響統(tǒng)計(jì)結(jié)果的字段���。具體算法如下圖2所示�����。
[0021]將DNS解析數(shù)據(jù)提交到實(shí)現(xiàn)Mapper接口類的Map方法���。基于HADOOP分布式計(jì)算���,Map方法在多臺(tái)機(jī)器上并行計(jì)算�,Map方法的主要功能是根據(jù)輸入的日志信息,將有效的字段輸出���。輸出的的格式為KEY+\t+VALUE����。
[0022]清洗前的DNS解析數(shù)據(jù)包括:日期�����、時(shí)間�����、訪問信息�、請(qǐng)求IP信息、請(qǐng)求域名信息�����、解析類型����、解析IP信息����;
清洗后的DNS解析數(shù)據(jù)包括:請(qǐng)求域名����、CNAME���、請(qǐng)求IP信息�、解析IP信息及訪問時(shí)間�����,其中訪問時(shí)間精確到秒�。
[0023]在本實(shí)施例步驟c中,黑白名單比對(duì)單元包括ALEX排名前10000的域名及其子域名以及來自國內(nèi)知名安全廠商的黑白名單庫�����,主要實(shí)現(xiàn)對(duì)海量域名的初步過濾���,降低樣本率��。
[0024]在本實(shí)施例步驟d中��,通過對(duì)域名字符特征以及訪問特征進(jìn)行分析��,輸出疑似惡意域名����。具體包括:
模式一:域名字符長(zhǎng)度大于X個(gè)字符。為了便于用戶的訪問�,正常域名一般不會(huì)過長(zhǎng)而