且具有較為明確的含義��,但惡意域名一般不會(huì)被用戶主動(dòng)訪問�,其為了避免與合法域名產(chǎn)生沖突,通常會(huì)由黑客編制特定算法生成�����,經(jīng)過對(duì)大量惡意域名進(jìn)行長度特征統(tǒng)計(jì),將第一個(gè)判別模式設(shè)為為長度大于X的域名����。
[0025]模式二:域名由數(shù)字和字母混雜無序組成。通過長期對(duì)域名樣本特征統(tǒng)計(jì)發(fā)現(xiàn)��,正常域名大部分由純字母構(gòu)成�����,即使同時(shí)包含字母和數(shù)字字符���,其組織規(guī)則也比較規(guī)整�,數(shù)字和字母通常分開排列��,具有較明確的含義����,如163.com�、zhibo8.com等。但惡意域名具有生成隨機(jī)性�,很大一部分惡意域名會(huì)出現(xiàn)字符和數(shù)字混雜出現(xiàn)的情況。
[0026]模式三:域名解析具有時(shí)間上的突發(fā)性。域名在短時(shí)間內(nèi)被集中訪問�����,而在其他時(shí)間內(nèi)被請(qǐng)求解析次數(shù)極少��,我們認(rèn)為該域名在解析上具有時(shí)間上的突發(fā)性�。處于隱藏自身的考慮,大部分惡意域名通常存活時(shí)間只有幾分鐘到幾個(gè)小時(shí)��,被請(qǐng)求解析次數(shù)分布非常不均勻�,惡意域名被黑客控制者所控制大部分時(shí)間是處于未激活狀態(tài),及解析數(shù)量幾乎為0�,只有當(dāng)黑客發(fā)起攻擊指令,“肉雞”才會(huì)產(chǎn)生大量惡意域名的DNS解析請(qǐng)求�。
[0027]解析日志時(shí)間屬性,具體包括設(shè)置域名的活躍時(shí)間段�����,按照設(shè)定的時(shí)間單位對(duì)域名的活躍度分布進(jìn)行統(tǒng)計(jì)�����,活躍度越高��,該域名成為惡意域名的幾率越大。
[0028]根據(jù)模式三的理論�,我們建立的相應(yīng)的數(shù)學(xué)模型。一般情況下�����,惡意域名的活躍事件約為半小時(shí)��,也即半小時(shí)后該域名通常被棄用��。假設(shè)當(dāng)前待分析域名為Y��,設(shè)置10分鐘為一個(gè)時(shí)間單位���,對(duì)該域名的活躍度分布進(jìn)行統(tǒng)計(jì)�����,每個(gè)時(shí)間單位表示為�����,一天分為144個(gè)時(shí)間單位��,即從!\到T 144�,用COUNT (Y�����,Ti)表示Ti時(shí)間段內(nèi)域名Y被請(qǐng)求解析的次數(shù)����,在計(jì)算COUNT (Y,Ti)是綜合考慮IV1, Ti, Ti+1三個(gè)時(shí)間單位的解析次數(shù)�����,用Σ COUNT (Y�����,T J表示域名Y —天內(nèi)總共被請(qǐng)求解析的次數(shù)��,最后用Distribute (Y)來表示域名Y在短時(shí)間內(nèi)的活躍程序����,模式三所對(duì)應(yīng)的數(shù)據(jù)公式如下:
Distribute (Y)=Max (Distribute (Y,Ti) =Max (SUM(COUNT (Y���,Ti^1) + COUNT (Y�����,Ti) + COUNT (Y�����,Ti+1) ) ) / Σ k=1144 Σ COUNT (Y����,Tk),i e [I, 144]
根據(jù)定義可知��,當(dāng)Distribute (Y)取值越大表明域名Y在短時(shí)間內(nèi)活躍程度越高��,成為惡意域名的幾率也越大���。
[0029]與本發(fā)明方法實(shí)施例相對(duì)應(yīng)�����,提供了一種基于DNS解析數(shù)據(jù)的惡意域名檢測系統(tǒng)�����,包括:
數(shù)據(jù)采集單元��,用于獲取DNS解析數(shù)據(jù)��;
數(shù)據(jù)清洗單元�����,用于對(duì)DNS數(shù)據(jù)進(jìn)行清洗���,將統(tǒng)計(jì)沒有影響的字段去掉,保留或修改影響統(tǒng)計(jì)結(jié)果的字段�����;
黑白名單比對(duì)單元��,通過特征對(duì)比���,過濾掉惡意域名與非惡意域名���;
域名分析單元,用于根據(jù)域名字符串特征以及解析日志時(shí)間屬性�,判斷域名是否為惡意域名,輸出疑似惡意域名���。
[0030]在本實(shí)施例中���,數(shù)據(jù)采集單元包括DNS采集服務(wù)器��、鏡像交換機(jī)以及光電轉(zhuǎn)換設(shè)備�����。
[0031]本發(fā)明中方法的實(shí)施例采用遞進(jìn)的方式描述��,對(duì)于系統(tǒng)的實(shí)施例而言���,由于其基本相似于方法的實(shí)施例,所以描述的比較簡單����,相關(guān)之處參見方法實(shí)施例的部分說明即可。
[0032]以上顯示和描述了本發(fā)明的基本原理和主要特征和本發(fā)明的優(yōu)點(diǎn)����。本行業(yè)的技術(shù)人員應(yīng)該了解,本發(fā)明不受上述實(shí)施例的限制����,上述實(shí)施例和說明書中描述的只是說明本發(fā)明的原理�����,在不脫離本發(fā)明精神和范圍的前提下���,本發(fā)明還會(huì)有各種變化和改進(jìn),這些變化和改進(jìn)都落入要求保護(hù)的本發(fā)明范圍內(nèi)�����。本發(fā)明要求保護(hù)范圍由所附的權(quán)利要求書及其等效物界定�����。
【主權(quán)項(xiàng)】
1.一種基于DNS解析數(shù)據(jù)的惡意域名檢測方法�����,其特征在于:包括以下步驟: a.獲取DNS解析數(shù)據(jù)�; b.對(duì)DNS解析數(shù)據(jù)進(jìn)行數(shù)據(jù)清洗�,將統(tǒng)計(jì)沒有影響的字段去掉,保留或修改影響統(tǒng)計(jì)結(jié)果的字段���; c.根據(jù)已知的惡意域名網(wǎng)站黑�����、白名單���,過濾掉惡意域名與非惡意域名��; d.根據(jù)域名字符串特征以及解析日志時(shí)間屬性����,判斷域名是否為惡意域名�����,輸出疑似惡意域名�。2.根據(jù)權(quán)利要求1所述的一種基于DNS解析數(shù)據(jù)的惡意域名檢測方法,其特征在于:所述DNS解析數(shù)據(jù)包括:日期���、時(shí)間�、訪問信息����、請(qǐng)求IP信息、請(qǐng)求域名信息、解析類型和解析IP信息����。3.根據(jù)權(quán)利要求1所述的一種基于DNS解析數(shù)據(jù)的惡意域名檢測方法,其特征在于:所述數(shù)據(jù)清洗是基于HADOOP分布式計(jì)算��,按照DNS協(xié)議字段對(duì)海量DNS解析數(shù)據(jù)進(jìn)行解析�、清洗、入庫�,清洗后的DNS解析數(shù)據(jù)包括請(qǐng)求域名、CNAME��、請(qǐng)求IP信息��、解析IP信息�、訪問時(shí)間����,所述訪問時(shí)間精確到秒。4.根據(jù)權(quán)利要求1所述的一種基于DNS解析數(shù)據(jù)的惡意域名檢測方法�,其特征在于:所述的已知的惡意域名網(wǎng)站黑、白名單包括ALEX排名前10000的域名及其子域名以及來自國內(nèi)知名安全廠商的黑白名單庫��。5.根據(jù)權(quán)利要求1所述的一種基于DNS解析數(shù)據(jù)的惡意域名檢測方法�����,其特征在于:所述根據(jù)域名字符串特征以及解析日志時(shí)間屬性,判斷域名是否為惡意域名�,輸出疑似惡意域名,具體包括:域名字符長度大于X個(gè)字符�;域名由數(shù)字和字母混雜無序組成;域名解析具有時(shí)間上的突發(fā)性����。6.根據(jù)權(quán)利要求1所述的一種基于DNS解析數(shù)據(jù)的惡意域名檢測方法,其特征在于:所述解析日志時(shí)間屬性包括設(shè)置域名的活躍時(shí)間段�����,按照設(shè)定的時(shí)間單位對(duì)域名的活躍度分布進(jìn)行統(tǒng)計(jì)����。7.一種基于DNS解析數(shù)據(jù)的惡意域名檢測系統(tǒng),其特征在于:包括: 數(shù)據(jù)采集單元���,用于獲取DNS解析數(shù)據(jù)����; 數(shù)據(jù)清洗單元����,用于對(duì)DNS數(shù)據(jù)進(jìn)行清洗�����,將統(tǒng)計(jì)沒有影響的字段去掉���,保留或修改影響統(tǒng)計(jì)結(jié)果的字段; 黑白名單比對(duì)單元����,通過特征對(duì)比,過濾掉惡意域名與非惡意域名����; 域名分析單元,用于根據(jù)域名字符串特征以及解析日志時(shí)間屬性��,判斷域名是否為惡意域名���,輸出疑似惡意域名。8.根據(jù)權(quán)利要求7所述的一種基于DNS解析數(shù)據(jù)的惡意域名檢測系統(tǒng)����,其特征在于:所述數(shù)據(jù)采集單元包括DNS采集服務(wù)器�、鏡像交換機(jī)以及光電轉(zhuǎn)換設(shè)備�。
【專利摘要】本發(fā)明公開了一種基于DNS解析數(shù)據(jù)的惡意域名檢測方法及系統(tǒng),包括以下步驟:獲取DNS解析數(shù)據(jù)��、對(duì)DNS解析數(shù)據(jù)進(jìn)行數(shù)據(jù)清洗����、根據(jù)已知的惡意域名網(wǎng)站黑、白名單�����,過濾掉惡意域名與非惡意域名及根據(jù)域名字符串特征以及解析日志時(shí)間屬性���,判斷域名是否為惡意域名����,輸出疑似惡意域名�����,本發(fā)明基于HADOOP大數(shù)據(jù)分析平臺(tái)��,可以全量分析用戶的訪問域名情況�����,挖掘出潛在的惡意域名。并且��,進(jìn)一步通過分析可以確定惡意程序服務(wù)器IP地址��,可以針對(duì)IP地址進(jìn)行封殺�,還可以找出受惡意程序感染的肉雞IP,及時(shí)提醒用戶殺毒�,遏制惡意程序的擴(kuò)散。
【IPC分類】H04L29/06, H04L29/12
【公開號(hào)】CN104994117
【申請(qǐng)?zhí)枴緾N201510477268
【發(fā)明人】馬旸, 蔡冰, 俞宙, 王林汝
【申請(qǐng)人】國家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心江蘇分中心
【公開日】2015年10月21日
【申請(qǐng)日】2015年8月7日