本发明专利技术提供了一种基于域名解析的恶意域名检测方法和系统,该方法包括:获取域名解析的请求解析数据,对域名解析的解析数据进行数据清洗,根据已知的恶意域名网站黑、白名单,过滤掉恶意域名与非恶意域名;再根据域名字符串特征以及解析日志时间属性,判断域名是否为恶意域名,输出疑似恶意域名。本发明专利技术基于HADOOP大数据分析平台,可以全量分析用户的访问域名情况,挖掘出潜在的恶意域名。并且,进一步通过分析可以确定恶意程序服务器IP地址,可以针对IP地址进行封杀,此外,还可以找出受恶意程序感染的肉鸡IP,及时提醒用户杀毒,遏制恶意程序的扩散。
【技术实现步骤摘要】
本专利技术涉及网络安全应用领域,尤其涉及一种基于域名解析的恶意域名检测方法与系统。
技术介绍
目前,恶意域名已经成为国内乃至全世界的网络安全领域最为关注的危害之一。恶意域名也叫恶意网站,是指该网站利用浏览器或者应用软件的漏洞,嵌入恶意代码,在用户不知情的情况下,对用户的机器进行篡改或破坏的网站。对于弹出插件或提示用户是否将其设为首页的网站,因为需要用户确认,则不被定义为恶意域名。对于内容不合法、不健康的网站,如果它并未对用户的机器进行篡改或破坏,也不被定义为恶意域名。但是对于仿冒其他网站比如银行网站、电子商务网站的,虽然未对用户的机器进行篡改或破坏,但是也被定义为恶意域名。恶意域名往往与木马传播、僵尸网络、网络钓鱼等恶意行为伴生,攻击者借助恶意域名能够发起各种各样的破坏行为,由于平台的搭建使得这些破坏行为产生聚合,造成比传统破坏行为更大的危害,并且使得攻击的防范难度增大。恶意域名能够形成一个庞大的网络体系,通过网络来控制受感染的系统,同时不同地造成网络危害,如更快地传播木马蠕虫、短时间内窃取大量敏感信息、抢占系统资源进行非法目的牟利、发起大范围的DDoS攻击等,给危害追踪和损失抑制带来巨大的麻烦。传统恶意域名检测主要采用恶意程序逆向、DPI(深度包检测)等技术。逆向分析是恶意程序分析的常用方法之一,在揭示恶意程序意图以及行为方面发挥着其他方法无法比拟的作用。逆向分析将可执行恶意程序反汇编,通过反汇编代码来理解其代码功能,从启动函数、函数参数传递、数据结构、控制语句、API等方面归纳总结恶意程序反汇编代码的一般规律, 逆向分析原程序思路,全面或重点掌握恶意程序行为,从中分析出其他方法无法发现的证据或线索。DPI技术即深度包检测技术是一种基于应用层的流量检测和控制技术,当IP数据包、TCP或UDP数据流通过基于DPI技术的系统时,该系统通过深入读取IP包载荷的内容来对OSI七层协议中的应用层信息进行重组,从而得到整个应用程序的内容,然后按照系统定义的策略对流量进行操作。DPI技术通过特征匹配的方法,发现恶意程序的行为特征。传统的技术手段恶意程序逆向、DPI(深度包检测)均存在实施成本高的弊端,重要的是,对未知的恶意程序无能为力。
技术实现思路
本专利技术所要解决的技术问题是提供一种基于域名解析的解析数据的恶意域名检测方法和系统,用于大规模发现恶意域名。相对于传统的程序逆向、DPI等基于内容的检测技术,基于域名解析的数据的恶意域名检测技术具有部署简单、覆盖范围广、匹配精确等独特优势。本专利技术解决上述技术问题所采取的技术方案如下:一种基于域名解析的解析数据的恶意域名检测方法,包括:步骤1)获取域名解析的请求解析数据;所述域名解析的请求解析数据包括:日期、时间、访问信息、请求IP信息、请求域名信息、解析类型、解析IP信息;步骤2)对域名解析的解析数据进行数据清洗,将统计没有影响的字段去掉,保留或修改影响统计结果的字段;步骤3)根据已知的恶意域名网站黑、白名单,过滤掉恶意域名与非恶意域名;步骤4)根据域名字符串特征以及解析日志时间属性,判断域名是否为恶意域名,输出疑似恶意域名。进一步地,优选的是,步骤2中,基于HADOOP分布式计算,按照域名解析的协议字段对海量域名解析的解析数据进行解析、清洗、入库,清 洗后的域名解析的解析数据包括:请求域名、CNAME、请求IP信息、解析IP信息、访问时间,其中访问时间精确到秒。进一步地,优选的是,步骤3中,通过已知的恶意域名网站黑、白名单,过滤掉恶意域名与非恶意域名,提高算法检测效率。已知的黑白名单包括ALEXA排名前10000的域名及其子域名,以及来自国内知名安全厂商的黑白名单库。进一步地,优选的是,步骤4中,根据域名字符串特征以及解析日志时间属性,判断域名是否为恶意域名,输出疑似恶意域名。具体包括:模式一:域名字符长度大于设定的字符长度;模式二:域名由数字和字母混杂无序组成;模式三:域名解析具有时间上的突发性。进一步地,优选的是,步骤4中,解析日志时间属性,具体包括:设置域名的活跃时间段,按照设定的时间单位对域名的活跃度分布进行统计,活跃度越高,该域名成为恶意域名的几率越大。一种基于域名解析的解析数据的恶意域名检测系统,包括:数据采集单元,用于获取域名解析的请求解析数据;所述域名解析的请求解析数据包括:日期、时间、访问信息、请求IP信息、请求域名信息、解析类型、解析IP信息;数据清洗单元,用于对域名解析的数据进行清洗,将统计没有影响的字段去掉,保留或修改影响统计结果的字段;域名黑白名单库,通过特征对比,过滤掉恶意域名与非恶意域名;域名分析单元,用于根据域名字符串特征以及解析日志时间属性,判断域名是否为恶意域名,输出疑似恶意域名。优选的是,所述数据采集单元,通过架设域名解析的流量采集服务器、镜像交换机以及光电转换等设备,实现域名解析的请求解析数据的采集汇聚。优选的是,所述数据清洗单元,基于HADOOP分布式计算,按照域名解析的协议字段对海量域名解析的解析数据进行解析、清洗、入库,清洗后的域名解析的解析数据包括:请求域名|CNAME|请求IP信息|解析IP信 息|访问时间,其中访问时间精确到秒。优选的是,所述域名分析单元,根据域名字符串特征以及解析日志时间属性,判断域名是否为恶意域名,输出疑似恶意域名。具体包括:模式一:域名字符长度大于设定的字符长度;模式二:域名由数字和字母混杂无序组成;模式三:域名解析具有时间上的突发性。优选的是,所述域名分析单元,解析日志时间属性,具体包括:设置域名的活跃时间段,按照设定的时间单位对域名的活跃度分布进行统计,活跃度越高,该域名成为恶意域名的几率越大。本专利技术采取了上述方案以后,基于HADOOP大数据分析平台,可以全量分析用户的访问域名情况,挖掘出潜在的恶意域名。并且,进一步通过分析可以确定恶意程序服务器IP地址,可以针对IP地址进行封杀,此外,还可以找出受恶意程序感染的肉鸡IP,及时提醒用户杀毒,遏制恶意程序的扩散。本专利技术的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本专利技术而了解。本专利技术的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。附图说明图1是本专利技术基于域名解析的数据的恶意域名分析方法的业务流程图;图2是本专利技术基于域名解析的数据的恶意域名分析方法的数据流程图;图3是本专利技术基于域名解析的数据的恶意域名分析方法的数据清洗的流程示意图;图4是本专利技术基于域名解析的数据的恶意域名分析系统的结构示意图。具体实施方式以下将结合附图及实施例来详细说明本专利技术的实施方式,借此对本专利技术如何应用技术手段来解决技术问题,并达成技术效果的实现过程能充分理 解并据以实施。需要说明的是,只要不构成冲突,本专利技术中的各个实施例以及各实施例中的各个特征可以相互结合,所形成的技术方案均在本专利技术的保护范围之内。基于上述问题,本专利技术基于大数据分析平台HADOOP,结合域名解析的解析数据,分析恶意域名共同特征,找出疑似恶意域名,挖掘出相对完整的恶意域名全景图。其中,本技术方案依托于HADOOP大数据分析平台,依赖域名解析的解析数据。参照图1、图2所示,本专利技术的具体方案由以下步骤组成:一种基于域名解本文档来自技高网...
【技术保护点】
一种基于域名解析的恶意域名检测方法,包括:步骤1)获取域名解析的请求解析数据;所述域名解析的请求解析数据包括:日期、时间、访问信息、请求IP信息、请求域名信息、解析类型、解析IP信息;步骤2)对域名解析的解析数据进行数据清洗,将统计没有影响的字段去掉,保留或修改影响统计结果的字段;步骤3)根据已知的恶意域名网站的黑名单和白名单,过滤掉恶意域名与非恶意域名;步骤4)根据域名字符串特征以及解析日志时间属性,判断域名是否为恶意域名,输出疑似恶意域名。
【技术特征摘要】
1.一种基于域名解析的恶意域名检测方法,包括:步骤1)获取域名解析的请求解析数据;所述域名解析的请求解析数据包括:日期、时间、访问信息、请求IP信息、请求域名信息、解析类型、解析IP信息;步骤2)对域名解析的解析数据进行数据清洗,将统计没有影响的字段去掉,保留或修改影响统计结果的字段;步骤3)根据已知的恶意域名网站的黑名单和白名单,过滤掉恶意域名与非恶意域名;步骤4)根据域名字符串特征以及解析日志时间属性,判断域名是否为恶意域名,输出疑似恶意域名。2.根据权利要求1所述的恶意域名检测方法,其特征在于,在步骤2中,是基于HADOOP分布式计算,按照域名解析的协议字段对海量域名解析的解析数据进行解析、清洗、入库,清洗后的域名解析的解析数据包括:请求域名、CNAME、请求IP信息、解析IP信息、访问时间,其中访问时间精确到秒。3.根据权利要求1所述的恶意域名检测方法,其特征在于,在步骤3中,已知的黑、白名单包括ALEXA排名前10000的域名及其子域名,以及来自国内知名安全厂商的黑白名单库。4.根据权利要求1所述的恶意域名检测方法,其特征在于,步骤4中,恶意域名的字符串特征,通过下述三种方式中的至少一种来判断:域名字符长度大于设定的字符长度;域名由数字和字母混杂无序组成;域名解析具有时间上的突发性。5.根据权利要求1或4所述的恶意域名检测方法,其特征在于,步骤4中,解析日志时间属性,具体包括:设置域名的活跃时间段,按照设定的时间单位对域名的活跃度分布进行统计,活跃度越高,该域名成为恶意域名的几率越大。6.一种基于域名解析的恶意域名检测系统,包括:数据采集单元,...
【专利技术属性】
技术研发人员:房婧,孙波,李应博,李轶夫,鲁骁,姜栋,张建松,盖伟麟,姚珊,司成祥,杜雄杰,张伟,刘成,陈晓光,
申请(专利权)人:国家计算机网络与信息安全管理中心,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。