一种基于Netflow及DNS日志的僵尸网络检测方法技术

本发明专利技术公开了一种基于Netflow和DNS日志的僵尸网络检测方法，包括：通过异常流量监测技术对采集到的Netflow数据进行五元组关联分析，分析出运营商网络的被感染主机的IP地址、被感染主机的IP地址所发起的攻击目标的IP地址以及攻击特征；在DNS服务器上，采集DNS查询请求日志,对多个被感染主机的IP地址在攻击运营商网络期间所发起的域名请求情况进行关联分析，查找到共性域名访问记录并排除正常的共性域名，得到FFSN动态恶意域名。本发明专利技术可快速定位FFSN动态恶意域名，极大的提高了FFSN动态恶意域名的定位精度与实效性，降低了误判率。

【技术实现步骤摘要】
一种基于Netflow及DNS日志的僵尸网络检测方法
本专利技术涉及网络安全领域，具体涉及一种基于Netflow和DNS日志的僵尸网络检测方法。
技术介绍
Fast-Flux用于为一个合法域名(例如flux.example.com)分配多个(几百个甚至几千个)IP地址，这些IP地址的更换频率非常快，通过一个轮转的IP地址资源库及对特定的DNS域名资源设置具有短生命周期的解析映射实现。网站域名可以以每三分钟的间隔指定新的IP地址，当浏览器连接这些相同的网站时，可能实际上连接到的是不同的被感染主机。随着FFSN僵尸网络不断进化以及针对DNS流量攻击的隐蔽性增强和攻击形式的层出不穷，现有的Netflow流量分析方案仅能够检测出基于FFSN网络发起的DDos(DistributedDenialofService,分布式拒绝服务)攻击的源IP地址、目标IP地址及攻击特征，但无法发现控制FFSN网络的控制域名，现有的基于DNS日志分析方案通过DGA算法查找异常域名，但此种方法误判率较高，无法精准定位FFSN动态恶意域名。有鉴于此，急需提高现有僵尸网络检测方法定位FFSN动态恶意域名的定位精度，降低误判率。
技术实现思路
本专利技术所要解决的技术问题是提高现有僵尸网络检测方法定位FFSN动态恶意域名的定位精度，降低误判率。为了解决上述技术问题，本专利技术所采用的技术方案是提供一种基于Netflow和DNS日志的僵尸网络检测方法，包括以下步骤：通过异常流量监测技术对采集到的Netflow数据进行五元组关联分析，快速分析出运营商网络的被感染主机的IP地址、被感染主机的IP地址所发起的攻击目标的IP地址以及攻击特征；在DNS服务器上，采集DNS查询请求日志,对多个被感染主机的IP地址在攻击运营商网络期间所发起的域名请求情况进行关联分析，查找到共性域名访问记录并排除正常的共性域名，得到FFSN动态恶意域名。在上述技术方案中，通过对DNS多级域名进行限速与防护实现对所述FFSN动态恶意域名的限速或封堵。在上述技术方案中，用户再次访问所述FFSN动态恶意域名时，对域名解析的结果进行重定向，将用户的HTTP访问流量重定向至Portal提示页面。在上述技术方案中，通过设置域名白名单，对查找到的所述共性域名访问记录进行白名单过滤，排除正常的共性域名。在上述技术方案中，通过分光采集方式或镜像采集方式采集所述DNS查询请求日志。在上述技术方案中，利用FP-growth算法对多个被感染主机的IP地址在攻击运营商网络期间所发起的域名请求情况进行关联分析。在上述技术方案中，包括通过对所述DNS查询请求日志的请求域名字段进行切分，提取获得多个被感染用户的IP地址在发起攻击期间所访问的域名集合以及基于DNS查询请求的时间序列分析出多个被感染用户的IP地址的域名访问路径，从而查找到僵尸网络。在上述技术方案中，基于Hadoop集群实时处理数据。在上述技术方案中，所述攻击特征包括攻击协议、源端口、目的端口和数据包大小。本专利技术通过异常流量监测技术对采集到的Netflow数据进行五元组关联分析，快速分析出运营商网络的被感染主机的IP地址、被感染主机的IP地址所发起的攻击目标的IP地址以及攻击特征，对被感染主机的IP地址在攻击运营商网络期间所发起的域名请求情况进行关联分析，可快速定位FFSN动态恶意域名，极大的提高了FFSN动态恶意域名的定位精度与实效性，降低了误判率。附图说明图1为本专利技术的一种基于Netflow和DNS日志的僵尸网络检测方法流程图；图2为本专利技术的通过设置域名白名单对共性域名访问记录进行白名单过滤的示意图。具体实施方式现有的僵尸网络检测方法通常采用某一维度的检测技术，对FFSN动态恶意域名的识别准确率较低，定位效果不佳，而本专利技术针对Botnet及Fast-Flux等FFSN网络所产生的大量DDoS攻击，提供了一种基于Netflow和DNS日志的僵尸网络检测方法，采用多维度(包括源IP地址、源端口、目的IP地址、目的端口和协议类型)的融合检测技术，可自动检测FFSN动态恶意域名，极大的提高了FFSN动态恶意域名的定位精度与实效性，并且从源头抑制了FFSN网络的蔓延，减少了运营商及用户的基础网络设施的带宽拥塞、拒绝服务时长与发生几率，保障了互联网基础网络设施安全，避免受到大规模DDoS攻击，同时，减少了因FFSN网络受到DDoS攻击所造成的损失，提升运营商及客户网络服务感知。下面结合说明书附图和具体实施方式对本专利技术做出详细的说明。本专利技术实施例提供了一种基于Netflow和DNS日志的僵尸网络检测方法，如图1所示，包括以下步骤：S1、对异常攻击流量进行自动化监测：通过异常流量监测技术采集路由器输出的Netflow数据，并对采集到的Netflow数据进行五元组(源IP地址、源端口、目的IP地址、目的端口和传输层协议)关联分析，快速分析出运营商网络的被感染主机的IP地址、被感染主机的IP地址所发起的攻击目标的IP地址以及攻击特征(攻击协议、端口和数据包大小等)等相关信息。S2、在DNS服务器上，采集DNS查询请求日志,对多个被感染主机的IP地址进行关联分析，通过分析多个被感染主机的IP地址在攻击运营商网络期间所发起的域名请求情况，查找到共性域名访问记录，排除正常的共性域名即可得到FFSN动态恶意域名。基于步骤S1中分析运营商网络得到的相关信息，在DNS服务器上，通过分光采集方式或镜像采集方式采集DNS查询请求日志，镜像采集方式具体为：在DNS服务器的上联交换机通过端口镜像方式将DNS请求及应答包进行抓包，采集DNS日志信息，DNS日志信息包括时间戳、用户访问源IP、用户请求域名、域名解析IP和域名解析类型等几个字段，以供后续分析及关联使用。对多个被感染主机的IP地址进行关联分析包括获取多个被感染用户的IP地址在发起攻击期间所访问的域名集合和对多个被感染用户的IP地址的域名访问路径进行查询，其中，获取多个被感染用户的IP地址在发起攻击期间所访问的域名集合具体为：在被感染主机的IP地址向运营商网络发起攻击期间，通常被感染主机的IP地址会在攻击开始前5分钟通过FastFlux域名向主控端查询获取攻击目标IP地址及攻击特征以发起异常攻击行为，再通过对DNS查询请求日志的请求域名字段进行切分，提取获得被感染用户的IP地址在发起攻击期间所访问的域名集合，例如www.qq.com\www.baidu.com\www.sina.com\flux.example.com等等。对DNS查询请求日志进行日志切分，例如，DNS查询请求日志切分后格式如下20161013105323|202.105.82.**|www.qq.com|14.123.12.11,14.123.12.12|0，各字段分别代表时间戳|源IP|请求域名|域名解析IP|解析类型。对多个被感染用户的IP地址的域名访问路径进行查询具体为：基于DNS查询请求的时间序列可以分析出多个被感染用户的IP地址的域名访问路径，例如在时间戳20161013121201发起域名www.evilexample.com的访问请求,在时间戳20161013121203发起域名flux.example.com的访问请求，时间戳20161本文档来自技高网...

【技术保护点】
一种基于Netflow和DNS日志的僵尸网络检测方法，其特征在于，包括以下步骤：通过异常流量监测技术对采集到的Netflow数据进行五元组关联分析，快速分析出运营商网络的被感染主机的IP地址、被感染主机的IP地址所发起的攻击目标的IP地址以及攻击特征；在DNS服务器上，采集DNS查询请求日志,对多个被感染主机的IP地址在攻击运营商网络期间所发起的域名请求情况进行关联分析，查找到共性域名访问记录并排除正常的共性域名，得到FFSN动态恶意域名。

【技术特征摘要】
1.一种基于Netflow和DNS日志的僵尸网络检测方法，其特征在于，包括以下步骤：通过异常流量监测技术对采集到的Netflow数据进行五元组关联分析，快速分析出运营商网络的被感染主机的IP地址、被感染主机的IP地址所发起的攻击目标的IP地址以及攻击特征；在DNS服务器上，采集DNS查询请求日志,对多个被感染主机的IP地址在攻击运营商网络期间所发起的域名请求情况进行关联分析，查找到共性域名访问记录并排除正常的共性域名，得到FFSN动态恶意域名。2.如权利要求1所述的方法，其特征在于，通过对DNS多级域名进行限速与防护实现对所述FFSN动态恶意域名的限速或封堵。3.如权利要求1所述的方法，其特征在于，用户再次访问所述FFSN动态恶意域名时，对域名解析的结果进行重定向，将用户的HTTP访问流量重定向至Portal提示页面。4.如权利要求1所述的方法，...

【专利技术属性】
技术研发人员：刘洋，
申请(专利权)人：广州赛讯信息技术有限公司，
类型：发明
国别省市：广东,44