一种基于规则的恶意域名所属DGA家族的检测方法技术
A detection method of DGA family belonging to a rule-based malicious domain name
The present invention relates to the field of network security APT detection, which aims to provide a detection method for a rule-based DGA family belonging to a malicious domain name. This rule based DGA family detection method is used to analyze and detect the malicious domain names, and identify the DGA family of the infected viruses in the network. The invention features calculation by abnormal domain for short time bots in the large number of requests, the matching domain features rules to compute DGA algorithm to generate results with known, quickly identify a current computer network equipment in infected bots related family of DGA type, conducive to subsequent attacks tracing and bots cleanup remedies.
【技术实现步骤摘要】
一种基于规则的恶意域名所属DGA家族的检测方法
本专利技术是关于网络安全APT(AdvancedPersistentThreat,高级持续性威胁)检测领域,特别涉及一种基于规则的恶意域名所属DGA家族的检测方法。
技术介绍
域名系统(DomainNameSystem,DNS),互联网业务的重要基础设施之一,作为域名和IP地址相互映射的一个分布式数据库,使用户更加方便的连接、访问互联网,而不用去记住能够被机器直接读取的IP地址数字串。当前大多数互联网应用在开展具体的业务前,都需要利用域名系统完成从域名到IP地址的寻址转换。作为网络安全领域研究方向之一的Botnet(僵尸网络,是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序,属于恶意程序,例如:蠕虫或者木马病毒等),从而在控制者和被感染主机之间所形成的一个可一对多控制的网络),大部分还是在利用DNS进行资源获取、进行服务器定位、接收指令等。为了提高自身的生存能力,以及达到更好的隐藏和灵活效果,延长生存时间,这些Botnet利用了一些逃避检测技术:DGA域名生成算法(DomainGenerationAlg...
【技术保护点】
一种基于规则的恶意域名所属DGA家族的检测方法,用于对恶意域名进行分析与检测,识别网络中被攻击的计算机设备所感染病毒的DGA家族的种类,其特征在于,所述基于规则的恶意域名所属DGA家族的检测方法包括下述步骤:步骤一:在互联网上收集DGA算法相关的资料,以及获得由这些DGA算法生成的域名样例;步骤二:对每个DGA算法,选取将要分析的域名集合特征,最终形成一个总的特征列表,对每一种DGA算法选择至少一个训练样本,对特征列表里的每一个特征,计算和归纳出训练样本对应的特征值,最终形成一个特征矩阵,具体包括下述子步骤:步骤(2A):将步骤一中每一个DGA算法在一个时间段里生成的域名集...
【技术特征摘要】
1.一种基于规则的恶意域名所属DGA家族的检测方法,用于对恶意域名进行分析与检测,识别网络中被攻击的计算机设备所感染病毒的DGA家族的种类,其特征在于,所述基于规则的恶意域名所属DGA家族的检测方法包括下述步骤:步骤一:在互联网上收集DGA算法相关的资料,以及获得由这些DGA算法生成的域名样例;步骤二:对每个DGA算法,选取将要分析的域名集合特征,最终形成一个总的特征列表,对每一种DGA算法选择至少一个训练样本,对特征列表里的每一个特征,计算和归纳出训练样本对应的特征值,最终形成一个特征矩阵,具体包括下述子步骤:步骤(2A):将步骤一中每一个DGA算法在一个时间段里生成的域名集合,作为一个样本,列出需要分析的域名特征;步骤(2B):通过步骤(2A)获得每个样本需要分析的域名特征,然后对这些域名特征做并集操作,最后得到一个特征列表;步骤(2C):对每一个DGA算法生成的至少两个域名集合,划分为两部分:一部分作为训练样本,设训练样本的样本个数为M;另一部分作为测试样本;针对M个训练样本,分别计算特征的值,设步骤(2B)得到的特征列表里有N个特征,则对每一个样本计算这N个特征的值,再加上每一个样本所归属的DGA家族类型,M个训练样本经过计算后,形成一个M行N+1列的特征矩阵;其中,M、N为大于零的自然数;步骤三:规则创建功能根据训练样本的特征矩阵,创建DGA家族类型分类规则;创建好DGA家族类型分类规则之后,将DGA家族类型分类规则保存在配置文件或者关系数据库里,由检测模块进行加载和使用;所述检测模块用于检测某一个具体的域名集合样本的DGA家族类型;所述检测模块,即为具有DGA家族类型检测功能的程序,是指可以检测某一个具体的域名集合样本的DGA家族类型的程序;对于输入的一个域名集合样本的特征的值,检测模块将依据创建好的DGA家族类型分类规则,判断出该域名集合样本的DGA家族类型,或者是其他情况;步骤四:采集模块采集DNS协议流量、HTTP协议流量,获得原始流量数据;所述采集模块用于网络流量采集,能直接从网卡上采集数据,也能直接接收其他系统发送过来的流量数据;所述DNS协议流量是指计算机设备为了获取域名对应的IP地址,向DNS服务器发送的解析域名对应的IP地址的请求以及DNS服务器返回的域名解析结果;通过收集需要保护的计算机设备的DNS协议流量,并检测这些计算机请求解析的域名,是否为某个DGA算法生成的,来判断这些计算机设备是否被感染了恶意程序,以及与恶意程序相关的DGA家族类型;所述HTTP协议流量用于记录检测到恶意程序在请求解析恶意域名返回成功后,进一步可能请求的HTTP操作,方便后续的风险检测;步骤五:协议解析模块根据协议规范解析DNS协议流量、HTTP协议流量,还原原始网络行为信息,获得后续功能模块能够处理的流量数据;所述协议解析模块能依据协议规范,从网络流量数据里解析出通信双方的信息,包括源IP、目的IP、源端口、目的端口、请求内容和响应信息;步骤六:协议解析模块对需要保护的计算机设备请求解析的域名,使用域名白名单库进行过滤,如果在域名白名单库里能够找到,则认为是正常普通的域名,不再检测该域名所属的DGA家族类型,继续处理下一个域名;如果在域名白名单库里没有找到,则需要将该域名以及请求解析该域名的计算机IP地址发送给检测模块,进入步骤七处理;步骤七:检测模块根据规则检测DGA家族类型,具体包括下述子步骤:步骤(7A):检测模块加载和使用步骤三创建好的DGA家族类型分类规则,接收步骤六发送过来的计算机IP和该计算机请求解析的域名,检测模块将该计算机在一段时间里请求解析的多个域名作为一个域名集合样本,结合步骤(2B)得到的特征列表,计算和归纳出该域名集合样本的特征;步骤(7B):使用步骤(7A)计算得到的样本特征,去匹配检测模块已经加载的DGA家族类型分类规则;如果匹配成功,则说明该域名集合样本里包括的域名是由与该DGA家族相关的恶意程序请求解析的,进一步说明该计算机感染了恶意程序;如果匹配失败,则继续执行步骤八;步骤八:如果根据请求解析的域名,没有找到特征匹配的DGA家族类型,则分为下述两种情况:(1)请求解析的域名是正常的域名,则补充、更新域名白名单库;(2)请求解析的域名为恶意域名,分为三种情形:A、...
【专利技术属性】
技术研发人员:程华才,范渊,李凯,
申请(专利权)人:杭州安恒信息技术有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。