结合威胁情报的Fast-Flux僵尸网络的检测方法技术

本申请提供了一种结合威胁情报的Fast‑Flux僵尸网络的检测方法，通过获取DNS流量包，并对DNS流量包进行解析得到待解析域名；然后对待解析域名进行过滤生成过滤结果；并基于过滤结果确定待解析域名是否为疑似Fast‑Flux域名；如果待解析域名为疑似Fast‑Flux域名，基于待解析域名在威胁情报库中进行查询，生成查询结果；最后基于查询结果确定待解析域名是否为Fast‑Flux僵尸网络。该方法采用威胁情报库检测Fast‑Flux域名，以此来减少CDN域名产生的误报，有利于提高检测准确度。

Detection Method of Fast-Flux Botnet Based on Threat Intelligence

【技术实现步骤摘要】
结合威胁情报的Fast-Flux僵尸网络的检测方法
本专利技术涉及网络安全
，尤其涉及一种结合威胁情报的Fast-Flux僵尸网络的检测方法、装置、电子设备和计算机可读存储介质。
技术介绍
在早期的僵尸网络中，控制者通常会把C&C(CommandandControl命令和控制)服务器的域名或者IP(InternetProtocol，网络协议)地址写入恶意程序中，僵尸主机通过这些C&C服务器域名或者IP访问C&C主机获取命令。但安全人员在捕获到这些C&C域名和IP后，可以定位出C&C主机，可以隔离C&C主机从而破坏僵尸网络；不少控制者为了保护C&C主机，使用Fast-Flux技术来提高C&C服务器的健壮性，其原理在于：Fast-Flux会不断将域名映射到不同的僵尸主机IP上，也就是说在短时间内查询使用Fast-Flux技术部署的域名，会得到不同的结果。目前，现有技术中Fast-Flux僵尸网络的检测方法为通过机器学习建立检测模型进行检测，即通过对获取的DNS数据包进行解析得到域名DNS解析结果，然后通过域名DNS解析结果中的IP地址数、TTL平均值、DNS查询响应IP相似度等条件进行过滤得到可疑的DNS数据来识别Fast-Flux僵尸网络；而Fast-Flux僵尸网络的域名与CDN(ContentDeliveryNetwork，内容分发网络)域名非常相似，因此上述方法中会产生误报。
技术实现思路
第一方面，本专利技术实施例提供一种结合威胁情报的Fast-Flux僵尸网络的检测方法，包括：获取DNS(DomainNameSystem，网域名称系统)流量包，并对所述DNS流量包进行解析得到待解析域名；对所述待解析域名进行过滤生成过滤结果；基于所述过滤结果确定所述待解析域名是否为疑似Fast-Flux域名；如果所述待解析域名为疑似Fast-Flux域名，基于所述待解析域名在威胁情报库中进行查询，生成查询结果；基于所述查询结果确定所述待解析域名是否为Fast-Flux僵尸网络。在可选的实施方式中，所述对所述待解析域名进行过滤生成过滤结果，包括：获取所述待解析域名的标志信息，所述标志信息用于指示所述待解析域名的域名解析是否成功；基于所述标志信息对所述待解析域名进行过滤。在可选的实施方式中，所述方法还包括：如果所述标志信息指示域名解析成功，获取所述待解析域名解析出来的IP信息；基于所述IP信息对所述待解析域名进行过滤。在可选的实施方式中，所述IP信息包括IP地址的数量以及每个IP地址的TTL(TimeToLive，生存时间)。在可选的实施方式中，所述基于所述过滤结果确定所述待解析域名是否为疑似Fast-Flux域名，包括：如果所述过滤结果指示所述待解析域名为目标域名，在预设时间段内对所述待解析域名进行统计，得到所述待解析域名解析出来的IP地址的总数量；基于所述待解析域名解析出来的IP地址的总数量确定所述待解析域名是否为疑似Fast-Flux域名。在可选的实施方式中，所述基于所述待解析域名解析出来的IP地址的总数量确定所述待解析域名是否为疑似Fast-Flux域名，包括：判断所述待解析域名解析出来的IP地址的总数量是否达到预设总数阈值；如果所述待解析域名解析出来的IP地址的总数量达到预设总数阈值，判断所述待解析域名解析出来的IP地址所在的网段的数量是否达到预设网段数阈值；如果所述待解析域名解析出来的IP地址所在网段的数量达到预设网段数阈值，确定所述待解析域名为疑似Fast-Flux域名。在可选的实施方式中，所述方法还包括：如果所述查询结果指示所述待解析域名为Fast-Flux域名，基于所述待解析域名生成告警信息。第二方面，本专利技术实施例提供一种结合威胁情报的Fast-Flux僵尸网络的检测装置，包括：解析模块，用于获取DNS流量包，并对所述DNS流量包进行解析得到待解析域名；过滤模块，用于对所述待解析域名进行过滤生成过滤结果；基于所述过滤结果确定所述待解析域名是否为疑似Fast-Flux域名；查询模块，用于如果所述待解析域名为疑似Fast-Flux域名，基于所述待解析域名在威胁情报库中进行查询，生成查询结果；确定模块，用于基于所述查询结果确定所述待解析域名是否为Fast-Flux僵尸网络。第三方面，本专利技术实施例提供一种电子设备，包括：处理器、存储器和总线，所述存储器存储有所述处理器可执行的机器可读指令，当计算机设备运行时，所述处理器与所述存储器之间通过总线通信，所述机器可读指令被所述处理器执行时执行前述实施方式任一项所述的结合威胁情报的Fast-Flux僵尸网络的检测方法的步骤。第四方面，本专利技术实施例提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器运行时执行前述实施方式任一项所述的结合威胁情报的Fast-Flux僵尸网络的检测方法的步骤。本专利技术实施例提供的结合威胁情报的Fast-Flux僵尸网络的检测方法、装置、电子设备和计算机可读存储介质，通过获取DNS流量包，并对DNS流量包进行解析得到待解析域名；然后对待解析域名进行过滤生成过滤结果；并基于过滤结果确定待解析域名是否为疑似Fast-Flux域名；如果待解析域名为疑似Fast-Flux域名，基于待解析域名在威胁情报库中进行查询，生成查询结果；最后基于查询结果确定待解析域名是否为Fast-Flux僵尸网络。因此，本专利技术实施例提供的技术方案，结合威胁情报库检测Fast-Flux域名，以此来减少CDN域名产生的误报，有利于提高检测准确度。附图说明为了更清楚地说明本专利技术的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本专利技术的某些实施例，因此不应被看作是对本专利技术保护范围的限定。在各个附图中，类似的构成部分采用类似的编号。图1示出了本专利技术实施例提供的一种结合威胁情报的Fast-Flux僵尸网络的检测方法的流程图；图2示出了本专利技术实施例提供的另一种结合威胁情报的Fast-Flux僵尸网络的检测方法的流程图；图3示出了本专利技术实施例提供的一种结合威胁情报的Fast-Flux僵尸网络的检测方法的具体示例的流程图；图4示出了本专利技术实施例提供的一种结合威胁情报的Fast-Flux僵尸网络的检测装置的示意图；图5示出了本专利技术实施例提供的一种电子设备的示意图。具体实施方式下面将结合本专利技术实施例中附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本专利技术实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本专利技术的实施例的详细描述并非旨在限制要求保护的本专利技术的范围，而是仅仅表示本专利技术的选定实施例。基于本专利技术的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本专利技术保护的范围。在下文中，可在本专利技术的各种实施例中使用的术语“包括”、“具有”及其同源词仅意在表示特定特征、数字、步骤、操作、元件、组件或前述项的组合，并且不应被理解为首先排除一个或更多个其它特征、数字、步骤、操作、元件、组件或前述项的组合的存在或增本文档来自技高网...

【技术保护点】
1.一种结合威胁情报的Fast‑Flux僵尸网络的检测方法，其特征在于，包括：获取DNS流量包，并对所述DNS流量包进行解析得到待解析域名；对所述待解析域名进行过滤生成过滤结果；基于所述过滤结果确定所述待解析域名是否为疑似Fast‑Flux域名；如果所述待解析域名为疑似Fast‑Flux域名，基于所述待解析域名在威胁情报库中进行查询，生成查询结果；基于所述查询结果确定所述待解析域名是否为Fast‑Flux僵尸网络。

【技术特征摘要】
1.一种结合威胁情报的Fast-Flux僵尸网络的检测方法，其特征在于，包括：获取DNS流量包，并对所述DNS流量包进行解析得到待解析域名；对所述待解析域名进行过滤生成过滤结果；基于所述过滤结果确定所述待解析域名是否为疑似Fast-Flux域名；如果所述待解析域名为疑似Fast-Flux域名，基于所述待解析域名在威胁情报库中进行查询，生成查询结果；基于所述查询结果确定所述待解析域名是否为Fast-Flux僵尸网络。2.根据权利要求1所述的方法，其特征在于，所述对所述待解析域名进行过滤生成过滤结果，包括：获取所述待解析域名的标志信息，所述标志信息用于指示所述待解析域名的域名解析是否成功；基于所述标志信息对所述待解析域名进行过滤。3.根据权利要求2所述的方法，其特征在于，所述方法还包括：如果所述标志信息指示域名解析成功，获取所述待解析域名解析出来的IP信息；基于所述IP信息对所述待解析域名进行过滤。4.根据权利要求3所述的方法，其特征在于，所述IP信息包括IP地址的数量以及每个IP地址的生存时间值TTL。5.根据权利要求1所述的方法，其特征在于，所述基于所述过滤结果确定所述待解析域名是否为疑似Fast-Flux域名，包括：如果所述过滤结果指示所述待解析域名为目标域名，在预设时间段内对所述待解析域名进行统计，得到所述待解析域名解析出来的IP地址的总数量；基于所述待解析域名解析出来的IP地址的总数量确定所述待解析域名是否为疑似Fast-Flux域名。6.根据权利要求5所述的方法，其特征在于，所述基于所述待解析域名解析出来的IP地址的总数量确定所述待解析域名是否为疑似...

【专利技术属性】
技术研发人员：沈伟，范渊，黄进，
申请(专利权)人：杭州安恒信息技术股份有限公司，
类型：发明
国别省市：浙江,33