基于DNS数据分析的域名查询与解析异常检测系统及方法技术方案

本发明专利技术是基于DNS数据分析的域名查询与解析异常检测，尤其涉及域名解析协议，属于互联网领域，目的是为了解决变化的恶意攻击行为以及DNS的恶意域变化的恶意攻击行为等问题。本发明专利技术包括搜索引擎查询主域名地址，收集域名信息，对DNS记录批量查及数据入库和数据分析，提供有关DNS查询和响应方面的客户端的详细信息；对得到的信息数据预处理，通过聚类分析获得时间特征进行解析，从而得到判断网络状态的数据并对数据进行最后的分析处理。域名查询与解析异常检测能寻找出更具描述性的特征，针对当前网络攻击的动态性和复杂性，使DNS的恶意域检测更为清晰，判断准确。

【技术实现步骤摘要】
基于DNS数据分析的域名查询与解析异常检测系统及方法
本专利技术是基于DNS数据分析的域名查询与解析异常检测系统及方法，尤其涉及域名解析协议，属于互联网领域。
技术介绍
域名解析协议是互联网的重要组成部分，它将难以通信的互联网协议地址映射到易于记忆的域名，从而提供全球性的、分布式的，以及基于关键字的重定向服务。与其他方法相比，通过分析DNS数据来检测恶意域具有许多优点：首先，DNS数据仅构成整个网络流量的一小部分，缓存有助于进一步减少需要分析的数据量，甚至能直接分析进入顶级域名的DNS流量。其次，DNS流量包含大量有意义的特征，可以被用来识别与恶意活动相关的域名。大量的特征和流量数据使得DNS流量成为应用于安全环境的各种机器学习技术的主要候选者。最后，由于恶意攻击行为在DNS数据中遗留了一些痕迹，研究人员能够在早期甚至攻击发生之前就发现恶意活动。DNS异常检测是动态监视计算机系统或网络中发生的事件的过程，分析它们是否存在可能或已经导致入侵发生的恶意域。由于大多数传统识别技术都无法应对计算机网络上的网络攻击的动态性和复杂性，DNS异常检测本文档来自技高网...

【技术保护点】
1.基于DNS数据分析的域名查询与解析异常检测系统，其特征在于：包括DNS数据分析的域名查询异常检测模块和解析异常检测模块两部分；/n域名查询异常检测模块用于收集域名信息、DNS记录批量查询和数据入库分析；/n解析异常检测模块用于域名异常查询检测、数据预处理、聚类分析和结果分析。/n

【技术特征摘要】
1.基于DNS数据分析的域名查询与解析异常检测系统，其特征在于：包括DNS数据分析的域名查询异常检测模块和解析异常检测模块两部分；
域名查询异常检测模块用于收集域名信息、DNS记录批量查询和数据入库分析；
解析异常检测模块用于域名异常查询检测、数据预处理、聚类分析和结果分析。


2.基于DNS数据分析的域名查询与解析异常检测方法，是基于权利要求1所述的系统实现的，其特征在于：具体方法步骤如下：
步骤一，搜索引擎查询主域名地址，通过全网DNS反解析、全网IP扫描http端口；
步骤二，域名解析异常检测包括收集域名信息，然后对DNS记录批量查及数据入库和数据分析；
步骤三，异常查询检测由于DNS基础结构的分布式特性，考虑多个位置来收集有关DNS查询和回复的信息，通过解析器是访问直接来自客户端计算机的查询的位置，提供有关DNS查询和响应方面的客户端的详细信息；
步骤四，数据预处理为特征提取，从原始数据中提取出能够准确放映用户访问模式的时间行为特征，依次计算每个IP的时间特征，先从流量日志数据中提取出能够准确反映用户访问模式的时间行为特征，将DNS日志中的所有域名信息进行规约处理
步骤五，聚类分析，其中的聚类算法包括基于距离的k-means算法和层次聚类算法，通过算法将获得的时间特征进行解析，从而得到判断网络状态的数据；
步骤六，对上述解析后的数据通过比对分析进行最终的判断。


3.根据权利要求2所述的基于DNS数据分析的域名查询与解析异常检测方法，其特征在于：步骤一中所述的子域名收集的方法，是通过进行手工分析，包括Web子域名猜测与实际访问尝试、反查Whois获得关联域名信息，搜索引擎查询主域名地址，然后进行全网DNS反解析和全网IP扫描http端口。


4.根据权利要求3所述的基于DNS数据分析的域名查询与解析异常检测方法，其特征在于：所述的子域名收集的方法或者借助子域名爆破工具进行分析，向预定的搜索引擎发送子域名搜索请求，在搜索请求中包含相关联的域名关键字；对返回的响应页面进行正则匹配，从页面中提取出该域名所关联的所有子域名，对于一个域名，至少需要获取前100个搜索页面中包含的子域名；子域名爆破工具subDomainsBrute依赖于dnspython插件，其使用小字典递归地发现三级域名、四级域名，使用114DNS、百度DNS、阿里DNS的PublicDNS查询，并且自动去重泛解析的域名。


5.根据权利要求3所述的基于DNS数据分析的域名查询与解析异常检测方法，其特征在于：步骤二中域名解析异常检测的中的数据分析包括IP次数分析和泛解析分析，首先准备域名集合keys，针对每一个域名key查询其DNS资源记录，判断查询所得资源记录是否为A类或CNAME类记录，如果是A类或CNAME类记录则资源记录信息保存到数据库中，反之则不做记录，最后针对收集到的所有子域名进行恶意泛解析分析，通过恶意泛解析分析能够找到存在恶意泛解析风险的域，并且能够发现部分受到恶意泛域名解析的网站采取相应的解决方案。


6.根据权利要求5所述的基于DNS数据分析的域名查询与解析异常检测方法，其特征在于：步骤三中，异常查询检测由于DNS基础结构的分布式特性，考虑多个位置来收集有关DNS查询和回复的信息；在所涉及的所有服务器中，通过解析器访问直接来自客户端计算机的查询的位置，提供有关DNS查询和响应方面的客户端的详细信息；
关于原始DNS流量日志的处理，先从流量日志数据中提取出能够准确反映用户访问模式的时间行为特征，再提前将DNS日志中的所有域名信息进行规约处理。


7.根据权利要求6所述的基于DNS数据分析的域名查询与解析异常检测方法，其特征在于：步骤四中，数据预处理即特征提取，需要从原始数据中提取出能够准确放映用户访问模式的时间行为特征，从日志数据中探寻用户的访问模式，即查询时间、域名、IP地址，每一条DNS查询记录对应一次IP对域名的访问动作，针对每一个IP，需要提取的行为特征为：
查询的次数为一分钟内IP用户向系统提交域名查询的总次数；
查询的域名数为一分钟内IP用户向系统查询的不同域名的总次数；
对同一域名的重复查询最大、最小和平均数值；
查询时间间隔中最大、最小和平均的时间间隔；
最后将DNS日志文件中出现的所有域名信息首先进行统一合并处理，规约为二级域名或CN下的41个类别和行政区的三级域名，以达到压缩数据的目的；
数据预处理中，首先获得IP地址集合，然后对集合中每一个IP地址分别计算其行为特征：获取该IP所对应的原数据集子表，提取子表中的查询时间列，写入文件；获取查询域名列，得到域名列表，去重后的集合大小即为查询域名总数，对域名列表进行统计，即可得到域名重复查询特征，最后统一处理时间查询表，依次计算每个IP的时间查询特征；
并且查询时间序列需要分文件存储，每个IP对应的文件名为该I...

【专利技术属性】
技术研发人员：卓子寒，张翀，邢潇，余翔湛，李康，叶麟，史建焘，刘立坤，杨宸，王璞，刘睿，吕欣润，谷杰铭，张奕欣，
申请(专利权)人：哈尔滨工业大学，国家计算机网络与信息安全管理中心，
类型：发明
国别省市：黑龙江;23