本公开提供了一种基于T‑Pot蜜罐和主干网流量的恶意域名检测方法、装置、电子设备及介质,包括:S1,采集主干网DNS流量数据,解析获取待检测域名及对应IP地址;S2,过滤掉待检测域名中已知的恶意域名与非恶意域名,得到剩余待检测域名;S3,获取T‑Pot蜜罐系统主机日志,解析并生成恶意IP列表;S4,判断剩余待检测域名对应的IP地址是否在恶意IP列表中,若是,则将IP地址对应的域名加入恶意域名库;若否,则根据恶意域名的特征重复检测。本公开的一种基于T‑Pot蜜罐和主干网流量的恶意域名检测方法及装置,通过DNS流量数据的分析,结合蜜罐技术,以及恶意域名的特征,多次检测,提高了恶意域名的检测效率及正检率。
【技术实现步骤摘要】
一种基于T-Pot蜜罐和主干网流量的恶意域名检测方法及装置
本公开涉及网络安全
,具体涉及一种基于T-Pot蜜罐和主干网流量的恶意域名检测方法、装置、电子设备及介质。
技术介绍
随着信息化水平和互联网技术的迅猛发展,互联网市场规模和用户体量高速增长,使网络渗透到了社会生活的方方面面,但是在网络带给人们便利的同时,也给网络安全及信息安全方面带来了各种威胁。形式多样的病毒、新的攻击方式层出不穷,所带来的不确定性也越来越多,特别是一些恶意程序给我们带来了极大的网络安全威胁,窃取个人隐私、实施钓鱼欺骗等,严重危害了网络安全。T-Pot蜜罐是一个基于Docker容器的集成了众多针对不同应用蜜罐程序的系统。蜜罐技术是一种新型的网络安全防护工具,通过布置一些作为诱饵的主机、网络服务或信息,诱使攻击方对它们进行攻击,这样攻击者所做的任何事情都会记录在蜜罐系统的日志中,从而通过捕获、分析蜜罐系统日志,获取攻击者的信息以及它们的攻击技术、手段等。DNS(域名系统)作为互联网重要的基础设施,它主要负责完成域名与IP地址之间的相互转换。然而,由于DNS的开放性,黑客常会构造众多恶意域名来进行网络攻击与控制,而这些攻击、控制记录都会存在于DNS解析数据中,通过分析海量DNS解析数据,从中发现恶意域名。在网络安全中尤为重要,这也是本文的主要研究内容。
技术实现思路
(一)要解决的技术问题针对上述问题,本公开提供了一种基于T-Pot蜜罐和主干网流量的恶意域名检测方法、装置、电子设备及介质,用于至少部分解决恶意程序给我们带来的极大网络安全威胁等技术问题。(二)技术方案本公开一方面提供了一种基于T-Pot蜜罐和主干网流量的恶意域名检测方法,包括:S1,采集主干网DNS流量数据,解析获取待检测域名及对应IP地址;S2,过滤掉待检测域名中已知的恶意域名与非恶意域名,得到剩余待检测域名;S3,获取T-Pot蜜罐系统主机日志,解析并生成恶意IP列表;S4,判断剩余待检测域名对应的IP地址是否在恶意IP列表中,若是,则将IP地址对应的域名加入恶意域名库;若否,则根据恶意域名的特征重复检测。进一步地,S2中还包括:将过滤掉的恶意域名加入恶意域名库中。进一步地,S4中根据恶意域名的特征包括域名活跃度、域名长度,若域名活跃度、域名长度超过设定的阈值,则加入恶意域名库中。进一步地,域名活跃度D(y)的计算公式为:其中,设定10min为一个时间单位,一天分为144个时间单位,即从T1到T144,用C(y,Ti)表示Ti时间段内域名y被请求解析的次数;在计算C(y,Ti)时考虑Ti-1、Ti、Ti+1三个时间单位的解析次数,用∑C(y,Ti)表示一天内域名y总共被请求解析的次数。进一步地,S4中还包括计算域名长度,若长度超过所设阈值,则将域名加入恶意域名库中,否则丢弃。本公开另一方面提供了一种基于T-Pot蜜罐和主干网流量的恶意域名检测的装置,包括:数据采集模块,用于采集主干网DNS流量数据,解析获取待检测域名及对应IP地址;蜜罐系统日志分析模块,用于获取T-Pot蜜罐系统主机日志,解析并生成恶意IP列表;恶意域名检测模块,用于过滤掉待检测域名中已知的恶意域名与非恶意域名,得到剩余待检测域名;判断剩余待检测域名对应的IP地址是否在恶意IP列表中,若是,则将IP地址对应的域名加入恶意域名库;若否,则根据恶意域名的特征重复检测。进一步地,还包括:蜜罐系统日志捕获模块,用于对出入蜜罐系统主机的所有活动监视和记录,存入日志文件;分析出恶意IP地址,同时将日志进行备份。进一步地,还包括:恶意域名特征判断模块,用于根据恶意域名的特征重复检测;恶意域名特征包括域名活跃度、域名长度,若域名活跃度、域名长度超过设定的阈值,则加入恶意域名库中。本专利技术还有一方面提供了一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序;其中,当一个或多个程序被一个或多个处理器执行时,使得一个或多个处理器实现上述提供的方法。本专利技术还有一方面提供了一种计算机可读存储介质,存储有计算机可执行指令,上述指令在被执行时用于实现上述提供的方法。(三)有益效果本公开提出一种基于T-Pot蜜罐和主干网流量的恶意域名检测方法、装置、电子设备及介质,通过对T-Pot蜜罐主机日志的分析和主干网DNS协议流量的分析,检测出恶意域名,从而建立恶意域名库。附图说明图1示意性示出了根据本专利技术实施例基于T-Pot蜜罐和主干网流量的恶意域名检测方法流程图;图2示意性示出了根据本专利技术实施例恶意域名检测方法流程图;图3示意性示出了根据本专利技术实施例电子设备的框图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本专利技术进一步详细说明。在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。附图中示出了一些方框图和/或流程图。应理解,方框图和/或流程图中的一些方框或其组合可以由计算机程序指令来实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,从而这些指令在由该处理器执行时可以创建用于实现这些方框图和/或流程图中所说明的功能/操作的装置。因此,本公开的技术可以硬件和/或软件(包括固件、微代码等)的形式来实现。另外,本公开的技术可以采取存储有指令的计算机可读介质上的计算机程序产品的形式,该计算机程序产品可供指令执行系统使用或者结合指令执行系统使用。在本公开的上下文中,计算机可读介质可以是能够包含、存储、传送、传播或传输指令的任意介质。例如,计算机可读介质可以包括但不限于电、磁、光、电磁、红外或半导体系统、装置、器件或传播介质。计算机可读介质的具体示例包括:磁存储装置,如磁带或硬盘(HDD);光存储装置,如光盘(CD-ROM);存储器,如随机存取存储器(RAM)或闪存;和/或有线/无线通信链路。本公开的实施例提供了一种基于T-Pot蜜罐和主干网流量的恶意域名检测方法,请参见图1,包括:S1,采集主干网DNS流量数据,解析获取待检测域名及对应IP地址;S2,过滤掉待检测域名中已知的恶意域名与非恶意域名,得到剩余待检测域名;S3,获取T-Pot蜜罐系统主机日志,解析并生成恶意IP列表;S4,判断剩余待检测域名对应的IP地址是否在恶意IP列表中,若是,则将IP地址对应的域名加入恶意域名库;若否,则根据恶意域名的特征重复检测。采集主干网DNS流量数据,解析获取待检测域名及对应IP地址本文档来自技高网...
【技术保护点】
1.一种基于T-Pot蜜罐和主干网流量的恶意域名检测方法,包括:/nS1,采集主干网DNS流量数据,解析获取待检测域名及对应IP地址;/nS2,过滤掉所述待检测域名中已知的恶意域名与非恶意域名,得到剩余待检测域名;/nS3,获取T-Pot蜜罐系统主机日志,解析并生成恶意IP列表;/nS4,判断所述剩余待检测域名对应的IP地址是否在所述恶意IP列表中,若是,则将所述IP地址对应的域名加入恶意域名库;若否,则根据恶意域名的特征重复检测。/n
【技术特征摘要】
1.一种基于T-Pot蜜罐和主干网流量的恶意域名检测方法,包括:
S1,采集主干网DNS流量数据,解析获取待检测域名及对应IP地址;
S2,过滤掉所述待检测域名中已知的恶意域名与非恶意域名,得到剩余待检测域名;
S3,获取T-Pot蜜罐系统主机日志,解析并生成恶意IP列表;
S4,判断所述剩余待检测域名对应的IP地址是否在所述恶意IP列表中,若是,则将所述IP地址对应的域名加入恶意域名库;若否,则根据恶意域名的特征重复检测。
2.根据权利要求1所述的基于T-Pot蜜罐和主干网流量的恶意域名检测方法,其特征在于,所述S2中还包括:将所述过滤掉的恶意域名加入所述恶意域名库中。
3.根据权利要求1所述的基于T-Pot蜜罐和主干网流量的恶意域名检测方法,其特征在于,所述S4中根据恶意域名的特征包括域名活跃度、域名长度,若所述域名活跃度、域名长度超过设定的阈值,则加入所述恶意域名库中。
4.根据权利要求3所述的基于T-Pot蜜罐和主干网流量的恶意域名检测方法,其特征在于,所述域名活跃度D(y)的计算公式为:
其中,设定10min为一个时间单位,一天分为144个时间单位,即从T1到T144,用C(y,Ti)表示Ti时间段内域名y被请求解析的次数;在计算C(y,Ti)时考虑Ti-1、Ti、Ti+1三个时间单位的解析次数,用∑C(y,Ti)表示一天内域名y总共被请求解析的次数。
5.根据权利要求3所述的基于T-Pot蜜罐和主干网流量的恶意域名检测方法,其特征在于,S4中还包括计算所述域名长度,若长度超过所设阈值,则将所述域...
【专利技术属性】
技术研发人员:黄友俊,李星,吴建平,李泰琴,
申请(专利权)人:赛尔网络有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。