本发明专利技术是一种基于主动和被动探测的恶意域名服务器检测方法,核心是基于主动和被动探测联动起来利用机器学习来检测恶意的域名服务器。本发明专利技术方法首先由数据采集和处理层收集良性和恶意的DNS数据流量样本,并基于一定时间窗口以(通信IP组,目的端口,域名)方式提流。接着由主动和被动探测方法分别提取基于流的特征和基于域名服务器的特征,其中域名服务器是由相应流锁定的。然后经由模型训练层的随机森林算法训练出恶意域名服务器分类器。最后为在线检测层嗅探数据提流,由主动和被动模块联动提取特征,然后将流输入检测器得到最终的分类结果。本发明专利技术可以准确地寻找到恶意的域名服务器,通过主动和被动探测方法的联动有效地增强了检测效果。强了检测效果。强了检测效果。
【技术实现步骤摘要】
一种基于主动和被动探测的恶意域名服务器检测方法
[0001]本专利技术属于网络安全
,是一种基于主动和被动探测的恶意域名服务器检测方法。
技术介绍
[0002]在信息时代,网络技术发展愈来愈迅速,人们的生活、工作和学习已经与网络世界紧密相连起来。随之而来的,由利益驱动的网络安全事件层出不穷,各类恶意活动日益猖獗,对人们的隐私、财产以及安全都构成了严重的威胁。尤其近年,依赖于域名系统实施的恶意活动的现象越来越明显,因此相应的检测技术就显得格外的重要。域名系统(DNS)是目前互联网上最为关键的基础设施,大部分的网络活动都依赖于域名解析服务。域名解析服务是将较难记忆的IP地址映射转换为易于理解记忆的域名,使在互联网中更加便捷地访问各种网络资源。域名系统确实是有着良好地系统性能,但是作为一个开放的系统存在着诸多的安全问题和隐患。如今域名查询过程基本都是迭代查询,即首先由主机询问本地域名服务器,若本地域名服务器有缓存,则立即返回。否则本地域名服务器就以DNS客户的身份,基于查询的域名依次一级一级从根域名服务器开始递归查询,直到最终的域名服务器返回主机名对应的IP地址。
[0003]因为DNS服务的重要性,通常情况下防火墙都是配置为允许DNS服务所使用的UDP53号端口上所有的数据包,即并不会对DNS流量做过多的阻拦和控制,并且主机端一般都会无条件信任域名服务器返回的响应信息。实际中,黑客常常会利用这一点来实施自己的恶意活动。例如,僵尸网络会将自己的C&C伪装为正常的域名服务器,建立起与被感染主机间的DNS隧道,通过DNS请求响应数据来管理C2通信,常常被用于发起分布式拒绝服务攻击或大量发送垃圾邮件等恶意攻击活动。如果能阻断与恶意域名服务器的数据通信,就可以十分有效地提高组织系统内的网络安全防护。那么恶意域名服务器的检测方法就显得十分重要。
[0004]现有的检测方法大部分仅仅针对域名本身的恶意检测,通常依赖于黑白名单的技术方法,这样的方法往往有着较高的误报和漏报率,在不同的环境和需求下自适应性会很差。然而,结合主动和被动探测的方式对恶意域名服务器进行检测,组织系统内部就可以通过阻断所有与被识别为恶意域名服务器相关的数据通信,从而达到十分有效的安全防护。
技术实现思路
[0005]本专利技术是一种针对恶意域名服务器的检测技术,结合主动和被动探测方法,利用随机森林机器学习方法准确有效地识别出恶意的域名服务器。
[0006]区别于传统的基于黑白名单的检测方法,本专利技术创新性地提出了结合主动和被动探测方法,从而提取出更加全面的相关特征,进而训练出优异的检测器。
[0007]为了达到上述目的,本专利技术所采取的技术方案如下。
[0008]首先本专利技术的技术框架包含了数据采集和处理层、模型训练层和在线检测层三个
部分。其中数据采集和处理层的工作主要为三部分,第一是收集有着丰富多样性的DNS数据流量,包含了恶意和良性的DNS流量;第二是基于一定的时间窗口以(通信IP组,目的端口,域名)的聚合方式对DNS数据提流;第三是分别基于主动和被动角度提取出相应特征,并且为流打上标签,最终在这一阶段输出一个用于机器学习模型的训练集。
[0009]其中,提流操作中的通信IP组指的是互相通信的一组IP,不区分源或目的主机;目的端口则是DNS协议所使用的UDP53端口;域名(除去主机名)则是从TLD(顶级域名)往左进行最长标签匹配的方式进行聚合,并且标签个数最小必须大于等于2。通过域名匹配聚合德操作进而也锁定了欲检测的域名服务器。
[0010]此阶段的特征提取部分是要结合主动和被动探测方法。主动探测方法就是基于主机与DNS服务器之间主动发起的DNS通信的流量数据来提取特征,主要是针对所提取流内的DNS查询响应包的字段值和一些统计特性。
[0011]而被动探测方法,也就是与被动DNS相关的方法。被动DNS最初由Florian Weimer于2004年专利技术,旨在对抗恶意软件。简单来说,递归域名服务器会响应其接收到其他的来自其他域名服务器的请求,对响应进行记录并将日志数据复制到中央数据库当中。在本专利技术中,通过使用WHOIS历史记录关联来自被动DNS记录数据库的数据。从这一部分就可以收集提取出关于域名服务器(提流时通过域名锁定的域名服务器)的相关特征,例如域名注册时间、域名的生命周期以及是否是使用的动态域名服务等。很显然,这些特征对于恶意域名服务器的检测也是至关重要的。
[0012]接着是模型训练层,从上一个数据采集和处理模块中得到训练集,然后利用随机森林训练出一个优异的分类器。此分类器也就是最后恶意域名服务器在线检测层的核心部分,同时此模块以在线模式基于一定时间窗口提取DNS流,并且通过主动和被动探测方法提取特征,再输入进检测器,最终由检测器给出此流确定的域名服务器是恶意还是良性的最终识别结果。
附图说明
[0013]从下面结合附图对本专利技术做更进一步的详细介绍。
[0014]图1 为本专利技术的技术框架图。
[0015]图2 为数据采集和处理层详细流程图。
[0016]图3 为主动部分的特征提取详情。
[0017]图4 为被动部分的特征提取详情。
[0018]图5为模型训练层详细流程图。
[0019]图6 为在线检测层详细流程图。
具体实施方式
[0020]本专利技术主要是用于检测恶意域名服务器,下面结合附图对本专利技术的技术框架进行说明。本专利技术旨在提供一种结合主动和被动探测的检测方法,利用随机森林机器学习方法准确有效地识别出恶意的域名服务器。
[0021]如图1所示的技术框架图,本专利技术采用分层的模型框架,每一层的输出是下一层的输入。数据采集和处理层的输入为收集的良性和恶意的数据流量样本,经过提流、主被动方
面的特征提取和加标签的操作之后,生成训练集。此训练集就作为模型训练层的输入,经过随机森林算法进行建模,训练出一个恶意域名服务器的二分类器。最后检测层就在线嗅探数据、提流和相关特征,再利用此检测器得出最终识别结果。下面对每一层做详细说明。
[0022]如图2所示为数据采集和处理层的详细流程图。首先是数据样本的收集,为了训练出高性能的模型,所以需要尽可能地丰富数据样本的多样性。比如在恶意样本的收集中,可以收集多种DNS隧道工具或者利用域名服务器通信的不同恶意软件所产生的恶意流量。因为每种恶意活动类型在对DNS请求响应数据的利用细节上都会有所不同,那么相关特征的重要性也会略有不同。显然为了降低假阴性,数据样本的多样性是十分重要的。
[0023]然后,基于一定的时间窗口(10~20秒)对收集的数据样本进行提流。流的定义为一个三元组(通信IP组,目的端口,域名),其中通信IP组即互相通信的两个IP,不区分源和目的主机。即提取的流为双向流,而非单向流。目的端口则是指定为DNS协议使用的固定端口UDP53号。域名部分,则是除去查询域名的主机号之后,从TLD(顶级域名)向左按最长标签进行匹配。当然匹配的标签个本文档来自技高网...
【技术保护点】
【技术特征摘要】
request-packets,即流内两个连续请求包时间间隔最大平均值,若仅一个包则此值为0;B17、第16个特征名为max standard deviation between two consecutive request-packets,即流内两个连续请求包时间间隔最大标准差,若仅一个包则此值为0;B18、第17个特征名为NxDomain-response count,即流内NxDomain响应个数;B19、第18个特征名为average RR records count in response-packets,即流内响应包中RR记录的平均个数;B20、第19个特征名为special IP addresses count in response-packets,即流内响应包中返回的IP地址为特殊地址(如回环地址)的个数。4.如权利要求1所述的一种基于主动和被动探测的恶意域名服务器检测方法,其特征在于,所述步骤C进一步包括如下步骤:C1、通过被动探测方法提取流内数据包的相关特征,总共有9个特征;C2、第1个特征名为new domain,即域名是否为新域名,若是则值为1,否则为0;C3、第2个特征名为abnormal location,即域名服务器的地理位置是否为异常位置,若是则值为1,否则为0;而具体关于地理位置是否为异常的判断可根据组织内部事先定义,例如国外等地理位置;C4、第3个特征名为lifecycle,即域名的生命周期,域名注册时间和到期时间之间的差值;C5、第4个特征名为Completeness of registration informa...
【专利技术属性】
技术研发人员:刘亮,王悦,郑荣锋,
申请(专利权)人:四川大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。