【技术实现步骤摘要】
命令和控制C&C域名的验证方法、装置及电子设备
[0001]本专利技术涉及网络安全
,特别是指一种命令和控制C&C域名的验证方法、装置及电子设备。
技术介绍
[0002]随着计算机网络技术和通信技术的快速发展,命令和控制(Command andControl,C&C)域名技术也在不断的更新,攻防之间的对抗愈演愈烈。通过变换C&C域名和网际互联协议(Internet Protocol,IP)地址的映射关系,实现对网络的恶意控制。防御人员为了阻断恶意C&C域名及IP的访问,需要付出很大代价。
[0003]通过人工分析恶意样本,来阻断恶意部署的僵尸网络,效率较低,对分析人员的要求高,现有技术方案多使用机器学习算法模型来检测C&C域名,目的在于提高检测效率,减少人员的参与度,但是,对于检测出的疑似恶意C&C 域名还需要进一步验证,目前通过已有的域名黑名单或者特征分析器来确认恶意C&C域名,局限...
【技术保护点】
【技术特征摘要】
1.一种命令和控制C&C域名的验证方法,其特征在于,包括:确定待验证的目标C&C域名的存活状态;根据所述存活状态,获取所述目标C&C域名对应的网际互联协议IP,所述IP包括:与所述目标C&C域名绑定的第一目标IP或者对所述目标C&C域名请求域名系统DNS服务的第二目标IP;在所述IP包括所述第一目标IP,且所述第一目标IP绑定的第一域名集合与黑名单数据库匹配失败的情况下,根据所述第一域名集合的家族同源性对所述目标C&C域名进行验证;在所述IP包括所述第二目标IP的情况下,根据所述第二目标IP的数量对所述目标C&C域名进行验证。2.根据权利要求1所述的方法,其特征在于,所述确定待验证的目标C&C域名的存活状态,包括:根据域名系统DNS数据库确定所述目标C&C域名是否具有绑定的IP;若所述目标C&C域名具有绑定的IP,确定所述目标C&C域名为存活状态;若所述目标C&C域名无绑定的IP,确定所述C&C域名为非存活状态。3.根据权利要求1所述的方法,其特征在于,所述根据所述存活状态,获取所述目标C&C域名对应的网际互联协议IP,包括以下一项:在所述目标C&C域名处于存活状态的情况下,从域名系统数据库中获取与所述目标C&C域名绑定的第一目标IP;在所述目标C&C域名处于非存活状态,且所述目标C&C域名已被使用的情况下,从域名系统数据库中获取与所述目标C&C域名绑定的第一目标IP;在所述目标C&C域名处于非存活状态,所述目标C&C域名未被使用,且所述目标C&C域名在预设周期内被激活的情况下,获取所述目标C&C域名被激活时绑定的第一目标IP;在所述目标C&C域名处于非存活状态,所述目标C&C域名未被使用,且所述目标C&C域名在预设周期内未被激活的情况下,获取在所述预设周期内对所述目标C&C域名请求DNS服务的第二目标IP。4.根据权利要求1所述的方法,其特征在于,在所述IP包括所述第一目标IP的情况下,在根据所述第一域名集合的家族同源性对所述目标C&C域名进行验证之前,所述方法还包括:根据域名系统DNS数据库,确定请求查询所述目标C&C域名的第一IP集合以及所述第一目标IP已使用的第一域名集合;将所述第一域名集合与黑名单数据库进行匹配。5.根据权利要求4所述的方法,其特征在于,所述方法还包括:在所述第一域名集合与黑名单数据库匹配成功的情况下,确定所述目标C&C域名为待阻断的域名。6.根据权利要求1所述的方法,其特征在于,所述根据所述第一域名集合的家族同源性对所述目标C&C域名进行验证,包括:根据域名家族的家族特征,确定所述第一域名集合中的域名是否满足家族同源条件;在所述第一域名集合中的域名满足所述家族同源条件的情况下,确定所述目标C&C域名为待阻断的域名;
在所述第一域名集合中存在至少一个域名不满足所述家族同源条件的情况下,根据网络流量五元组信息对所述目标C&C域...
【专利技术属性】
技术研发人员:刘海霞,付俊,郭智慧,程叶霞,陈璨璨,
申请(专利权)人:中国移动通信集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。