一种基于dns解析数据的恶意域名检测方法及系统的利记博彩app
【专利说明】
[0001]技术领域:
本发明涉及网络安全应用领域,尤其涉及一种基于DNS解析数据的恶意域名检测方法及系统。
[0002]【背景技术】:
目前,恶意域名已经成为国内乃至全世界的网络安全领域最为关注的危害之一。恶意域名也叫恶意网站,是指该网站利用浏览器或者应用软件的漏洞,嵌入恶意代码,在用户不知情的情况下,对用户的机器进行篡改或破坏的网站。对于仿冒其他网站比如银行网站、电子商务网站的,虽然未对用户的机器进行篡改或破坏,但是也被定义为恶意域名。
[0003]恶意域名能够形成一个庞大的网络体系,通过网络来控制受感染的系统,同时不同地造成网络危害,如更快地传播木马蠕虫、短时间内窃取大量敏感信息、抢占系统资源进行非法目的牟利、发起大范围的DDoS攻击等,给危害追踪和损失抑制带来巨大的麻烦。
[0004]传统恶意域名检测主要采用恶意程序逆向、DPI (深度包检测)等技术。逆向分析是恶意程序分析的常用方法之一,在揭示恶意程序意图以及行为方面发挥着其他方法无法比拟的作用。逆向分析将可执行恶意程序反汇编,通过反汇编代码来理解其代码功能,从启动函数、函数参数传递、数据结构、控制语句、API等方面归纳总结恶意程序反汇编代码的一般规律。DPI技术即当IP数据包、TCP或UDP数据流通过基于DPI技术的系统时,该系统通过深入读取IP包载荷的内容来对OSI七层协议中的应用层信息进行重组,从而得到整个应用程序的内容,然后按照系统定义的策略对流量进行操作通过特征匹配的方法,发现恶意程序的行为特征。传统的技术手段恶意程序逆向、DPI均存在实施成本高的弊端,重要的是,对未知的恶意程序无能为力。
[0005]
【发明内容】
:
针对上述问题,本发明要解决的技术问题是提供一种基于DNS解析数据的恶意域名检测方法及系统。
[0006]本发明的一种基于DNS解析数据的恶意域名检测方法,包括以下步骤:
a.获取DNS解析数据;
b.对DNS解析数据进行数据清洗,将统计没有影响的字段去掉,保留或修改影响统计结果的字段;
c.根据已知的恶意域名网站黑、白名单,过滤掉恶意域名与非恶意域名;
d.根据域名字符串特征以及解析日志时间属性,判断域名是否为恶意域名,输出疑似恶意域名。
[0007]优选的,所述DNS解析数据包括:日期、时间、访问信息、请求IP信息、请求域名信息、解析类型和解析IP信息。
[0008]优选的,所述数据清洗是基于HADOOP分布式计算,按照DNS协议字段对海量DNS解析数据进行解析、清洗、入库,清洗后的DNS解析数据包括请求域名、CNAME、请求IP信息、解析IP信息、访问时间,所述访问时间精确到秒。
[0009]优选的,所述的已知的恶意域名网站黑、白名单包括ALEX排名前10000的域名及其子域名以及来自国内知名安全厂商的黑白名单库。
[0010]优选的,所述根据域名字符串特征以及解析日志时间属性,判断域名是否为恶意域名,输出疑似恶意域名,具体包括:域名字符长度大于X个字符;域名由数字和字母混杂无序组成;域名解析具有时间上的突发性。
[0011]优选的,所述解析日志时间属性包括设置域名的活跃时间段,按照设定的时间单位对域名的活跃度分布进行统计。
[0012]本发明的一种基于DNS解析数据的恶意域名检测系统,包括:
数据采集单元,用于获取DNS解析数据;
数据清洗单元,用于对DNS数据进行清洗,将统计没有影响的字段去掉,保留或修改影响统计结果的字段;
黑白名单比对单元,通过特征对比,过滤掉恶意域名与非恶意域名;
域名分析单元,用于根据域名字符串特征以及解析日志时间属性,判断域名是否为恶意域名,输出疑似恶意域名。
[0013]优选的,所述数据采集单元包括DNS采集服务器、镜像交换机以及光电转换设备。
[0014]本发明有益效果:基于HADOOP大数据分析平台,可以全量分析用户的访问域名情况,挖掘出潜在的恶意域名。并且,进一步通过分析可以确定恶意程序服务器IP地址,可以针对IP地址进行封杀,此外,还可以找出受恶意程序感染的肉鸡IP,及时提醒用户杀毒,遏制恶意程序的扩散。
[0015]【附图说明】:
为了易于说明,本发明由下述的具体实施及附图作以详细描述。
[0016]图1是本发明基于DNS数据的恶意域名分析方法的业务流程图;
图2是本发明基于DNS数据的恶意域名分析方法的数据流程图;
图3是本发明基于DNS数据的恶意域名分析方法的数据清洗的流程示意图;
图4是本发明基于DNS数据的恶意域名分析系统的结构示意图。
[0017]【具体实施方式】:
为使本发明的目的、技术方案和优点更加清楚明了,下面通过附图中示出的具体实施例来描述本发明。但是应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此夕卜,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
[0018]如图1-4所示,本实施例的一种基于DNS解析数据的恶意域名检测方法,包括以下步骤:
a.获取DNS解析数据;
b.对DNS解析数据进行数据清洗,将统计没有影响的字段去掉,保留或修改影响统计结果的字段;
c.根据已知的恶意域名网站黑、白名单,过滤掉恶意域名与非恶意域名;
d.根据域名字符串特征以及解析日志时间属性,判断域名是否为恶意域名,输出疑似恶意域名。
[0019]本实施例步骤a中,DNS解析数据包括:日期、时间、访问信息、请求IP信息、请求域名信息、解析类型和解析IP信息。
[0020]本实施例步骤b中,数据清洗是基于HADOOP分布式计算,按照DNS协议字段对海量DNS解析数据进行解析、清洗、入库,将日志中对于统计没有影响的字段去掉,保留或修改影响统计结果的字段。具体算法如下图2所示。
[0021]将DNS解析数据提交到实现Mapper接口类的Map方法。基于HADOOP分布式计算,Map方法在多台机器上并行计算,Map方法的主要功能是根据输入的日志信息,将有效的字段输出。输出的的格式为KEY+\t+VALUE。
[0022]清洗前的DNS解析数据包括:日期、时间、访问信息、请求IP信息、请求域名信息、解析类型、解析IP信息;
清洗后的DNS解析数据包括:请求域名、CNAME、请求IP信息、解析IP信息及访问时间,其中访问时间精确到秒。
[0023]在本实施例步骤c中,黑白名单比对单元包括ALEX排名前10000的域名及其子域名以及来自国内知名安全厂商的黑白名单库,主要实现对海量域名的初步过滤,降低样本率。
[0024]在本实施例步骤d中,通过对域名字符特征以及访问特征进行分析,输出疑似恶意域名。具体包括:
模式一:域名字符长度大于X个字符。为了便于用户的访问,正常域名一般不会过长而