且具有较为明确的含义,但恶意域名一般不会被用户主动访问,其为了避免与合法域名产生冲突,通常会由黑客编制特定算法生成,经过对大量恶意域名进行长度特征统计,将第一个判别模式设为为长度大于X的域名。
[0025]模式二:域名由数字和字母混杂无序组成。通过长期对域名样本特征统计发现,正常域名大部分由纯字母构成,即使同时包含字母和数字字符,其组织规则也比较规整,数字和字母通常分开排列,具有较明确的含义,如163.com、zhibo8.com等。但恶意域名具有生成随机性,很大一部分恶意域名会出现字符和数字混杂出现的情况。
[0026]模式三:域名解析具有时间上的突发性。域名在短时间内被集中访问,而在其他时间内被请求解析次数极少,我们认为该域名在解析上具有时间上的突发性。处于隐藏自身的考虑,大部分恶意域名通常存活时间只有几分钟到几个小时,被请求解析次数分布非常不均匀,恶意域名被黑客控制者所控制大部分时间是处于未激活状态,及解析数量几乎为0,只有当黑客发起攻击指令,“肉鸡”才会产生大量恶意域名的DNS解析请求。
[0027]解析日志时间属性,具体包括设置域名的活跃时间段,按照设定的时间单位对域名的活跃度分布进行统计,活跃度越高,该域名成为恶意域名的几率越大。
[0028]根据模式三的理论,我们建立的相应的数学模型。一般情况下,恶意域名的活跃事件约为半小时,也即半小时后该域名通常被弃用。假设当前待分析域名为Y,设置10分钟为一个时间单位,对该域名的活跃度分布进行统计,每个时间单位表示为,一天分为144个时间单位,即从!\到T 144,用COUNT (Y,Ti)表示Ti时间段内域名Y被请求解析的次数,在计算COUNT (Y,Ti)是综合考虑IV1, Ti, Ti+1三个时间单位的解析次数,用Σ COUNT (Y,T J表示域名Y —天内总共被请求解析的次数,最后用Distribute (Y)来表示域名Y在短时间内的活跃程序,模式三所对应的数据公式如下:
Distribute (Y)=Max (Distribute (Y,Ti) =Max (SUM(COUNT (Y,Ti^1) + COUNT (Y,Ti) + COUNT (Y,Ti+1) ) ) / Σ k=1144 Σ COUNT (Y,Tk),i e [I, 144]
根据定义可知,当Distribute (Y)取值越大表明域名Y在短时间内活跃程度越高,成为恶意域名的几率也越大。
[0029]与本发明方法实施例相对应,提供了一种基于DNS解析数据的恶意域名检测系统,包括:
数据采集单元,用于获取DNS解析数据;
数据清洗单元,用于对DNS数据进行清洗,将统计没有影响的字段去掉,保留或修改影响统计结果的字段;
黑白名单比对单元,通过特征对比,过滤掉恶意域名与非恶意域名;
域名分析单元,用于根据域名字符串特征以及解析日志时间属性,判断域名是否为恶意域名,输出疑似恶意域名。
[0030]在本实施例中,数据采集单元包括DNS采集服务器、镜像交换机以及光电转换设备。
[0031]本发明中方法的实施例采用递进的方式描述,对于系统的实施例而言,由于其基本相似于方法的实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
[0032]以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
【主权项】
1.一种基于DNS解析数据的恶意域名检测方法,其特征在于:包括以下步骤: a.获取DNS解析数据; b.对DNS解析数据进行数据清洗,将统计没有影响的字段去掉,保留或修改影响统计结果的字段; c.根据已知的恶意域名网站黑、白名单,过滤掉恶意域名与非恶意域名; d.根据域名字符串特征以及解析日志时间属性,判断域名是否为恶意域名,输出疑似恶意域名。2.根据权利要求1所述的一种基于DNS解析数据的恶意域名检测方法,其特征在于:所述DNS解析数据包括:日期、时间、访问信息、请求IP信息、请求域名信息、解析类型和解析IP信息。3.根据权利要求1所述的一种基于DNS解析数据的恶意域名检测方法,其特征在于:所述数据清洗是基于HADOOP分布式计算,按照DNS协议字段对海量DNS解析数据进行解析、清洗、入库,清洗后的DNS解析数据包括请求域名、CNAME、请求IP信息、解析IP信息、访问时间,所述访问时间精确到秒。4.根据权利要求1所述的一种基于DNS解析数据的恶意域名检测方法,其特征在于:所述的已知的恶意域名网站黑、白名单包括ALEX排名前10000的域名及其子域名以及来自国内知名安全厂商的黑白名单库。5.根据权利要求1所述的一种基于DNS解析数据的恶意域名检测方法,其特征在于:所述根据域名字符串特征以及解析日志时间属性,判断域名是否为恶意域名,输出疑似恶意域名,具体包括:域名字符长度大于X个字符;域名由数字和字母混杂无序组成;域名解析具有时间上的突发性。6.根据权利要求1所述的一种基于DNS解析数据的恶意域名检测方法,其特征在于:所述解析日志时间属性包括设置域名的活跃时间段,按照设定的时间单位对域名的活跃度分布进行统计。7.一种基于DNS解析数据的恶意域名检测系统,其特征在于:包括: 数据采集单元,用于获取DNS解析数据; 数据清洗单元,用于对DNS数据进行清洗,将统计没有影响的字段去掉,保留或修改影响统计结果的字段; 黑白名单比对单元,通过特征对比,过滤掉恶意域名与非恶意域名; 域名分析单元,用于根据域名字符串特征以及解析日志时间属性,判断域名是否为恶意域名,输出疑似恶意域名。8.根据权利要求7所述的一种基于DNS解析数据的恶意域名检测系统,其特征在于:所述数据采集单元包括DNS采集服务器、镜像交换机以及光电转换设备。
【专利摘要】本发明公开了一种基于DNS解析数据的恶意域名检测方法及系统,包括以下步骤:获取DNS解析数据、对DNS解析数据进行数据清洗、根据已知的恶意域名网站黑、白名单,过滤掉恶意域名与非恶意域名及根据域名字符串特征以及解析日志时间属性,判断域名是否为恶意域名,输出疑似恶意域名,本发明基于HADOOP大数据分析平台,可以全量分析用户的访问域名情况,挖掘出潜在的恶意域名。并且,进一步通过分析可以确定恶意程序服务器IP地址,可以针对IP地址进行封杀,还可以找出受恶意程序感染的肉鸡IP,及时提醒用户杀毒,遏制恶意程序的扩散。
【IPC分类】H04L29/06, H04L29/12
【公开号】CN104994117
【申请号】CN201510477268
【发明人】马旸, 蔡冰, 俞宙, 王林汝
【申请人】国家计算机网络与信息安全管理中心江苏分中心
【公开日】2015年10月21日
【申请日】2015年8月7日