CN103152222B - 一种基于主机群特征检测速变攻击域名的方法 - Google Patents

Abstract

本发明涉及一种基于主机群特征检测速变攻击域名的方法，主要包括步骤：1)网络数据包的抓取和DNS报文特征提取；2)速变攻击域名检测；3)误判检测。其中，速变攻击域名检测包括域名对应主机群的IP分散程序计算、服务可用性评估和网络波动检测，为本发明的核心；误判检测排除速变攻击域名检测过程中正常的大型网络域名和在线率探测中本地网络不佳时的检测结果。本发明分析局域网内DNS报文的集合，基于域名对应的主机群IP分散程度和在线率等特征，避免了对单个DNS报文进行分析的准确率问题，且在计算IP距离时考虑域名对应主机群的规模，从而避免大型良性速变网络被误判。

Description

一种基于主机群特征检测速变攻击域名的方法

技术领域

本发明涉及网络异常检测领域，是一种基于域名所对应的主机群特征进行速变攻击域名检测的方法。

背景技术

近年来，随着互联网的迅猛发展，网络安全也面临着巨大的挑战，僵尸网络的出现无疑使网络安全的处境雪上加霜。

僵尸网络母体(控制服务器)为了及时更新僵尸主机的客户端模块，或控制新感染的僵尸主机，需要与被感染的僵尸主机进行通信，即通常所说的C&C（Command&Control）通信，同时为了隐藏和保护僵尸网络的母体，僵尸网络往往采用域名速变技术，使得僵尸主机访问的域名对应到不同的当前在线代理主机，代理主机作为中间节点负责与僵尸网络母体通信。僵尸网络母体隐藏于代理主机的背后，难以被发现，而在线代理主机数目众多，分布广泛，难以被完全封杀，因此直接通过封杀僵尸网络母体或代理主机来控制僵尸网络的效果都不佳。而控制僵尸网络的域名可以有效地减轻僵尸网络的危害，2008年发现的僵尸网络Conficker，在微软、ICANN、中国互联网络信息中心、赛门铁克、环球域名有限公司等多家单位的合作下，通过封杀域名的方式阻断僵尸主机与代理主机之间的联系，从而遏制了Conficker的发展。

如何发现僵尸网络的域名，进而发现僵尸网络，迄今为止依然没有很好的办法。目前对速变攻击域名（英文术语的名称FastFluxDomain）的检测主要从DNS报文的特征、节点服务可靠性以及网络服务内容特征等方面检测速变攻击网络的域名。如现有技术中已经提出的基于速变攻击网络可用性的检测方法和基于网页内容更新频率的检测方法。这些方法可以检测出特定域名是否为速变攻击网络的域名，但是对于及时发现较大局域网内是否有主机被僵尸网络感染存在问题。另外基于网络可用性的检测方法的结果误差较大，且易受到网络状态实时变化的影响，基于网页内容更新频率的检测方法其检测周期长，也难也及时发现并控制速变攻击网络域名。因此，现实中需要一个可以高效、实时的检测局域网内是否存在速变攻击网络的方法。

发明内容

本发明所要解决的技术问题是提供一种基于主机群特征检测速变攻击域名的方法，用于实现高效、实时地检测局域网内是否存在速变攻击域名。

本发明解决上述技术问题的技术方案如下：一种基于主机群特征检测速变攻击域名的方法，包括：

步骤1，将已有速变攻击域名和正常域名所对应的所有IP的属性作为训练参数，训练出分类器模型；

步骤2，捕获网络流量中的DNS（DomainNameSystem，域名系统）报文，提取出域名IP对元组数据，并将其存储到域名数据库模块；

步骤3，从域名数据库模块中取出域名IP对元组数据得到待检测的域名及其对应的所有IP，并计算每个域名对应的IP分散程度；

步骤4，根据步骤3的IP分散程度结果，对分散程度值超过阈值的域名进行服务可用性检测；

步骤5，将步骤3的IP分散结果和步骤4的服务可用性检测结果输入至步骤1训练出的分类器模型中进行分类，确定出速变攻击域名。

在上述技术方案的基础上，本发明还可以做如下改进。

进一步，所述步骤1具体包括:速变攻击域名分类器基于已有速变攻击域名和正常域名数据，采用贝叶斯分类器，以已有速变攻击域名和正常域名所对应的对应所有IP的属性作为为分类向量，训练出分类器模型，且所述IP的属性包括IP所属C类网络个数、平均在线率和最小服务可用率。

进一步，所述步骤2具体包括：域名数据采集器实时捕获网络流量中的DNS报文，经过协议解析，过滤出DNS返回报文中的IN报文，提取出域名IP对元组数据，并存储到域名数据库模块中。

进一步，所述域名IP对元组数据包括域名、域名对应的IP和报文捕获时间。

进一步，所述步骤3具体包括：在分类器训练完成后，在对速变攻击域名检测过程中，首先从域名数据库模块中取出每个待检测的域名，获得域名所对应的所有的IP，总数记作n_A，然后统计待检测域名所对应主机群IP所属C类网络个数n_c，则域名对应主机群IP的离散程度D为

其中ε为从训练的分类器中获得的阈值。

进一步，所述步骤4中具体包括：先周期性对所有可疑域名对应主机群的IP进行一次在线探测，并记录探测结果；探测t次之后，对每个可疑域名计算其对应主机群IP的平均在线率和最小服务可用率。

进一步，计算平均在线率和最小服务可用率的具体步骤为：记某个待检测域名对应主机群的IP个数为n_A,第i次检测在线的主机个数为n_i，则t小时平均在线率为

$\stackrel{\‾}{W}=\frac{1}{t}\underset{i=1}{\overset{t}{\mathrm{\Σ}}}\frac{n_i}{n_A};$

且t小时最小服务可用率为

$W_{\mathrm{nin}}=\frac{\min \left(n_i\right)}{n_A}(i=\mathrm{1,2},...,t).$

进一步，还包括有网络波动检测步骤，且在存在网络波动检测步骤的基础上，计算平均在线率和最小服务可用率的具体步骤包括：在对所有可疑域名对应主机群的IP进行在线探测时，每次探测的同时探测m个外网在线主机的是否可连通，并判断本地网络是否稳定，得到实际所用的平均在线率和最小服务可用率。

进一步，记某个待检测域名对应主机群的IP个数为n_A,第i次检测在线的主机个数为n_i，若第i次探测预设在线主机数超过阈值λ，则记该次探测结果f_i为1，否则为0，则实际所用的平均在线率计算公式为

$\stackrel{\‾}{W}=\frac{1}{\underset{i=1}{\overset{t}{\mathrm{\Σ}}}{f}_i}\left(\underset{i=1}{\overset{t}{\mathrm{\Σ}}}\frac{n_i*f_i}{n_A}\right)=\frac{\underset{i=1}{\overset{t}{\mathrm{\Σ}}}{n}_i*f_i}{n_A*\underset{i=1}{\overset{t}{\mathrm{\Σ}}}{f}_i}$

其中，n′_i表示第i次检测的逻辑在线主机数，则

且t小时最小服务可用率为

$W_{\mathrm{nin}}=\frac{\min \left(n_i\right)}{n_A}(i=\mathrm{1,2},...,t).$

本发明的有益效果是：本发明对局域网内DNS报文的集合进行分析，基于域名对应的主机群IP分散程度和在线率等特征，避免了对单个DNS报文进行分析的准确率问题，在计算IP距离时考虑域名对应主机群的规模，从而避免大型良性速变网络被误判。其主要优点是研究的数据集更大，结果更准确，检测周期相对较短，具有较好的检测效果。

附图说明

图1为本发明实施例一的速变攻击网络域名检测部署环境示意图；

图2为本发明所述检测方法的流程示意图；

图3为本发明实施例二中速变攻击域名对应主机群在线率的时序图。

具体实施方式

以下结合附图对本发明的原理和特征进行描述，所举实例只用于解释本发明，并非用于限定本发明的范围。

为了不干扰正常的网络通信，实施例一的速变攻击网络域名检测服务器捕获并分析从路由器上旁路过来的流量，通过分析DNS报文集合中域名对应的主机群分散程度和服务可用性，对局域网内疑似感染的僵尸主机进行报警。实施的网络环境如图1所示。

结合图2，并在图2基础上细化，实施例一具体包括七个步骤：

（1）速变攻击域名分类器基于已有速变攻击域名和正常域名数据，采用贝叶斯分类器，使用域名对应所有IP<所属C类网络个数，平均在线率，最小服务可用率>作为分类向量，进行分类学习，训练出分类器。

（2）域名数据采集器实时捕获网络流量中的DNS报文，经过协议解析，过滤出DNS返回报文中的IN报文，将域名IP对元组<域名，IP，时间>数据存储到域名数据库模块。

（3）主机群IP分散程度评估模块周期性地从域名数据库模块中取出每个域名对应的所有IP，计算其IP分散程度。

（4）域名对应主机群在线率探测模块周期性地探测这些主机是否在线。

（5）网络波动检测模块周期性测试一些已知的在线外部网络主机是否在线，根据外部在线主机的连接测试结果，给出当前的网络状况评估，拒绝网络状态不正常下的主机群在线探测结果。

（6）域名可用性计算模块计算域名对应主机群在一段较长时间(如24小时)内的平均在线率和最小在线率，评估其服务可用性。

（7）利用（1）中训练的分类器模型，对待检测的域名根据其对应的主机群的IP分散程度和服务可用性特征进行分类，判断域名是否为速变攻击域名。

上述步骤中，步骤（3）中计算域名对应主机群的IP的离散程度、步骤（5）中网络波动检测和步骤（6）中评估域名服务可用性是本实施例的核心。

在分类器训练完成后，在对速变攻击域名检测过程中，步骤（3）计算域名对应主机群IP的离散程度，首先从数据库中取出每个待检测的域名，获得域名所对应的所有的IP，总数记作nA，然后统计待检测域名所对应主机群IP所属C类网络个数nc,域名对应主机群IP的离散程度D为

其中ε为阈值，从训练的分类器中获得。

根据离散程度检测的结果，步骤（6）对可疑域名即离散程度值超过阈值的域名进行服务可用性检测。该检测步骤如下：先周期性(如每小时)对所有可疑域名对应主机群的IP进行一次在线探测，并记录探测结果；探测t次(如24次)之后，对每个可以域名计算其对应主机群IP的平均在线率和最小服务可用率；记某个待检测域名对应主机群的IP个数为n_A,第i次检测在线的主机个数为n_i，则t小时平均在线率为

$\stackrel{\&OverBar;}{W}=\frac{1}{t}\underset{i=1}{\overset{t}{\mathrm{\&Sigma;}}}\frac{n_i}{n_A}$

且t小时最小服务可用率为

$W_{\min }=\frac{\min \left(n_i\right)}{n_A}(i=\mathrm{1,2}...,t)$

为了排除网络波动的干扰，在探测IP对应主机是否在线时，每次探测同时探测m个外网在线主机的是否可连通，判断本地网络是否稳定。如果第i次探测预设在线主机数超过阈值λ，则本次探测结果f_i为1，否则为0。实际所用的平均在线率计算公式为

$\stackrel{\&OverBar;}{W}=\frac{1}{{\mathrm{\&Sigma;}}_{i=1}^t{f}_i}\left(\underset{i=1}{\overset{t}{\mathrm{\&Sigma;}}}\frac{n_i*f_i}{n_A}\right)=\frac{{\mathrm{\&Sigma;}}_{i=1}^t{n}_i*f_i}{n_A*{\mathrm{\&Sigma;}}_{i=1}^t{f}_i}$

用n′_i表示第i次检测的逻辑在线主机数，则

且t小时最小服务可用率为

$W_{\min }=\frac{\min \left({n_i}^{\&prime;}\right)}{n_A}(i=\mathrm{1,2}...,t)$

根据分类学习中得到的参数，和实验中检测的结果，判断一个域名是否为速变攻击域名.然后将检测结果存入数据库。

实施例二基于实施例一所述的技术方案，其训练数据集来自于各大网站公布的速变攻击域名和正常的域名，测试数据集来自某研究所内从网关镜像的整个局域网的DNS报文，其每个工作日有5万条左右的记录。根据记录的DNS返回的IN报文记录的元组<域名,IP>，计算域名对应的主机群IP的离散程度，探测并计算域名对应主机群的服务可用性，利用这两项指标即可对域名进行分类，实施例二中探测到速变攻击域名对应主机群的在线率时序图如图3所示，其纵坐标表示在线率，横坐标表示时间。

由图3可知，本发明提出的方法检测结果准确，适合实时在线检测局域网内访问的域名是否为速变攻击域名，从而判断局域网内是否存在僵尸主机，有效的防护局域网内数据因僵尸网络而遭到泄漏。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (8)

1.一种基于主机群特征检测速变攻击域名的方法，其特征在于，包括：

步骤1，将已有速变攻击域名和正常域名所对应的所有IP的属性作为训练参数，训练出分类器模型；

步骤2，捕获网络流量中的DNS域名系统报文，提取出域名IP对元组数据，并将其存储到域名数据库模块，具体包括：域名数据采集器实时捕获网络流量中的DNS报文，经过协议解析，过滤出DNS返回报文中的IN报文，提取出域名IP对元组数据，并存储到域名数据库模块中；

步骤3，从域名数据库模块中取出域名IP对元组数据得到待检测的域名及其对应的所有IP，并计算每个域名对应的IP分散程度；

步骤4，根据步骤3的IP分散程度结果，对分散程度值超过阈值的域名进行服务可用性检测；

步骤5，将步骤3的IP分散结果和步骤4的服务可用性检测结果输入至步骤1训练出的分类器模型中进行分类，确定出速变攻击域名。

2.根据权利要求1所述的方法，其特征在于，所述步骤1具体包括:速变攻击域名分类器基于已有速变攻击域名和正常域名数据，采用贝叶斯分类器，以已有速变攻击域名和正常域名所对应的所有IP的属性作为分类向量，训练出分类器模型，且所述IP的属性包括IP所属C类网络个数、平均在线率和最小服务可用率。

3.根据权利要求1所述的方法，其特征在于，所述域名IP对元组数据包括域名、域名对应的IP和报文捕获时间。

4.根据权利要求1所述的方法，其特征在于，所述步骤3具体包括：在分类器训练完成后，在对速变攻击域名检测过程中，首先从域名数据库模块中取出每个待检测的域名，获得域名所对应的所有的IP，总数记作n_A，然后统计待检测域名所对应主机群IP所属C类网络个数n_c，则域名对应主机群IP的离散程度D为

其中ε为从训练的分类器中获得的阈值。

5.根据权利要求1所述的方法，其特征在于，所述步骤4中具体包括：先周期性对所有可疑域名对应主机群的IP进行一次在线探测，并记录探测结果；探测t次之后，对每个可疑域名计算其对应主机群IP的平均在线率和最小服务可用率。

6.根据权利要求5所述的方法，其特征在于，计算平均在线率和最小服务可用率的具体步骤为：记某个待检测域名对应主机群的IP个数为n_A,第i次检测在线的主机个数为n_i，则t小时平均在线率为

$\stackrel{\&OverBar;}{W}=\frac{1}{t}\underset{i=1}{\overset{t}{\mathrm{\&Sigma;}}}\frac{n_i}{n_A};$

且t小时最小服务可用率为

$W_{\mathrm{nin}}=\frac{\min \left(n_i\right)}{n_A}(i=\mathrm{1,2},...,t).$

7.根据权利要求5所述的方法，其特征在于，还包括有网络波动检测步骤，且在存在网络波动检测步骤的基础上，计算平均在线率和最小服务可用率的具体步骤包括：在对所有可疑域名对应主机群的IP进行在线探测时，每次探测的同时探测m个外网在线主机的是否可连通，并判断本地网络是否稳定，得到实际所用的平均在线率和最小服务可用率。

8.根据权利要求7所述的检测方法，其特征在于，记某个待检测域名对应主机群的IP个数为n_A,第i次检测在线的主机个数为n_i，若第i次探测预设在线主机数超过阈值λ，则记该次探测结果f_i为1，否则为0，则实际所用的平均在线率计算公式为

$\stackrel{\&OverBar;}{W}=\frac{1}{\underset{i=1}{\overset{t}{\mathrm{\&Sigma;}}}{f}_i}\left(\underset{i=1}{\overset{t}{\mathrm{\&Sigma;}}}\frac{n_i*f_i}{n_A}\right)=\frac{\underset{i=1}{\overset{t}{\mathrm{\&Sigma;}}}{n}_i*f_i}{n_A*\underset{i=1}{\overset{t}{\mathrm{\&Sigma;}}}{f}_i}$

式中，用n′_i表示第i次检测的逻辑在线主机数，则

且t小时最小服务可用率为

$W_{\mathrm{nin}}=\frac{\min \left(n_i\right)}{n_A}(i=\mathrm{1,2},...,t).$