CN103345605A - 一种恶意代码感染主机规模估计系统和方法 - Google Patents

Abstract

本发明公开了一种基于DNS缓存探测的指定恶意代码感染主机规模估计系统和方法。该系统包含特定区域DNS解析器搜索、DNS探测和恶意代码感染主机规模估计三个主要模块，通过对特定区域范围内DNS解析器进行探测，收集恶意域名在各个DNS解析器中的缓存信息，并基于该信息构建混合指数估计模型，估计恶意代码在相应网络域中感染主机的规模。该系统有效地规避了隐私保护、网络授权等传统监控方法面临的问题。

Description

一种恶意代码感染主机规模估计系统和方法

技术领域

本发明涉及网络通信安全领域，特别是涉及一种恶意代码感染主机规模估计系统和方法。

背景技术

准确有效地获取恶意代码感染主机的规模，对深入分析和研究其传播机理和对互联网的破坏程度有着重要意义。不幸的是，尽管这些宝贵的信息对于恶意代码的早期防范和态势评估十分必要，但网络管理员出于某些因素的考虑，往往不愿透露其网络内的恶意代码感染情况。为了了解恶意代码的感染情况，一种常用的办法是在用户主机部署信息采集的客户端，例如：采用浏览器插件的形式记录用户主机访问的URL。然而，这种手段面临隐私保护问题。一方面，用户因不愿意被监控而不配合部署该类客户端，这极大地影响了数据的完整性；另一方面，这种主机端监控方式可能被利用作为后门程序，造成严重的安全隐患。

发明内容

针对现有技术的不足，本发明的目的在于提出一种基于DNS缓存探测的特定区域恶意代码感染主机规模估计方法。该方法通过对特定区域范围内DNS解析器进行探测，收集恶意域名在各个DNS解析器中的缓存信息，并基于该信息构建混合指数估计模型，估计恶意代码在相应网络域中感染主机的规模。

本发明的技术方案为：

一种基于DNS缓存探测的恶意代码感染主机规模估计系统，包括以下模块：

DNS解析器搜索模块，用于在特定区域范围内搜索可用作探测的DNS解析器，该模块输出的每一个DNS解析器对应于一个可以进行恶意代码感染主机规模估计的网络域；

DNS探测模块，用于实时探测给定的一个或多个恶意代码的命令与控制域名在由所述DNS解析器搜索模块提供的DNS解析器中的缓存信息，作为恶意代码感染主机规模估计模块的输入。

恶意代码感染主机规模估计模块，基于所述DNS探测模块的输出构建混合指数估计模型，估计给定的一个或多个恶意代码在由所述DNS解析器搜索模块提供的各DNS解析器所对应的网络域中感染主机的规模。

在另一实施例中，本发明提出了一种基于DNS缓存探测的恶意代码感染主机规模估计方法，包括以下步骤：

DNS解析器搜索：在特定区域范围内搜索可用作探测的DNS解析器，输出的每一个DNS解析器对应于一个可以进行恶意代码感染主机规模估计的网络域；

DNS探测：实时探测给定的一个或多个恶意代码的命令与控制域名在由所述DNS解析器搜索步骤提供的DNS解析器中的缓存信息，作为恶意代码感染主机规模估计模块的输入。

恶意代码感染主机规模估计：基于所述DNS探测步骤的输出构建混合指数估计模型，估计给定的一个或多个恶意代码在由所述DNS解析器搜索步骤提供的各DNS解析器所对应的网络域中感染主机的规模。

本发明具有以下有益的效果：

首先，无需在用户主机安装任何客户端，不涉及隐私保护也不造成额外的安全问题；其次，无需捕获各个网络的出口流量，无需任何的授权，易于部署和实施；最后，开销适度，提供一种轻量级的网络安全态势监控工具，具有很强的实用性。

附图说明

图1为基于DNS缓存探测的特定区域恶意代码感染主机规模估计系统模块图；

图2为DNS解析器搜索模块处理流程图；

图3为DNS缓存探测原理图。

具体实施方式

以下结合附图对本发明的技术方案进行详细说明。

参见图1所示，基于DNS缓存探测的特定区域恶意代码感染主机规模估计系统包含DNS解析器搜索模块、DNS探测模块和恶意代码感染主机规模估计模块。

DNS解析器搜索模块，用于在特定区域范围(例如地理区域，如指定的国家、省、市)内搜索可用作探测的DNS解析器。该模块输出的每一个DNS解析器对应于一个可以进行恶意代码感染主机规模估计的网络域。

DNS探测模块，用于实时探测给定的一个或多个恶意代码的命令与控制域名在由DNS解析器搜索模块提供的DNS解析器中的缓存信息，作为恶意代码感染主机规模估计模块的输入。

恶意代码感染主机规模估计模块，基于模块DNS探测模块的探测记录，估计给定的一个或多个恶意代码在各DNS解析器所对应的网络域中感染主机的规模。

下面，具体介绍各个模块的原理和流程。

如图2所示，DNS解析器搜索模块采用如下步骤，在特定区域范围内搜索可用作探测的DNS解析器。

(1)注册一个DNS域，并在该DNS域下注册域名d。域名d为非公开域名，即现有的网络应用不可能请求该域名。

(2)向特定区域IPv4地址段中所有IP的udp53端口发送递归请求，查询域名d的A记录，并接收响应包。记A₁为所有正确解析该递归请求的IP集合，其对应的主机能够提供正确的DNS解析服务。记A₂为上述过程中所有向(1)中所述的DNS域的权威服务器做域名d的A记录查询的IP集合，其对应的主机排除了DNS转发器。记A₃＝A₁∩A₂，该集合包含的IP对应能提供正确DNS解析的DNS解析器。

(3)等待域名d在A₃中各DNS解析器上缓存期满，即(2)完成后，等待时间t，t≥TTL_d，TTL_d为域名d的缓存时间。向A₃中所有IP的udp53端口发送非递归请求，查询域名d的A记录，并接收响应包。记A₄为所有返回查询无结果的IP集合，A₄中的IP对应DNS解析器搜索模块输出的DNS解析器，排除了A₃中不区分递归请求和非递归请求的DNS解析器。

DNS探测模块的实现建立在DNS解析器的缓存机制之上。

DNS解析器依靠缓存机制改善域名解析的性能。对于一个特定的域名d(如www.google.com)，其权威服务器(即ns1.google.com)将为其指定一个长为t_d的生存时间(TTL)。于是，本地的DNS解析器向权威服务器请求域名d后，会将解析记录在本地缓存t_d个时间单元。DNS请求分为递归请求和非递归请求两种。递归请求要求DNS解析器完整地应答。为此，如果DNS解析器没有缓存相关的信息，其将向上一级的DNS服务器递归地请求。相反，对于非递归请求，DNS解析器只利用其本地缓存信息而非递归地向上请求。这就是说，如果相关信息没有缓存，DNS解析器将给与否定的应答。因此，发送非递归请求可以用来检查DNS解析器是否缓存域名d。于是，之后用来探测DNS解析器缓存的非递归请求称为缓存探测。

图3阐述了DNS缓存探测技术。DNS请求代表本地网络域内主机对DNS解析器发送的关于域名d的请求。随机变量X代表两个相邻DNS请求的时间间隔。缓存状态展现了相关缓存的动态刷新情况，也即域名d何时在该DNS解析器上缓存。由图3可知，第一个来自本地主机的请求将触发DNS解析器缓存域名d的信息，持续时间为t_d。DNS探测模块以t_d为周期持续对该DNS解析器进行缓存探测以获取缓存状态信息。

考察图2、3，当一个缓存探测的到达时间为t_p，并且缓存命中，DNS解析器将返回缓存剩余时间T_l。于是，可以推测缓存的开始时间，即t_r＝t_p-(t_d-T_l)。令随机变量R代表缓存更新间隔(CRI)，也即本次缓存结束到下次缓存开始的时间间隔，R_i＝T_li-T_li-1。DNS探测模块的目标即为通过持续不断的缓存探测，获取一系列的R_i，为恶意代码感染主机规模估计模块提供输入。

在具体实现上，DNS探测模块包含如下子模块。

(1)数据包构造解析子模块：构造关于给定的一个或多个恶意域名的非递归A记录查询请求包；解析DNS响应包，提取恶意域名在DNS解析器上的缓存信息。缓存信息由六元组构成，即(探测时间t_p，恶意域名d，DNS解析器S，udp报文标识flag，缓存状态，剩余缓存时间T_l)。其中“缓存状态”为布尔量，当其为假时“T_l”为空。

(2)探测输出子模块：该子模块对数据包构造解析子模块获取的缓存信息进行加工，输出缓存更新间隔序列(CRIs)，用随机变量R_i代表序列中第i个缓存更新间隔CRI_i，则R_i＝T_li-T_li-1。特别地，若所有缓存信息中“缓存状态”均为假，则探测输出子模块输出0个CRI。该子模块采用基于udp报文标识计数的丢包容错策略，确保输出正确可靠的缓存更新间隔CRI。具体来说，为了兼顾探测效率和发包速度，不保存探测的发包状态，即不进行丢包重传。为保证数据的完整性，DNS探测模块对各恶意域名的探测包添加计数标志。即在DNS非递归请求包的UDP封包的包头标识字段上循环计数，令第i次探测的标识字段的值为flag_i，则第i+1次探测的标识字段的值为flag_i+1＝(flag_i+1)Mod65535。根据R_i＝T_li-T_li-x，又探测包与相应的探测响应包具有相同的标识，故选择连续的(没有丢包)的探测来计算R_i。上述连续性的验证由缓存信息的六元组中的udp报文标识flag来保证。

恶意代码感染主机规模估计模块的实现基于混合指数模型，采用如下步骤估计给定的恶意代码在特定区域范围内各网络域中感染主机的规模。不失一般地，假设恶意域名为d_bot，探测的DNS解析器为S。

(1)若探测d_bot在S上的缓存记录，其缓存信息的“缓存状态”均为假，也即d_bot在S上从未缓存，则d_bot对应的恶意代码在S所对应的网络域内感染主机的规模为0；否则，转向步骤(2)。

(2)将DNS解析器S上域名d_bot的缓存更新间隔序列表示为上述CRI，用R表示该序列中样本。R服从二阶指数分布，即 $F_R\left(x\right)=1-{\mathrm{ce}}^{-{\mathrm{\λ}}_{1}x}-(1-c)\·e^{-{\mathrm{\λ}}_{2}x}.$ 使用EM算法估计分布参数λ₁，λ₂和c。

(3)计算平均请求速率

$\widehat{\mathrm{\λ}}=\frac{c(1+{\mathrm{\λ}}_{1}t)+(1-c)(1+{\mathrm{\λ}}_{2}t)}{c(1/{\mathrm{\λ}}_1+t)+(1-c)(1/{\mathrm{\λ}}_2+t)}.$

(4)d_bot关联的恶意代码在S所对应的网络域内感染主机的规模为其中λ_c为单个恶意代码对d的平均请求速率，为已知量。

由此，通过对特定区域范围内DNS解析器进行探测，收集恶意域名在各个DNS解析器中的缓存信息，基于该信息构建混合指数估计模型，估计恶意代码在相应网络域中感染主机的规模。

以上利用具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims (8)

1.一种基于DNS缓存探测的恶意代码感染主机规模估计系统，其特征在于，包括以下模块：

DNS解析器搜索模块，用于在特定区域范围内搜索可用作探测的DNS解析器，该模块输出的每一个DNS解析器对应于一个可以进行恶意代码感染主机规模估计的网络域；

DNS探测模块，用于实时探测给定的一个或多个恶意代码的命令与控制域名在由所述DNS解析器搜索模块提供的DNS解析器中的缓存信息，作为恶意代码感染主机规模估计模块的输入。

恶意代码感染主机规模估计模块，基于所述DNS探测步骤的输出构建混合指数估计模型，估计给定的一个或多个恶意代码在由所述DNS解析器搜索模块提供的各DNS解析器所对应的网络域中感染主机的规模。

2.根据权利要求1所述的系统，其特征在于，所述DNS解析器搜索模块包括：

第一子模块，用于注册一个DNS域，并在该DNS域下注册域名d，其中域名d为非公开域名，即现有的网络应用不可能请求该域名；

第二子模块，用于向特定区域IPv4地址段中所有IP的udp53端口发送递归请求，查询域名d的A记录，并接收响应包；其中，记A₁为所有正确解析该递归请求的IP集合，其对应的主机能够提供正确的DNS解析服务；记A₂为所有向第一子模块中注册的所述DNS域的权威服务器做域名d的A记录查询的IP集合，其对应的主机排除了DNS转发器；记A₃＝A₁∩A₂，该集合包含的IP对应能提供正确DNS解析的DNS解析器；

第三子模块，用于等待域名d在A₃中各DNS解析器上缓存期满，即第二子模块的处理完成后等待时间t，t≥TTL_d，TTL_d为域名d的缓存时间；向A₃中所有IP的udp53端口发送非递归请求，查询域名d的A记录，并接收响应包，其中，记A₄为所有返回查询无结果的IP集合，A₄中的IP对应所述DNS解析器搜索模块输出的DNS解析器，排除了A₃中不区分递归请求和非递归请求的DNS解析器。

3.根据权利要求1或2所述的系统，其特征在于，所述DNS探测模块包括：

数据包构造解析子模块，用于构造关于给定的一个或多个恶意域名的非递归A记录查询请求包，并且解析DNS响应包，提取恶意域名在DNS解析器上的缓存信息，所述缓存信息由六元组构成，即探测时间t_p、恶意域名d、DNS解析器S、udp报文标识flag、缓存状态和剩余缓存时间T_l；

探测输出子模块，用于对所述数据包构造解析子模块获取的缓存信息进行加工，输出缓存更新间隔序列CRI。

4.根据权利要求1至3任一所述的系统，其特征在于，所述恶意代码感染主机规模估计模块包括：

第四子模块，用于确定：若DNS探测模块探测到d_bot在S上的缓存信息中的“缓存状态”均为假，也即d_bot在S上从未缓存，则d_bot对应的恶意代码在S所对应的网络域内感染主机的规模为0；否则，转向第五子模块的处理；其中，d_bot为恶意域名，S为探测的DNS解析器；

第五子模块，用于将DNS解析器S上域名d_bot的缓存更新间隔序列表示为所述CRI，用R表示该序列中的样本，其中R服从二阶指数分布，即 $F_R\left(x\right)=1-{\mathrm{ce}}^{-{\mathrm{\λ}}_{1}x}-(1-c)\·e^{-{\mathrm{\λ}}_{2}x},$ 并使用EM算法估计分布参数λ₁，λ2和c；

第六子模块，用于计算平均请求速率

其中 $\widehat{\mathrm{\λ}}=\frac{c(1+{\mathrm{\λ}}_{1}t)+(1-c)(1+{\mathrm{\λ}}_{2}t)}{c(1/{\mathrm{\λ}}_1+t)+(1-c)(1/{\mathrm{\λ}}_2+t)};$

第七子模块，用于计算d_bot关联的恶意代码在S所对应的网络域内感染主机的规模

其中λ_c为单个恶意程序对d_bot的平均请求速率，为已知量。

5.一种基于DNS缓存探测的恶意代码感染主机规模估计方法，其特征在于，包括以下步骤：

DNS解析器搜索：在特定区域范围内搜索可用作探测的DNS解析器，输出的每一个DNS解析器对应于一个可以进行恶意代码感染主机规模估计的网络域；

DNS探测：实时探测给定的一个或多个恶意代码的命令与控制域名在由所述DNS解析器搜索步骤提供的DNS解析器中的缓存信息，作为恶意代码感染主机规模估计模块的输入。

恶意代码感染主机规模估计：基于所述DNS探测步骤的输出构建混合指数估计模型，估计给定的一个或多个恶意代码在由所述DNS解析器搜索步骤提供的各DNS解析器所对应的网络域中感染主机的规模。

6.根据权利要求5所述的方法，其特征在于，所述DNS解析器搜索步骤包括以下子步骤：

(1)注册一个DNS域，并在该DNS域下注册域名d，其中域名d为非公开域名，即现有的网络应用不可能请求该域名；

(2)向特定区域IPv4地址段中所有IP的udp53端口发送递归请求，查询域名d的A记录，并接收响应包；其中，记A₁为所有正确解析该递归请求的IP集合，其对应的主机能够提供正确的DNS解析服务；记A₂为所有向(1)中注册的所述DNS域的权威服务器做域名d的A记录查询的IP集合，其对应的主机排除了DNS转发器；记A₃＝A₁∩A₂，该集合包含的IP对应能提供正确DNS解析的DNS解析器；

(3)等待域名d在A₃中各DNS解析器上缓存期满，即(2)的处理完成后，等待时间t，t≥TTL_d，TTL_d为域名d的缓存时间；向A₃中所有IP的udp53端口发送非递归请求，查询域名d的A记录，并接收响应包，其中，记A₄为所有返回查询无结果的IP集合，A₄中的IP对应所述DNS解析器搜索步骤输出的DNS解析器，排除了A₃中不区分递归请求和非递归请求的DNS解析器。

7.根据权利要求5所述的方法，其特征在于，所述DNS探测步骤包括以下子步骤：

数据包构造解析子步骤：构造关于给定的一个或多个恶意域名的非递归A记录查询请求包，并且解析DNS响应包，提取恶意域名在DNS解析器上的缓存信息，所述缓存信息由六元组构成，即探测时间t_p、恶意域名d、DNS解析器S、udp报文标识flag、缓存状态和剩余缓存时间T_l；

探测输出子步骤：对所述数据包构造解析子步骤获取的缓存信息进行加工，输出缓存更新间隔序列CRI。

8.根据权利要求7所述的方法，其特征在于，所述恶意代码感染主机规模估计步骤包括以下子步骤：

(a)若DNS探测模块探测到d_bot在S上的缓存信息中的“缓存状态”均为假，也即d_bot在S上从未缓存，则d_bot对应的恶意代码在S所对应的网络域内感染主机的规模为0；否则，转向(b)的处理；其中，d_bot为恶意域名，S为探测的DNS解析器；

(b)将DNS解析器S上域名d_bot的缓存更新间隔序列表示为所述CRI，用R表示该序列中的样本，其中R服从二阶指数分布，即

使用EM算法估计分布参数λ₁，λ₂和c；

(c)计算平均请求速率

其中 $\widehat{\mathrm{\λ}}=\frac{c(1+{\mathrm{\λ}}_{1}t)+(1-c)(1+{\mathrm{\λ}}_{2}t)}{c(1/{\mathrm{\λ}}_1+t)+(1-c)(1/{\mathrm{\λ}}_2+t)};$

(d)计算d_bot关联的恶意代码在S所对应的网络域内感染主机的规模

其中λ_c为单个恶意代码对d_bot的平均请求速率，为已知量。

Images