CN103944894B - 基于云计算的恶意域名检测系统 - Google Patents
基于云计算的恶意域名检测系统 Download PDFInfo
- Publication number
- CN103944894B CN103944894B CN201410148117.4A CN201410148117A CN103944894B CN 103944894 B CN103944894 B CN 103944894B CN 201410148117 A CN201410148117 A CN 201410148117A CN 103944894 B CN103944894 B CN 103944894B
- Authority
- CN
- China
- Prior art keywords
- detection
- domain name
- module
- data
- interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
一种基于云计算的恶意域名检测系统,包括传感器、外部数据采集模块、数据存储模块、资源交换与共享模块、检测模块、检测接口和提交接口;传感器用于监测和压缩DNS数据,并通过提交接口提交至数据存储模块;外部数据采集模块用于定期下载外部数据并上传至数据存储模块;检测模块用于存储检测算法和进行域名检测;资源交换与共享模块用于控制加入资源共享计划的数据。用户通过检测接口可以共享资源共享计划中的数据,并向检测模块提出检测算法或域名检测请求。本发明提高了检测效率,降低了用户成本,并在研究机构、安全厂商和政府网络管理部门具有广泛的应用前景。
Description
技术领域
本发明涉及一种恶意域名的检测系统,尤其涉及一种基于云计算的恶意域名检测系统。
背景技术
当前木马、病毒、僵尸网络普遍使用域名定位,钓鱼网站也通常采用相似域名进行欺骗。目前,各种恶意域名的检测算法主要包括:非法域名识别方法及装置(专利号为201110382578.4)、仿冒域名检测方法及设备(专利号为201210104110.3)、异常域名检测方法及系统(专利号为200910237594.7)、一种Domain flux僵尸网络域名检测(专利号为201210475596.1)、基于域名构造特征的木马网页检测(专利号为201110146967.7)、检测僵尸网络中控制主机域名的方法、装置和系统(专利号为201010109069.X)、Systems andmethods for identifying malicious domains using internet-wide dns lookup(WO2011143542A1)和Method and system for detecting malicious domain names atan upper dns hierarchy(US20120198549A1)。
现有的恶意域名检测算法存在着一定的局限性,主要表现在:检测数据源单一,在单一数据源检测产生的结果通用性差;缺乏数据协同,多源数据协同可提高检测效率,包括精度和速度;对于恶意域名检测需要机构/用户自己构建检测系统,开销过大;在SIE系统中并无恶意域名检测算法,仅提供资源记录的存储和查询服务;用户无法随机读取整个SIE数据库,基于SIE数据的挖掘需要产生大量的API查询,效率极低。
因此,本领域的技术人员致力于发明一种基于云计算的恶意域名检测系统,以完成全球性协作的DNS(Domain Name System,域名系统)流量采集、存储和挖掘系统,实现对恶意域名的挖掘和SaaS(Software-as-a-service,软件运营)云服务的需求。
发明内容
有鉴于现有技术的上述缺陷,本发明所要解决的技术问题是提供一种基于云计算的恶意域名检测系统。
为实现上述目的,本发明提供了一种基于云计算的恶意域名检测系统,其特征在于,包括传感器、外部数据采集模块、数据存储模块、资源交换与共享模块、检测模块、检测接口和提交接口;
所述传感器用于监测和压缩DNS数据;
所述外部数据采集模块用于定期下载各类外部数据;
所述数据存储模块用于存储所述DNS数据和所述外部数据;
所述检测模块用于存储检测算法和进行域名检测;
所述资源交换与共享模块用于控制加入资源共享计划的数据;
所述传感器分布在网络的各处,通过所述提交接口将所述DNS数据上传至所述数据存储模块;所述外部数据采集模块将下载到的所述外部数据上传至所述数据存储模块;用户通过所述检测接口向所述检测模块提出检测算法或域名检测请求。
进一步第,所述检测模块包括检测算法库和域名检测子模块;所述检测算法库用于存储检测算法;所述域名检测子模块用于根据所述检测算法库的检测算法进行域名检测。
进一步地,所述DNS数据包括网络内的DNS流量和关键类型的资源记录。
进一步地,所述外部数据包括Alexa网站的排名数据、IP/域名黑名单和白名单数据以及所述数据存储模块中存在的域名和IP的WHOIS信息、DNSBL(Domain Name SystemBlack List域名系统黑名单)信息和BGP(Border Gateway Protocol,边界网关协议)信息。
进一步地,所述检测系统还包括第一共享接口和第二共享接口;所述第一共享接口位于所述数据存储模块;所述第二共享接口位于所述检测算法库。
进一步地,所述资源交换与共享模块通过所述第一共享接口控制所述数据存储模块加入资源共享计划的内容;通过所述第二共享接口控制所述检测算法库加入所述资源共享计划的检测算法。
进一步地,所述检测算法库包括用户自己编写的检测算法和加入所述资源共享计划的检测算法。
进一步地,用户通过所述检测接口将自己的检测算法编写成检测脚本提交到所述检测模块中。
进一步地,用户通过所述检测接口查看域名的检测运行状态和进度,以及下载检测运行结果。
进一步地,所述传感器的数量为一个或多个。
本发明的一种基于云计算的恶意域名检测系统建立了一个广泛协作的云端DNS数据采集、存储与检测框架,数据来自各地的DNS流量观测,检测结果具有全球视野;云端自动采集WHOIS、Alexa排名、黑白名单等数据,本系统用户无需自行重复抓取这些常用的辅助信息;基于云端的资源共享技术,加入共享计划的机构可共享数据资源和检测结果;直接在云端数据挖掘框架内运行检测算法,无需通过API(Application Programming Interface,应用程序编程接口)下载云端数据到本地运算,大幅提高运行效率,也降低了用户成本。本发明在研究机构,安全厂商,政府网络管理部门具有广泛的应用前景。并且SaaS服务能够节省用户开销,并基于云的辅助提供更好的检测能力,提供数据资源共享计划,以帮助改进检测效率。SIE建立了一个全球性的“被动DNS”数据库,“被动DNS”存储了DNS流量中提取的关键类型资源记录,DNS流量中监测到的资源记录,可根据用户的查询返回匹配的资源记录,形成全球范围协作的框架。
以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明,以充分地了解本发明的目的、特征和效果。
附图说明
图1是本发明的一种基于云计算的恶意域名检测系统的结构示意图。
具体实施方式
下面结合附图对本发明的实施例作详细说明,本实施例在以本发明技术方案前提下进行实施,给出了详细的实施方式和具体的操作过程,但本发明的保护范围不限于下述的实施例。
本发明的一种基于云计算的恶意域名检测系统具体如图1所示,包括:传感器Sensor、外部数据采集模块、数据存储模块、资源交换与共享模块、检测模块、检测接口、提交接口和2个共享接口。其中,检测模块包括域名检测子模块和检测算法库。
传感器Sensor为多个,其主要用于监测本网络内的DNS数据。其中,DNS数据包括网络内的DNS流量、关键类型的资源记录(例如A、AAAA、NS、CNAME、MX、……)。传感器还需对一定时间段内的资源记录进行聚合、数据压缩并将压缩后的数据通过提交接口提交到数据存储模块。聚合资源记录是将完全相同资源记录进行合并,并添加时间戳。
外部数据采集模块用于采集和定期下载外部数据,外部数据包括:Alexa排名数据、常用的IP/域名黑名单和白名单数据、数据存储模块中已有的域名和IP的WHOIS信息、DNSBL信息和BGP等信息。并将外部数据传输至数据存储模块。
数据存储模块用于存储通过提交接口得到的来自于传感器Sensor的DNS数据,以及存储外部数据采集模块定期下载到的外部数据。
资源交换和共享模块通过第一共享接口控制加入资源共享计划的数据存储模块的内容,通过第二共享接口控制加入资源共享计划的检测算法库中的内容。数据存储模块和检测算法库通过资源交换和共享模块经审批加入资源共享计划,开放自身的数据或检测算法等内容,并通过第一共享接口和第二共享接口享有访问DNS数据、外部数据和检测算法等共享资源访问权限。由于资源共享计划,大幅提高了恶意域名的检测效率。
所述检测算法库用于存储不同的检测算法。检测算法包括:用户自己编写的检测算法以及加入资源共享计划的检测算法。在检测系统中,既可以运行已经编写好的检测算法,又可以使用用户自己编写的检测算法,直接访问数据存储模块,并通过第一共享接口和第二共享接口进行恶意域名的协同检测。
所述检测接口是用户与检测模块之间信息交互接口。用户可以通过检测接口将符合系统规定的自己编写的检测脚本提交到检测模块中。用户还可以通过检测接口箱检测模块提交恶意域名检测请求,在域名检测子模块中通过检测算法库(包括用户自己编写的检测算法和加入资源共享计划的检测算法)中的检测算法进行域名的恶意检测;并且,用户还可以通过检测接口查看检测的运行状态、进度以及下载检测运行结果。
以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此,凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案,皆应在由权利要求书所确定的保护范围内。
Claims (7)
1.一种基于云计算的恶意域名检测系统,其特征在于,包括传感器、外部数据采集模块、数据存储模块、资源交换与共享模块、检测模块、检测接口和提交接口;
所述传感器用于监测和压缩DNS数据;
所述外部数据采集模块用于定期下载各类外部数据;
所述数据存储模块用于存储所述DNS数据和所述外部数据;
所述检测模块用于存储检测算法和进行域名检测;
所述资源交换与共享模块用于控制加入资源共享计划的数据;
所述传感器分布在网络的各处,通过所述提交接口将所述DNS数据上传至所述数据存储模块;所述外部数据采集模块将下载到的所述外部数据上传至所述数据存储模块;用户通过所述检测接口向所述检测模块提出检测算法或域名检测请求;
其中,所述检测模块包括检测算法库和域名检测子模块;所述检测算法库用于存储检测算法;所述域名检测子模块用于根据所述检测算法库的检测算法进行域名检测;
所述检测系统还包括第一共享接口和第二共享接口;所述第一共享接口位于所述数据存储模块;所述第二共享接口位于所述检测算法库;
所述资源交换与共享模块通过所述第一共享接口控制所述数据存储模块加入所述资源共享计划的内容;通过所述第二共享接口控制所述检测算法库加入所述资源共享计划的检测算法。
2.如权利要求1所述的基于云计算的恶意域名检测系统,其中,所述DNS数据包括网络内的DNS流量和关键类型的资源记录。
3.如权利要求1所述的基于云计算的恶意域名检测系统,其中,所述外部数据包括Alexa网站的排名数据、IP/域名黑名单和白名单数据以及所述数据存储模块中存在的域名和IP的WHOIS信息、DNSBL信息和BGP信息。
4.如权利要求1所述的基于云计算的恶意域名检测系统,其中,所述检测算法库包括用户自己编写的检测算法和加入所述资源共享计划的检测算法。
5.如权利要求1所述的基于云计算的恶意域名检测系统,其中,用户通过所述检测接口将自己的检测算法编写成检测脚本提交到所述检测模块中。
6.如权利要求1所述的基于云计算的恶意域名检测系统,其中,用户通过所述检测接口查看域名的检测运行状态和进度,以及下载检测运行结果。
7.如权利要求1所述的基于云计算的恶意域名检测系统,其中,所述传感器的数量为一个或多个。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410148117.4A CN103944894B (zh) | 2014-04-14 | 2014-04-14 | 基于云计算的恶意域名检测系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410148117.4A CN103944894B (zh) | 2014-04-14 | 2014-04-14 | 基于云计算的恶意域名检测系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103944894A CN103944894A (zh) | 2014-07-23 |
| CN103944894B true CN103944894B (zh) | 2017-02-15 |
Family
ID=51192378
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410148117.4A Expired - Fee Related CN103944894B (zh) | 2014-04-14 | 2014-04-14 | 基于云计算的恶意域名检测系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103944894B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105262730B (zh) * | 2015-09-14 | 2018-07-17 | 北京华青融天技术有限责任公司 | 基于企业域名安全的监控方法及装置 |
| CN107786575B (zh) * | 2017-11-11 | 2020-07-10 | 北京信息科技大学 | 一种基于dns流量的自适应恶意域名检测方法 |
| CN113709265A (zh) * | 2020-05-22 | 2021-11-26 | 深信服科技股份有限公司 | 一种域名识别的方法、装置、系统和计算机可读存储介质 |
| CN113596008A (zh) * | 2021-07-23 | 2021-11-02 | 国网安徽省电力有限公司铜陵供电公司 | 一种基于微传感器技术的网络安全常态监控系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103051617A (zh) * | 2012-12-18 | 2013-04-17 | 北京奇虎科技有限公司 | 识别程序的网络行为的方法、装置及系统 |
| CN103561120A (zh) * | 2013-10-08 | 2014-02-05 | 北京奇虎科技有限公司 | 检测可疑dns的方法、装置和可疑dns的处理方法、系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8191137B2 (en) * | 2008-07-30 | 2012-05-29 | International Business Machines Corporation | System and method for identification and blocking of malicious use of servers |
-
2014
- 2014-04-14 CN CN201410148117.4A patent/CN103944894B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103051617A (zh) * | 2012-12-18 | 2013-04-17 | 北京奇虎科技有限公司 | 识别程序的网络行为的方法、装置及系统 |
| CN103561120A (zh) * | 2013-10-08 | 2014-02-05 | 北京奇虎科技有限公司 | 检测可疑dns的方法、装置和可疑dns的处理方法、系统 |
Non-Patent Citations (1)
| Title |
|---|
| 防网络钓鱼的安全域名服务器研究;何高辉;《中国优秀硕士学位论文全文数据库》;20120115(第1期);第4-5,27-40,42页,图3-3 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103944894A (zh) | 2014-07-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Lv | Security of internet of things edge devices | |
| WO2021036545A1 (zh) | 一种基于智能合约的数据处理方法、设备及存储介质 | |
| WO2020154865A1 (zh) | 一种支持多模标识网络寻址渐进去ip的方法、系统及存储介质 | |
| Wang et al. | Fog computing: Issues and challenges in security and forensics | |
| WO2018119587A1 (zh) | 数据处理方法、装置、系统及信息采集设备 | |
| CN111368230B (zh) | 一种基于区块链的工业互联网标识的处理方法及装置 | |
| CN109845226A (zh) | 用于分布式智能遥感系统的系统 | |
| CN110945853A (zh) | 基于联盟链投票共识算法产生及管理多模标识网络的方法 | |
| CN103944894B (zh) | 基于云计算的恶意域名检测系统 | |
| CN104144142B (zh) | 一种Web漏洞挖掘方法及系统 | |
| CN107690800A (zh) | 管理动态ip地址分配 | |
| Alenezi et al. | A framework for cloud forensic readiness in organizations | |
| CN105684391A (zh) | 基于标签的访问控制规则的自动生成 | |
| CN109313689A (zh) | 检测容量耗尽攻击 | |
| CN105917632A (zh) | 用于电信中的可扩缩分布式网络业务分析的方法 | |
| CN108052374A (zh) | 一种部署容器微服务的方法及装置 | |
| CN106060176A (zh) | 一种基于混合云的云计算应用架构及云计算服务方法 | |
| Somayaji et al. | A framework for prediction and storage of battery life in IoT devices using DNN and blockchain | |
| Fan et al. | SBBS: A secure blockchain-based scheme for IoT data credibility in fog environment | |
| JP2022520360A (ja) | マルチドメインからデータを収集する方法、装置及びコンピュータプログラム | |
| CN112532753B (zh) | 区块链系统的数据同步方法、装置、介质及电子设备 | |
| KR102435498B1 (ko) | 계층형 엔진 프레임워크에 기반한 크로스 도메인 워크플로우 제어 시스템 및 방법 | |
| CN103414605A (zh) | 基于交换网关的桌面云监控方法 | |
| CN112446046A (zh) | 基于智能合约的数据管理方法及装置 | |
| Huang et al. | Blockchain-based crowd-sensing system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170215 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |