CN104994117A

CN104994117A - 一种基于dns解析数据的恶意域名检测方法及系统

Info

Publication number: CN104994117A
Application number: CN201510477268.9A
Authority: CN
Inventors: 马旸; 蔡冰; 俞宙; 王林汝
Original assignee: JIANGSU BRANCH NATIONAL COMPUTER NETWORK AND INFORMATION SECURITY MANAGEMENT CENTER
Current assignee: JIANGSU BRANCH NATIONAL COMPUTER NETWORK AND INFORMATION SECURITY MANAGEMENT CENTER
Priority date: 2015-08-07
Filing date: 2015-08-07
Publication date: 2015-10-21

Abstract

本发明公开了一种基于DNS解析数据的恶意域名检测方法及系统，包括以下步骤：获取DNS解析数据、对DNS解析数据进行数据清洗、根据已知的恶意域名网站黑、白名单，过滤掉恶意域名与非恶意域名及根据域名字符串特征以及解析日志时间属性，判断域名是否为恶意域名，输出疑似恶意域名，本发明基于HADOOP大数据分析平台，可以全量分析用户的访问域名情况，挖掘出潜在的恶意域名。并且，进一步通过分析可以确定恶意程序服务器IP地址，可以针对IP地址进行封杀，还可以找出受恶意程序感染的肉鸡IP，及时提醒用户杀毒，遏制恶意程序的扩散。

Description

一种基于DNS解析数据的恶意域名检测方法及系统

技术领域：

本发明涉及网络安全应用领域，尤其涉及一种基于DNS解析数据的恶意域名检测方法及系统。

背景技术：

目前，恶意域名已经成为国内乃至全世界的网络安全领域最为关注的危害之一。恶意域名也叫恶意网站，是指该网站利用浏览器或者应用软件的漏洞，嵌入恶意代码，在用户不知情的情况下，对用户的机器进行篡改或破坏的网站。对于仿冒其他网站比如银行网站、电子商务网站的，虽然未对用户的机器进行篡改或破坏，但是也被定义为恶意域名。

恶意域名能够形成一个庞大的网络体系，通过网络来控制受感染的系统，同时不同地造成网络危害，如更快地传播木马蠕虫、短时间内窃取大量敏感信息、抢占系统资源进行非法目的牟利、发起大范围的DDoS攻击等，给危害追踪和损失抑制带来巨大的麻烦。

传统恶意域名检测主要采用恶意程序逆向、DPI（深度包检测）等技术。逆向分析是恶意程序分析的常用方法之一，在揭示恶意程序意图以及行为方面发挥着其他方法无法比拟的作用。逆向分析将可执行恶意程序反汇编，通过反汇编代码来理解其代码功能，从启动函数、函数参数传递、数据结构、控制语句、API等方面归纳总结恶意程序反汇编代码的一般规律。DPI技术即当IP数据包、TCP或UDP数据流通过基于DPI技术的系统时，该系统通过深入读取IP包载荷的内容来对OSI七层协议中的应用层信息进行重组，从而得到整个应用程序的内容，然后按照系统定义的策略对流量进行操作通过特征匹配的方法，发现恶意程序的行为特征。传统的技术手段恶意程序逆向、DPI均存在实施成本高的弊端，重要的是，对未知的恶意程序无能为力。

发明内容：

针对上述问题，本发明要解决的技术问题是提供一种基于DNS解析数据的恶意域名检测方法及系统。

本发明的一种基于DNS解析数据的恶意域名检测方法，包括以下步骤：

a.获取DNS解析数据；

b.对DNS解析数据进行数据清洗，将统计没有影响的字段去掉，保留或修改影响统计结果的字段；

c.根据已知的恶意域名网站黑、白名单，过滤掉恶意域名与非恶意域名；

d.根据域名字符串特征以及解析日志时间属性，判断域名是否为恶意域名，输出疑似恶意域名。

优选的，所述DNS解析数据包括：日期、时间、访问信息、请求IP信息、请求域名信息、解析类型和解析IP信息。

优选的，所述数据清洗是基于HADOOP分布式计算，按照DNS协议字段对海量DNS解析数据进行解析、清洗、入库，清洗后的DNS解析数据包括请求域名、CNAME、请求IP信息、解析IP信息、访问时间，所述访问时间精确到秒。

优选的，所述的已知的恶意域名网站黑、白名单包括ALEX排名前10000的域名及其子域名以及来自国内知名安全厂商的黑白名单库。

优选的，所述根据域名字符串特征以及解析日志时间属性，判断域名是否为恶意域名，输出疑似恶意域名，具体包括：域名字符长度大于X个字符；域名由数字和字母混杂无序组成；域名解析具有时间上的突发性。

优选的，所述解析日志时间属性包括设置域名的活跃时间段，按照设定的时间单位对域名的活跃度分布进行统计。

本发明的一种基于DNS解析数据的恶意域名检测系统，包括：

数据采集单元，用于获取DNS解析数据；

数据清洗单元，用于对DNS数据进行清洗，将统计没有影响的字段去掉，保留或修改影响统计结果的字段；

黑白名单比对单元，通过特征对比，过滤掉恶意域名与非恶意域名；

域名分析单元，用于根据域名字符串特征以及解析日志时间属性，判断域名是否为恶意域名，输出疑似恶意域名。

优选的，所述数据采集单元包括DNS采集服务器、镜像交换机以及光电转换设备。

本发明有益效果：基于HADOOP大数据分析平台，可以全量分析用户的访问域名情况，挖掘出潜在的恶意域名。并且，进一步通过分析可以确定恶意程序服务器IP地址，可以针对IP地址进行封杀，此外，还可以找出受恶意程序感染的肉鸡IP，及时提醒用户杀毒，遏制恶意程序的扩散。

附图说明：

为了易于说明，本发明由下述的具体实施及附图作以详细描述。

图1是本发明基于DNS数据的恶意域名分析方法的业务流程图；

图2是本发明基于DNS数据的恶意域名分析方法的数据流程图；

图3是本发明基于DNS数据的恶意域名分析方法的数据清洗的流程示意图；

图4是本发明基于DNS数据的恶意域名分析系统的结构示意图。

具体实施方式：

为使本发明的目的、技术方案和优点更加清楚明了，下面通过附图中示出的具体实施例来描述本发明。但是应该理解，这些描述只是示例性的，而并非要限制本发明的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本发明的概念。

如图1-4所示，本实施例的一种基于DNS解析数据的恶意域名检测方法，包括以下步骤：

a.获取DNS解析数据；

本实施例步骤a中，DNS解析数据包括：日期、时间、访问信息、请求IP信息、请求域名信息、解析类型和解析IP信息。

本实施例步骤b中，数据清洗是基于HADOOP分布式计算，按照DNS协议字段对海量DNS解析数据进行解析、清洗、入库，将日志中对于统计没有影响的字段去掉，保留或修改影响统计结果的字段。具体算法如下图2所示。

将DNS解析数据提交到实现Mapper接口类的Map方法。基于HADOOP分布式计算，Map方法在多台机器上并行计算，Map方法的主要功能是根据输入的日志信息，将有效的字段输出。输出的的格式为 KEY+\t+VALUE。

清洗前的DNS解析数据包括：日期、时间、访问信息、请求IP信息、请求域名信息、解析类型、解析IP信息；

清洗后的DNS解析数据包括：请求域名、CNAME、请求IP信息、解析IP信息及访问时间，其中访问时间精确到秒。

在本实施例步骤c中，黑白名单比对单元包括ALEX排名前10000的域名及其子域名以及来自国内知名安全厂商的黑白名单库，主要实现对海量域名的初步过滤，降低样本率。

在本实施例步骤d中，通过对域名字符特征以及访问特征进行分析，输出疑似恶意域名。具体包括：

模式一：域名字符长度大于X个字符。为了便于用户的访问，正常域名一般不会过长而且具有较为明确的含义，但恶意域名一般不会被用户主动访问，其为了避免与合法域名产生冲突，通常会由黑客编制特定算法生成，经过对大量恶意域名进行长度特征统计，将第一个判别模式设为为长度大于X的域名。

模式二：域名由数字和字母混杂无序组成。通过长期对域名样本特征统计发现，正常域名大部分由纯字母构成，即使同时包含字母和数字字符，其组织规则也比较规整，数字和字母通常分开排列，具有较明确的含义，如163.com、zhibo8.com等。但恶意域名具有生成随机性，很大一部分恶意域名会出现字符和数字混杂出现的情况。

模式三：域名解析具有时间上的突发性。域名在短时间内被集中访问，而在其他时间内被请求解析次数极少，我们认为该域名在解析上具有时间上的突发性。处于隐藏自身的考虑，大部分恶意域名通常存活时间只有几分钟到几个小时，被请求解析次数分布非常不均匀，恶意域名被黑客控制者所控制大部分时间是处于未激活状态，及解析数量几乎为0，只有当黑客发起攻击指令，“肉鸡”才会产生大量恶意域名的DNS解析请求。

解析日志时间属性，具体包括设置域名的活跃时间段，按照设定的时间单位对域名的活跃度分布进行统计，活跃度越高，该域名成为恶意域名的几率越大。

根据模式三的理论，我们建立的相应的数学模型。一般情况下，恶意域名的活跃事件约为半小时，也即半小时后该域名通常被弃用。假设当前待分析域名为Y，设置10分钟为一个时间单位，对该域名的活跃度分布进行统计，每个时间单位表示为，一天分为144个时间单位，即从T₁到T₁₄₄，用COUNT（Y，T_i）表示T_i时间段内域名Y被请求解析的次数，在计算COUNT（Y，T_i）是综合考虑T_i-1，T_i，T_i+1三个时间单位的解析次数，用∑COUNT（Y，T_i）表示域名Y一天内总共被请求解析的次数，最后用Distribute（Y）来表示域名Y在短时间内的活跃程序，模式三所对应的数据公式如下：

Distribute（Y）=Max（Distribute（Y，T_i）=Max（SUM(COUNT（Y，T_i-1）+ COUNT（Y，T_i）+ COUNT（Y，T_i+1）)）/∑k=1144∑COUNT（Y，T_k）,i∈[1,144]

根据定义可知，当Distribute（Y）取值越大表明域名Y在短时间内活跃程度越高，成为恶意域名的几率也越大。

与本发明方法实施例相对应，提供了一种基于DNS解析数据的恶意域名检测系统，包括：

数据采集单元，用于获取DNS解析数据；

在本实施例中，数据采集单元包括DNS采集服务器、镜像交换机以及光电转换设备。

本发明中方法的实施例采用递进的方式描述，对于系统的实施例而言，由于其基本相似于方法的实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims

1.一种基于DNS解析数据的恶意域名检测方法，其特征在于：包括以下步骤：

a.获取DNS解析数据；

2.根据权利要求1所述的一种基于DNS解析数据的恶意域名检测方法，其特征在于：所述DNS解析数据包括：日期、时间、访问信息、请求IP信息、请求域名信息、解析类型和解析IP信息。

3.根据权利要求1所述的一种基于DNS解析数据的恶意域名检测方法，其特征在于：所述数据清洗是基于HADOOP分布式计算，按照DNS协议字段对海量DNS解析数据进行解析、清洗、入库，清洗后的DNS解析数据包括请求域名、CNAME、请求IP信息、解析IP信息、访问时间，所述访问时间精确到秒。

4.根据权利要求1所述的一种基于DNS解析数据的恶意域名检测方法，其特征在于：所述的已知的恶意域名网站黑、白名单包括ALEX排名前10000的域名及其子域名以及来自国内知名安全厂商的黑白名单库。

5.根据权利要求1所述的一种基于DNS解析数据的恶意域名检测方法，其特征在于：所述根据域名字符串特征以及解析日志时间属性，判断域名是否为恶意域名，输出疑似恶意域名，具体包括：域名字符长度大于X个字符；域名由数字和字母混杂无序组成；域名解析具有时间上的突发性。

6.根据权利要求1所述的一种基于DNS解析数据的恶意域名检测方法，其特征在于：所述解析日志时间属性包括设置域名的活跃时间段，按照设定的时间单位对域名的活跃度分布进行统计。

7.一种基于DNS解析数据的恶意域名检测系统，其特征在于：包括：

数据采集单元，用于获取DNS解析数据；

8.根据权利要求7所述的一种基于DNS解析数据的恶意域名检测系统，其特征在于：所述数据采集单元包括DNS采集服务器、镜像交换机以及光电转换设备。