CN105072120A - 基于域名服务状态分析的恶意域名检测方法及装置 - Google Patents
基于域名服务状态分析的恶意域名检测方法及装置 Download PDFInfo
- Publication number
- CN105072120A CN105072120A CN201510502761.1A CN201510502761A CN105072120A CN 105072120 A CN105072120 A CN 105072120A CN 201510502761 A CN201510502761 A CN 201510502761A CN 105072120 A CN105072120 A CN 105072120A
- Authority
- CN
- China
- Prior art keywords
- domain name
- risk class
- analysis
- risk
- score value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了基于域名服务状态分析的恶意域名检测方法及装置。该方法包括:获取网络中的通信数据;对通信数据进行解析,以提取出通信数据中涉及到的源主机的IP、源主机所查询的域名以及查询域名的时间;查询域名风险等级数据库,以确定源主机所查询的域名是否存在于域名风险等级数据库中,如果存在,则从域名风险等级数据库中取出并呈现与域名相对应的风险等级结果,如果不存在,则对域名进行风险等级评估并呈现风险等级评估结果。其中,该风险等级评估包括域名注册信息关联分析和故障监测分析。本发明所提供的恶意域名检测方法及装置能够准确检测未知恶意域名。
Description
技术领域
本发明涉及网络安全技术领域,具体而言涉及一种基于域名服务状态分析的恶意域名检测方法及装置。
背景技术
随着网络技术的飞速发展和网络时代的到来,网络所蕴含的广阔而丰富的资源,给人类社会带来了很多便利。然而,就在人们的生活越来越依赖网络的同时,由利益驱动而产生的网络安全事件却层出不穷,尤其在近几年,僵尸网络、域名放大分布式拒绝服务攻击、挂马等众多安全事件严重影响了网络的正常使用,也给社会各界带来了极大的危害,因此对这些事件的检测显得额外的重要。
域名系统是当前互联网重要的基础设施之一,大量的网络服务依赖于域名服务来开展。域名解析服务(DNS)将抽象的IP地址映射为易于记忆的域名,使互联网用户更加方便地访问各种网络资源,是互联网体系结构中重要的基础服务之一。由于域名系统并不对依托于其开展的服务行为进行检测,DNS服务缺少恶意行为检测能力,因此常常被恶意程序利用。为了检测这些恶意事件,需要对恶意域名进行检测。
现在已有的一些检测恶意域名的技术常常依赖于黑白名单,通过明确地“允许”和“不允许”来限制用户的访问,从而实现“安全性”效果。然而,这样的方法往往伴随着大量误报和漏报状况,不同用户环境、业务需求场景下适应性极差。
发明内容
针对现有技术的不足,一方面,本发明提供一种基于域名服务状态分析的恶意域名检测方法,所述恶意域名检测方法包括:获取网络中的通信数据;对所述通信数据进行解析,以提取出所述通信数据中涉及到的源主机的IP、所述源主机所查询的域名以及查询所述域名的时间;以及查询域名风险等级数据库,以确定所述源主机所查询的域名是否存在于所述域名风险等级数据库中,如果存在,则从所述域名风险等级数据库中取出并呈现与所述域名相对应的风险等级结果,如果不存在,则对所述域名进行风险等级评估并呈现风险等级评估结果,其中,所述风险等级评估包括域名注册信息关联分析和故障监测分析,所述域名注册信息关联分析和所述故障监测分析分别被分配第一权重和第二权重,所述域名注册信息关联分析判定所述域名的注册信息的全面性和/或真实性,并基于判定结果和所述第一权重计算所述域名的第一风险分值,所述故障监测分析用于在所述域名的域名服务器发生故障时监测对所述域名服务器发送重新查询请求的主机数目,并基于监测结果和所述第二权重计算所述域名的第二风险分值,所述风险等级评估结果的计算基于所述第一风险分值和所述第二风险分值。
在本发明的一个实施例中,所述风险等级评估还包括异常心跳分析,所述异常心跳分析被分配第三权重,所述异常心跳分析判定所述源主机在单位时间间隔内对所述域名的查询请求是否存在规律性,并基于判定结果和所述第三权重计算所述域名的第三风险分值,并且所述风险等级评估结果的计算还基于所述第三风险分值。
在本发明的一个实施例中,所述风险等级评估还包括高频访问名单分析,所述高频访问名单分析被分配第四权重,所述高频访问名单分析判定所述域名当前和在过去的预设时间段内是否均在或者是否均不在所述源主机访问频率最高的前若干位域名名单内,并基于判定结果和所述第四权重计算所述域名的第四风险分值,并且所述风险等级评估结果的计算还基于所述第四风险分值。
在本发明的一个实施例中,所述风险等级评估还包括子域名语义分析,所述子域名语义分析被分配第五权重,所述子域名语义分析判定所述源主机所查询的域名的子域名是否具有实际意义,并基于判定结果和所述第五权重计算所述域名的第五风险分值,并且所述风险等级评估结果的计算还基于所述第五风险分值。
在本发明的一个实施例中,所述风险等级评估还包括搜索引擎收录情况分析,所述搜索引擎收录情况分析被分配第六权重,所述搜索引擎收录情况分析判定所述域名是否被搜索引擎所收录并分析搜索引擎对所述域名的网页级别评分,并基于分析判定结果和所述第六权重计算所述域名的第六风险分值,并且所述风险等级评估结果的计算还基于所述第六风险分值。
在本发明的一个实施例中,所述风险等级评估还包括互联网档案馆分析,所述互联网档案馆分析被分配第七权重,所述互联网档案馆分析用于在互联网档案馆中查询并分析所述域名的历史活动记录和/或历史快照,并基于分析结果和所述第七权重计算所述域名的第七风险分值,并且所述风险等级评估结果的计算还基于所述第七风险分值。
在本发明的一个实施例中,所述恶意域名检测方法还包括:在进行风险等级评估之后,将所述域名以及与所述域名相对应的所述风险等级评估结果录入到所述域名风险等级数据库中。
另一发明,本发明还提供一种基于域名服务状态分析的恶意域名检测装置,所述恶意域名检测装置包括:数据获取模块,用于获取网络中的通信数据;数据解析模块,用于对所述通信数据进行解析,以提取出所述通信数据中涉及到的源主机的IP、所述源主机所查询的域名以及查询所述域名的时间;数据查询模块,用于查询域名风险等级数据库,以确定所述源主机所查询的域名是否存在于所述域名风险等级数据库中;域名风险等级评估模块,用于在所述域名风险等级数据库中不存在所述源主机所查询的域名时对所述域名进行风险等级评估;以及评估结果显示模块,用于在所述域名风险等级数据库中存在所述源主机所查询的域名时呈现从所述域名风险等级数据库中提取的与所述域名相对应的风险等级结果,并且在所述域名风险等级数据库中不存在所述源主机所查询的域名时呈现所述域名风险等级评估模块对所述域名的风险等级评估结果,其中,所述域名风险等级评估模块包括:域名注册信息关联分析模块,用于判定所述域名的注册信息的全面性和/或真实性,并基于判定结果和所分配的第一权重计算所述域名的第一风险分值;以及故障监测分析模块,用于在所述域名的域名服务器发生故障时监测对所述域名服务器发送重新查询请求的主机数目,并基于监测结果和所分配的第二权重计算所述域名的第二风险分值,其中,所述风险等级评估结果的计算基于所述第一风险分值和所述第二风险分值。
在本发明的一个实施例中,所述域名风险等级评估模块还包括以下模块中的至少一个:异常心跳分析模块,用于判定所述源主机在单位时间间隔内对所述域名的查询请求是否存在规律性,并基于判定结果和所分配的第三权重计算所述域名的第三风险分值;高频访问名单分析模块,用于判定所述域名当前和在过去的预设时间段内是否均在或者是否均不在所述源主机访问频率最高的前若干位域名名单内,并基于判定结果和所分配的第四权重计算所述域名的第四风险分值;子域名语义分析模块,用于判定所述源主机所查询的域名的子域名是否具有实际意义,并基于判定结果和所分配的第五权重计算所述域名的第五风险分值;搜索引擎收录情况分析模块,用于判定所述域名是否被搜索引擎所收录并分析搜索引擎对所述域名的网页级别评分,并基于分析判定结果和所分配的第六权重计算所述域名的第六风险分值;以及互联网档案馆分析模块,用于在互联网档案馆中查询并分析所述域名的历史活动记录和/或历史快照,并基于分析结果和所分配的第七权重计算所述域名的第七风险分值,其中,所述风险等级评估结果的计算还基于以下中的至少一个:所述第三风险分值、所述第四风险分值、所述第五风险分值、所述第六风险分值以及所述第七风险分值。
在本发明的一个实施例中,所述域名风险等级评估模块还用于将进行了风险等级评估的域名以及与所述域名相对应的风险等级评估结果录入到所述域名风险等级数据库中。
本发明所提供的基于域名服务状态分析的恶意域名检测方法及装置不依赖黑白名单,能够准确检测未知恶意域名。
附图说明
本发明的下列附图在此作为本发明的一部分用于理解本发明。附图中示出了本发明的实施例及其描述,用来解释本发明的原理。
附图中:
图1示出了根据本发明实施例的基于域名服务状态分析的恶意域名检测方法的流程图;
图2示出了根据本发明实施例的异常心跳分析的流程图;以及
图3示出了根据本发明实施例的域名风险等级评估模块的架构图。
具体实施方式
在下文的描述中,给出了大量具体的细节以便提供对本发明更为彻底的理解。然而,对于本领域技术人员而言显而易见的是,本发明可以无需一个或多个这些细节而得以实施。在其他的例子中,为了避免与本发明发生混淆,对于本领域公知的一些技术特征未进行描述。
应当理解的是,本发明能够以不同形式实施,而不应当解释为局限于这里提出的实施例。相反地,提供这些实施例将使公开彻底和完全,并且将本发明的范围完全地传递给本领域技术人员。
在此使用的术语的目的仅在于描述具体实施例并且不作为本发明的限制。在此使用时,单数形式的“一”、“一个”和“所述/该”也意图包括复数形式,除非上下文清楚指出另外的方式。还应明白术语“组成”和/或“包括”,当在该说明书中使用时,确定所述特征、整数、步骤、操作、元件和/或部件的存在,但不排除一个或更多其它的特征、整数、步骤、操作、元件、部件和/或组的存在或添加。在此使用时,术语“和/或”包括相关所列项目的任何及所有组合。
为了彻底理解本发明,将在下列的描述中提出详细的步骤以及详细的结构,以便阐释本发明的技术方案。本发明的较佳实施例详细描述如下,然而除了这些详细描述外,本发明还可以具有其他实施方式。
本发明的一个实施例提供一种基于域名服务状态分析的恶意域名检测方法。下面,参照图1来具体描述根据本发明一个实施例的恶意域名检测方法。图1示出了根据本发明实施例的基于域名服务状态分析的恶意域名检测方法的流程图。如图1所示,基于域名服务状态分析的恶意域名检测方法的流程如下:
首先进行数据获取,即获取网络中的通信数据。示例性地,可以通过DNS服务器的查询日志或嗅探器(sinffer)抓取到的数据流量等方式获取待监控的网络中的通信数据。
在获取数据后,对所获取的数据进行解析,以提取出通信数据中涉及到的源主机的IP、源主机所查询的域名以及查询域名的时间。通过数据解析所提取的内容可以用域名查询结构A来表示,并采用该结构作为查询的基础数据结构。其中,域名查询结构A可以为如表1所示的包括下列表项的结构:
表1
| 查询域名 | 查询时间 | 查询源主机IP |
对数据进行解析后,进行数据查询,即查询域名风险等级数据库,以确定源主机所查询的域名是否存在于域名风险等级数据库中。其中,域名风险等级数据库可以包括已发生的攻击事件的恶意域名及其相对应的风险等级。示例性地,域名风险等级数据库的存储结构可以如表2所示:
表2
其中,域名风险等级分数可以不断更新,初始域名风险等级分数是初始录用时的分数,随着更新次数的增加,可以采用对多次分数加权积分的手段计算最终风险等级分数。初始录用时间是指域名初始录入到域名风险等级数据库的时间。最近更新时间是指域名对应的域名风险等级分数最近更新的时间。更新周期是指录入到域名风险等级数据库中的域名更新的周期,到达更新周期,将自动更新域名风险等级分数和域名风险等级。变更记录记录域名初始录入和每次更新的时间点和域名风险等级分数,用于对域名风险等级分数做加权的积分,确定最终域名风险等级分数,加权是指时间越近所占权值越大,时间越久远所占权值越小。域名活跃度记录监控网络内域名的活跃度,根据统计域名查询数据判定单位时间内的查询次数,查询次数多,域名活跃度高,域名活跃度可以影响域名的更新周期,也就是说对于活跃度低的域名,其更新周期可以相应的长一些。
通过查询域名风险等级数据库,可以确定源主机所查询的域名是否存在于所述域名风险等级数据库中,如果存在,则从域名风险等级数据库中取出并呈现与所查询的域名相对应的风险等级结果。反之,如果域名风险等级数据库中没有源主机所查询的域名,则对该域名进行风险等级评估,随后呈现风险等级评估结果。
优选地,可以将风险等级评估后的结果录入到域名风险等级数据库中,以进一步地更新域名风险等级数据库,从而使得根据本发明实施例的上述基于域名服务状态分析的恶意域名检测方法不基于已有黑白名单限制访问,而是通过系统评估动态生成能够用来准确判断域名恶意性的域名风险等级数据库。
其中,域名风险等级评估可以包括异常心跳分析。异常心跳分析通过判定源主机在单位时间间隔内对域名的查询请求是否存在规律性来确定域名的风险等级。由对已发生的APT攻击事件的研究发现,APT攻击为保持连接,通常会定时发送心跳包,保证存活,这是正常应用程序没有的机制。我们可以设置一个统计时间段,在每个统计时间段内统计域名查询请求,正常应用程序或网页浏览的域名查询应该是随机的无规律,若出现周期性的有规律的域名查询则说明可能存在异常。此时可以确定域名的风险等级为高。或者,示例性地,当域名风险等级评估还包括其他分析时,可以基于对异常心跳分析所分配的权重对域名的风险等级增加相应的分值,上述流程正如图2所示的。
根据本发明实施例的域名风险等级评估还可以包括子域名语义分析。子域名语义分析通过判定源主机所查询的域名的子域名是否具有实际意义来确定域名的风险等级。示例性地,子域名语义分析可以包括一二级域名含义分析,例如可以探查查询域名的一二级域名是否具有实际意义,如单词,拼音,单个字母等相应含义。正常域名的顶级域名和一二级域名都是有实际含义的,顶级域名分为两类:一是国家顶级域名,200多个国家都按照ISO3166国家代码分配了顶级域名,例如中国是cn,美国是us,日本是jp等;二是国际顶级域名,例如表示工商企业的.com,表示网络提供商的.net,表示非盈利组织的.org等。一级域名,在国际顶级域名下,指域名注册人的网上名称,例如ibm、yahoo、microsoft等;在国家顶级域名下,表示注册企业类别的符号,例如com、edu、gov、net等。若查询域名的顶级域名既不是按照ISO3166国家代码分配的顶级域名,又不是国际顶级域名,一级域名又不是知名的注册人网上名称,无实际含义(相应单词,拼音,字母含义等),则可以将其视为恶意域名,或者,示例性地,当域名风险等级评估还包括其他分析时,可以基于对子域名语义分析所分配的权重对域名的风险等级计入相应的风险分值。
根据本发明的一个实施例,域名风险等级评估还可以包括域名注册信息关联分析。域名注册信息关联分析通过判定域名的注册信息的全面性和/或真实性来确定域名的风险等级。可以探查域名的注册信息,采用Whois查询该域名的注册信息填写域名注册结构B。示例性地,域名注册结构B可以如下表3所示:
表3
可以对注册结构B中的各表项进行关联分析,注册信息越全面真实,域名注册时间较长,注册名和注册邮箱通过关联分析无任何恶意行为记录则认为该项条件检测安全,并且不计入相应的风险分值,即风险分值为0分;若注册信息不完全,域名注册时间较短,或该域名为某一时间段内大规模注册的相似性域名,注册名或注册邮箱通过关联分析发现同时是某些恶意域名的注册名或注册邮箱,则认为域名的风险等级较高,从而根据预设权重计入相应的风险分值。
根据本发明的一个实施例,域名风险等级评估还可以包括高频访问名单分析。高频访问名单分析通过判定域名当前以及在过去的预设时间段内是否均在或者是否均不在源主机访问频率最高的前若干位域名名单内来确定域名的风险等级。示例性地,可以划分时间段,周期性地统计各主机常用域名前若干位。例如,可以根据统计学规律和各个主机上网的规律,周期性地统计各主机常用域名前若干位,例如Top10。一般情况下,Top10的名单基本不会改变,说明上网情况稳定。例如,域名当前以及在过去的预设时间段内均在Top10单名内,或者域名当前以及在过去的预设时间段内均不在Top10单名内,则可认为该域名是非恶意的,因此可以不计入相应的风险分值,即风险分值为0分。反之,若Top10的名单发生了较大的改变,例如过去不曾出现在Top10名单中的域名出现在了Top10名单中,则认为该时间段内主机的“行为”较平时出现了异常,该变动域名则很有可能为恶意域名。示例性地,当域名风险等级评估还包括其他分析时,可以基于对高频访问名单分析所分配的权重对域名的风险等级计入相应的风险分值。
根据本发明的一个实施例,域名风险等级评估还可以包括故障监测分析。故障监测分析通过在域名的域名服务器发生故障时监测对域名服务器发送重新查询请求的主机数目来确定域名的风险等级。当域名服务器出现响应故障时,监控网段中大部分主机都应该重新发送查询请求,若此时只有单一固定的几台主机定时发送该域名的查询请求,则该域名为恶意域名的可能性较大,因为正常域名在日常情况中是被广泛访问的,若其出现故障,重新访问该域名的用户占比较高,但若是攻击端的恶意域名其只与监控网络中的一台或几台被控主机有通讯需求,故其产生的重新请求查询量是相对较少的,或具有来源单一性的,那么我们认为该查询域名可能为恶意域名。示例性地,当域名风险等级评估还包括其他分析时,可以基于对故障监测分析所分配的权重对域名的风险等级计入相应的风险分值。
根据本发明的一个实施例,域名风险等级评估还可以包括搜索引擎收录情况分析。搜索引擎收录情况分析通过判定域名是否被搜索引擎所收录和/或参照搜索引擎对域名的网页级别评分来确定域名的风险等级。搜索引擎通常对当前活动的域名有收录功能,也就是说所有当前活动的页面都是可以被搜索引擎爬取到的,而对于那些零收录的域名,也就是不能被搜索引擎爬取到的域名,则认为其为恶意域名的可能性较大。另外,同时也可以将GooglePR、搜狗PR的评分列为参考对象。PR为PageRank也就是网页级别,其评分级别为从0到10,10级为满分。PR值越高说明该网页越受欢迎(越重要)。例如:一个PR值为1的网站表明这个网站不太具有流行度,而PR值为7到10则表明这个网站非常受欢迎(或者说极其重要)。一般PR值达到4,就算是一个不错的网站了。若一个域名越受欢迎,那么其为恶意域名的可能性就越低;反之,评分较低特别是0分的域名,其为恶意域名的可能性很高。示例性地,当域名风险等级评估还包括其他分析时,可以基于对搜索引擎收录情况分析所分配的权重对域名的风险等级计入相应的风险分值。
根据本发明的一个实施例,域名风险等级评估还可以包括互联网档案馆分析。互联网档案馆分析通过在互联网档案馆中查询并分析域名的历史活动记录和/或历史快照来确定域名的风险等级。相比较于搜索引擎的检索记录查询,互联网档案馆archive.org查询的优势在于:已下线网站搜索引擎会排除搜索结果记录,但互联网档案馆是整个互联网历史的大百科全书。也就是说对于那些已下线网站,目前搜索引擎已经不再收录,但archive.org还能检索到历史snapshot。因此可以根据对其活动时间,活动行为,历史snapshot的分析判定其是否有恶意域名的嫌疑,比如一个域名活动一段时间,销声匿迹之后,又发生大规模的活动,那么可以认为它是可疑的。示例性地,当域名风险等级评估还包括其他分析时,可以基于对互联网档案馆分析所分配的权重对域名的风险等级计入相应的风险分值。
根据上述实施例,域名风险等级评估可以包括异常心跳分析、子域名语义分析、域名注册信息关联分析、高频访问名单分析、故障监测分析、搜索引擎收录情况分析以及互联网档案馆分析中的任意一个或它们的任意组合。当组合分析时,可以为它们分配相应的权重,使其各自的分析按照所分配的权重计算相应的风险分值,最终总体的风险等级评估结果即为它们各自计算的风险分值的总和。其中,对各分析所分配的权重可以依据实际情况而改变,从而可以实现定制化域名风险等级评估。
最终的风险等级评估结果可以包括风险分值及其相对应的风险等级。例如,可以设定在某一风险分值范围内为高风险等级,在另一风险分值范围内为可疑风险等级,而在另一风险分值范围内为低风险等级。可以根据域名风险等级设置警报机制,例如,监控网络内主机访问高风险域名系统发出高危警报;监控网络内主机访问可疑风险域名系统发出低危警报;监控网络内主机访问低风险域名不触发警报。若发现监控网络中的主机频繁查询可疑风险域名,则需要加强警惕;若监控网络中的主机频繁查询高风险域名,则可以认为其遭受了APT攻击。
下面通过示例来描述上述风险评估过程。在一个示例中,域名风险等级评估包括异常心跳分析、子域名语义分析和域名注册信息关联分析。其中,例如,异常心跳分析被分配40%的权重,子域名语义分析和域名注册信息关联分析分别被分配30%的权重。如果已经确定是恶意域名的风险分值为100分,那么,如果异常心跳分析判定源主机在单位时间间隔内对域名的查询请求存在规律性,则可以计算域名的第I风险分值为40%*100=40分;如果子域名语义分析判定源主机所查询的域名的子域名具有实际意义,则该项分析不计入风险分值,即第II风险分值为0分;类似地,如果域名注册信息关联分析判定域名的注册信息的不全面或不真实等,则可以计算域名的第III风险分值为30%*100=30分。这样,域名风险等级评估的总体风险分值为40+0+30=70分。如果定义域名风险等级分值在(80,100]范围内是高风险域名、(40,80]范围内是可疑风险域名、在[0,40]范围内是低风险域名,则该域名的风险等级为可疑风险域名,其例如可以触发低危警报,以提示需要加强警惕。本领域普通技术人员可以理解,上述描述仅为一个示例,域名风险等级评估所包括的分析、每种分析所分配的权重、风险分值与风险等级的对应关系等都可以根据不同情况而改变,以适应不同业务不同环境的需求。
根据本发明实施例的上述基于域名服务状态分析的恶意域名检测方法对恶意域名的判定不依赖黑白名单。虽然黑白名单的机制因为它的“简单粗暴”而被广泛的应用,然而,通过明确的允许和不允许来限制用户的访问往往伴随着大量误报和漏报状况,不同用户环境、业务需求场景下适应性极差。根据本发明实施例的上述基于域名服务状态分析的恶意域名检测方法不是基于已有黑白名单限制访问,而是通过系统评估动态生成域名风险等级数据库,既可以提醒用户访问域名的风险等级,也可以依据具体用户情况设定响应联动策略阻止对高风险域名的访问。
此外,根据本发明实施例的上述基于域名服务状态分析的恶意域名检测方法可发现未知恶意域名。该方法使得未知域名通过域名风险等级评估系统综合评估后,可以得到一个风险等级分数(例如百分制的分数),该分数的大小标志着该未知域名的风险等级情况,通过专家知识设定的风险评级标准可以发现新恶意域名。
进一步地,根据本发明实施例的上述基于域名服务状态分析的恶意域名检测方法可以融合多纬度评价体系评估恶意域名风险等级,减少了依据单一条件判断域名为恶意域名的误报率。采用多种判断源设定不同作用权值实现对域名恶意性的判断,一方面可以减少单一判断源的偶然性和误报情况,另一方面也增强的域名风险等级评估系统的自适应性,可根据不同环境要求,动态更改恶意域名判断源的权值,从而实现定制化域名风险等级评估。
根据本发明的另一方面,还提供一种基于域名服务状态分析的恶意域名检测装置,该恶意域名检测装置包括:数据获取模块,用于获取网络中的通信数据;数据解析模块,用于对通信数据进行解析,以提取出通信数据中涉及到的源主机的IP、源主机所查询的域名以及查询域名的时间;数据查询模块,用于查询域名风险等级数据库,以确定源主机所查询的域名是否存在于域名风险等级数据库中;域名风险等级评估模块,用于在域名风险等级数据库中不存在源主机所查询的域名时对域名进行风险等级评估;以及评估结果显示模块,用于在域名风险等级数据库中存在源主机所查询的域名时呈现从域名风险等级数据库中提取的与域名相对应的风险等级结果,并且在域名风险等级数据库中不存在源主机所查询的域名时呈现域名风险等级评估模块对域名的风险等级评估结果。
其中,域名风险等级评估模块可以包括如图3所示的如下模块中的至少一个或其任意组合:
域名注册信息关联分析模块,用于判定所述域名的注册信息的全面性和/或真实性,并基于判定结果和所分配的第一权重计算所述域名的第一风险分值。
故障监测分析模块,用于在所述域名的域名服务器发生故障时监测对所述域名服务器发送重新查询请求的主机数目,并基于监测结果和所分配的第二权重计算所述域名的第二风险分值。
异常心跳分析模块,用于判定源主机在单位时间间隔内对域名的查询请求是否存在规律性,并基于判定结果和所分配的第三权重计算域名的第三风险分值。
高频访问名单分析模块,用于判定域名当前和在过去的预设时间段内是否均在或者是否均不在源主机访问频率最高的前若干位域名名单内,并基于判定结果和所分配的第四权重计算域名的第四风险分值。
子域名语义分析模块,用于判定源主机所查询的域名的子域名是否具有实际意义,并基于判定结果和所分配的第五权重计算域名的第五风险分值。
搜索引擎收录情况分析模块,用于判定域名是否被搜索引擎所收录并分析搜索引擎对域名的网页级别评分,并基于分析判定结果和所分配的第六权重计算域名的第六风险分值。
互联网档案馆分析模块,用于在互联网档案馆中并分析域名的历史活动记录和/或历史快照,并基于分析结果和所分配的第七权重计算域名的第七风险分值。
其中,风险等级评估结果的计算基于以下中的至少一个:第一风险分值、第二风险分值、第三风险分值、第四风险分值、第五风险分值、第六风险分值以及第七风险分值。
优选地,域名风险等级评估模块还用于将进行了风险等级评估的域名以及与域名相对应的风险等级评估结果录入到域名风险等级数据库中。
本发明实施例的各个模块可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的医疗化验单图像分类装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在存储载体上提供,或者以任何其他形式提供。
本发明已经通过上述实施例进行了说明,但应当理解的是,上述实施例只是用于举例和说明的目的,而非意在将本发明限制于所描述的实施例范围内。此外本领域技术人员可以理解的是,本发明并不局限于上述实施例,根据本发明的教导还可以做出更多种的变型和修改,这些变型和修改均落在本发明所要求保护的范围以内。本发明的保护范围由附属的权利要求书及其等效范围所界定。
Claims (10)
1.一种基于域名服务状态分析的恶意域名检测方法,其特征在于,所述恶意域名检测方法包括:
获取网络中的通信数据;
对所述通信数据进行解析,以提取出所述通信数据中涉及到的源主机的IP、所述源主机所查询的域名以及查询所述域名的时间;以及
查询域名风险等级数据库,以确定所述源主机所查询的域名是否存在于所述域名风险等级数据库中,如果存在,则从所述域名风险等级数据库中取出并呈现与所述域名相对应的风险等级结果,如果不存在,则对所述域名进行风险等级评估并呈现风险等级评估结果,
其中,所述风险等级评估包括域名注册信息关联分析和故障监测分析,所述域名注册信息关联分析和所述故障监测分析分别被分配第一权重和第二权重,所述域名注册信息关联分析判定所述域名的注册信息的全面性和/或真实性,并基于判定结果和所述第一权重计算所述域名的第一风险分值,所述故障监测分析用于在所述域名的域名服务器发生故障时监测对所述域名服务器发送重新查询请求的主机数目并基于监测结果和所述第二权重计算所述域名的第二风险分值,所述风险等级评估结果的计算基于所述第一风险分值和所述第二风险分值。
2.如权利要求1所述的恶意域名检测方法,其特征在于,所述风险等级评估还包括异常心跳分析,所述异常心跳分析被分配第三权重,所述异常心跳分析判定所述源主机在单位时间间隔内对所述域名的查询请求是否存在规律性,并基于判定结果和所述第三权重计算所述域名的第三风险分值,并且所述风险等级评估结果的计算还基于所述第三风险分值。
3.如权利要求1所述的恶意域名检测方法,其特征在于,所述风险等级评估还包括高频访问名单分析,所述高频访问名单分析被分配第四权重,所述高频访问名单分析判定所述域名当前和在过去的预设时间段内是否均在或者是否均不在所述源主机访问频率最高的前若干位域名名单内,并基于判定结果和所述第四权重计算所述域名的第四风险分值,并且所述风险等级评估结果的计算还基于所述第四风险分值。
4.如权利要求1所述的恶意域名检测方法,其特征在于,所述风险等级评估还包括子域名语义分析,所述子域名语义分析被分配第五权重,所述子域名语义分析判定所述源主机所查询的域名的子域名是否具有实际意义,并基于判定结果和所述第五权重计算所述域名的第五风险分值,并且所述风险等级评估结果的计算还基于所述第五风险分值。
5.如权利要求1所述的恶意域名检测方法,其特征在于,所述风险等级评估还包括搜索引擎收录情况分析,所述搜索引擎收录情况分析被分配第六权重,所述搜索引擎收录情况分析判定所述域名是否被搜索引擎所收录并分析搜索引擎对所述域名的网页级别评分,并基于分析判定结果和所述第六权重计算所述域名的第六风险分值,并且所述风险等级评估结果的计算还基于所述第六风险分值。
6.如权利要求1所述的恶意域名检测方法,其特征在于,所述风险等级评估还包括互联网档案馆分析,所述互联网档案馆分析被分配第七权重,所述互联网档案馆分析用于在互联网档案馆中查询并分析所述域名的历史活动记录和/或历史快照,并基于分析结果和所述第七权重计算所述域名的第七风险分值,并且所述风险等级评估结果的计算还基于所述第七风险分值。
7.如权利要求1-6中的任一项所述的恶意域名检测方法,其特征在于,所述恶意域名检测方法还包括:在进行风险等级评估之后,将所述域名以及与所述域名相对应的所述风险等级评估结果录入到所述域名风险等级数据库中。
8.一种基于域名服务状态分析的恶意域名检测装置,其特征在于,所述恶意域名检测装置包括:
数据获取模块,用于获取网络中的通信数据;
数据解析模块,用于对所述通信数据进行解析,以提取出所述通信数据中涉及到的源主机的IP、所述源主机所查询的域名以及查询所述域名的时间;
数据查询模块,用于查询域名风险等级数据库,以确定所述源主机所查询的域名是否存在于所述域名风险等级数据库中;
域名风险等级评估模块,用于在所述域名风险等级数据库中不存在所述源主机所查询的域名时对所述域名进行风险等级评估;以及
评估结果显示模块,用于在所述域名风险等级数据库中存在所述源主机所查询的域名时呈现从所述域名风险等级数据库中提取的与所述域名相对应的风险等级结果,并且在所述域名风险等级数据库中不存在所述源主机所查询的域名时呈现所述域名风险等级评估模块对所述域名的风险等级评估结果,其中,所述域名风险等级评估模块包括:
域名注册信息关联分析模块,用于判定所述域名的注册信息的全面性和/或真实性,并基于判定结果和所分配的第一权重计算所述域名的第一风险分值;以及
故障监测分析模块,用于在所述域名的域名服务器发生故障时监测对所述域名服务器发送重新查询请求的主机数目,并基于监测结果和所分配的第二权重计算所述域名的第二风险分值,
其中,所述风险等级评估结果的计算基于所述第一风险分值和所述第二风险分值。
9.如权利要求8所述的恶意域名检测装置,其特征在于,所述域名风险等级评估模块还包括以下模块中的至少一个:
异常心跳分析模块,用于判定所述源主机在单位时间间隔内对所述域名的查询请求是否存在规律性,并基于判定结果和所分配的第三权重计算所述域名的第三风险分值;
高频访问名单分析模块,用于判定所述域名当前和在过去的预设时间段内是否均在或者是否均不在所述源主机访问频率最高的前若干位域名名单内,并基于判定结果和所分配的第四权重计算所述域名的第四风险分值;
子域名语义分析模块,用于判定所述源主机所查询的域名的子域名是否具有实际意义,并基于判定结果和所分配的第五权重计算所述域名的第五风险分值;
搜索引擎收录情况分析模块,用于判定所述域名是否被搜索引擎所收录并分析搜索引擎对所述域名的网页级别评分,并基于分析判定结果和所分配的第六权重计算所述域名的第六风险分值;以及
互联网档案馆分析模块,用于在互联网档案馆中查询并分析所述域名的历史活动记录和/或历史快照,并基于分析结果和所分配的第七权重计算所述域名的第七风险分值,
其中,所述风险等级评估结果的计算还基于以下中的至少一个:所述第三风险分值、所述第四风险分值、所述第五风险分值、所述第六风险分值以及所述第七风险分值。
10.如权利要求8或9所述的恶意域名检测装置,其特征在于,所述域名风险等级评估模块还用于将进行了风险等级评估的域名以及与所述域名相对应的风险等级评估结果录入到所述域名风险等级数据库中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510502761.1A CN105072120A (zh) | 2015-08-14 | 2015-08-14 | 基于域名服务状态分析的恶意域名检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510502761.1A CN105072120A (zh) | 2015-08-14 | 2015-08-14 | 基于域名服务状态分析的恶意域名检测方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105072120A true CN105072120A (zh) | 2015-11-18 |
Family
ID=54501400
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510502761.1A Pending CN105072120A (zh) | 2015-08-14 | 2015-08-14 | 基于域名服务状态分析的恶意域名检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105072120A (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105516192A (zh) * | 2016-01-14 | 2016-04-20 | 杭州同盾科技有限公司 | 一种邮件地址安全识别控制方法和装置 |
| CN105959294A (zh) * | 2016-06-17 | 2016-09-21 | 北京网康科技有限公司 | 一种恶意域名鉴别方法及装置 |
| CN106411951A (zh) * | 2016-11-29 | 2017-02-15 | 神州网云(北京)信息技术有限公司 | 网络攻击行为检测方法及装置 |
| CN106453674A (zh) * | 2016-09-09 | 2017-02-22 | 中国互联网络信息中心 | 一种dns多级域名查询方法 |
| CN106453412A (zh) * | 2016-12-01 | 2017-02-22 | 绵阳灵先创科技有限公司 | 一种基于频次特征的恶意域名判定方法 |
| CN106850647A (zh) * | 2017-02-21 | 2017-06-13 | 上海交通大学 | 基于dns请求周期的恶意域名检测算法 |
| CN107172006A (zh) * | 2017-03-22 | 2017-09-15 | 深信服科技股份有限公司 | 检测无线网络恶意性的方法及装置 |
| CN108134776A (zh) * | 2017-11-28 | 2018-06-08 | 厦门白山耘科技有限公司 | 一种定位被ddos攻击的域名的方法和系统 |
| CN109688165A (zh) * | 2019-02-26 | 2019-04-26 | 北京微步在线科技有限公司 | 一种挖掘恶意域名的方法和装置 |
| CN113726775A (zh) * | 2021-08-30 | 2021-11-30 | 深信服科技股份有限公司 | 一种攻击检测方法、装置、设备及存储介质 |
| CN113938463A (zh) * | 2021-08-27 | 2022-01-14 | 中国互联网络信息中心 | 一种域名滥用阻断方法及装置 |
| CN114726566A (zh) * | 2021-01-05 | 2022-07-08 | 中国移动通信有限公司研究院 | 网址过滤方法、装置及节点 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101310502A (zh) * | 2005-09-30 | 2008-11-19 | 趋势科技股份有限公司 | 安全管理设备、通信系统及访问控制方法 |
| CN101883180A (zh) * | 2010-05-11 | 2010-11-10 | 中兴通讯股份有限公司 | 屏蔽移动终端访问无线网络信息的方法、移动终端和系统 |
| CN102801697A (zh) * | 2011-12-20 | 2012-11-28 | 北京安天电子设备有限公司 | 基于多url的恶意代码检测方法和系统 |
| CN102945340A (zh) * | 2012-10-23 | 2013-02-27 | 北京神州绿盟信息安全科技股份有限公司 | 信息对象检测方法及系统 |
| US20130097699A1 (en) * | 2011-10-18 | 2013-04-18 | Mcafee, Inc. | System and method for detecting a malicious command and control channel |
| CN103259805A (zh) * | 2013-06-09 | 2013-08-21 | 中国科学院计算技术研究所 | 基于用户评价的域名访问控制方法及系统 |
-
2015
- 2015-08-14 CN CN201510502761.1A patent/CN105072120A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101310502A (zh) * | 2005-09-30 | 2008-11-19 | 趋势科技股份有限公司 | 安全管理设备、通信系统及访问控制方法 |
| CN101883180A (zh) * | 2010-05-11 | 2010-11-10 | 中兴通讯股份有限公司 | 屏蔽移动终端访问无线网络信息的方法、移动终端和系统 |
| US20130097699A1 (en) * | 2011-10-18 | 2013-04-18 | Mcafee, Inc. | System and method for detecting a malicious command and control channel |
| CN102801697A (zh) * | 2011-12-20 | 2012-11-28 | 北京安天电子设备有限公司 | 基于多url的恶意代码检测方法和系统 |
| CN102945340A (zh) * | 2012-10-23 | 2013-02-27 | 北京神州绿盟信息安全科技股份有限公司 | 信息对象检测方法及系统 |
| CN103259805A (zh) * | 2013-06-09 | 2013-08-21 | 中国科学院计算技术研究所 | 基于用户评价的域名访问控制方法及系统 |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105516192B (zh) * | 2016-01-14 | 2018-11-02 | 同盾控股有限公司 | 一种邮件地址安全识别控制方法和装置 |
| CN105516192A (zh) * | 2016-01-14 | 2016-04-20 | 杭州同盾科技有限公司 | 一种邮件地址安全识别控制方法和装置 |
| CN105959294A (zh) * | 2016-06-17 | 2016-09-21 | 北京网康科技有限公司 | 一种恶意域名鉴别方法及装置 |
| CN105959294B (zh) * | 2016-06-17 | 2019-06-14 | 北京网康科技有限公司 | 一种恶意域名鉴别方法及装置 |
| CN106453674A (zh) * | 2016-09-09 | 2017-02-22 | 中国互联网络信息中心 | 一种dns多级域名查询方法 |
| CN106453674B (zh) * | 2016-09-09 | 2019-05-17 | 中国互联网络信息中心 | 一种dns多级域名查询方法 |
| CN106411951B (zh) * | 2016-11-29 | 2020-03-27 | 神州网云(北京)信息技术有限公司 | 网络攻击行为检测方法及装置 |
| CN106411951A (zh) * | 2016-11-29 | 2017-02-15 | 神州网云(北京)信息技术有限公司 | 网络攻击行为检测方法及装置 |
| CN106453412A (zh) * | 2016-12-01 | 2017-02-22 | 绵阳灵先创科技有限公司 | 一种基于频次特征的恶意域名判定方法 |
| CN106850647A (zh) * | 2017-02-21 | 2017-06-13 | 上海交通大学 | 基于dns请求周期的恶意域名检测算法 |
| CN106850647B (zh) * | 2017-02-21 | 2020-05-26 | 上海交通大学 | 基于dns请求周期的恶意域名检测算法 |
| CN107172006A (zh) * | 2017-03-22 | 2017-09-15 | 深信服科技股份有限公司 | 检测无线网络恶意性的方法及装置 |
| CN108134776A (zh) * | 2017-11-28 | 2018-06-08 | 厦门白山耘科技有限公司 | 一种定位被ddos攻击的域名的方法和系统 |
| CN109688165A (zh) * | 2019-02-26 | 2019-04-26 | 北京微步在线科技有限公司 | 一种挖掘恶意域名的方法和装置 |
| CN114726566A (zh) * | 2021-01-05 | 2022-07-08 | 中国移动通信有限公司研究院 | 网址过滤方法、装置及节点 |
| CN113938463A (zh) * | 2021-08-27 | 2022-01-14 | 中国互联网络信息中心 | 一种域名滥用阻断方法及装置 |
| CN113938463B (zh) * | 2021-08-27 | 2023-07-11 | 中国互联网络信息中心 | 一种域名滥用阻断方法及装置 |
| CN113726775A (zh) * | 2021-08-30 | 2021-11-30 | 深信服科技股份有限公司 | 一种攻击检测方法、装置、设备及存储介质 |
| CN113726775B (zh) * | 2021-08-30 | 2022-09-30 | 深信服科技股份有限公司 | 一种攻击检测方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105141598A (zh) | 基于恶意域名检测的apt攻击检测方法及装置 | |
| CN105072120A (zh) | 基于域名服务状态分析的恶意域名检测方法及装置 | |
| CN105072119A (zh) | 基于域名解析会话模式分析的恶意域名检测方法及装置 | |
| CN105119915A (zh) | 基于情报分析的恶意域名检测方法及装置 | |
| US10104095B2 (en) | Automatic stability determination and deployment of discrete parts of a profile representing normal behavior to provide fast protection of web applications | |
| US10587646B2 (en) | Analyzing DNS requests for anomaly detection | |
| CN103685575B (zh) | 一种基于云架构的网站安全监控方法 | |
| CN101702660B (zh) | 异常域名检测方法及系统 | |
| Perdisci et al. | Early detection of malicious flux networks via large-scale passive DNS traffic analysis | |
| CN106453412A (zh) | 一种基于频次特征的恶意域名判定方法 | |
| Boda et al. | User tracking on the web via cross-browser fingerprinting | |
| US8826434B2 (en) | Security threat detection based on indications in big data of access to newly registered domains | |
| CN103685174B (zh) | 一种不依赖样本的钓鱼网站检测方法 | |
| US20090265317A1 (en) | Classifying search query traffic | |
| Cova et al. | An analysis of rogue AV campaigns | |
| Niakanlahiji et al. | Phishmon: A machine learning framework for detecting phishing webpages | |
| US20160050181A1 (en) | Information security threat identification, analysis, and management | |
| US20140047543A1 (en) | Apparatus and method for detecting http botnet based on densities of web transactions | |
| CN105827594A (zh) | 一种基于域名可读性及域名解析行为的可疑性检测方法 | |
| CN111885086B (zh) | 恶意软件心跳检测方法、装置、设备及可读存储介质 | |
| CN102868773B (zh) | 检测dns黑洞劫持的方法、装置及系统 | |
| CN114615016B (zh) | 一种企业网络安全评估方法、装置、移动终端及存储介质 | |
| CN104901962B (zh) | 一种网页攻击数据的检测方法及装置 | |
| CN105530251A (zh) | 识别钓鱼网站的方法及装置 | |
| Walgampaya et al. | Cracking the smart clickbot |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB03 | Change of inventor or designer information |
Inventor after: Huang Wei Inventor after: Ma Lipeng Inventor after: Chang Ling Inventor after: Zhang Gaoshan Inventor after: Hong Dong Inventor after: Xue Pan Inventor after: Zhang Chen Inventor after: Wang Yongbin Inventor after: An Jing Inventor after: Sui Aina Inventor after: Li Meicong Inventor after: Zou Quanchen Inventor after: Du Xuetao Inventor after: Zhao Bei Inventor after: Wu Richev Inventor before: An Jing Inventor before: Huang Wei Inventor before: Fan Wenqing Inventor before: Li Meicong Inventor before: Sui Aina Inventor before: Wang Yongbin Inventor before: Zou Quanchen Inventor before: Li Jianfang |
|
| COR | Change of bibliographic data | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20151118 |
|
| RJ01 | Rejection of invention patent application after publication |