CN106375351B - 一种异常域名检测的方法及装置 - Google Patents
一种异常域名检测的方法及装置 Download PDFInfo
- Publication number
- CN106375351B CN106375351B CN201611077925.1A CN201611077925A CN106375351B CN 106375351 B CN106375351 B CN 106375351B CN 201611077925 A CN201611077925 A CN 201611077925A CN 106375351 B CN106375351 B CN 106375351B
- Authority
- CN
- China
- Prior art keywords
- domain name
- abnormal
- variation characteristic
- characteristic data
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/30—Managing network names, e.g. use of aliases or nicknames
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于网络安全技术领域,提供了一种异常域名检测的方法及装置,用于检测异常域名,首先需要获取域名系统解析数据;然后根据所述域名系统解析数据计算所述域名系统解析数据中各域名的域名IP变化特征数据;最后根据所述域名IP变化特征数据是否符合预设的异常域名判定条件分别判断对应的各所述域名是否是异常域名。本发明只需要利用域名IP变化特征数据是否符合预设的异常域名判定条件即可判断相应的域名是否是异常域名,相较于现有抓包检测的方式,避免了对所述域名的整个流量数据进行分析,从而可以有效节省计算资源,进而提高异常域名的检测效率,同时,本发明对异常域名的检测具有较高的准确率。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种异常域名检测的方法及装置。
背景技术
随着网络技术的发展,域名解析系统被广泛的应用,由域名解析系统所带来的网络安全问题也不断增多,比如针对域名系统的恶意攻击,域名劫持,篡改域名信息等,僵尸网络就是一个非常严重的网络安全问题。僵尸网络采用域名快速变化的技术,使得僵尸主机访问的域名对应到不同的代理主机,很难发现僵尸网络母体,但是域名是僵尸程序与控制服务器之间非常重要的纽带,可以通过查找相应的域名,阻止其攻击行为,最后通过对域名的阻断方式遏制了僵尸网络的发展,僵尸网络是异常域名的典型案例。
在网络管理中,为了更好地利用网络,进一步提高网络服务质量,对异常域名的检测是非常重要的。传统的检测异常域名的方法比较繁琐,每个域名都需要进行抓包分析,检测异常域名的效率比较低。
发明内容
针对现有技术中的缺陷,本发明提供一种异常域名检测的方法及装置,以有效地提高异常域名的检测效率。
第一方面,本发明提供的一种异常域名检测的方法,包括:
获取域名系统解析数据;
根据所述域名系统解析数据计算所述域名系统解析数据中各域名的域名IP变化特征数据;
根据所述域名IP变化特征数据是否符合预设的异常域名判定条件分别判断对应的各所述域名是否是异常域名。
可选的,所述获取域名系统解析数据,包括:
利用流量捕获设备捕获指定区域的域名系统解析数据。
可选的,所述根据所述域名系统解析数据计算所述域名系统解析数据中各域名的域名IP变化特征数据,包括:
遍历所述域名系统解析数据中记载的域名与域名IP的对应关系,根据遍历结果统计所述域名系统解析数据中记载的各域名对应的域名IP变化特征数据;
其中,所述域名IP变化特征数据的种类包括以下至少一个:指定时间段内同一域名对应的域名IP的变化次数,指定时间段内同一域名对应的域名IP的归属地的变化次数,指定时间段内同一域名对应的域名IP的数量,指定时间段内同一域名对应的域名IP的归属地的数量。
可选的,所述根据所述域名IP变化特征数据是否符合预设的异常域名判定条件分别判断对应的各所述域名是否是异常域名,包括:
采用以下方法依次判断各所述域名是否为异常域名:
判断所述域名对应的域名IP变化特征数据是否大于相应的预设域名IP变化阈值,若大于,则判断所述域名为异常域名;其中,若所述域名对应的域名IP变化特征数据种类有多个,则分别判断所述域名的每个所述域名IP变化特征数据是否均大于相应的预设域名IP变化阈值,若有至少一个判断结果为大于,则判断所述域名为异常域名。
可选的,所述根据所述域名IP变化特征数据是否符合预设的异常域名判定条件分别判断对应的各所述域名是否是异常域名,包括:
采用以下方法依次判断各所述域名是否为异常域名:
将所有所述域名对应的域名IP变化特征数据由大至小进行排序,取排序靠前的指定数量的多个域名IP变化特征数据对应的域名作为异常域名;其中,若所述域名对应的域名IP变化特征数据种类有多个,则对每种域名IP变化特征数据都按从大至小进行排序,分别判断所述域名的每个所述域名IP变化特征数据是否属于排序靠前的指定数量的范围,若有至少一个判断结果为属于,则判断所述域名为异常域名。
可选的,所述异常域名检测的方法,还包括:
对判断结果为异常域名的域名,根据所述域名对应的各个域名IP收发的数据流量大小判断所述域名是否为木马所使用的域名。
第二方面,本发明提供的一种异常域名检测的装置,包括:
数据获取模块,用于获取域名系统解析数据;
特征数据计算模块,用于根据所述域名系统解析数据计算所述域名系统解析数据中各域名的域名IP变化特征数据;
异常域名判断模块,用于根据所述域名IP变化特征数据是否符合预设的异常域名判定条件分别判断对应的各所述域名是否是异常域名。
可选的,所述数据获取模块,包括:
数据获取单元,用于利用流量捕获设备捕获指定区域的域名系统解析数据。
可选的,所述特征数据计算模块,包括:
特征数据计算单元,用于遍历所述域名系统解析数据中记载的域名与域名IP的对应关系,根据遍历结果统计所述域名系统解析数据中记载的各域名对应的域名IP变化特征数据;
其中,所述域名IP变化特征数据的种类包括以下至少一个:指定时间段内同一域名对应的域名IP的变化次数,指定时间段内同一域名对应的域名IP的归属地的变化次数,指定时间段内同一域名对应的域名IP的数量,指定时间段内同一域名对应的域名IP的归属地的数量。
可选的,所述异常域名判断模块,包括:
阈值判断单元,用于采用以下方法依次判断各所述域名是否为异常域名:
判断所述域名对应的域名IP变化特征数据是否大于相应的预设域名IP变化阈值,若大于,则判断所述域名为异常域名;其中,若所述域名对应的域名IP变化特征数据种类有多个,则分别判断所述域名的每个所述域名IP变化特征数据是否均大于相应的预设域名IP变化阈值,若有至少一个判断结果为大于,则判断所述域名为异常域名。
可选的,所述异常域名判断模块,包括:
排序判断单元,用于采用以下方法依次判断各所述域名是否为异常域名:
将所有所述域名对应的域名IP变化特征数据由大至小进行排序,取排序靠前的指定数量的多个域名IP变化特征数据对应的域名作为异常域名;其中,若所述域名对应的域名IP变化特征数据种类有多个,则对每种域名IP变化特征数据都按从大至小进行排序,分别判断所述域名的每个所述域名IP变化特征数据是否属于排序靠前的指定数量的范围,若有至少一个判断结果为属于,则判断所述域名为异常域名。
可选的,所述异常域名检测的装置,还包括:
数据流量判断单元,用于对判断结果为异常域名的域名,根据所述域名对应的各个域名IP收发的数据流量大小判断所述域名是否为木马所使用的域名。
由上述技术方案可知,本发明提供的一种异常域名检测的方法,用于检测异常域名,首先需要获取域名系统解析数据;然后根据所述域名系统解析数据计算所述域名系统解析数据中各域名的域名IP变化特征数据;最后根据所述域名IP变化特征数据是否符合预设的异常域名判定条件分别判断对应的各所述域名是否是异常域名。本发明只需要利用域名IP变化特征数据是否符合预设的异常域名判定条件即可判断相应的域名是否是异常域名,相较于现有抓包检测的方式,避免了对所述域名的整个流量数据进行分析,从而可以有效节省计算资源,进而提高异常域名的检测效率,同时,本发明对异常域名的检测具有较高的准确率。
本发明提供的一种异常域名检测的装置,与上述异常域名检测的方法出于相同的发明构思,具有相同的有益效果。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。
图1示出了本发明第一实施例所提供的一种异常域名检测的方法的流程图;
图2示出了本发明第二实施例所提供的一种异常域名检测的装置的示意图。
具体实施方式
下面将结合附图对本发明技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本发明的技术方案,因此只是作为示例,而不能以此来限制本发明的保护范围。
需要注意的是,除非另有说明,本申请使用的技术术语或者科学术语应当为本发明所属领域技术人员所理解的通常意义。
本发明提供一种异常域名检测的方法和一种异常域名检测的装置。下面结合附图对本发明的实施例进行说明。
图1示出了本发明第一实施例所提供的一种异常域名检测的方法的流程图。如图1所示,本发明第一实施例提供的一种异常域名检测的方法包括以下步骤:
步骤S10:获取域名系统(DNS)解析数据。
本发明实施例中,所述异常域名检测的方法的主体是具有实现所述方法的服务器,所述服务器链接了多台流量捕获设备,所述流量捕获设备可以获得其所覆盖地域的域名系统解析数据,并发送给所述服务器。通过利用流量捕获设备捕获指定区域的域名系统解析数据,可以控制异常域名检测的地域范围。
步骤S20:根据所述域名系统解析数据计算所述域名系统解析数据中各域名的域名IP变化特征数据。
服务器会遍历所述域名系统解析数据,找出数据中记载的域名与相应域名IP的对应关系,然后基于域名与相应域名IP的历史对应关系数据,统计出所述域名系统解析数据中各域名的域名IP变化特征数据。
所述域名IP变化特征数据的种类包括以下至少一种:指定时间段内同一域名对应的域名IP的变化次数,指定时间段内同一域名对应的域名IP的归属地的变化次数,指定时间段内同一域名对应的域名IP的数量,指定时间段内同一域名对应的域名IP的归属地的数量。
所述指定时间段可以是一秒钟、一分钟、一小时、一天、一个月、两个月等,其均在本发明的保护范围之内但并不限制本发明的保护范围。
对于复杂的域名系统解析数据,本方法只需要对各域名的域名IP变化特征数据进行统计,并不需要对每个域名解析数据流量进行具体分析,从而可以减小服务器的工作量。
步骤S30:根据所述域名IP变化特征数据是否符合预设的异常域名判定条件分别判断对应的各所述域名是否是异常域名。
根据统计的所述域名IP变化特征数据,服务器可以采用多种方法来判断对应的各所述域名是否是异常域名,下面介绍其中两种方法。
第一种方法:基于统计的所述域名IP变化特征数据,判断所述域名对应的域名IP变化特征数据是否大于相应的预设域名IP变化阈值,若大于,则判断所述域名为异常域名。
其中,若所述域名对应的域名IP变化特征数据种类有多个,则分别判断所述域名的每个所述域名IP变化特征数据是否均大于相应的预设域名IP变化阈值,若有至少一个判断结果为大于,则判断所述域名为异常域名。
如果判断所述域名是异常域名,则向客户端发送异常域名的警报提示,并把所述异常域名存储到异常域名库中,这样,若所述异常域名再次出现,则不需要对其分析便可判定其为异常域名,便于对异常域名的查找。
示例1:基于统计的所述域名IP变化特征数据,服务器发现某域名在一个月内域名IP变换了四次,而预设的域名IP变化次数阈值是三次,则变化次数大于预设的域名IP变化次数阈值,所以判定所述域名为异常域名。
示例2:基于统计的所述域名IP变化特征数据,服务器发现某域名在一个月内域名IP变换了四次,且变换的四次域名IP的归属地是四个不同的国家或地区,而预设的域名IP变化次数阈值是三次,预设的域名IP归属地数量阈值是三个,则两种域名IP变化特征数据都大于相应的阈值,所以判定所述域名为异常域名。该例中,如果所述变换的四次域名IP的归属地是两个不同的国家或地区,则两种域名IP变化特征数据中有一个大于相应的阈值,也可以判定所述域名为异常域名。
在具体实施时,可以依次对多种所述域名IP变化特征数据进行判断,如果发现所述域名IP变化特征数据中有任一种超过相应的阈值,则可判定所述域名是异常域名,不需要再对其它种类的域名IP变化特征数据进行统计判断。
第二种方法:基于统计的所述域名IP变化特征数据,将所有所述域名对应的域名IP变化特征数据由大至小进行排序,取排序靠前的指定数量的多个域名IP变化特征数据对应的域名作为异常域名。
其中,若所述域名对应的域名IP变化特征数据种类有多个,则对每种域名IP变化特征数据都按从大至小进行排序,分别判断所述域名的每个所述域名IP变化特征数据是否属于排序靠前的指定数量的范围,若有至少一个判断结果为属于,则判断所述域名为异常域名。
如果判断所述域名是异常域名,则向客户端发送异常域名的警报提示,并把所述异常域名存储到异常域名库中,这样,若所述异常域名再次出现,则不需要对其分析便可判定其为异常域名,便于对异常域名的查找。
示例3:基于统计的所述域名IP变化特征数据,服务器通过对所述域名IP变化特征数据由大到小进行排序,发现某域名在一个月内域名IP变换次数排名第二,而判定为异常域名的指定数量的范围是排名在前五名以内且包括第五名,则所述域名IP变化特征数据属于排序靠前的指定数量的范围,所以判定所述域名为异常域名。
如果所述域名对应的域名IP变化特征数据种类有多个,则判断过程与示例2的判断过程相似。
上述两种方法仅仅通过域名IP变化特征数据的数值大小和排序情况就可以判断所述域名是否是异常域名,避免了对所有数据进行抓包分析,能够提高异常域名的检测效率,同时,也具有较高的准确率。
在本发明提供的一个实施例中,在所述根据所述域名IP变化特征数据是否符合预设的异常域名判定条件分别判断对应的各所述域名是否是异常域名的步骤后,对判断结果是异常域名的域名,还可以根据所述域名对应的各个域名IP收发的数据流量大小判断所述域名是否为木马所使用的域名。如果判断结果是木马所使用的域名,则向客户端发送警报提示。通过对异常域名的数据流量的大小进行分析,判断所述域名是否为木马使用的域名,更进一步提高了对异常域名检测的准确率。
示例4:基于统计的所述域名IP变化特征数据,服务器发现某域名在一个月内域名IP变换了四次,而预设的域名IP变化次数阈值是三次,则变化次数大于预设的域名IP变化次数阈值,所以判定所述域名为异常域名;更进一步,在Session和HTTP等数据中发现所述域名IP收发的数据流量很大,通过对数据流量的分析,发现所述域名为木马使用的域名。
示例5:对于僵尸网络的异常域名检测,可以利用本发明的方法,通过对各域名的域名IP变化特征数据是否符合预设的异常域名判定条件分别判断对应的各所述域名是否是异常域名,找到僵尸网络的异常域名,然后封杀所述域名,阻止僵尸网络的发展。
在上述的第一实施例中,提供了一种异常域名检测的方法,与之相对应的,本申请还提供一种异常域名检测的装置。请参考图2,其为本发明第二实施例提供的一种异常域名检测的装置的示意图。由于装置实施例基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。下述描述的装置实施例仅仅是示意性的。
本发明第二实施例提供的一种异常域名检测的装置,包括:
数据获取模块101,用于获取域名系统解析数据;
特征数据计算模块102,用于根据所述域名系统解析数据计算所述域名系统解析数据中各域名的域名IP变化特征数据;
异常域名判断模块103,用于根据所述域名IP变化特征数据是否符合预设的异常域名判定条件分别判断对应的各所述域名是否是异常域名。
在本发明提供的一个实施例中,所述数据获取模块101,包括:
数据获取单元,用于利用流量捕获设备捕获指定区域的域名系统解析数据。
在本发明提供的一个实施例中,所述特征数据计算模块102,包括:
特征数据计算单元,用于遍历所述域名系统解析数据中记载的域名与域名IP的对应关系,根据遍历结果统计所述域名系统解析数据中记载的各域名对应的域名IP变化特征数据;
其中,所述域名IP变化特征数据的种类包括以下至少一个:指定时间段内同一域名对应的域名IP的变化次数,指定时间段内同一域名对应的域名IP的归属地的变化次数,指定时间段内同一域名对应的域名IP的数量,指定时间段内同一域名对应的域名IP的归属地的数量。
在本发明提供的一个实施例中,所述异常域名判断模块103,包括:
阈值判断单元,用于采用以下方法依次判断各所述域名是否为异常域名:
判断所述域名对应的域名IP变化特征数据是否大于相应的预设域名IP变化阈值,若大于,则判断所述域名为异常域名;其中,若所述域名对应的域名IP变化特征数据种类有多个,则分别判断所述域名的每个所述域名IP变化特征数据是否均大于相应的预设域名IP变化阈值,若有至少一个判断结果为大于,则判断所述域名为异常域名。
在本发明提供的一个实施例中,所述异常域名判断模块103,包括:
排序判断单元,用于采用以下方法依次判断各所述域名是否为异常域名:
将所有所述域名对应的域名IP变化特征数据由大至小进行排序,取排序靠前的指定数量的多个域名IP变化特征数据对应的域名作为异常域名;其中,若所述域名对应的域名IP变化特征数据种类有多个,则对每种域名IP变化特征数据都按从大至小进行排序,分别判断所述域名的每个所述域名IP变化特征数据是否属于排序靠前的指定数量的范围,若有至少一个判断结果为属于,则判断所述域名为异常域名。
在本发明提供的一个实施例中,所述异常域名检测的装置,还包括:
数据流量判断单元,用于对判断结果为异常域名的域名,根据所述域名对应的各个域名IP收发的数据流量大小判断所述域名是否为木马所使用的域名。
以上,为本发明第二实施例提供的一种异常域名检测的装置的实施例说明。
本发明提供的一种异常域名检测的装置与上述异常域名检测的方法出于相同的发明构思,具有相同的有益效果,此处不再赘述。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
需要说明的是,附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。本发明实施例所提供的进行检测异常域名的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。
Claims (8)
1.一种异常域名检测的方法,其特征在于,包括:
获取域名系统解析数据;
根据所述域名系统解析数据计算所述域名系统解析数据中各域名的域名IP变化特征数据;
根据所述域名IP变化特征数据是否符合预设的异常域名判定条件分别判断对应的各所述域名是否是异常域名;
所述根据所述域名IP变化特征数据是否符合预设的异常域名判定条件分别判断对应的各所述域名是否是异常域名,包括:
采用以下方法依次判断各所述域名是否为异常域名:
将所有所述域名对应的域名IP变化特征数据由大至小进行排序,取排序靠前的指定数量的多个域名IP变化特征数据对应的域名作为异常域名;其中,若所述域名对应的域名IP变化特征数据种类有多个,则对每种域名IP变化特征数据都按从大至小进行排序,分别判断所述域名的每个所述域名IP变化特征数据是否属于排序靠前的指定数量的范围,若有至少一个判断结果为属于,则判断所述域名为异常域名。
2.根据权利要求1所述的异常域名检测的方法,其特征在于,所述获取域名系统解析数据,包括:
利用流量捕获设备捕获指定区域的域名系统解析数据。
3.根据权利要求1所述的异常域名检测的方法,其特征在于,所述根据所述域名系统解析数据计算所述域名系统解析数据中各域名的域名IP变化特征数据,包括:
遍历所述域名系统解析数据中记载的域名与域名IP的对应关系,根据遍历结果统计所述域名系统解析数据中记载的各域名对应的域名IP变化特征数据;
其中,所述域名IP变化特征数据的种类包括以下至少一种:指定时间段内同一域名对应的域名IP的变化次数,指定时间段内同一域名对应的域名IP的归属地的变化次数,指定时间段内同一域名对应的域名IP的数量,指定时间段内同一域名对应的域名IP的归属地的数量。
4.根据权利要求1所述的异常域名检测的方法,其特征在于,所述根据所述域名IP变化特征数据是否符合预设的异常域名判定条件分别判断对应的各所述域名是否是异常域名,包括:
采用以下方法依次判断各所述域名是否为异常域名:
判断所述域名对应的域名IP变化特征数据是否大于相应的预设域名IP变化阈值,若大于,则判断所述域名为异常域名;其中,若所述域名对应的域名IP变化特征数据种类有多个,则分别判断所述域名的每个所述域名IP变化特征数据是否均大于相应的预设域名IP变化阈值,若有至少一个判断结果为大于,则判断所述域名为异常域名。
5.根据权利要求1所述的异常域名检测的方法,其特征在于,还包括:
对判断结果为异常域名的域名,根据所述域名对应的各个域名IP收发的数据流量大小判断所述域名是否为木马所使用的域名。
6.一种异常域名检测的装置,其特征在于,包括:
数据获取模块,用于获取域名系统解析数据;
特征数据计算模块,用于根据所述域名系统解析数据计算所述域名系统解析数据中各域名的域名IP变化特征数据;
异常域名判断模块,用于根据所述域名IP变化特征数据是否符合预设的异常域名判定条件分别判断对应的各所述域名是否是异常域名;
所述异常域名判断模块,包括:
排序判断单元,用于采用以下方法依次判断各所述域名是否为异常域名:
将所有所述域名对应的域名IP变化特征数据由大至小进行排序,取排序靠前的指定数量的多个域名IP变化特征数据对应的域名作为异常域名;其中,若所述域名对应的域名IP变化特征数据种类有多个,则对每种域名IP变化特征数据都按从大至小进行排序,分别判断所述域名的每个所述域名IP变化特征数据是否属于排序靠前的指定数量的范围,若有至少一个判断结果为属于,则判断所述域名为异常域名。
7.根据权利要求6所述的异常域名检测的装置,其特征在于,所述域名特征数据计算模块,包括:
特征数据计算单元,用于遍历所述域名系统解析数据中记载的域名与域名IP的对应关系,根据遍历结果统计所述域名系统解析数据中记载的各域名对应的域名IP变化特征数据;
其中,所述域名IP变化特征数据的种类包括以下至少一种:指定时间段内同一域名对应的域名IP的变化次数,指定时间段内同一域名对应的域名IP的归属地的变化次数,指定时间段内同一域名对应的域名IP的数量,指定时间段内同一域名对应的域名IP的归属地的数量。
8.根据权利要求6所述的异常域名检测的装置,其特征在于,所述异常域名判断模块,包括:
阈值判断单元,用于采用以下方法依次判断各所述域名是否为异常域名:
判断所述域名对应的域名IP变化特征数据是否大于相应的预设域名IP变化阈值,若大于,则判断所述域名为异常域名;其中,若所述域名对应的域名IP变化特征数据种类有多个,则分别判断所述域名的每个所述域名IP变化特征数据是否均大于相应的预设域名IP变化阈值,若有至少一个判断结果为大于,则判断所述域名为异常域名。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611077925.1A CN106375351B (zh) | 2016-11-29 | 2016-11-29 | 一种异常域名检测的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611077925.1A CN106375351B (zh) | 2016-11-29 | 2016-11-29 | 一种异常域名检测的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106375351A CN106375351A (zh) | 2017-02-01 |
CN106375351B true CN106375351B (zh) | 2019-09-24 |
Family
ID=57891188
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611077925.1A Active CN106375351B (zh) | 2016-11-29 | 2016-11-29 | 一种异常域名检测的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106375351B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108632227B (zh) * | 2017-03-23 | 2020-12-18 | 中国移动通信集团广东有限公司 | 一种恶意域名检测处理方法及装置 |
CN107733867B (zh) * | 2017-09-12 | 2020-09-22 | 北京神州绿盟信息安全科技股份有限公司 | 一种发现僵尸网络及防护的方法、系统和存储介质 |
CN114172707B (zh) * | 2021-11-29 | 2024-04-26 | 北京恒安嘉新安全技术有限公司 | Fast-Flux僵尸网络检测方法、装置、设备及存储介质 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101702660B (zh) * | 2009-11-12 | 2011-12-14 | 中国科学院计算技术研究所 | 异常域名检测方法及系统 |
CN105024969B (zh) * | 2014-04-17 | 2018-04-03 | 北京启明星辰信息安全技术有限公司 | 一种实现恶意域名识别的方法及装置 |
CN106101104A (zh) * | 2016-06-15 | 2016-11-09 | 国家计算机网络与信息安全管理中心 | 一种基于域名解析的恶意域名检测方法及系统 |
CN105978890B (zh) * | 2016-06-23 | 2019-03-29 | 贵州白山云科技股份有限公司 | Syn攻击域名定位方法和装置 |
-
2016
- 2016-11-29 CN CN201611077925.1A patent/CN106375351B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN106375351A (zh) | 2017-02-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7114183B1 (en) | Network adaptive baseline monitoring system and method | |
CN104391979B (zh) | 网络恶意爬虫识别方法及装置 | |
Roschke et al. | A new alert correlation algorithm based on attack graph | |
US8677485B2 (en) | Detecting network anomaly | |
JP5961354B2 (ja) | 効率的なネットフローデータ解析のための方法及び装置 | |
CN107968791B (zh) | 一种攻击报文的检测方法及装置 | |
CN101399710B (zh) | 一种协议格式异常检测方法及系统 | |
CN107181612A (zh) | 一种基于大数据的可视化网络安全监控方法 | |
CN106375351B (zh) | 一种异常域名检测的方法及装置 | |
TW201428528A (zh) | 識別網站用戶的方法和裝置 | |
CN109271793A (zh) | 物联网云平台设备类别识别方法及系统 | |
CN106453320B (zh) | 恶意样本的识别方法及装置 | |
CN108259426B (zh) | 一种DDoS攻击检测方法及设备 | |
CN111181978B (zh) | 异常网络流量的检测方法、装置、电子设备及存储介质 | |
CN103067218A (zh) | 一种高速网络数据包内容分析装置 | |
CN105282152A (zh) | 一种异常流量检测的方法 | |
CN106067879B (zh) | 信息的检测方法及装置 | |
CN107689958A (zh) | 一种应用于云审计系统的网络审计子系统 | |
CN105939328A (zh) | 网络攻击特征库的更新方法及装置 | |
CN106649344A (zh) | 一种网络日志压缩方法和装置 | |
CN103365963A (zh) | 数据库稽核系统合规性快速检验方法 | |
CN105281946A (zh) | 用于网络交换机中的灵活和高效分析的方法和装置 | |
CN106453387A (zh) | 基于Hicuts算法的安全策略冲突检测及消除方法 | |
CN104021348A (zh) | 一种隐匿p2p程序实时检测方法及系统 | |
CN112383513B (zh) | 基于代理ip地址池的爬虫行为检测方法、装置及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: A method and device for detecting abnormal domain names Effective date of registration: 20230330 Granted publication date: 20190924 Pledgee: Beijing first financing Company limited by guarantee Pledgor: SHENZHOU WANGYUN (BEIJING) INFORMATION TECHNOLOGY CO.,LTD. Registration number: Y2023110000137 |
|
PE01 | Entry into force of the registration of the contract for pledge of patent right |