CN113141370A - 一种内部网络流量的恶意dns隧道识别方法 - Google Patents

一种内部网络流量的恶意dns隧道识别方法 Download PDF

Info

Publication number
CN113141370A
CN113141370A CN202110480418.7A CN202110480418A CN113141370A CN 113141370 A CN113141370 A CN 113141370A CN 202110480418 A CN202110480418 A CN 202110480418A CN 113141370 A CN113141370 A CN 113141370A
Authority
CN
China
Prior art keywords
domain name
library
domain
variance
dns
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110480418.7A
Other languages
English (en)
Other versions
CN113141370B (zh
Inventor
秦志鹏
朱杰
刘泳锐
杨朝晖
陈解元
安黎东
李华
范广
吕志梅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanxi Branch Of National Computer Network And Information Security Management Center
Original Assignee
Shanxi Branch Of National Computer Network And Information Security Management Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanxi Branch Of National Computer Network And Information Security Management Center filed Critical Shanxi Branch Of National Computer Network And Information Security Management Center
Priority to CN202110480418.7A priority Critical patent/CN113141370B/zh
Publication of CN113141370A publication Critical patent/CN113141370A/zh
Application granted granted Critical
Publication of CN113141370B publication Critical patent/CN113141370B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Medical Informatics (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Artificial Intelligence (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明适用于计算机网络安全技术领域,提供了一种内部网络流量的恶意DNS隧道识别方法,本方法根据建立的黑名单库以及域名白名单库对域名进行初步的筛选,再从DNS请求频率,域名子域名文本特征,域名请求类型,域名文本熵值等多个维度来分析DNS请求是否属于有害的DNS隧道,并对有害的有害DNS隧道的特征重新加入到有害DNS隧道的特征识别库,作为数据的补充,帮助机器学习,提高预测以及检测的识别精准度,提高了工作的效率,避免了原有的人工投诉、人工审核这种方式,导致的工作速度和进度低下的问题。

Description

一种内部网络流量的恶意DNS隧道识别方法
技术领域
本发明属于计算机网络安全技术领域,尤其涉及一种内部网络流量的恶意DNS隧道识别方法。
背景技术
计算机网络安全领域内,DNS隧道是常被使用来作为被入侵主机与黑客之间的通信桥梁。当前的业内普遍对该场景没有较好的解决方案,大部分依靠人工和威胁情报协同处理,误报率非常高。
现有的技术主要依靠威胁情报和人工的方式在DNS流量中,判断域名和IP是否被威胁情报标记为黑IP,如果是黑IP则人工跟进确认并且封禁,此方法存在误报率高,并且过于依靠威胁情报导致防御DNS的措施滞后,威胁情报作为一种社区内的共享消息,在复杂多变的网络环境中消息存在滞后和无法及时同步的问题,因此导致出现较多的DNS隧道的误报和漏洞。
发明内容
本发明提供一种内部网络流量的恶意DNS隧道识别方法,旨在解决上述技术问题。
本发明是这样实现的,一种内部网络流量的恶意DNS隧道识别方法,包括如下步骤:
步骤一:数据采集阶段;在机房网络出口镜像流量中,将部分流量数据拷贝出来,并对这部分流量数据进行过滤,提取出内部所有的DNS数据并存储为DNS数据库。
步骤二:搜集网络上正常提供业务的域名,建立域名白名单库;
步骤三:搜集网络上的已暴露的黑名单域名,并将之与建立的DNS流量库相匹配遍寻,发现在DNS流量库中出现的黑名单域名,建立黑名单域名库,并根据该黑名单域名库中的各个黑名单域名在企业内部的周期内访问频率特征和域名请求类型,建立可疑域名库,并在可疑域名库中将这些域名特征的共性作为恶意的DNS隧道识别特征,建立特征识别库并存储在服务器上;
步骤四:基于n-gram的自然域名模型对域名做预测,主要依靠特征的均值和方差,使用已有特征识别库内的DNS隧道使用的域名特征进行模型训练,并将n-gram模型预测出来的域名认为是可疑域名加入到可疑域名库中;
步骤五、所有可疑域名均采用黑域名文本特征方法进行检测,判断是否为黑域名,
若是,则进行主动防御与溯源,并将其加入到黑名单域名库中;
若否,则引入人工介入判断是否是白名单域名,若是白名单域名则加入白名单中。
优选的,步骤一中:DNS数据获取,在交换机下联口通过分光和镜像的技术,将流量数据拷贝一份到目标网卡上,接收之后过滤流量内所有的DNS数据并存储形成DNS数据库。
优选的,步骤二中:使用alex排名前10w的根域名,以及基于人工反馈且人工确认的该域名为无害域名,作为域名白名单库。
优选的,步骤三中:周期内访问频率特征为:一个周期内,排除白名单域名,基于时间序列的域名解析频率日均10w+的域名;一个周期内,与之前100个周期相比没出现过的新域名;一个周期内,基于时间序列的解析频率存在有突增/突降的域名。
优选的,步骤三中:域名请求类型为:请求为TXT的解析方式,并且域名具有NS记录的域名。
优选的,步骤四中:特征的均值和方差包括如下:
1)域名长度均值/方差;
2)域名中数字占比均值/方差;
3)域名中英文字幕占比均值/方差;
4)域名中特殊符号占比均值/方差;
5)域名信息熵均值/方差;
6)域名基尼系数均值/方差;
7)域名unigram平均排名均值/方差;
8)域名bigram平均排名均值/方差;
9)域名trigram平均排名均值/方差。
优选的,步骤五中:黑域名文本特征方法为:base64解码后是否带有关键字符串或者域名文本敏感信息特征。
与现有技术相比,本发明的有益效果是:本发明的一种内部网络流量的恶意DNS隧道识别方法,本方法根据建立的黑名单库以及域名白名单库对域名进行初步的筛选,再从DNS请求频率,域名子域名文本特征,域名请求类型,域名文本熵值等多个维度来分析DNS请求是否属于有害的DNS隧道,并对有害的有害DNS隧道的特征重新加入到有害DNS隧道的特征识别库,作为数据的补充,帮助机器学习,提高预测以及检测的识别精准度,提高了工作的效率,避免了原有的人工投诉、人工审核这种方式,导致的工作速度和进度低下的问题。
附图说明
图1为本发明的方法流程示意图;
图2为依靠n-gram模型做的DNS隧道检测时纬度数据指标示意图;
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
请参阅图1-2,本发明提供一种技术方案:一种内部网络流量的恶意DNS隧道识别方法,包括如下步骤:
步骤一:数据采集阶段;在机房网络出口镜像流量中,将部分流量数据拷贝出来,并对这部分流量数据进行过滤,提取出内部所有的DNS数据并存储为DNS数据库。其中关于DNS数据的获取,在交换机下联口通过分光和镜像的技术,将流量数据拷贝一份到目标网卡上,接收之后过滤流量内所有的DNS数据。
步骤二:搜集网络上正常提供业务的域名,即alex排名前10w的根域名,以及基于人工反馈且人工确认的该域名为无害域名,建立域名白名单库。
步骤三:搜集网络上的已暴露的黑名单域名,并将之与建立的DNS流量库相匹配遍寻,发现在DNS流量库中出现的黑名单域名,建立黑名单域名库。
进一步,根据该黑名单域名库中的各个黑名单域名在企业内部的周期内访问频率特征和域名请求类型,建立可疑域名库。
其中周期内访问频率特征为:一个周期内,排除白名单域名,基于时间序列的域名解析频率日均10w+的域名;一个周期内,与之前100个周期相比没出现过的新域名;一个周期内,基于时间序列的解析频率存在有突增/突降的域名。
域名请求类型为:请求为TXT的解析方式,并且域名具有NS记录的域名。
进一步,在可疑域名库中将这些域名特征的共性作为恶意的DNS隧道识别特征,建立特征识别库并存储在服务器上。
步骤四:基于n-gram的自然域名模型对域名做预测,主要依靠特征的均值和方差,使用已有特征识别库内的DNS隧道使用的域名特征进行模型训练,并将n-gram模型预测出来的域名认为是可疑域名加入到可疑域名库中;
其中,特征的均值和方差包括如下:1)域名长度均值/方差;2)域名中数字占比均值/方差;3)域名中英文字幕占比均值/方差;4)域名中特殊符号占比均值/方差;5)域名信息熵均值/方差;6)域名基尼系数均值/方差;7)域名unigram平均排名均值/方差;8)域名bigram平均排名均值/方差;9)域名trigram平均排名均值/方差。
步骤五、所有可疑域名均采用黑域名文本特征方法,即base64解码后是否带有关键字符串或者域名文本敏感信息特征进行检测,判断是否为黑域名,
若是,则进行主动防御与溯源,并将其加入到黑名单域名库中;
若否,则引入人工介入判断是否是白名单域名,若是白名单域名则加入白名单中。
实施例一:zys.com进入本系统判断是否是黑域名。
第一步:判断zys.com是否属于黑名单域名库中;
若不属于,则继续往下,判断是否属于域名白名单库中;
若属于,则直接警告并封禁。
第二步:判断zys.com是否属于域名白名单库;
若不属于,则继续往下,利用可疑域名库规则判断是否属于可疑域名;
若属于,则将对其进行放行并将其加入白名单中。
第三步:判断zys.com是否属于可疑域名;
若不属于,则引入人工介入判断是否是白名单域名,若是白名单域名则加入白名单中。
若属于,则通过判断域名的文本特征的方式判断是否属于黑域名。
第四步:判断zys.com是否属于黑域名;
若属于,则认为是黑域名,认为存在有DNS隧道,对其进行封禁,并将其特征反馈给本系统的特征识别库完善判断规则,
若不属于,则引入人工介入判断是否是白名单域名,若是白名单域名则加入白名单中。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (7)

1.一种内部网络流量的恶意DNS隧道识别方法,其特征在于,包括如下步骤:
步骤一:数据采集阶段;在机房网络出口镜像流量中,将部分流量数据拷贝出来,并对这部分流量数据进行过滤,提取出内部所有的DNS数据并存储为DNS数据库;
步骤二:搜集网络上正常提供业务的域名,建立域名白名单库;
步骤三:搜集网络上的已暴露的黑名单域名,并将之与建立的DNS流量库相匹配遍寻,发现在DNS流量库中出现的黑名单域名,建立黑名单域名库,并根据该黑名单域名库中的各个黑名单域名在企业内部的周期内访问频率特征和域名请求类型,建立可疑域名库,并在可疑域名库中将这些域名特征的共性作为恶意的DNS隧道识别特征,建立特征识别库并存储在服务器上;
步骤四:基于n-gram的自然域名模型对域名做预测,主要依靠特征的均值和方差,使用已有特征识别库内的DNS隧道使用的域名特征进行模型训练,并将n-gram模型预测出来的域名认为是可疑域名加入到可疑域名库中;
步骤五、所有可疑域名均采用黑域名文本特征方法进行检测,判断是否为黑域名,
若是,则进行主动防御与溯源,并将其加入到黑名单域名库中;
若否,则引入人工介入判断是否是白名单域名,若是白名单域名则加入白名单中。
2.如权利要求1所述的一种内部网络流量的恶意DNS隧道识别方法,其特征在于:步骤一中:DNS数据获取,在交换机下联口通过分光和镜像的技术,将流量数据拷贝一份到目标网卡上,接收之后过滤流量内所有的DNS数据并存储形成DNS数据库。
3.如权利要求1所述的一种内部网络流量的恶意DNS隧道识别方法,其特征在于:步骤二中:使用alex排名前10w的根域名,以及基于人工反馈且人工确认的该域名为无害域名,作为域名白名单库。
4.如权利要求1所述的一种内部网络流量的恶意DNS隧道识别方法,其特征在于:步骤三中:周期内访问频率特征为:一个周期内,排除白名单域名,基于时间序列的域名解析频率日均10w+的域名;一个周期内,与之前100个周期相比没出现过的新域名;一个周期内,基于时间序列的解析频率存在有突增/突降的域名。
5.如权利要求1所述的一种内部网络流量的恶意DNS隧道识别方法,其特征在于:步骤三中:域名请求类型为:请求为TXT的解析方式,并且域名具有NS记录的域名。
6.如权利要求1所述的一种内部网络流量的恶意DNS隧道识别方法,其特征在于:步骤四中:特征的均值和方差包括如下:
1)域名长度均值/方差;
2)域名中数字占比均值/方差;
3)域名中英文字幕占比均值/方差;
4)域名中特殊符号占比均值/方差;
5)域名信息熵均值/方差;
6)域名基尼系数均值/方差;
7)域名unigram平均排名均值/方差;
8)域名bigram平均排名均值/方差;
9)域名trigram平均排名均值/方差。
7.如权利要求1所述的一种内部网络流量的恶意DNS隧道识别方法,其特征在于:步骤五中:黑域名文本特征方法为:base64解码后是否带有关键字符串或者域名文本敏感信息特征。
CN202110480418.7A 2021-04-30 2021-04-30 一种内部网络流量的恶意dns隧道识别方法 Active CN113141370B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110480418.7A CN113141370B (zh) 2021-04-30 2021-04-30 一种内部网络流量的恶意dns隧道识别方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110480418.7A CN113141370B (zh) 2021-04-30 2021-04-30 一种内部网络流量的恶意dns隧道识别方法

Publications (2)

Publication Number Publication Date
CN113141370A true CN113141370A (zh) 2021-07-20
CN113141370B CN113141370B (zh) 2022-09-16

Family

ID=76816777

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110480418.7A Active CN113141370B (zh) 2021-04-30 2021-04-30 一种内部网络流量的恶意dns隧道识别方法

Country Status (1)

Country Link
CN (1) CN113141370B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113890902A (zh) * 2021-09-15 2022-01-04 奇安信科技集团股份有限公司 特征识别库的构建方法及装置、流量识别方法
CN117874145A (zh) * 2024-03-13 2024-04-12 连连(杭州)信息技术有限公司 一种主从数据库的强一致方法、装置、设备及存储介质

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104994117A (zh) * 2015-08-07 2015-10-21 国家计算机网络与信息安全管理中心江苏分中心 一种基于dns解析数据的恶意域名检测方法及系统
CN105024969A (zh) * 2014-04-17 2015-11-04 北京启明星辰信息安全技术有限公司 一种实现恶意域名识别的方法及装置
WO2015167523A1 (en) * 2014-04-30 2015-11-05 Hewlett-Packard Development Company, L. P. Packet logging
CN107786575A (zh) * 2017-11-11 2018-03-09 北京信息科技大学 一种基于dns流量的自适应恶意域名检测方法
WO2018164701A1 (en) * 2017-03-10 2018-09-13 Visa International Service Association Identifying malicious network devices
CN109756510A (zh) * 2019-01-25 2019-05-14 兰州理工大学 一种基于N-Gram的恶意域名检测方法
CN110147839A (zh) * 2019-05-20 2019-08-20 哈尔滨英赛克信息技术有限公司 基于XGBoost的算法生成域名检测模型的方法
CN110191103A (zh) * 2019-05-10 2019-08-30 长安通信科技有限责任公司 一种dga域名检测分类方法
CN111031026A (zh) * 2019-12-09 2020-04-17 杭州安恒信息技术股份有限公司 一种dga恶意软件感染主机检测方法
CN111200576A (zh) * 2018-11-16 2020-05-26 慧盾信息安全科技(苏州)股份有限公司 一种基于机器学习实现恶意域名识别的方法
CN112565259A (zh) * 2020-12-04 2021-03-26 互联网域名系统北京市工程研究中心有限公司 过滤dns隧道木马通信数据的方法及装置

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105024969A (zh) * 2014-04-17 2015-11-04 北京启明星辰信息安全技术有限公司 一种实现恶意域名识别的方法及装置
WO2015167523A1 (en) * 2014-04-30 2015-11-05 Hewlett-Packard Development Company, L. P. Packet logging
CN104994117A (zh) * 2015-08-07 2015-10-21 国家计算机网络与信息安全管理中心江苏分中心 一种基于dns解析数据的恶意域名检测方法及系统
WO2018164701A1 (en) * 2017-03-10 2018-09-13 Visa International Service Association Identifying malicious network devices
CN107786575A (zh) * 2017-11-11 2018-03-09 北京信息科技大学 一种基于dns流量的自适应恶意域名检测方法
CN111200576A (zh) * 2018-11-16 2020-05-26 慧盾信息安全科技(苏州)股份有限公司 一种基于机器学习实现恶意域名识别的方法
CN109756510A (zh) * 2019-01-25 2019-05-14 兰州理工大学 一种基于N-Gram的恶意域名检测方法
CN110191103A (zh) * 2019-05-10 2019-08-30 长安通信科技有限责任公司 一种dga域名检测分类方法
CN110147839A (zh) * 2019-05-20 2019-08-20 哈尔滨英赛克信息技术有限公司 基于XGBoost的算法生成域名检测模型的方法
CN111031026A (zh) * 2019-12-09 2020-04-17 杭州安恒信息技术股份有限公司 一种dga恶意软件感染主机检测方法
CN112565259A (zh) * 2020-12-04 2021-03-26 互联网域名系统北京市工程研究中心有限公司 过滤dns隧道木马通信数据的方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
盛剑涛,陈茂飞,刘东鑫,汪来富,史国水,金华敏: "基于组合分类器的恶意域名检测技术", 《电信科学》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113890902A (zh) * 2021-09-15 2022-01-04 奇安信科技集团股份有限公司 特征识别库的构建方法及装置、流量识别方法
CN113890902B (zh) * 2021-09-15 2023-12-29 奇安信科技集团股份有限公司 特征识别库的构建方法及装置、流量识别方法
CN117874145A (zh) * 2024-03-13 2024-04-12 连连(杭州)信息技术有限公司 一种主从数据库的强一致方法、装置、设备及存储介质
CN117874145B (zh) * 2024-03-13 2024-05-28 连连(杭州)信息技术有限公司 一种主从数据库的强一致方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN113141370B (zh) 2022-09-16

Similar Documents

Publication Publication Date Title
CN110099059B (zh) 一种域名识别方法、装置及存储介质
CN105825138B (zh) 一种敏感数据识别的方法和装置
CN113141370B (zh) 一种内部网络流量的恶意dns隧道识别方法
CN107341399B (zh) 评估代码文件安全性的方法及装置
CN112866023B (zh) 网络检测、模型训练方法、装置、设备及存储介质
CN110351248B (zh) 一种基于智能分析和智能限流的安全防护方法及装置
CN108111526A (zh) 一种基于异常whois信息的非法网站挖掘方法
CN106713579A (zh) 一种电话号码识别方法及装置
CN111835777A (zh) 一种异常流量检测方法、装置、设备及介质
CN113221032A (zh) 链接风险检测方法、装置以及存储介质
CN111368289A (zh) 一种恶意软件检测方法和装置
CN103268449A (zh) 一种手机恶意代码的高速检测方法和系统
CN110138758A (zh) 基于域名词汇的误植域名检测方法
CN109120733B (zh) 一种利用dns进行通信的检测方法
CN114021556A (zh) 基于自然语言处理技术的日志敏感数据检测方法及系统
CN111786990B (zh) 一种针对web主动推送跳转页面的防御方法和系统
CN105653941A (zh) 一种启发式检测钓鱼网站的方法及系统
CN112667875A (zh) 一种数据获取、数据分析方法、装置、设备及存储介质
CN116738369A (zh) 一种流量数据的分类方法、装置、设备及存储介质
CN111181937A (zh) 一种域名检测方法、装置、设备和系统
CN113904828B (zh) 接口的敏感信息检测方法、装置、设备、介质和程序产品
CN115314271A (zh) 一种访问请求的检测方法、系统及计算机存储介质
CN111800391B (zh) 端口扫描攻击的检测方法、装置、电子设备及存储介质
KR20230019664A (ko) 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 방법 및 시스템
CN110851826B (zh) 一种篡改页面的检测方法、装置、设备及可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant