TW201701182A - 偵測可疑殭屍網路中繼站域名之方法 - Google Patents
偵測可疑殭屍網路中繼站域名之方法 Download PDFInfo
- Publication number
- TW201701182A TW201701182A TW104119695A TW104119695A TW201701182A TW 201701182 A TW201701182 A TW 201701182A TW 104119695 A TW104119695 A TW 104119695A TW 104119695 A TW104119695 A TW 104119695A TW 201701182 A TW201701182 A TW 201701182A
- Authority
- TW
- Taiwan
- Prior art keywords
- domain
- domain name
- search
- information
- module
- Prior art date
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本發明係揭露一種偵測可疑殭屍網路的中繼站域名方法。當網域名稱於網際網路搜尋引擎之搜尋結果小於一預設值時,則可進一步利用WHOIS查詢,得到該網域名稱相關網域集合結果,也可利用WHOIS取得之註冊者電子郵件地址並反向查詢WHOIS資料庫得到該郵件地址註冊之所有網域集合結果,根據上述得到之網域集合結果,將相關網域提供於搜尋引擎進行搜尋,利用相關網域在搜尋引擎的回傳數目結果,當相關網域包含大量搜尋結果可能為合法,反之則判斷可能為可疑,即依據相關聯網域的集合與其搜尋結果數目,判斷是否為可疑殭屍網路的中繼站域名。
Description
本發明係關於一種偵測網路域名之方法,特別係一種偵測可疑殭屍網路中繼站域名之方法。
網路世界的犯罪大多數借力於殭屍網路,透過建立殭屍網路,駭客可於使用者不知情的情況下竊取機密資料或者對於殭屍電腦進行操控或攻擊,而駭客為了增加保護性,會避免其IP位址直接關連到特定主機及所在地理位址,故建立殭屍網路者多會以網域名稱連接網際網路。
對於擁有許多個人資料以及企業之敏感性資料的企業,如何有效偵測出可疑殭屍網路的中繼站域名,達成一種事先避免駭客利用殭屍網路竊取敏感或機密資料的資安保護方式絕對是一項迫切需要的技術。
而現存技術之方法係透過監控DNS(Domain Name System)主機的流量,分析具有刺探行為(reconnaissance)等類似殭屍網路行為的網域流量,再利用已知的惡意網域資訊,如ASN標準(Abstract Syntax Notation)的比對或網際網路搜尋引擎(Internet Search Engine)進行惡意判斷的依據,其中該專利透過網際網路搜尋引擎回傳的結果比對惡意程式分析的網站,若搜尋結果包含連結到惡意程式分析的網站,或
是回傳的結果為空,則判斷此分析網域為可疑或惡意。
本發明係一種偵測可疑殭屍網路的中繼站域名之方法,將使用網際網路搜尋引擎,本發明之概念是基於一般合法網域多註冊於知名公司行號名下,而知名公司大多也會註冊多個產品之網域,如此透過搜尋引擎便能於產品或公司的網頁找到大量搜尋筆數或結果,相對地,而中繼站網域多使用私人帳號註冊,且中繼站本身並不公開於網頁或者是留下連結紀錄,故相當難以被搜尋引擎所尋獲,因此本發明之發想為可以透過搜尋引擎所回傳之結果數,對網域名稱是否為殭屍網路之中繼站的可疑程度加以判斷。
本發明偵測可疑殭屍網路的中繼站域名之方法中,將也使用到WHOIS(https://who.is/)的查詢方法,主要係因為WHOIS查詢可以幫助查找出網域名稱的相關網域註冊資料,其中包含網域名稱的註冊者之電子郵件地址等資訊,可以利用該電子郵件地址反向的查找WHOIS資料庫,得到使用該電子郵件地址註冊的所有網域,如此則可透過這些WHOIS查找的相關資訊,找出與此網域名稱相關聯的網域名稱集合。
本發明之偵測可疑殭屍網路的中繼站域名之方法中,也使用到網域名稱系統(Domain Name System,DNS)紀錄的查詢方法,主要因為DNS紀錄查詢可以幫助查找出網域名稱的相關網域資料,其中包含網域名稱紀錄所存放的名稱伺服器(Name Server,NS)位址,與這個網域底下還註冊有自己的名稱伺服器位址;如此則可透過這些DNS查找的相關資訊,
找出與此網域名稱相關聯的網域名稱集合。
本發明之目的即在於偵測可疑殭屍網路的中繼站域名,當給定一個嫌疑網域名稱時,將該嫌疑網域名稱之第一階層及第二階層之網域名稱,利用網際網路搜尋引擎進行搜尋,當得到回傳後的結果分別少於第一階層篩選值與第二階層篩選值時,表示該網域名稱是可被列入考慮的可疑網域名稱,其中的回傳結果數目比較對象,也就是第一階層篩選值與第二階層篩選值是需要事前定義的值,因為此值會影響本方法結果的準確度;接著再進一步透過WHOIS查詢得到此網域名稱註冊者之電子郵件地址以及該電子郵件地址之網域,確認該電子郵件地址之網域與該電子郵件地址網域註冊者的電子郵件網域是否相同,若相同則表示該網域是可被列入考慮的網域,反之則不列入考慮。
再來透過DNS(Domain Name System)查詢得到名稱伺服器(Name Server,NS)和授權起始紀錄(Start Of Authority,SOA)等資訊也屬於該嫌疑網域名稱相關聯之網域,因此也需一併納入考慮之網域集合中,下一步將前述加入網域集合中的該嫌疑網域名稱相關聯之網域進行網頁內容分析,剔除所有屬於網域名稱服務提供者(Domain Name Service Provider)之網域名;再利用網域名稱註冊者之電子郵件地址反向查詢WHOIS資料庫,得到使用該郵件地址註冊之所有網域集合結果,並且一併都納入考慮的該嫌疑網域名稱相關聯之網域集合中,依據上述之網域集合,將網域集合中的網域提供予搜尋引擎進行搜尋,則可依相關網域在搜尋引擎進行搜尋的回傳數目結果進行進一步判斷,當網域集合中的相關網域的搜尋結果數量均小於一定值(第二階層篩選值),則判斷
為可疑,反之則判斷為合法,此為本發明之依據相關網域的知名程度,偵測出是否為可疑殭屍網路的中繼站域名的方法。
本發明透過網際網路搜尋引擎,排除合法的網域,並找出可疑的中繼站。對於搜尋結果極少或無結果的網域,進行網域資料的蒐集,透過主動查詢該網域的DNS紀錄,包含SOA、NS以及註冊者電子郵件位址的網域,並分析WHOIS資料庫,找出相同註冊者電子郵件的其他相關網域。最終找出背後的公司網域及所註冊的相關網域。根據這些延伸出來的網域及公司資訊,判斷此網域是否為知名公司所註冊的網域,排除掉註冊在知名公司下的網域,提升準確度。
相較於先前技術透過收集被動DNS查詢(passive DNS query)資訊,以對已知的惡意網域特徵與合法的網域特徵建立模型,再利用此模型對一個新網域進行合法或非法網域的判斷,該模型之訓練資料的優劣會直接影響新網域判斷的準確性,所以需要經常性地取得大量的訓練資料對模型進行更新,此時對資料的維護與篩選過程就會產生大量的額外成本。
而本發明提供一種即時的方式,透過當下網路搜尋引擎的回傳結果,依照當下的狀況對新網域進行判斷與偵測,不需要事先建立模型,故也不須收集維護大量的訓練資料。
本發明與先前技術相比,有以下之功效:
1.本發明可判斷出網域名稱的知名程度,給定一個網域名稱,透過本發明之相關流程步驟,可產出相關網域集合階層關係及各自搜尋回傳結果數,藉此判斷出網域名
稱的知名程度。
2.本發明可關聯出網域名稱的其他相關聯網域之集合,以及可識別出相關網域集合,透過本發明之相關流程步驟,可識別出網域名稱相互之間的關聯性。
3.本發明可偵測出可疑殭屍網路的中繼站域名。本發明不需事先取得相關之連線封包資訊,在無法取得殭屍網路交換訊息的情況下,即可透過本發明之相關流程步驟,僅透過網域名稱本身,產出相關網域集合關係以偵測可疑殭屍網路的中繼站域名。
S101~S117‧‧‧步驟流程
S201~S215‧‧‧步驟流程
圖1係為本發明偵測可疑殭屍網路的中繼站域名之方法的步驟流程示意圖。
圖2係為本發明偵測可疑殭屍網路的中繼站域名之方法的實施例執行流程示意圖。
以下結合圖式說明本發明,如圖1所示,本發明之目的即在於偵測可疑殭屍網路的中繼站域名,當給定一嫌疑網域d時,執行步驟S101於網際網路搜尋引擎搜尋嫌疑網域d,也就是搜尋第一階層網域名稱,則進入判斷,也就是步驟S102嫌疑網域d的搜尋結果是否小於第一階層篩選值N1,若是小於第一階層篩選值N1,執行步驟S103於網際網路搜尋嫌疑網域d之二階網域名,若否,判定執行步驟S117嫌疑網域d是合法網域。
執行步驟S103於網際網路搜尋嫌疑網域d之二階網域名後,接著進入判斷,步驟S104嫌疑網域d的二階
域名搜尋結果是否小於第二階層篩選值N2,若是小於第二階層篩選值N2,執行步驟S105以WHOIS搜尋嫌疑網域d的電子郵件註冊者網域得到郵件結果w1,若否,判定執行步驟S117嫌疑網域d是合法網域;接續步驟S105之後為步驟S106以WHOIS搜尋郵件結果w1的電子郵件註冊者網域得到郵件結果w2,再來進入判斷步驟S107郵件結果w1與郵件結果w2是否相等,若是相等,執行步驟S108將郵件結果w1加入資料池,若不相等,跳至步驟S109將對嫌疑網域d二階域名的DNS、NS、SOA搜尋結果加入資料池,透過DNS查詢得到名稱伺服器(Name Server)、名稱伺服系統和授權起始紀錄(Start Of Authority,SOA)等資訊也屬於該嫌疑網域名稱相關聯之網域,因此也需一併納入考慮之網域集合中。
步驟S110係為對資料池中資料獲取其網頁,下一步將前述加入網域集合中的該嫌疑網域名稱相關聯之網域進行網頁內容分析,剔除所有屬於網域名稱服務提供者(Domain Name Service Provider)之網域名,也就是S111若其網頁為網域服務提供者則將該資料刪除;再利用網域名稱註冊者之電子郵件地址反向查詢WHOIS資料庫,即為步驟S112反向搜尋資料池中所有資料,將得到使用該郵件地址註冊之所有網域集合結果,一併都納入考慮的該嫌疑網域名稱相關聯之網域集合中,即為圖中步驟S113將反向查找所得電子郵件地址註冊之網域加入資料池。
步驟S114對資料池中所有資料以網際網路搜尋引擎搜尋,係依據上述之網域集合,將網域集合中的網域提供予搜尋引擎進行搜尋,則可依相關網域在搜尋引擎進行搜尋的回傳數目結果進行進一步判斷;再來為最後之判斷步驟
S115搜尋結果是否小於第二階層篩選值N2,當網域集合中的相關網域的搜尋結果數量均小於第二階層篩選值N2,則判斷步驟S116嫌疑網域d是可疑網域,反之則執行步驟S117嫌疑網域d是合法網域;以上為本發明之依據相關網域的知名程度,偵測出是否為可疑殭屍網路的中繼站域名的流程方法。
再來請參閱圖2所示,以說明本發明之一較佳實施例,若欲測試一個網域名稱tosis.tecpolicy.com是否為可疑之殭屍網路中繼站域名,根據本發明之方法,執行步驟S201於網際網路搜尋引擎搜尋網域名tosis.tecpolicy.com,即先將第一階層網域名稱tosis,利用網際網路搜尋引擎進行關鍵字搜尋,而其判斷步驟S202搜尋結果是否小於第一階層篩選值N1,該搜尋結果之數目確實小於第一階層篩選值N1,則執行步驟S203於網際網路搜尋二階域名www.tecpolicy.com,而判斷步驟S204二階域名搜尋結果是否小於第二階層篩選值N2,搜尋結果數目低於第二階層篩選值N2,則進行下一步驟的網域名稱WHOIS查詢判斷步驟S205以WHOIS搜尋電子郵件註冊者網域得到qq.com,上述第一階層篩選值N1值略大於零,第一階層篩選值N1與第二階層篩選值N2均需事先於系統中定義,其值將會影響本偵測可疑殭屍網路中繼站域名方法的判斷準確度。
為了尋找與該網域名稱tosis.tecpolicy.com的相關網域,WHOIS查詢將可以得到該網域註冊者之電子郵件地址,於實施例中,該網域註冊者之電子郵件地址為68972312@qq.com,並可以了解該郵件地址之電子郵件網域名係為qq.com,在經過步驟S205後取得該網域註冊者之電子郵
件網域qq.com,執行步驟S206以WHOIS搜尋qq.com的電子郵件註冊者網域得到tencent.com,因為所得之資訊顯示網域qq.com之註冊者電子郵件地址為dns@tencent.com,而dns@tencent.com的網域名為tencent.com。而後,執行判斷步驟S207 qq.com與tencent.com是否相等,將該網域註冊者之電子郵件網域qq.com與該網域註冊者之電子郵件網域的註冊者所屬電子郵件網域tencent.com比較後,結果並不相等,於是根據本發明之方法,判斷該網域註冊者之電子郵件網域qq.com不加入該網域名稱tosis.tecpolicy.com之關聯網域的網域集合中。
根據本偵測可疑殭屍網路中繼站域名方法再透過名稱伺服器紀錄(DNS Record)查詢第二階層之網域(2nd domain),在本實施例中該第二階層之網域係為tecpolicy.com,由此得到包含了名稱伺服器(Name Server)、名稱伺服系統和授權起始紀錄(Start Of Authority,SOA)所屬之網域,係為hichina.com(直接查詢之結果為dns29.hichina.com與dns30.hichina.com),將這些網域(tecpolicy.com、hichina.com)一併加入該網域名稱tosis.tecpolicy.com之關聯網域的網域集合中,上述動作為步驟S208將對二階域名的DNS、NS、SOA搜尋結果hichina.com加入資料池。
執行步驟S209對資料池中資料hichina.com獲取其網頁,係為了排除有關網域名稱服務提供者(Domain Name Service Provider)的網域,將該網域名稱tosis.tecpolicy.com之關聯網域的網域集合中的所有網域實施網頁內容分析,於此實施例中發現www.hichina.com的網頁內容為網域名稱服務提供者,則根據規則執行步驟S210 hichina.com為網域服務
提供者則將該資料刪除,即將此網域hichina.com從該網域名稱tosis.tecpolicy.com之關聯網域的網域集合資料池中移除。
步驟S211反向搜尋資料池中所有資料,根據上述透過WHOIS搜尋方式所查詢到的tecpolicy.com網域之註冊者電子郵件地址,利用此郵件地址68972312@qq.com反向查找WHOIS資料庫,得到使用該郵件地址註冊者之所有網域的集合comqap.com、erickstar.com,也將這些得到的網域集合一併加入之該網域名稱tosis.tecpolicy.com之關聯網域的網域集合中,係為步驟S212將反向查找所得電子郵件地址註冊之網域comqap.com、erickstar.com加入資料池。
此時資料池中含有對於該網域名稱tosis.tecpolicy.com之關聯網域的網域集合中所有列入考慮的網域名稱,執行步驟S213對資料池中所有資料以網際網路搜尋引擎搜尋,再以得出之結果筆數進行判斷,即為判斷步驟S214搜尋結果是否小於第二階層篩選值N2,若列入考慮的網域名稱之搜尋結果只包含非常少量的回傳資訊筆數,也就是低於定義之該第二階層篩選值N2的筆數,則根據本發明之方法執行步驟S215 tosis.tecpolicy.com為可疑,係因為於此實施例中,此步驟發現所有關聯網域中,包含comqap.com與erickstar.com於搜尋引擎的結果數目均小於第二階層篩選值N2。
綜上所述,所有已列入該網域名稱tosis.tecpolicy.com之關聯網域的網域集合中被考慮的網域名稱,經過本發明之偵測可疑殭屍網路中繼站域名方法得到其搜尋結果之筆數小於第二階層篩選值N2,判斷tosis.tecpolicy.com為可疑的殭屍網路中繼站域名。
上列詳細說明乃針對本發明之較佳實施例進行具體說明,惟該實施例並非用以限制本發明之專利範圍,凡未脫離本發明技藝精神所為之等效實施或變更,均應包含於本案之專利範圍中。
綜上所述,本案於技術思想上實屬創新,也具備先前技術不及的多種功效,已充分符合新穎性及進步性之法定發明專利要件,爰依法提出專利申請,懇請 貴局核准本件發明專利申請案以勵發明,至感德便。
S101~S117‧‧‧步驟流程
Claims (3)
- 一種偵測可疑殭屍網路中繼站域名之方法,其步驟包含:於一嫌疑網路搜尋系統內設置一搜尋引擎模組,該搜尋引擎模組內設置有一第一階層篩選值;於該嫌疑網路搜尋系統內設置一關聯搜尋模組,將該關聯搜尋模組連結該搜尋引擎模組,且該關聯搜尋模組內設置有一第二階層篩選值;於該嫌疑網路搜尋系統內設置一分析模組,將該分析模組連結該搜尋引擎模組和該關聯搜尋模組;該搜尋引擎模組通過網際網路搜尋引擎對一嫌疑域名進行搜尋,若搜尋結果之符合筆數小於該第一階層篩選值,則產生一第一階層篩選資訊並傳輸至該分析模組和該關聯搜尋模組;該關聯搜尋模組根據該第一階層篩選資訊產生一第二階層嫌疑域名,並根據該第二階層嫌疑域名進行搜尋,若搜尋結果之符合筆數小於關聯搜尋模組內之該第二階層篩選值,則通過關聯判斷規則產生一關聯篩選資訊並傳輸至該分析模組;以及該分析模組對第一階層篩選資訊和該關聯篩選資訊分析並產生一判定結果。
- 如申請專利範圍1所述之偵測可疑殭屍網路中繼站域名之方法,其中該關聯判斷規則包含下列步驟:該關聯搜尋模組通過WHOIS查詢得出該第二階層嫌疑域名之一網域註冊者電郵地址所屬之網域和該網域註冊者電郵地址所屬之網域的註冊者所屬之網域; 該關聯搜尋模組通過WHOIS查詢該網域註冊者電郵地址所屬之網域的註冊者所屬之網域,若該網域註冊者電郵地址所屬之網域的註冊者所屬之網域與該網域註冊者電郵地址所屬之網域相同,則依據該網域註冊者電郵地址所屬之網域產生一郵件地址網域結果資訊;以及該關聯搜尋模組通過DNS(Domain Name System)紀錄查詢該第二階層嫌疑域名得出名稱伺服器、名稱伺服系統和授權起始紀錄等資訊並與該郵件地址網域結果資訊結合,以產生該關聯篩選資訊。
- 如申請專利範圍2所述之偵測可疑殭屍網路中繼站域名之方法,其中該分析模組將第一階層篩選資訊和該關聯篩選資訊分析並產生該判定結果更包含以下步驟:該分析模組包含一資料池,該資料池用以接收該關聯篩選資訊;該分析模組對該第一階層篩選資訊和該關聯篩選資訊進行網頁分析,篩選移除當中屬於網域名稱服務者的網域名,並將餘下資訊加入資料池中;該分析模組根據該關聯篩選資訊中的該郵件地址網域資訊通過該關聯搜尋模組進行反向查找,將郵件地址註冊之所有網域加入資料池中;以及該分析模組將資料池中所有資訊通過該搜尋引擎模組於網際網路上搜尋,若搜尋結果之符合筆數小於該第二階層篩選值,則判定該嫌疑域名為可疑,若搜尋結果之符合筆數小於該第二階層篩選值,則判定該嫌疑域名為合法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW104119695A TWI524207B (zh) | 2015-06-18 | 2015-06-18 | Method of detecting suspicious botnet relay station domain name |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW104119695A TWI524207B (zh) | 2015-06-18 | 2015-06-18 | Method of detecting suspicious botnet relay station domain name |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI524207B TWI524207B (zh) | 2016-03-01 |
| TW201701182A true TW201701182A (zh) | 2017-01-01 |
Family
ID=56085381
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW104119695A TWI524207B (zh) | 2015-06-18 | 2015-06-18 | Method of detecting suspicious botnet relay station domain name |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI524207B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI666568B (zh) * | 2018-04-30 | 2019-07-21 | 國立成功大學 | 在Netflow上以會話型式之P2P殭屍網路偵測方法 |
| TWI677803B (zh) * | 2018-05-09 | 2019-11-21 | 中華電信股份有限公司 | 可疑網域之偵測方法、閘道裝置及非暫態電腦可讀取媒體 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11558352B2 (en) | 2020-10-19 | 2023-01-17 | Cycraft Singapore Pte. Ltd. | Cyber security protection system and related proactive suspicious domain alert system |
| TWI764618B (zh) * | 2020-10-19 | 2022-05-11 | 新加坡商賽博創新新加坡股份有限公司 | 網路資安威脅防護系統及相關的前攝性可疑網域示警系統 |
-
2015
- 2015-06-18 TW TW104119695A patent/TWI524207B/zh active
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI666568B (zh) * | 2018-04-30 | 2019-07-21 | 國立成功大學 | 在Netflow上以會話型式之P2P殭屍網路偵測方法 |
| TWI677803B (zh) * | 2018-05-09 | 2019-11-21 | 中華電信股份有限公司 | 可疑網域之偵測方法、閘道裝置及非暫態電腦可讀取媒體 |
Also Published As
| Publication number | Publication date |
|---|---|
| TWI524207B (zh) | 2016-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Pearce et al. | Global measurement of {DNS} manipulation | |
| Hao et al. | Monitoring the initial DNS behavior of malicious domains | |
| Marchal et al. | PhishStorm: Detecting phishing with streaming analytics | |
| US9215242B2 (en) | Methods and systems for preventing unauthorized acquisition of user information | |
| Chiba et al. | DomainProfiler: Discovering domain names abused in future | |
| Maggi et al. | Two years of short urls internet measurement: security threats and countermeasures | |
| Moore et al. | Evil searching: Compromise and recompromise of internet hosts for phishing | |
| TWI524207B (zh) | Method of detecting suspicious botnet relay station domain name | |
| Messabi et al. | Malware detection using dns records and domain name features | |
| US9021085B1 (en) | Method and system for web filtering | |
| US20170180402A1 (en) | Detection of Coordinated Cyber-Attacks | |
| WO2018163464A1 (ja) | 攻撃対策決定装置、攻撃対策決定方法及び攻撃対策決定プログラム | |
| De Silva et al. | Compromised or {Attacker-Owned}: A large scale classification and study of hosting domains of malicious {URLs} | |
| CN107800686B (zh) | 一种钓鱼网站识别方法和装置 | |
| JP2011193343A (ja) | 通信ネットワーク監視システム | |
| Xia et al. | Identifying and characterizing COVID-19 themed malicious domain campaigns | |
| CN108076006B (zh) | 一种查找被攻击主机的方法及日志管理服务器 | |
| TW201902174A (zh) | 結合網域情資與網路流量之惡意網域偵測方法 | |
| Mishsky et al. | A topology based flow model for computing domain reputation | |
| Son et al. | Cyber-attack group analysis method based on association of cyber-attack information | |
| TWI634769B (zh) | Method for detecting domain name transformation botnet through proxy server log | |
| Zhang et al. | Wolf in Sheep's Clothing: Evaluating Security Risks of the Undelegated Record on DNS Hosting Services | |
| Avgetidis et al. | Beyond The Gates: An Empirical Analysis of {HTTP-Managed} Password Stealers and Operators | |
| Jo et al. | You're not who you claim to be: Website identity check for phishing detection | |
| Korczynski et al. | Statistical Analysis of DNS Abuse in gTLDs Final Report |