WO2019136953A1

WO2019136953A1 - 基于c＆c域名分析的僵尸网络检测方法、装置、设备及介质

Info

Publication number: WO2019136953A1
Application number: PCT/CN2018/096107
Authority: WO
Inventors: 杜明; 涂大志; 王新成
Original assignee: 深圳市联软科技股份有限公司
Priority date: 2018-01-15
Filing date: 2018-07-18
Publication date: 2019-07-18
Also published as: CN108156174A; CN108156174B

Abstract

本发明提供一种基于C&C域名分析的僵尸网络检测方法、装置、设备及介质，方法包括：信息获取步骤，获取DNS日志记录；域名分析步骤，根据预先构建的域名分析器，检测DNS日志记录中的C&C域名，并判断每条C&C域名的所属类别；僵尸网络确定步骤，根据C&C域名及C&C域名的所属类别，确定是否存在僵尸网络。本发明提供的基于C&C域名分析的僵尸网络检测方法、装置、设备及介质，通过分析域名系统日志记录，提取攻击活动使用的C&C域名，进而分析寄生木马的类型，锁定C&C服务器已控制的僵尸主机，此外，利用分析每类C&C域名发生的泊松参数，分析僵尸网络活动的趋势，以实现及时制定有效的抑制措施。

Description

基于C＆C域名分析的僵尸网络检测方法、装置、设备及介质

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于C&C域名分析的僵尸网络检测方法、装置、设备及介质。

背景技术

僵尸网络(Botnet)，是指攻击者或控制者(Botmaster)传播僵尸程序控制大量主机，并通过一对多的命令与控制信道所组成的网络，实现“向被控制计算机发送控制指令，指示寄生木马执行预定恶意动作”的目的。其中，称被控制计算机为肉鸡或僵尸主机或简称bot机，且图1为僵尸网络结构图。

目前，僵尸网络检测技术主要包括：入侵检测系统(IDS,Instruction Detection System)、蜜罐技术和网络流量分析。

(1)入侵检测系统(IDS,Instruction Detection System)。IDS通过配置安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击行为，以及时锁定感染主机，保证网络系统资源的机密性和可靠性。但是，IDS适合局域网环境，只能找到曾被发现的僵尸网络。

(2)蜜罐技术。蜜罐技术通过刻意布置被攻击的目标引诱攻击，一旦攻击者入侵后，就可以跟踪攻击如何实施、分析攻击者之间的相互联系，获取他们的社交网络。但是，蜜罐技术需要大量部署，且容易被控制作为攻击跳板。

(3)网络流量分析。网络流量的研究思路是通过分析基于互联网中继聊天(Internet Relay Chat，IRC)协议的Botnet中僵尸主机的行为特征，将僵尸主机分为两类：长时间发呆型和快速加入型。具体来说，僵尸主机在Botnet中存在着三个比较明显的行为特征，一是通过蠕虫传播的僵尸程序，大量的被其感染的计算机会在很短的时间内加入到同一个IRC Server中；二是僵尸主机一般会长时间在线；三是僵尸主机作为一个IRC聊天的用户，在聊天频道内长时间不发言，保持空闲。流量分析可以找到部分僵尸主机，却因命令与控制服务器(Command and Control server，C&C服务器)随机生成的恶意域名大部解析失败不产生流量、网络的随机运行状态，很难及时准确地锁定整个互联网的僵尸主机、定位僵尸网络。

综上所述，现有的僵尸网络监测技术尚不能及时捕获攻击行为，锁定僵尸主机并定位僵尸网络。

发明内容

本申请要解决的技术问题是提供一种基于C&C域名分析的僵尸网络检测方法、装置、设备及介质，通过分析域名系统(Domain Name System，DNS)日志记录，提取攻击活动使用的C&C域名，进而分析寄生木马的类型，锁定C&C服务器已控制的僵尸主机，此外，利用分析每类C&C域名发生的泊松参数，分析僵尸网络活动的趋势，以实现及时制定有效的抑制措施。

第一方面，本申请实施例提供一种基于C&C域名分析的僵尸网络检测方法，包括：

信息获取步骤，获取DNS日志记录；

域名分析步骤，根据预先构建的域名分析器，检测DNS日志记录中的C&C域名，并判断每条C&C域名的所属类别；

僵尸网络确定步骤，根据C&C域名及C&C域名的所属类别，确定是否存在僵尸网络。

优选地，还包括：

数据统计步骤，统计每类C&C域名的发生频次；

趋势判断步骤，根据所有类别的C&C域名的发生频次，确定僵尸网络的活动趋势，以辅助及时制定有效的抑制措施。

优选地，趋势判断步骤，包括：

将每类C&C域名的发生频次代入泊松分布概率函数，以获取对应所属类别的泊松参数；

将所有泊松参数确定为僵尸网络活动规律衡量指标；

根据僵尸网络活动规律衡量指标，确定僵尸网络的活动趋势。

优选地，域名分析器的训练过程，包括：

对合法网站公开的合法域名进行清洗以获取合法域名集；

采用公开的域名生成算法生成C&C域名集，并对C&C域名集中的每个域名进行分类标记；

统计分析合法域名集和C&C域名集中的每个域名的结构，构建各类域名的字符概率字典；

从合法域名集中随机抽取设定数量的合法域名，获取合法域名训练样本集；

从C&C域名集中随机抽取设定数量的C&C域名，获取C&C域名训练样本集，

根据合法域名训练样本集、C&C域名训练样本集和字符概率字典，对域名分析器进行训练。

优选地，域名分析器为，基于累积BP算法的神经网络模型，且神经网络模型中设置有综合考虑经验误差因子和网络复杂度因子的正则化项。

优选地，基于累积BP算法的神经网络模型的计算步骤，包括：

计算误差目标函数；

描述神经网络复杂度；

通过交叉验证法估计模型参数；

使用随机梯度下降调参逼近误差函数全局最小解。

优选地，域名分析步骤，包括：

提取DNS日志记录中的域名；

对域名进行特征提取；

根据字符概率字典确定域名是否为C&C域名；

对C&C域名进行域名特征量化，以获取C&C域名的分类号；

根据分类号确定C&C域名的所属类别。

第二方面，本申请实施例提供一种基于C&C域名分析的僵尸网络检测装置，包括：

信息获取单元，用于获取DNS日志记录；

域名分析单元，用于根据预先构建的域名分析器，检测DNS日志记录中的C&C域名，并判断每条C&C域名的所属类别；

僵尸网络确定单元，用于根据C&C域名及C&C域名的所属类别，确定是否存在僵尸网络。

优选地，还包括：

数据统计单元，用于统计每类C&C域名的发生频次；

趋势判断单元，用于根据所有类别的C&C域名的发生频次，确定所述僵尸网络的活动趋势，以辅助及时制定有效的抑制措施。

优选地，所述趋势判断单元，用于将每类C&C域名的发生频次代入泊松分布概率函数，以获取对应所属类别的泊松参数；将所有所述泊松参数确定为僵尸网络活动规律衡量指标；根据所述僵尸网络活动规律衡量指标，确定所述僵尸网络的活动趋势。

优选地，所述域名分析器的训练过程，包括：

对合法网站公开的合法域名进行清洗以获取合法域名集；

采用域名生成算法生成C&C域名集，并对所述C&C域名集中的每个域名进行分类标记；

统计分析所述合法域名集和所述C&C域名集中的每个域名的结构，构建各类域名的字符概率字典；

从所述合法域名集中随机抽取设定数量的合法域名，获取合法域名训练样本集；

从所述C&C域名集中随机抽取设定数量的C&C域名，获取C&C域名训练样本集，

根据所述合法域名训练样本集、所述C&C域名训练样本集和所述字符概率字典，对所述域名分析器进行训练。

优选地，所述域名分析器为，基于累积BP算法的神经网络模型的计算，且所述神经网络模型中设置有综合考虑经验误差因子和网络复杂度因子的正则化项。

优选地，所述域名分析单元用于：

提取DNS日志记录中的域名；

对所述域名进行特征提取；

根据所述字符概率字典确定所述域名是否为C&C域名；

对所述C&C域名进行域名特征量化，以获取所述C&C域名的分类号；

根据所述分类号确定所述C&C域名的所属类别。

第三方面，本申请实施例提供了一种计算机设备，包括：至少一个处理器、至少一个存储器以及存储在存储器中的计算机程序指令，当计算机程序指令被处理器执行时实现如上述实施方式中第一方面的方法。

第四方面，本申请实施例提供了一种计算机可读存储介质，其上存储有计算机程序指令，当计算机程序指令被处理器执行时实现如上述实施方式中第一方面的方法。

本申请实施例提供的基于C&C域名分析的僵尸网络检测方法、装置、设备及介质，通过分析域名系统(Domain Name System，DNS)日志记录，提取攻击活动使用的C&C域名，进而分析寄生木马的类型，锁定C&C服务器已控制的僵尸主机，此外，利用分析每类C&C域名发生的泊松参数，分析僵尸网络活动的趋势，以实现及时制定有效的抑制措施。

本申请实施例的有益技术效果是：

1、能够有效避免C&C域名绕过黑名单检测。

2、能够在网络中C&C攻击发起后，域名解析失败而未产生攻击流量时，及时捕获攻击行为。

3、能够在C&C服务器控制部分僵尸主机的情况下，分析C&C域名的发生频数及泊松参数，可获得僵尸网络活动趋势，从而有利于制定有效的抑制措施。

附图说明

图1是本发明提供的现有技术中的僵尸网络结构图；

图2是本发明实施例提供的基于C&C域名分析的僵尸网络检测方法的流程图；

图3是本发明实施例提供的基于C&C域名分析的僵尸网络检测方法的又一流程图；

图4是本发明实施例提供的C&C域名分类流程图；

图5是本发明实施例提供的基于C&C域名分析的僵尸网络检测装置的框图；

图6是本发明实施例提供的计算机设备的硬件结构示意图。

具体实施方式

下面通过具体的实施例进一步说明本发明，但是，应当理解为，这些实施例仅仅是用于更详细具体地说明之用，而不应理解为用于以任何形式限制本发明。

实施例一

结合图2，本实施例提供的基于C&C域名分析的僵尸网络检测方法，包括：

信息获取步骤S1，获取DNS日志记录；

域名分析步骤S2，根据预先构建的域名分析器，检测DNS日志记录中的C&C域名，并判断每条C&C域名的所属类别；

僵尸网络确定步骤S3，根据C&C域名及C&C域名的所属类别，确定是否存在僵尸网络。

本发明实施例提供的基于C&C域名分析的僵尸网络检测方法，通过分析域名系统(Domain Name System，DNS)日志记录，提取攻击活动使用的C&C域名，进而分析寄生木马的类型，锁定C&C服务器已控制的僵尸主机。本实施例中，具体地，DNS日志记录的格式如表1所示。

表1 DNS日志记录

时间	设备IP地址	域名	回应IP地址	TTL
2017-12-12 08:12:15.386	192.168.2.14	mbd.baidu.com	14.251.177.166	55
2017-12-12 08:12:15.889	192.168.2.19	news.ifeng.com	125.90.47.177	55
2017-12-12 08:12:16.231	192.168.2.110	www.78.cn	183.6.224.102	55
2017-12-12 08:12:17.001	192.168.2.118	www.ggspyfmreouxnhqi.com	Null	0
2017-12-12 08:12:17.653	192.168.2.118	www.wyuhdsdttczd.com	Null	0
2017-12-12 08:12:17.967	192.168.2.118	mail.pivzovznpssx.com	Null	0
2017-12-12 08:12:18.862	192.168.2.118	www.swtjyuhuefvl.com	Null	0
2017-12-12 08:12:19.768	192.168.2.118	www.zrkdvzjhse.com	Null	0
2017-12-12 08:12:20.662	192.168.2.118	www.wyuhdsdttczd.com	Null	0
2017-12-12 08:12:21.524	192.168.2.19	www.rauggyguyp.com	208.100.26.251	235
2017-12-12 08:12:22.325	192.168.2.118	www.furiararji.com	Null	0
2017-12-12 08:12:23.219	192.168.2.118	www.pibqzedhzwt.com	Null	0
2017-12-12 08:12:24.165	192.168.2.118	www.xjjcditjfkgkihfe.com	Null	0
2017-12-12 08:12:24.981	192.168.2.14	tech.meituan.com	103.37.152.63	41
2017-12-12 08:12:25.824	192.168.2.19	www.iteblog.com	123.206.77.132	53
2017-12-12 08:12:26.585	192.168.2.110	guanjia.qq.com	14.215.138.13	55
2017-12-12 08:12:27.186	192.168.2.118	en.wikipedia.org	198.35.26.96	51
2017-12-12 08:12:28.115	192.168.2.118	www.johannesbader.ch	162.254.250.112	44
2017-12-12 08:12:29.023	192.168.2.14	us.norton.com	23.193.116.250	53
2017-12-12 08:12:29.829	192.168.2.118	www.swtjyuhuefvl.com	Null	0
2017-12-12 08:12:30.691	192.168.2.110	spark.apache.org	195.154.151.36	50
2017-12-12 08:12:31.551	192.168.2.110	www.cnblogs.com	101.37.113.127	40
2017-12-12 08:12:32.384	192.168.2.14	blog.csdn.net	47.95.165.112	35
2017-12-12 08:12:33.168	192.168.2.19	baike.baidu.com	180.149.131.247	54
2017-12-12 08:12:34.069	192.168.2.118	www.jsntwyjcv.com	Null	0
2017-12-12 08:12:35.011	192.168.2.118	app.tanwan.com	113.96.154.108	55
2017-12-12 08:12:35.892	192.168.2.110	www.icbc.com.cn	14.119.125.23	55

2017-12-12 08:12:36.721	192.168.2.118	www.miercn.com	113.96.154.108	55
2017-12-12 08:12:37.259	192.168.2.14	zs.91.com	125.77.24.228	53
2017-12-12 08:12:38.172	192.168.2.118	www.xjjcditjfkgkihfe.com	Null	0

且本实施例中，针对如表1所示的日志记录，进行域名分析，能够获得如表2所示的域名检测结果，且域名检测结果中，按照时间顺序将属于同一类别的C&C域名统计出。

表2域名检测结果

时间	设备IP地址	域名	回应IP地址	TTL	类别
2017-12-12 08:12:17.001	192.168.2.118	www.ggspyfmreouxnhqi.com	null	0	banjori
2017-12-12 08:12:17.653	192.168.2.118	www.wyuhdsdttczd.com	null	0	banjori
2017-12-12 08:12:17.967	192.168.2.118	mail.pivzovznpssx.com	null	0	banjori
2017-12-12 08:12:18.862	192.168.2.118	www.swtjyuhuefvl.com	null	0	banjori
2017-12-12 08:12:19.768	192.168.2.118	www.zrkdvzjhse.com	null	0	banjori
2017-12-12 08:12:21.524	192.168.2.19	www.rauggyguyp.com	208.100.26.251	235	banjori
2017-12-12 08:12:20.662	192.168.2.118	www.wyuhdsdttczd.com	null	0	banjori
2017-12-12 08:12:22.325	192.168.2.118	www.furiararji.com	null	0	banjori
2017-12-12 08:12:23.219	192.168.2.118	www.pibqzedhzwt.com	null	0	banjori
2017-12-12 08:12:24.165	192.168.2.118	www.xjjcditjfkgkihfe.com	null	0	banjori
2017-12-12 08:12:29.829	192.168.2.118	www.swtjyuhuefvl.com	null	0	banjori
2017-12-12 08:12:34.069	192.168.2.118	www.jsntwyjcv.com	null	0	banjori
2017-12-12 08:12:38.172	192.168.2.118	www.xjjcditjfkgkihfe.com	null	0	banjori

此外，需要说明的是，本实施例中的域名分析器，能够对banjori等28种C&C域名进行识别。

优选地，如图3所示地，还包括：

数据统计步骤S4，统计每类C&C域名的发生频次；

趋势判断步骤S5，根据所有类别的C&C域名的发生频次，确定僵尸网络的活动趋势，以辅助及时制定有效的抑制措施。

且具体地，趋势判断步骤S5，包括：

将所有泊松参数确定为僵尸网络活动规律衡量指标；

本实施例中，出于经济成本，僵尸网络控制者不可能注册全部生成域名，仅事先注册若干生成域名。对于僵尸主机，为实现与C&C服务器建立连接，每个周期必生成同类的C&C域名尝试请求，直至获取C&C服务器的IP地址。于是，与正常主机相比，其行为模式有显著特征，主要表现为：

(1)僵尸主机请求大量新C&C域名，其中多数解析失败；

(2)当网络中存在多个寄生木马时，僵尸主机在域名请求行为呈现出行为特征，而且僵尸网络控制者拥有的服务器资源有限，其解析成功的C&C域名往往指向相同IP地址。

根据随机服务系统原理，C&C服务器域名发生频数满足泊松分布。由C&C域名检测模型判断从DNS日志提取的记录，统计同类C&C域名单位时间发生次数k，并代入泊松分布概率函数以估算某时段泊松参数λ，其中，泊松分布概率函数如下：

本实施例中，将泊松参数确定为僵尸网络活动规律衡量指标，且表3为分析所得的僵尸网络活动趋势。

表3僵尸网络活动趋势

时段	平均频数	泊松参数	类别
01	45	45	Banjori
01	87	87	Sisron
01	0	0	Qadars
02	12	12	Banjori
02	0	0	Sisron
02	0	0	Qadars
03	53	53	Banjori
03	89	89	Sisron
03	36	36	Qadars
……	……	……	……

表3中，任意单位时间均可作为统计时段，平均频数为周期内当前时段捕获C&C域名个数。

此外，需要说明的是，根据DNS日志记录，确定呈规律性发生的C&C域名请求行为的僵尸主机(IP地址、MAC地址)，至此根据发现僵尸主机的作用，容易分析该僵尸网络可能的攻击目标，可以及时制定针对性的抑制措施。

优选地，如图4所示地，域名分析器的训练过程，包括：

对合法网站公开的合法域名进行清洗以获取合法域名集；

本实施例中，对Alexa等网站公布的合法域名清洗获得1495163条作为合法域名，C&C域名均采用公开的DGA(Domain GenerateAlgorithm)算法采样获得。需要说明的是，DGA为域名生成算法，攻击者可以利用它来生成用作域名的伪随机字符串，这样就可以有效的避开黑名单列表的检测。伪随机意味着字符串序列似乎是随机的，但由于其结构可以预先确定，因此可以重复产生和复制。该算法常被运用于恶意软件以及远程控制软件上。本实施例中，域名特征如表4所示。

表4域名特征说明

特征名称	特征说明
length	主机名字符串长度
uni-entropy	主机名1-gram字符信息熵
uni-probavg	主机名1-gram字符平均概率
bi-entropy	主机名2-gram字符信息熵
bi-probavg	主机名2-gram字符平均概率
tri-entropy	主机名3-gram字符信息熵
tri-probavg	主机名3-gram字符平均概率

uni-gram-avgrank	主机名1-gram字符平均序
uni-gram-stdrank	主机名1-gram字符序标准差
bi-gram-avgrank	主机名2-gram字符平均序
bi-gram-stdrank	主机名2-gram字符序标准差
tri-gram-avgrank	主机名3-gram字符平均序
tri-gram-stdrank	主机名3-gram字符序标准差
vowel-ratio	元音字母占比
digit-ratio	数字占比
consonant-ratio	辅音字母占比
consec-consonant	连续辅音字母比例
consec-digit	连续数字比例
top1gram-ratio	主机名中1-gram字母概率top10比例
top2gram-ratio	主机名中2-gram字符组合概率top100比例
top3gram-ratio	主机名中3-gram字符组合概率top1000比例

本实施例中，具体地，域名分析器为，基于累积BP算法的神经网络模型的，且神经网络模型中设置有综合考虑经验误差因子和网络复杂度因子的正则化项。此外，基于累积BP算法的神经网络模型的计算步骤，包括：计算误差目标函数；描述神经网络复杂度；通过交叉验证法估计模型参数；使用随机梯度下降调参逼近误差函数全局最小解。本实施例中，利用清洗获得的1495163条合法域名，建立n-gram(uni-gram、bi-gram、tri-gram)字符概率字典。此外，合法域名与各类C&C域名一样，随机抽取1000条作为训练样本集，采用累积BP算法，并在误差目标函数中加入描述神经网络复杂度的部分，通过交叉验证法估计模型参数，使用随机梯度下降调参逼近误差函数全局最小解。

需要说明的是，本实施例根据注册域名字符习惯提取特征，BP算法训练模型过程中加入正则化项，对经验误差与网络复杂度进行折中，能够有效控制过拟合。

进一步优选地，如图4所示地，域名分析步骤S2，包括：提取DNS日志记录中的域名；对域名进行特征提取；根据字符概率字典确定域名是否为C&C域名；对C&C域名进行域名特征量化，以获取C&C域名的分类号；根据分类号确定C&C域名的所属类别。

实施例二

结合图5，本发明实施例提供的基于C&C域名分析的僵尸网络检测装置，包括：

信息获取单元1，用于获取DNS日志记录；

域名分析单元2，用于根据预先构建的域名分析器，检测DNS日志记录中的C&C域名，并判断每条C&C域名的所属类别；

僵尸网络确定单元3，用于根据C&C域名及C&C域名的所属类别，确定是否存在僵尸网络。

本发明实施例提供的基于C&C域名分析的僵尸网络检测装置，通过分析域名系统(Domain Name System，DNS)日志记录，提取攻击活动使用的C&C域名，进而分析寄生木马的类型，锁定C&C服务器已控制的僵尸主机。本实施例中，具体地，DNS日志记录的格式如表1所示。

表1 DNS日志记录

时间	设备IP地址	域名	回应IP地址	TTL
2017-12-12 08:12:15.386	192.168.2.14	mbd.baidu.com	14.251.177.166	55
2017-12-12 08:12:15.889	192.168.2.19	news.ifeng.com	125.90.47.177	55
2017-12-12 08:12:16.231	192.168.2.110	www.78.cn	183.6.224.102	55
2017-12-12 08:12:17.001	192.168.2.118	www.ggspyfmreouxnhqi.com	Null	0
2017-12-12 08:12:17.653	192.168.2.118	www.wyuhdsdttczd.com	Null	0
2017-12-12 08:12:17.967	192.168.2.118	mail.pivzovznpssx.com	Null	0
2017-12-12 08:12:18.862	192.168.2.118	www.swtjyuhuefvl.com	Null	0
2017-12-12 08:12:19.768	192.168.2.118	www.zrkdvzjhse.com	Null	0
2017-12-12 08:12:20.662	192.168.2.118	www.wyuhdsdttczd.com	Null	0
2017-12-12 08:12:21.524	192.168.2.19	www.rauggyguyp.com	208.100.26.251	235
2017-12-12 08:12:22.325	192.168.2.118	www.furiararji.com	Null	0
2017-12-12 08:12:23.219	192.168.2.118	www.pibqzedhzwt.com	Null	0
2017-12-12 08:12:24.165	192.168.2.118	www.xjjcditjfkgkihfe.com	Null	0
2017-12-12 08:12:24.981	192.168.2.14	tech.meituan.com	103.37.152.63	41
2017-12-12 08:12:25.824	192.168.2.19	www.iteblog.com	123.206.77.132	53
2017-12-12 08:12:26.585	192.168.2.110	guanjia.qq.com	14.215.138.13	55
2017-12-12 08:12:27.186	192.168.2.118	en.wikipedia.org	198.35.26.96	51
2017-12-12 08:12:28.115	192.168.2.118	www.johannesbader.ch	162.254.250.112	44
2017-12-12 08:12:29.023	192.168.2.14	us.norton.com	23.193.116.250	53
2017-12-12 08:12:29.829	192.168.2.118	www.swtjyuhuefvl.com	Null	0

2017-12-12 08:12:30.691	192.168.2.110	spark.apache.org	195.154.151.36	50
2017-12-12 08:12:31.551	192.168.2.110	www.cnblogs.com	101.37.113.127	40
2017-12-12 08:12:32.384	192.168.2.14	blog.csdn.net	47.95.165.112	35
2017-12-12 08:12:33.168	192.168.2.19	baike.baidu.com	180.149.131.247	54
2017-12-12 08:12:34.069	192.168.2.118	www.jsntwyjcv.com	Null	0
2017-12-12 08:12:35.011	192.168.2.118	app.tanwan.com	113.96.154.108	55
2017-12-12 08:12:35.892	192.168.2.110	www.icbc.com.cn	14.119.125.23	55
2017-12-12 08:12:36.721	192.168.2.118	www.miercn.com	113.96.154.108	55
2017-12-12 08:12:37.259	192.168.2.14	zs.91.com	125.77.24.228	53
2017-12-12 08:12:38.172	192.168.2.118	www.xjjcditjfkgkihfe.com	Null	0

表2域名检测结果

优选地，如图3所示地，还包括：

数据统计单元4，用于统计每类C&C域名的发生频次；

趋势判断单元5，用于根据所有类别的C&C域名的发生频次，确定僵尸网络的活动趋势，以辅助及时制定有效的抑制措施。

且具体地，趋势判断单元5，具体用于：

将所有泊松参数确定为僵尸网络活动规律衡量指标；

(1)僵尸主机请求大量新C&C域名，其中多数解析失败；

(2)当网络中存在多个寄生木马时，僵尸主机在域名请求行为呈现组行为特征，而且僵尸网络控制者拥有的服务器资源有限，其解析成功的C&C域名往往指向相同IP地址。

表3僵尸网络活动趋势

时段	平均频数	泊松参数	类别
01	45	45	Banjori
01	87	87	Sisron
01	0	0	Qadars
02	12	12	Banjori
02	0	0	Sisron

02	0	0	Qadars
03	53	53	Banjori
03	89	89	Sisron
03	36	36	Qadars
……	……	……	……

优选地，如图4所示地，域名分析器的训练过程，包括：

对合法网站公开的合法域名进行清洗以获取合法域名集；

本实施例中，对Alexa等网站公布的合法域名清洗获得1495163条作为合法域名，C&C域名均采用公开的DGA算法采样获得。需要说明的是，DGA为域名生成算法，攻击者可以利用它来生成用作域名的伪随机字符串，这样就可以有效的避开黑名单列表的检测。伪随机意味着字符串序列似乎是随机的，但由于其结构可以预先确定，因此可以重复产生和复制。该算法常被运用于恶意软件以及远程控制软件上。本实施例中，域名特征如表4所示。

表4域名特征说明

特征名称	特征说明
length	主机名字符串长度
uni-entropy	主机名1-gram字符信息熵
uni-probavg	主机名1-gram字符平均概率
bi-entropy	主机名2-gram字符信息熵
bi-probavg	主机名2-gram字符平均概率
tri-entropy	主机名3-gram字符信息熵
tri-probavg	主机名3-gram字符平均概率
uni-gram-avgrank	主机名1-gram字符平均序
uni-gram-stdrank	主机名1-gram字符序标准差
bi-gram-avgrank	主机名2-gram字符平均序
bi-gram-stdrank	主机名2-gram字符序标准差
tri-gram-avgrank	主机名3-gram字符平均序
tri-gram-stdrank	主机名3-gram字符序标准差
vowel-ratio	元音字母占比
digit-ratio	数字占比
consonant-ratio	辅音字母占比
consec-consonant	连续辅音字母比例
consec-digit	连续数字比例
top1gram-ratio	主机名中1-gram字母概率top10比例
top2gram-ratio	主机名中2-gram字符组合概率top100比例
top3gram-ratio	主机名中3-gram字符组合概率top1000比例

本实施例中，具体地，域名分析器为，基于累积BP算法的神经网络模型的计算，且神经网络模型中设置有综合考虑经验误差因子和网络复杂度因子的正则化项。此外，基于累积BP算法的神经网络模型的计算步骤，包括：计算误差目标函数；描述神经网络复杂度；通过交叉验证法估计模型参数；使用随机梯度下降调参逼近误差函数全局最小解。本实施例中，利用清洗获得的1495163条合法域名，建立n-gram(uni-gram、bi-gram、tri-gram)字符概率字典。此外，合法域名与各类C&C域名一样，随机抽取1000条作为训练样本集，采用累积BP算法，并在误差目标函数中加入描述神经网络复杂度的部分，通过交叉验证法估计模型参数，使用随机梯度下降调参逼近误差函数全局最小解。

需要说明的是，本实施例根据注册域的名字符习惯提取特征。在BP算法训练模型中加入正则化项，以对经验误差与网络复杂度进行折中考虑，能够有效控制过拟合。

进一步优选地，如图4所示地，域名分析单元2，具体用于：提取DNS日志记录中的域名；对域名进行特征提取；根据字符概率字典确定域名是否为C&C域名；对C&C域名进行域名特征量化，以获取C&C域名的分类号；根据分类号确定C&C域名的所属类别。

实施例三

结合图6描述的本发明实施例的基于C&C域名分析的僵尸网络检测方法可以由计算机设备来实现。图6示出了本发明实施例提供的计算机设备的硬件结构示意图。

实现基于C&C域名分析的僵尸网络检测方法的计算机设备可以包括处理器401以及存储有计算机程序指令的存储器402。

具体地，上述处理器401可以包括中央处理器(Central Processing Unit，CPU)，或者特定集成电路(Application Specific Integrated Circuit，ASIC)，或者可以被配置成实施本发明实施例的一个或多个集成电路。

存储器402可以包括用于数据或指令的大容量存储器。举例来说而非限制，存储器402可包括硬盘驱动器(Hard Disk Drive，HDD)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(Universal Serial Bus，USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下，存储器402可包括可移除或不可移除(或固定)的介质。在合适的情况下，存储器402可在数据处理装置的内部或外部。在特定实施例中，存储器402是非易失性固态存储器。在特定实施例中，存储器402包括只读存储器(Read-Only Memory，ROM)。在合适的情况下，该ROM可以是掩模编程的ROM、可编程ROM(Programmable read-only memory，PROM)、可擦除PROM(Erasable Programmable ROM,EPROM)、电可擦除PROM(Electrically Erasable Programmable Read Only Memory EEPROM)、电可改写ROM(EAROM)或闪存或者两个或更多个以上这些的组合。

处理器401通过读取并执行存储器402中存储的计算机程序指令，以实现上述实施例中的任意一种基于C&C域名分析的僵尸网络检测方法。

在一个示例中，计算机设备还可包括通信接口403和总线410。其中，如图4所示，处理器401、存储器402、通信接口403通过总线410连接并完成相互间的通信。

通信接口403，主要用于实现本发明实施例中各模块、装置、单元和/或设备之间的通信。

总线410包括硬件、软件或两者，将计算机设备的部件彼此耦接在一起。举例来说而非限制，总线可包括加速图形端口(Accelerated Graphic Ports或者Advanced Graphic Ports，AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture，EISA)总线、前端总线(Front Side Bus，FSB)、超传输(HyperTransport，HT)互连、工业标准架构(Industry Standard Architecture，ISA)总线、无限带宽互连、低引脚数(Low Pin Count，LPC)总线、存储器总线、微信道架构(MicroChannel Architecture，MCA)总线、外围组件互连(Peripheral Component Interconnect，PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(Serial Advanced Technology Attachment，SATA)总线、视频电子标准协会局部(VESA local bus，VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下，总线410可包括一个或多个总线。尽管本发明实施例描述和示出了特定的总线，但本发明考虑任何合适的总线或互连。

实施例四

另外，结合上述实施例中的基于C&C域名分析的僵尸网络检测方法，本发明实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令；该计算机程序指令被处理器执行时实现上述实施例中的任意一种基于C&C域名分析的僵尸网络检测方法。

需要明确的是，本发明并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见，这里省略了对已知方法的详细描述。在上述实施例中，描述和示出了若干具体的步骤作为示例。但是，本发明的方法过程并不限于所描述和示出的具体步骤，本领域的技术人员可以在领会本发明的精神后，作出各种改变、修改和添加，或者改变步骤之间的顺序。

以上所述的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时，其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时，本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中，或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路，等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。

还需要说明的是，本发明中提及的示例性实施例，基于一系列的步骤或者装置描述一些方法或系统。但是，本发明不局限于上述步骤的顺序，也就是说，可以按照实施例中提及的顺序执行步骤，也可以不同于实施例中的顺序，或者若干步骤同时执行。

以上所述，仅为本发明的具体实施方式，所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的系统、模块和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。应理解，本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。

尽管本发明已进行了一定程度的描述，明显地，在不脱离本发明的精神和范围的条件下，可进行各个条件的适当变化。可以理解，本发明不限于所述实施方案，而归于权利要求的范围，其包括所述每个因素的等同替换。

Claims

一种基于C&C域名分析的僵尸网络检测方法，其特征在于，包括：

信息获取步骤，获取DNS日志记录；

域名分析步骤，根据预先构建的域名分析器，检测所述DNS日志记录中的C&C域名，并判断每条C&C域名的所属类别；

僵尸网络确定步骤，根据所述C&C域名及所述C&C域名的所属类别，确定是否存在僵尸网络。
根据权利要求1所述的方法，其特征在于，还包括：

数据统计步骤，统计每类C&C域名的发生频次；

趋势判断步骤，根据所有类别的C&C域名的发生频次，确定所述僵尸网络的活动趋势，以辅助及时制定有效的抑制措施。
根据权利要求2所述的方法，其特征在于，所述趋势判断步骤，包括：

将每类C&C域名的发生频次代入泊松分布概率函数，以获取对应所属类别的泊松参数；

将所有所述泊松参数确定为僵尸网络活动规律衡量指标；

根据所述僵尸网络活动规律衡量指标，确定所述僵尸网络的活动趋势。
根据权利要求1所述的方法，其特征在于，所述域名分析器的训练过程，包括：

对合法网站公开的合法域名进行清洗以获取合法域名集；

采用域名生成算法生成C&C域名集，并对所述C&C域名集中的每个域名进行分类标记；

统计分析所述合法域名集和所述C&C域名集中的每个域名的结构，构建各类域名的字符概率字典；

从所述合法域名集中随机抽取设定数量的合法域名，获取合法域名训练样本集；

从所述C&C域名集中随机抽取设定数量的C&C域名，获取C&C域名训练样本集，

根据所述合法域名训练样本集、所述C&C域名训练样本集和所述字符概率字典，对所述域名分析器进行训练。
根据权利要求1或4所述的方法，其特征在于，所述域名分析器为，基于累积BP算法的神经网络模型的计算，且所述神经网络模型中设置有综合考虑经验误差因子和网络复杂度因子的正则化项。
根据权利要求5所述的方法，其特征在于，所述基于累积BP算法的神经网络模型的计算步骤，包括：

计算误差目标函数；

描述神经网络复杂度；

通过交叉验证法估计模型参数；

使用随机梯度下降调参逼近误差函数全局最小解。
根据权利要求1所述的方法，其特征在于，所述域名分析步骤包括：

提取DNS日志记录中的域名；

对所述域名进行特征提取；

根据所述字符概率字典确定所述域名是否为C&C域名；

对所述C&C域名进行域名特征量化，以获取所述C&C域名的分类号；

根据所述分类号确定所述C&C域名的所属类别。
一种基于C&C域名分析的僵尸网络检测装置，其特征在于，包括：

信息获取单元，用于获取DNS日志记录；

域名分析单元，用于根据预先构建的域名分析器，检测所述DNS日志记录中的C&C域名，并判断每条C&C域名的所属类别；

僵尸网络确定单元，用于根据所述C&C域名及所述C&C域名的所属类别，确定是否存在僵尸网络。
根据权利要求8所述的基于C&C域名分析的僵尸网络检测装置，其特征在于，还包括：

数据统计单元，用于统计每类C&C域名的发生频次；

趋势判断单元，用于根据所有类别的C&C域名的发生频次，确定所述僵尸网络的活动趋势，以辅助及时制定有效的抑制措施。
根据权利要求9所述的基于C&C域名分析的僵尸网络检测装置，其特征在于，所述趋势判断单元，用于将每类C&C域名的发生频次代入泊松分布概率函数，以获取对应所属类别的泊松参数；将所有所述泊松参数确定为僵尸网络活动规律衡量指标；根据所述僵尸网络活动规律衡量指标，确定所述僵尸网络的活动趋势。
根据权利要求8所述的基于C&C域名分析的僵尸网络检测装置，其特征在于，所述域名分析器的训练过程，包括：

对合法网站公开的合法域名进行清洗以获取合法域名集；

采用域名生成算法生成C&C域名集，并对所述C&C域名集中的每个域名进行分类标记；

统计分析所述合法域名集和所述C&C域名集中的每个域名的结构，构建各类域名的字符概率字典；

从所述合法域名集中随机抽取设定数量的合法域名，获取合法域名训练样本集；

从所述C&C域名集中随机抽取设定数量的C&C域名，获取C&C域名训练样本集，

根据所述合法域名训练样本集、所述C&C域名训练样本集和所述字符概率字典，对所述域名分析器进行训练。
根据权利要求8或11所述的基于C&C域名分析的僵尸网络检测装置，其特征在于，所述域名分析器为，基于累积BP算法的神经网络模型的计算，且所述神经网络模型中设置有综合考虑经验误差因子和网络复杂度因子的正则化项。
根据权利要求8所述的基于C&C域名分析的僵尸网络检测装置，其特征在于，所述域名分析单元用于：

提取DNS日志记录中的域名；

对所述域名进行特征提取；

根据所述字符概率字典确定所述域名是否为C&C域名；

对所述C&C域名进行域名特征量化，以获取所述C&C域名的分类号；

根据所述分类号确定所述C&C域名的所属类别。
一种计算机设备，其特征在于，包括：至少一个处理器、至少一个存储器以及存储在所述存储器中的计算机程序指令，当所述计算机程序指令被所述处理器执行时实现如权利要求1-7中任一项所述的方法。
一种计算机可读存储介质，其上存储有计算机程序指令，其特征在于，当所述计算机程序指令被处理器执行时实现如权利要求1-7中任一项所述的方法。