專利名稱:一種基于主機(jī)群特征檢測速變攻擊域名的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)異常檢測領(lǐng)域,是一種基于域名所對應(yīng)的主機(jī)群特征進(jìn)行速變攻擊域名檢測的方法。
背景技術(shù):
近年來,隨著互聯(lián)網(wǎng)的迅猛發(fā)展,網(wǎng)絡(luò)安全也面臨著巨大的挑戰(zhàn),僵尸網(wǎng)絡(luò)的出現(xiàn)無疑使網(wǎng)絡(luò)安全的處境雪上加霜。僵尸網(wǎng)絡(luò)母體(控制服務(wù)器)為了及時(shí)更新僵尸主機(jī)的客戶端模塊,或控制新感染的僵尸主機(jī),需要與被感染的僵尸主機(jī)進(jìn)行通信,即通常所說的C&C (Command&Control)通信,同時(shí)為了隱藏和保護(hù)僵尸網(wǎng)絡(luò)的母體,僵尸網(wǎng)絡(luò)往往采用域名速變技術(shù),使得僵尸主機(jī)訪問的域名對應(yīng)到不同的當(dāng)前在線代理主機(jī),代理主機(jī)作為中間節(jié)點(diǎn)負(fù)責(zé)與僵尸網(wǎng)絡(luò)母體通信。僵尸網(wǎng)絡(luò)母體隱藏于代理主機(jī)的背后,難以被發(fā)現(xiàn),而在線代理主機(jī)數(shù)目眾多,分布廣泛,難以被完全封殺,因此直接通過封殺僵尸網(wǎng)絡(luò)母體或代理主機(jī)來控制僵尸網(wǎng)絡(luò)的效果都不佳。而控制僵尸網(wǎng)絡(luò)的域名可以有效地減輕僵尸網(wǎng)絡(luò)的危害,2008年發(fā)現(xiàn)的僵尸網(wǎng)絡(luò)Conficker,在微軟、ICANN、中國互聯(lián)網(wǎng)絡(luò)信息中心、賽門鐵克、環(huán)球域名有限公司等多家單位的合作下,通過封殺域名的方式阻斷僵尸主機(jī)與代理主機(jī)之間的聯(lián)系,從而遏制了Conficker 的發(fā)展。如何發(fā)現(xiàn)僵尸網(wǎng)絡(luò)的域名,進(jìn)而發(fā)現(xiàn)僵尸網(wǎng)絡(luò),迄今為止依然沒有很好的辦法。目前對速變攻擊域名(英文術(shù)語的名稱Fast Flux Domain)的檢測主要從DNS報(bào)文的特征、節(jié)點(diǎn)服務(wù)可靠性以及網(wǎng)絡(luò)服務(wù)內(nèi)容特征等方面檢測速變攻擊網(wǎng)絡(luò)的域名。如現(xiàn)有技術(shù)中已經(jīng)提出的基于速變攻擊網(wǎng)絡(luò)可用性的檢測方法和基于網(wǎng)頁內(nèi)容更新頻率的檢測方法。這些方法可以檢測出特定域名是否為速變攻擊網(wǎng)絡(luò)的域名,但是對于及時(shí)發(fā)現(xiàn)較大局域網(wǎng)內(nèi)是否有主機(jī)被僵尸網(wǎng)絡(luò)感染存在問題。另外基于網(wǎng)絡(luò)可用性的檢測方法的結(jié)果誤差較大,且易受到網(wǎng)絡(luò)狀態(tài)實(shí)時(shí)變化的影響,基于網(wǎng)頁內(nèi)容更新頻率的檢測方法其檢測周期長,也難也及時(shí)發(fā)現(xiàn)并控制速變攻擊網(wǎng)絡(luò)域名。因此,現(xiàn)實(shí)中需要一個(gè)可以高效、實(shí)時(shí)的檢測局域網(wǎng)內(nèi)是否存在速變攻擊網(wǎng)絡(luò)的方法。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是提供一種基于主機(jī)群特征檢測速變攻擊域名的方法,用于實(shí)現(xiàn)高效、實(shí)時(shí)地檢測局域網(wǎng)內(nèi)是否存在速變攻擊域名。本發(fā)明解決上述技術(shù)問題的技術(shù)方案如下:一種基于主機(jī)群特征檢測速變攻擊域名的方法,包括:步驟1,將已有速變攻擊域名和正常域名所對應(yīng)的所有IP的屬性作為訓(xùn)練參數(shù),訓(xùn)練出分類器模型;步驟2,捕獲網(wǎng)絡(luò)流量中的DNS (Domain Name System,域名系統(tǒng))報(bào)文,提取出域名IP對元組數(shù)據(jù),并將其存儲到域名數(shù)據(jù)庫模塊;
步驟3,從域名數(shù)據(jù)庫模塊中取出域名IP對元組數(shù)據(jù)得到待檢測的域名及其對應(yīng)的所有IP,并計(jì)算每個(gè)域名對應(yīng)的IP分散程度;步驟4,根據(jù)步驟3的IP分散程度結(jié)果,對分散程度值超過閾值的域名進(jìn)行服務(wù)可用性檢測;步驟5,將步驟3的IP分散結(jié)果和步驟4的服務(wù)可用性檢測結(jié)果輸入至步驟I訓(xùn)練出的分類器模型中進(jìn)行分類,確定出速變攻擊域名。在上述技術(shù)方案的基礎(chǔ)上,本發(fā)明還可以做如下改進(jìn)。進(jìn)一步,所述步驟I具體包括:速變攻擊域名分類器基于已有速變攻擊域名和正常域名數(shù)據(jù),采用貝葉斯分類器,以已有速變攻擊域名和正常域名所對應(yīng)的對應(yīng)所有IP的屬性作為為分類向量,訓(xùn)練出分類器模型,且所述IP的屬性包括IP所屬C類網(wǎng)絡(luò)個(gè)數(shù)、平均在線率和最小服務(wù)可用率。進(jìn)一步,所述步驟2具體包括:域名數(shù)據(jù)采集器實(shí)時(shí)捕獲網(wǎng)絡(luò)流量中的DNS報(bào)文,經(jīng)過協(xié)議解析,過濾出DNS返回報(bào)文中的IN報(bào)文,提取出域名IP對元組數(shù)據(jù),并存儲到域名數(shù)據(jù)庫模塊中。進(jìn)一步,所述域名IP對元組數(shù)據(jù)包括域名、域名對應(yīng)的IP和報(bào)文捕獲時(shí)間。進(jìn)一步,所述步驟3具體包括:在分類器訓(xùn)練完成后,在對速變攻擊域名檢測過程中,首先從域名數(shù)據(jù)庫模塊中取出每個(gè)待檢測的域名,獲得域名所對應(yīng)的所有的IP,總數(shù)記作nA,然后統(tǒng)計(jì)待檢測域名所對應(yīng)主機(jī)群IP所屬C類網(wǎng)絡(luò)個(gè)數(shù)n。,則域名對應(yīng)主機(jī)群IP的離散程度D為
權(quán)利要求
1.一種基于主機(jī)群特征檢測速變攻擊域名的方法,其特征在于,包括: 步驟1,將已有速變攻擊域名和正常域名所對應(yīng)的所有IP的屬性作為訓(xùn)練參數(shù),訓(xùn)練出分類器模型; 步驟2,捕獲網(wǎng)絡(luò)流量中的DNS域名系統(tǒng)報(bào)文,提取出域名IP對元組數(shù)據(jù),并將其存儲到域名數(shù)據(jù)庫模塊; 步驟3,從域名數(shù)據(jù)庫模塊中取出域名IP對元組數(shù)據(jù)得到待檢測的域名及其對應(yīng)的所有IP,并計(jì)算每個(gè)域名對應(yīng)的IP分散程度; 步驟4,根據(jù)步驟3的IP分散程度結(jié)果,對分散程度值超過閾值的域名進(jìn)行服務(wù)可用性檢測; 步驟5,將步驟3的IP分散結(jié)果和步驟4的服務(wù)可用性檢測結(jié)果輸入至步驟I訓(xùn)練出的分類器模型中進(jìn)行分類,確定出速變攻擊域名。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述步驟I具體包括:速變攻擊域名分類器基于已有速變攻擊域名和正常域名數(shù)據(jù),采用貝葉斯分類器,以已有速變攻擊域名和正常域名所對應(yīng)的對應(yīng)所有IP的屬性作為為分類向量,訓(xùn)練出分類器模型,且所述IP的屬性包括IP所屬C類網(wǎng)絡(luò)個(gè)數(shù)、平均在線率和最小服務(wù)可用率。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述步驟2具體包括:域名數(shù)據(jù)采集器實(shí)時(shí)捕獲網(wǎng)絡(luò)流量中的DNS報(bào)文,經(jīng)過協(xié)議解析,過濾出DNS返回報(bào)文中的IN報(bào)文,提取出域名IP對元組數(shù)據(jù),并存儲到域名數(shù)據(jù)庫模塊中。
4.根據(jù)權(quán)利要求1或3所述的方法,其特征在于,所述域名IP對元組數(shù)據(jù)包括域名、域名對應(yīng)的IP和報(bào)文捕獲時(shí)間。
5.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述步驟3具體包括:在分類器訓(xùn)練完成后,在對速變攻擊域名檢測過程中,首先從域名數(shù)據(jù)庫模塊中取出每個(gè)待檢測的域名,獲得域名所對應(yīng)的所有的IP,總數(shù)記作nA,然后統(tǒng)計(jì)待檢測域名所對應(yīng)主機(jī)群IP所屬C類網(wǎng)絡(luò)個(gè)數(shù)n。,則域名對應(yīng)主機(jī)群IP的離散程度D為
6.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述步驟4中具體包括:先周期性對所有可疑域名對應(yīng)主機(jī)群的IP進(jìn)行一次在線探測,并記錄探測結(jié)果;探測t次之后,對每個(gè)可疑域名計(jì)算其對應(yīng)主機(jī)群IP的平均在線率和最小服務(wù)可用率。
7.根據(jù)權(quán)利要求6所述的方法,其特征在于,計(jì)算平均在線率和最小服務(wù)可用率的具體步驟為:記某個(gè)待檢測域名對應(yīng)主機(jī)群的IP個(gè)數(shù)為nA,第i次檢測在線的主機(jī)個(gè)數(shù)為IIi,則t小時(shí)平均在線率為
8.根據(jù)權(quán)利要求6所述的方法,其特征在于,還包括有網(wǎng)絡(luò)波動(dòng)檢測步驟,且在存在網(wǎng)絡(luò)波動(dòng)檢測步驟的基礎(chǔ)上,計(jì)算平均在線率和最小服務(wù)可用率的具體步驟包括:在對所有可疑域名對應(yīng)主機(jī)群的IP進(jìn)行在線探測時(shí),每次探測的同時(shí)探測m個(gè)外網(wǎng)在線主機(jī)的是否可連通,并判斷本地網(wǎng)絡(luò)是否穩(wěn)定,得到實(shí)際所用的平均在線率和最小服務(wù)可用率。
9.根據(jù)權(quán)利要求8所述的檢測方法,其特征在于,記某個(gè)待檢測域名對應(yīng)主機(jī)群的IP個(gè)數(shù)為nA,第i次檢測在線的主機(jī)個(gè)數(shù)為Iii,若第i次探測預(yù)設(shè)在線主機(jī)數(shù)超過閾值λ,則記該次探測結(jié)果A為1,否則為O,則實(shí)際所用的平均在線率,計(jì)算公式為
全文摘要
本發(fā)明涉及一種基于主機(jī)群特征檢測速變攻擊域名的方法,主要包括步驟1)網(wǎng)絡(luò)數(shù)據(jù)包的抓取和DNS報(bào)文特征提??;2)速變攻擊域名檢測;3)誤判檢測。其中,速變攻擊域名檢測包括域名對應(yīng)主機(jī)群的IP分散程序計(jì)算、服務(wù)可用性評估和網(wǎng)絡(luò)波動(dòng)檢測,為本發(fā)明的核心;誤判檢測排除速變攻擊域名檢測過程中正常的大型網(wǎng)絡(luò)域名和在線率探測中本地網(wǎng)絡(luò)不佳時(shí)的檢測結(jié)果。本發(fā)明分析局域網(wǎng)內(nèi)DNS報(bào)文的集合,基于域名對應(yīng)的主機(jī)群IP分散程度和在線率等特征,避免了對單個(gè)DNS報(bào)文進(jìn)行分析的準(zhǔn)確率問題,且在計(jì)算IP距離時(shí)考慮域名對應(yīng)主機(jī)群的規(guī)模,從而避免大型良性速變網(wǎng)絡(luò)被誤判。
文檔編號H04L29/06GK103152222SQ201310063228
公開日2013年6月12日 申請日期2013年2月28日 優(yōu)先權(quán)日2013年1月5日
發(fā)明者時(shí)金橋, 陳小軍, 張浩亮, 祁成, 譚慶豐, 徐菲, 胡蘭蘭 申請人:中國科學(xué)院信息工程研究所