本發(fā)明屬于網(wǎng)絡信息安全領域，涉及一種惡意域名判定方法，具體涉及一種基于頻次特征的惡意域名判定方法。

背景技術：

近年來，網(wǎng)絡攻擊屢見不鮮，網(wǎng)絡信息安全至關重要。網(wǎng)絡攻擊者通過多種方法進入目標主機，竊取用戶信息。攻擊者進入目標主機后，通常使用惡意域名回連控制端服務器。這個行為模式是攻擊者給予防御者的一個最重要發(fā)現(xiàn)和檢出機遇。我們可以基于惡意域名（惡意域名：包含C&C域名、僵尸網(wǎng)絡域名，RAT域名等）頻次特征檢測，判定主機是否受到了攻擊。

在目前已有的一些惡意域名檢測網(wǎng)絡攻擊事件的技術之中，采用的方法是：校驗網(wǎng)絡流量中與網(wǎng)絡域名對應的域名系統(tǒng)應答數(shù)據(jù)包的生存時間小于預先設置的時間閾值，則判定該網(wǎng)絡域名為疑似僵尸網(wǎng)絡域名；如果網(wǎng)絡流量中與網(wǎng)絡域名對應的域名系統(tǒng)應答數(shù)據(jù)包所應答的網(wǎng)絡協(xié)議IP組中各個IP地址的差異度大于預設的差異度閾值，則判定該網(wǎng)絡域名為疑似僵尸網(wǎng)絡域名；接受用戶終端的攜帶有第一統(tǒng)一資源定位符的安全性查詢請求，在N條域名安全性記錄中查詢是否有匹配，若有匹配記錄并且安全性記錄指出這一域名為惡意域名，則判定該網(wǎng)絡域名為惡意域名；或者將域名通過DNS解析為對應IP地址，基于IP地址與預先收集的惡意DNS 對應的IP地址進行匹配，若匹配則判定該網(wǎng)絡域名為惡意域名。但這些基于惡意域名檢測攻擊事件的技術存在一定的局限性，所以本方案提出一種基于融合多緯度頻次特征評價體系，來評估惡意域名的風險級別，從而判定惡意域名，進而檢測網(wǎng)絡攻擊的方法。

技術實現(xiàn)要素：

為了及時發(fā)現(xiàn)網(wǎng)絡攻擊事件，減少因為網(wǎng)絡攻擊所帶來的損失，本發(fā)明的目的是提供一種基于融合多緯度頻次特征評價體系評估惡意域名風險級別，從而檢測網(wǎng)絡攻擊的方法。我們不僅僅依據(jù)單一條件判斷域名為惡意域名，因為單一條件的誤報率普遍較高，所以我們采用融合多緯度頻次特征分析的方式，為不同等級判定條件分配不同權重，根據(jù)各條件所占權重，對該域名進行總體評估，得出一個該域名為惡意域名的風險等級百分制分數(shù)(0為正常域名，100為惡意域名，分數(shù)越高，檢測域名為惡意域名的可能性越大)，依據(jù)分數(shù)來判定惡意域名。

本發(fā)明所采用的技術方案是：基于融合多緯度頻次特征評價體系評估惡意域名風險級別，從頻次特征的角度來判定惡意域名。方案首先對域名服務器查詢日志進行分析，從兩個方面綜合評估域名的風險等級。

第一階段，統(tǒng)計各主機常用域名Top 10，根據(jù)統(tǒng)計學規(guī)律和各個主機上網(wǎng)的規(guī)律，周期性的統(tǒng)計各主機常用域名Top 10，一般情況下，Top 10的名單基本不會變，說明上網(wǎng)情況穩(wěn)定，若Top 10 的排名發(fā)生了改變，則相應的增加風險分值。同時還采用了域名故障監(jiān)測分析，當域名主機出現(xiàn)響應故障時，監(jiān)控網(wǎng)段中大部分主機都會重新發(fā)送查詢請求，若此時只有單一固定的幾臺主機定法發(fā)送該域名的查詢請求，則該域名為惡意域名的可能性較大，因為正常域名在日常情況中是被廣泛訪問的，若其出現(xiàn)故障，重新訪問該域名的用戶占比會高于平均值，但若是攻擊端的惡意域名其只與監(jiān)控網(wǎng)絡中的一臺或幾臺被控主機有通訊需求，故其產(chǎn)生的重新請求查詢量是相對較少的，或具有來源單一性，從而判斷可能遭受攻擊。

第二階段，查詢搜索引擎收錄情況。搜索引擎通常對當前活動的域名有收錄功能，而對于那些零收錄的域名，我們認為其為惡意域名的可能想較大，應增加相應的風險分值。另外，我們同時也可以將Google PR、搜狗PR的評分列為參考對象，認為那些評分較低，特別是0分域名，應增加其風險分值。在這一基礎上，我們還增加了互聯(lián)網(wǎng)檔案查詢：archiv.org。對于已下線網(wǎng)站，目前搜索引擎已經(jīng)不再收錄，但archive.org還能檢索到歷史snapshot。我們可以根據(jù)對其活動時間，活動行為，歷史snapshot的分析判定其是否有惡意域名的嫌疑，比如一個域名活動一段時間，銷聲匿跡之后，又發(fā)生了活動，那么我們認為它是可疑的，根據(jù)頻次特征計入相應風險分值。

綜合兩個階段的分析結果，運用合適的加權算法計算出域名的總體風險等級分數(shù)，判定一個域名的風險等級，而當我們發(fā)現(xiàn)內網(wǎng)主機與我們認為風險等級較高的域名發(fā)生通信的時候，就能判定該主機有很大的可能已經(jīng)遭受了攻擊，以便及早判斷攻擊的發(fā)生，才能采取相應的防御措施，減少攻擊造成的損失和后果。

本發(fā)明基于頻次特征的惡意域名判定方法的技術特點：

1.方案采用融合多緯度頻次特征評價體系評估惡意域名風險級別，減少依據(jù)單一條件判斷所發(fā)生的誤報率。多種判斷源設定不同的風險等級來實現(xiàn)對惡意域名的判斷，這樣可以減少偶然性和誤報情況，同時也增強域名風險等級評估系統(tǒng)的自適應性，可根據(jù)不同環(huán)境要求，動態(tài)更改惡意域名判斷源，從而達到定制化域名風險等級評估。

2.惡意域名判定不依賴黑白名單。本方案中惡意域名的判定不依賴于黑白名單，黑白名單的機制被廣泛的應用，一部分原因是因為它的“簡單粗暴” ，通過明確的允許和不允許限制用戶的訪問實現(xiàn)的“安全性”效果往往伴隨著大量誤報和漏報狀況，不同用戶環(huán)境、業(yè)務需求場景下適應性極差。但本方案中不是基于已有黑白名單限制訪問，而是通過系統(tǒng)評估動態(tài)生成域名風險等級數(shù)據(jù)庫，既可以提醒用戶訪問域名的風險等級，也可以依據(jù)具體用戶情況設定響應聯(lián)動策略阻止對高風險域名的訪問。

3.本方案可發(fā)現(xiàn)未知惡意域名。本方案的設計使得未知域名通過域名風險等級評估系統(tǒng)綜合評估后，可以得到一個風險等級的百分制分數(shù)，該分數(shù)的大小標志著該未知域名的風險等級情況，通過數(shù)據(jù)知識設定的風險評級標準可以發(fā)現(xiàn)新惡意域名，應對新型的網(wǎng)絡攻擊。

附圖說明

圖1是本發(fā)明基于頻次特征的惡意域名判定方法中域名風險等級評估架構圖；

圖2是本發(fā)明判定方法中基于風險等級評估的惡意域名檢測流程圖；

圖3是本發(fā)明判定方法中基于頻次特征的風險分析流程圖。

具體實施方式

下面結合附圖和具體實施方式對本發(fā)明進行詳細說明。

本發(fā)明惡意域名判定方法的域名風險等級評估系統(tǒng)中，我們分別從兩個方面進行綜合評估域名的風險等級，其結構如圖1所示。

第一階段，高頻解析和域名分析。劃分時間段，周期性的統(tǒng)計各主機常用域名Top 10，根據(jù)統(tǒng)計學規(guī)律和各個主機上網(wǎng)的規(guī)律，周期性的統(tǒng)計各主機常用域名Top 10，一般情況下，Top 10的名單基本不會改變，說明上網(wǎng)情況穩(wěn)定，若Top 10 的名單發(fā)生了較大的改變，則認為該時間段內主機的“行為”較平時出現(xiàn)了異常，很有可能是遭受了攻擊，主機頻繁的與控制端通信引發(fā)的，計入相應風險分值。

這一階段還采用了域名故障監(jiān)測分析，當域名主機出現(xiàn)響應故障時，監(jiān)控網(wǎng)段中大部分主機都會重新發(fā)送查詢請求，若此時只有單一固定的幾臺主機定法發(fā)送該域名的查詢請求，則該域名為惡意域名的可能性較大，因為正常域名在日常情況中是被廣泛訪問的，若其出現(xiàn)故障，重新訪問該域名的用戶占比會高于平均值，但若是攻擊端的惡意域名其只與監(jiān)控網(wǎng)絡中的一臺或幾臺被控主機有通訊需求，故其產(chǎn)生的重新請求查詢量是相對較少的，或具有來源單一性，從而判斷可能遭受攻擊，計入風險分值。

第二階段，查詢搜索引擎收錄情況分析。搜索引擎通常對當前活動的域名有收錄功能，也就是說所有當前活動的頁面都是可以被搜索引擎爬取到的，而對于那些零收錄的域名，也就是不能被搜索引擎爬取到的域名，我們認為其為惡意域名的可能性較大，應增加相應的風險分值。另外，我們同時也可以將Google PR、搜狗PR的評分列為參考對象，PR為PageRank也就是網(wǎng)頁級別，其評分級別為從0到10，10級為滿分。PR值越高說明該網(wǎng)頁越受歡迎（越重要）。例如：一個PR值為1的網(wǎng)站表明這個網(wǎng)站不太具有流行度，而PR值為7到10則表明這個網(wǎng)站非常受歡迎（或者說極其重要）。一般PR值達到4，就算是一個不錯的網(wǎng)站了。若一個域名越受歡迎，那么其為惡意域名的可能性就越低，所以，我們可以關注那些評分較低，特別是0分域名，計入相應風險分值。

在這一基礎上，我們還增加了互聯(lián)網(wǎng)檔案查詢：archiv.org。對于已下線網(wǎng)站，目前搜索引擎已經(jīng)不再收錄，但archive.org還能檢索到歷史snapshot。我們可以根據(jù)對其活動時間，活動行為，歷史snapshot的分析判定其是否有惡意域名的嫌疑，比如一個域名活動一段時間，銷聲匿跡之后，又發(fā)生了活動，那么我們認為它是可疑的，根據(jù)頻次特征計入相應風險分值。

綜合兩個階段的分析結果，運用合適的加權算法計算出域名的總體風險等級分數(shù)。根據(jù)風險等級分數(shù)設置域名風險等級：域名風險等級分數(shù)在（80，100]范圍內認為是高風險域名；域名風險等級分數(shù)在（40，80]范圍內認為是可疑風險域名；域名風險等級分數(shù)在（0，40]范圍內認為是低風險域名；如經(jīng)過域名風險等級評估系統(tǒng)的兩個階段評估，得出域名的風險等級分數(shù)為89，則我們認為其是一個高風險域名，若我們發(fā)現(xiàn)監(jiān)控網(wǎng)絡中的主機頻繁查詢可疑風險域名，則我們需要加強警惕；若監(jiān)控網(wǎng)絡中的主機頻繁查詢高風險域名，則認為其遭受了攻擊。

本方案基于融合多緯度頻次特征評價體系評估惡意域名風險級別，主要由數(shù)據(jù)讀取模塊，查詢解析模塊，域名風險等級數(shù)據(jù)庫和域名風險等級評估模塊組成。方案的主要流程如圖2所示，數(shù)據(jù)讀取模塊的主要功能是獲取網(wǎng)絡流量中的通信數(shù)據(jù)，通過DNS服務器的查詢日志或Sinffer抓取到的數(shù)據(jù)流量等方式讀取我們要監(jiān)控的數(shù)據(jù)。然后將這些數(shù)據(jù)放入查詢解析模塊進行數(shù)據(jù)查詢解析，提取出域名查詢結構，作為查詢的基礎數(shù)據(jù)結構。接下來在域名風險等級數(shù)據(jù)庫中查找我們欲鑒別的域名是否已經(jīng)存在，若存在，則只需要取出其相應的風險等級分數(shù)呈現(xiàn)即可，若不存在則進入域名風險等級評估模塊對域名進行評估，評估后將評估結果呈現(xiàn)，同時裝入域名風險等級數(shù)據(jù)庫完畢。初始域名風險等級數(shù)據(jù)庫時，我們遵循已發(fā)生的攻擊事件的惡意域名風險等級為100；與各知名網(wǎng)站的域名相似性較高的域名，如mail.l63.com（數(shù)字163的1改為小寫英文字母l），風險等級為80，完成數(shù)據(jù)庫的初始化。然后通過域名風險等級評估系統(tǒng)的評估填充域名風險等級數(shù)據(jù)庫。

本發(fā)明的基于頻次特征的風險分析來自于，設置查詢域名在單位時間間隔內，觀察它的請求是否存在周期性規(guī)律，其流程圖如圖3所示。由對已發(fā)生的網(wǎng)絡攻擊事件的研究發(fā)現(xiàn)，高級持續(xù)性威脅網(wǎng)絡攻擊為保持連接，通常會定時發(fā)送心跳包，保證存活，這是正常應用程序沒有的機制，所以我們可以設置一個查詢時間段，在每個時間段內記錄域名查詢次數(shù)，正常應用程序或網(wǎng)頁瀏覽的域名查詢應該是隨機的無規(guī)律，若出現(xiàn)周期性的有規(guī)律的域名查詢則說明可能存在異常，也就有可能存在惡意域名。

本發(fā)明基于頻次特征的惡意域名判定方法中，融合多緯度頻次特征評價體系評估惡意域名風險級別方案的域名風險等級評估從兩個方面實現(xiàn)對惡意域名風險等級的評估，針對不同網(wǎng)絡的實際情況也可有所改動，兩個方面所占危險權重也可依據(jù)實際情況設定。我們可以給兩個大階段，四個具體環(huán)節(jié)設置權值例如一階段一環(huán)節(jié)權重3，一階段二環(huán)節(jié)權重2，二階段一環(huán)節(jié)權重3，二階段二環(huán)節(jié)權重2，在計算權重比例分別為：階段權重/階段權重總和，這樣在去掉或新增判定條件時也可以適應，增強了判定方法的健全性。 本發(fā)明的方案中域名風險等級評估模塊從兩大方面、四個環(huán)節(jié)來實現(xiàn)對惡意域名風險等級的評估，針對不同網(wǎng)絡的實際情況也可有所改動，四個環(huán)節(jié)所占危險權重也可依據(jù)實際情況設定。

當然，同一個領域的專業(yè)技術人員能夠對該發(fā)明進行各種修改或變型，從根本上卻不脫離該發(fā)明的思路和體系范圍。因此，如果對該發(fā)明所進行修改或變型屬于發(fā)明的權利要求范圍內，那本次發(fā)明所要保護的也意圖包含這些修改或變型。