基于域名解析會(huì)話模式分析的惡意域名檢測方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,具體而言涉及一種基于域名解析會(huì)話模式分析的 惡意域名檢測方法及裝置。
【背景技術(shù)】
[0002] 隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和網(wǎng)絡(luò)時(shí)代的到來,網(wǎng)絡(luò)所蘊(yùn)含的廣闊而豐富的資源, 給人類社會(huì)帶來了很多便利。然而,就在人們的生活越來越依賴網(wǎng)絡(luò)的同時(shí),由利益驅(qū)動(dòng) 而產(chǎn)生的網(wǎng)絡(luò)安全事件卻層出不窮,尤其在近幾年,僵尸網(wǎng)絡(luò)、域名放大分布式拒絕服務(wù)攻 擊、掛馬等眾多安全事件嚴(yán)重影響了網(wǎng)絡(luò)的正常使用,也給社會(huì)各界帶來了極大的危害,因 此對這些事件的檢測顯得額外的重要。
[0003] 域名系統(tǒng)是當(dāng)前互聯(lián)網(wǎng)重要的基礎(chǔ)設(shè)施之一,大量的網(wǎng)絡(luò)服務(wù)依賴于域名服務(wù)來 開展。域名解析服務(wù)(DNS)將抽象的IP地址映射為易于記憶的域名,使互聯(lián)網(wǎng)用戶更加方 便地訪問各種網(wǎng)絡(luò)資源,是互聯(lián)網(wǎng)體系結(jié)構(gòu)中重要的基礎(chǔ)服務(wù)之一。由于域名系統(tǒng)并不對 依托于其開展的服務(wù)行為進(jìn)行檢測,DNS服務(wù)缺少惡意行為檢測能力,因此常常被惡意程序 利用。為了檢測這些惡意事件,需要對惡意域名進(jìn)行檢測。
[0004] 現(xiàn)在已有的一些檢測惡意域名的技術(shù)常常依賴于黑白名單,通過明確地"允許"和 "不允許"來限制用戶的訪問,從而實(shí)現(xiàn)"安全性"效果。然而,這樣的方法往往伴隨著大量 誤報(bào)和漏報(bào)狀況,不同用戶環(huán)境、業(yè)務(wù)需求場景下適應(yīng)性極差。
【發(fā)明內(nèi)容】
[0005] 針對現(xiàn)有技術(shù)的不足,一方面,本發(fā)明提供一種基于域名解析會(huì)話模式分析的惡 意域名檢測方法,所述惡意域名檢測方法包括:獲取網(wǎng)絡(luò)中的通信數(shù)據(jù);對所述通信數(shù)據(jù) 進(jìn)行解析,以提取出所述通信數(shù)據(jù)中涉及到的源主機(jī)的IP、所述源主機(jī)所查詢的域名以及 查詢所述域名的時(shí)間;以及查詢域名風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)庫,以確定所述源主機(jī)所查詢的域名是 否存在于所述域名風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)庫中,如果存在,則從所述域名風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)庫中取出并 呈現(xiàn)與所述域名相對應(yīng)的風(fēng)險(xiǎn)等級(jí)結(jié)果,如果不存在,則對所述域名進(jìn)行風(fēng)險(xiǎn)等級(jí)評估并 呈現(xiàn)風(fēng)險(xiǎn)等級(jí)評估結(jié)果,其中,所述風(fēng)險(xiǎn)等級(jí)評估包括域名注冊信息關(guān)聯(lián)分析和高頻訪問 名單分析,所述域名注冊信息關(guān)聯(lián)分析和所述高頻訪問名單分析分別被分配第一權(quán)重和第 二權(quán)重,所述域名注冊信息關(guān)聯(lián)分析判定所述域名的注冊信息的全面性和/或真實(shí)性,并 基于判定結(jié)果和所述第一權(quán)重計(jì)算所述域名的第一風(fēng)險(xiǎn)分值,所述高頻訪問名單分析判定 所述域名當(dāng)前和在過去的預(yù)設(shè)時(shí)間段內(nèi)是否均在或者是否均不在所述源主機(jī)訪問頻率最 高的前若干位域名名單內(nèi),并基于判定結(jié)果和所述第二權(quán)重計(jì)算所述域名的第二風(fēng)險(xiǎn)分 值,所述風(fēng)險(xiǎn)等級(jí)評估結(jié)果的計(jì)算基于所述第一風(fēng)險(xiǎn)分值和所述第二風(fēng)險(xiǎn)分值。
[0006] 在本發(fā)明的一個(gè)實(shí)施例中,所述風(fēng)險(xiǎn)等級(jí)評估還包括異常心跳分析,所述異常心 跳分析被分配第三權(quán)重,所述異常心跳分析判定所述源主機(jī)在單位時(shí)間間隔內(nèi)對所述域名 的查詢請求是否存在規(guī)律性,并基于判定結(jié)果和所述第三權(quán)重計(jì)算所述域名的第三風(fēng)險(xiǎn)分 值,并且所述風(fēng)險(xiǎn)等級(jí)評估結(jié)果的計(jì)算還基于所述第三風(fēng)險(xiǎn)分值。
[0007] 在本發(fā)明的一個(gè)實(shí)施例中,所述風(fēng)險(xiǎn)等級(jí)評估還包括子域名語義分析,所述子域 名語義分析被分配第四權(quán)重,所述子域名語義分析判定所述源主機(jī)所查詢的域名的子域名 是否具有實(shí)際意義,并基于判定結(jié)果和所述第四權(quán)重計(jì)算所述域名的第四風(fēng)險(xiǎn)分值,并且 所述風(fēng)險(xiǎn)等級(jí)評估結(jié)果的計(jì)算還基于所述第四風(fēng)險(xiǎn)分值。
[0008] 在本發(fā)明的一個(gè)實(shí)施例中,所述風(fēng)險(xiǎn)等級(jí)評估還包括故障監(jiān)測分析,所述故障監(jiān) 測分析被分配第五權(quán)重,所述故障監(jiān)測分析用于在所述域名的域名服務(wù)器發(fā)生故障時(shí)監(jiān)測 對所述域名服務(wù)器發(fā)送重新查詢請求的主機(jī)數(shù)目,并基于監(jiān)測結(jié)果和所述第五權(quán)重計(jì)算所 述域名的第五風(fēng)險(xiǎn)分值,并且所述風(fēng)險(xiǎn)等級(jí)評估結(jié)果的計(jì)算還基于所述第五風(fēng)險(xiǎn)分值。
[0009] 在本發(fā)明的一個(gè)實(shí)施例中,所述風(fēng)險(xiǎn)等級(jí)評估還包括搜索引擎收錄情況分析,所 述搜索引擎收錄情況分析被分配第六權(quán)重,所述搜索引擎收錄情況分析判定所述域名是否 被搜索引擎所收錄并分析搜索引擎對所述域名的網(wǎng)頁級(jí)別評分,并基于分析判定結(jié)果和所 述第六權(quán)重計(jì)算所述域名的第六風(fēng)險(xiǎn)分值,并且所述風(fēng)險(xiǎn)等級(jí)評估結(jié)果的計(jì)算還基于所述 第六風(fēng)險(xiǎn)分值。
[0010] 在本發(fā)明的一個(gè)實(shí)施例中,所述風(fēng)險(xiǎn)等級(jí)評估還包括互聯(lián)網(wǎng)檔案館分析,所述互 聯(lián)網(wǎng)檔案館分析被分配第七權(quán)重,所述互聯(lián)網(wǎng)檔案館分析用于在互聯(lián)網(wǎng)檔案館中查詢并分 析所述域名的歷史活動(dòng)記錄和/或歷史快照,并基于分析結(jié)果和所述第七權(quán)重計(jì)算所述域 名的第七風(fēng)險(xiǎn)分值,并且所述風(fēng)險(xiǎn)等級(jí)評估結(jié)果的計(jì)算還基于所述第七風(fēng)險(xiǎn)分值。
[0011] 在本發(fā)明的一個(gè)實(shí)施例中,所述惡意域名檢測方法還包括:在進(jìn)行風(fēng)險(xiǎn)等級(jí)評估 之后,將所述域名以及與所述域名相對應(yīng)的所述風(fēng)險(xiǎn)等級(jí)評估結(jié)果錄入到所述域名風(fēng)險(xiǎn)等 級(jí)數(shù)據(jù)庫中。
[0012] 另一發(fā)明,本發(fā)明還提供一種基于域名解析會(huì)話模式分析的惡意域名檢測裝置, 所述惡意域名檢測裝置包括:數(shù)據(jù)獲取模塊,用于獲取網(wǎng)絡(luò)中的通信數(shù)據(jù);數(shù)據(jù)解析模塊, 用于對所述通信數(shù)據(jù)進(jìn)行解析,以提取出所述通信數(shù)據(jù)中涉及到的源主機(jī)的IP、所述源主 機(jī)所查詢的域名以及查詢所述域名的時(shí)間;數(shù)據(jù)查詢模塊,用于查詢域名風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)庫, 以確定所述源主機(jī)所查詢的域名是否存在于所述域名風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)庫中;域名風(fēng)險(xiǎn)等級(jí)評 估模塊,用于在所述域名風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)庫中不存在所述源主機(jī)所查詢的域名時(shí)對所述域名 進(jìn)行風(fēng)險(xiǎn)等級(jí)評估;以及評估結(jié)果顯示模塊,用于在所述域名風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)庫中存在所述 源主機(jī)所查詢的域名時(shí)呈現(xiàn)從所述域名風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)庫中提取的與所述域名相對應(yīng)的風(fēng) 險(xiǎn)等級(jí)結(jié)果,并且在所述域名風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)庫中不存在所述源主機(jī)所查詢的域名時(shí)呈現(xiàn)所 述域名風(fēng)險(xiǎn)等級(jí)評估模塊對所述域名的風(fēng)險(xiǎn)等級(jí)評估結(jié)果,其中,所述域名風(fēng)險(xiǎn)等級(jí)評估 模塊包括:域名注冊信息關(guān)聯(lián)分析模塊,用于判定所述域名的注冊信息的全面性和/或真 實(shí)性并基于判定結(jié)果和所分配的第一權(quán)重計(jì)算所述域名的第一風(fēng)險(xiǎn)分值;以及高頻訪問名 單分析模塊,用于判定所述域名當(dāng)前和在過去的預(yù)設(shè)時(shí)間段內(nèi)是否均在或者是否均不在所 述源主機(jī)訪問頻率最高的前若干位域名名單內(nèi)并基于判定結(jié)果和所分配的第二權(quán)重計(jì)算 所述域名的第二風(fēng)險(xiǎn)分值,其中,所述風(fēng)險(xiǎn)等級(jí)評估結(jié)果的計(jì)算基于所述第一風(fēng)險(xiǎn)分值和 所述第二風(fēng)險(xiǎn)分值。
[0013] 在本發(fā)明的一個(gè)實(shí)施例中,所述域名風(fēng)險(xiǎn)等級(jí)評估模塊還包括以下模塊中的至少 一個(gè):異常心跳分析模塊,用于判定所述源主機(jī)在單位時(shí)間間隔內(nèi)對所述域名的查詢請求 是否存在規(guī)律性,并基于判定結(jié)果和所分配的第三權(quán)重計(jì)算所述域名的第三風(fēng)險(xiǎn)分值;子 域名語義分析模塊,用于判定所述源主機(jī)所查詢的域名的子域名是否具有實(shí)際意義,并基 于判定結(jié)果和所分配的第四權(quán)重計(jì)算所述域名的第四風(fēng)險(xiǎn)分值;故障監(jiān)測分析模塊,用于 在所述域名的域名服務(wù)器發(fā)生故障時(shí)監(jiān)測對所述域名服務(wù)器發(fā)送重新查詢請求的主機(jī)數(shù) 目,并基于監(jiān)測結(jié)果和所分配的第五權(quán)重計(jì)算所述域名的第五風(fēng)險(xiǎn)分值;搜索引擎收錄情 況分析模塊,用于判定所述域名是否被搜索引擎所收錄并分析搜索引擎對所述域名的網(wǎng)頁 級(jí)別評分,并基于分析判定結(jié)果和所分配的第六權(quán)重計(jì)算所述域名的第六風(fēng)險(xiǎn)分值;以及 互聯(lián)網(wǎng)檔案館分析模塊,用于在互聯(lián)網(wǎng)檔案館中查詢并分析所述域名的歷史活動(dòng)記錄和/ 或歷史快照,并基于分析結(jié)果和所分配的第七權(quán)重計(jì)算所述域名的第七風(fēng)險(xiǎn)分值,其中,所 述風(fēng)險(xiǎn)等級(jí)評估結(jié)果的計(jì)算還基于以下中的至少一個(gè):所述第三風(fēng)險(xiǎn)分值、所述第四風(fēng)險(xiǎn) 分值、所述第五風(fēng)險(xiǎn)分值、所述第六風(fēng)險(xiǎn)分值以及所述第七風(fēng)險(xiǎn)分值。
[0014] 在本發(fā)明的一個(gè)實(shí)施例中,所述域名風(fēng)險(xiǎn)等級(jí)評估模塊還用于將進(jìn)行了風(fēng)險(xiǎn)等級(jí) 評估的域名以及與所述域名相對應(yīng)的風(fēng)險(xiǎn)等級(jí)評估結(jié)果錄入到所述域名風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)庫 中。
[0015] 本發(fā)明所提供的基于域名解析會(huì)話模式分析的惡意域名檢測方法及裝置不依賴 黑白名單,能夠準(zhǔn)確檢測未知惡意域名。
【附圖說明】
[0016] 本發(fā)明的下列附圖在此作為本發(fā)明的一部分用于理解本發(fā)明。附圖中示出了本發(fā) 明的實(shí)施例及其描述,用來解釋本發(fā)明的原理。
[0017] 附圖中:
[0018] 圖1示出了根據(jù)本發(fā)明實(shí)施例的基于域名解析會(huì)話模式分析的惡意域名檢測方 法的流程圖;
[0019] 圖2示出了根據(jù)本發(fā)明實(shí)施例的異常心跳分析的流程圖;以及
[0020] 圖3示出了根據(jù)本發(fā)明實(shí)施例的域名風(fēng)險(xiǎn)等級(jí)評估模塊的架構(gòu)圖。
【具體實(shí)施方式】
[0021] 在下文的描述中,給出了大量具體的細(xì)節(jié)以便提供對本發(fā)明更為徹底的理解。然 而,對于本領(lǐng)域技術(shù)人員而言顯而易見的是,本發(fā)明可以無需一個(gè)或多個(gè)這些細(xì)節(jié)而得以 實(shí)施。在其他的例子中,為了避免與本發(fā)明發(fā)生混淆,對于本領(lǐng)域公知的一些技術(shù)特征未進(jìn) 行