請(qǐng)求查詢量是相對(duì)較少的,或具有來源單一 性。那么此時(shí)可W認(rèn)為主機(jī)遭受了APT攻擊。示例性地,當(dāng)域名風(fēng)險(xiǎn)等級(jí)評(píng)估還包括其他 分析時(shí),可W基于對(duì)故障監(jiān)測(cè)分析所分配的權(quán)重對(duì)域名的風(fēng)險(xiǎn)等級(jí)計(jì)入相應(yīng)的風(fēng)險(xiǎn)分值。
[0043] 根據(jù)本發(fā)明的一個(gè)實(shí)施例,域名風(fēng)險(xiǎn)等級(jí)評(píng)估還可W包括捜索引擎收錄情況分 析。捜索引擎收錄情況分析通過判定域名是否被捜索引擎所收錄和/或參照捜索引擎對(duì)域 名的網(wǎng)頁(yè)級(jí)別評(píng)分來確定域名的風(fēng)險(xiǎn)等級(jí)。捜索引擎通常對(duì)當(dāng)前活動(dòng)的域名有收錄功能, 也就是說所有當(dāng)前活動(dòng)的頁(yè)面都是可W被捜索引擎爬取到的,而對(duì)于那些零收錄的域名, 也就是不能被捜索引擎爬取到的域名,則認(rèn)為其為惡意域名的可能性較大。另外,同時(shí)也可 W將GooglePR、捜狗PR的評(píng)分列為參考對(duì)象。PR為化geRank也就是網(wǎng)頁(yè)級(jí)別,其評(píng)分級(jí) 別為從0至Ij10,10級(jí)為滿分。PR值越高說明該網(wǎng)頁(yè)越受歡迎(越重要)。例如:一個(gè)PR值 為1的網(wǎng)站表明運(yùn)個(gè)網(wǎng)站不太具有流行度,而PR值為7到10則表明運(yùn)個(gè)網(wǎng)站非常受歡迎 (或者說極其重要)。一般值達(dá)到4,就算是一個(gè)不錯(cuò)的網(wǎng)站了。若一個(gè)域名越受歡迎, 那么其為惡意域名的可能性就越低;反之,評(píng)分較低特別是0分的域名,其為惡意域名的可 能性很高。示例性地,當(dāng)域名風(fēng)險(xiǎn)等級(jí)評(píng)估還包括其他分析時(shí),可W基于對(duì)捜索引擎收錄情 況分析所分配的權(quán)重對(duì)域名的風(fēng)險(xiǎn)等級(jí)計(jì)入相應(yīng)的風(fēng)險(xiǎn)分值。
[0044] 根據(jù)本發(fā)明的一個(gè)實(shí)施例,域名風(fēng)險(xiǎn)等級(jí)評(píng)估還可W包括互聯(lián)網(wǎng)檔案館分析?;?聯(lián)網(wǎng)檔案館分析通過在互聯(lián)網(wǎng)檔案館中查詢并分析域名的歷史活動(dòng)記錄和/或歷史快照 來確定域名的風(fēng)險(xiǎn)等級(jí)。相比較于捜索引擎的檢索記錄查詢,互聯(lián)網(wǎng)檔案館archive.org 查詢的優(yōu)勢(shì)在于:已下線網(wǎng)站捜索引擎會(huì)排除捜索結(jié)果記錄,但該網(wǎng)站是整個(gè)互聯(lián)網(wǎng)歷史 的大百科全書。也就是說對(duì)于那些已下線網(wǎng)站,目前捜索引擎已經(jīng)不再收錄,但archive, org還能檢索到歷史snapshot。因此可W根據(jù)對(duì)其活動(dòng)時(shí)間,活動(dòng)行為,歷史snapshot的分 析判定其是否有惡意域名的嫌疑,比如一個(gè)域名活動(dòng)一段時(shí)間,銷聲匿跡之后,又發(fā)生大規(guī) 模的活動(dòng),那么可W認(rèn)為它是可疑的。示例性地,當(dāng)域名風(fēng)險(xiǎn)等級(jí)評(píng)估還包括其他分析時(shí), 可W基于對(duì)互聯(lián)網(wǎng)檔案館分析所分配的權(quán)重對(duì)域名的風(fēng)險(xiǎn)等級(jí)計(jì)入相應(yīng)的風(fēng)險(xiǎn)分值。
[0045] 根據(jù)上述實(shí)施例,域名風(fēng)險(xiǎn)等級(jí)評(píng)估可W包括異常屯、跳分析、子域名語(yǔ)義分析、域 名注冊(cè)信息關(guān)聯(lián)分析、高頻訪問名單分析、故障監(jiān)測(cè)分析、捜索引擎收錄情況分析W及互聯(lián) 網(wǎng)檔案館分析中的任意一個(gè)或它們的任意組合。當(dāng)組合分析時(shí),可W為它們分配相應(yīng)的權(quán) 重,使其各自的分析按照所分配的權(quán)重計(jì)算相應(yīng)的風(fēng)險(xiǎn)分值,最終總體的風(fēng)險(xiǎn)等級(jí)評(píng)估結(jié) 果即為它們各自計(jì)算的風(fēng)險(xiǎn)分值的總和。其中,對(duì)各分析所分配的權(quán)重可W依據(jù)實(shí)際情況 而改變,從而可W實(shí)現(xiàn)定制化域名風(fēng)險(xiǎn)等級(jí)評(píng)估。
[0046] 最終的風(fēng)險(xiǎn)等級(jí)評(píng)估結(jié)果可W包括風(fēng)險(xiǎn)分值及其相對(duì)應(yīng)的風(fēng)險(xiǎn)等級(jí)。例如,可W 設(shè)定在某一風(fēng)險(xiǎn)分值范圍內(nèi)為高風(fēng)險(xiǎn)等級(jí),在另一風(fēng)險(xiǎn)分值范圍內(nèi)為可疑風(fēng)險(xiǎn)等級(jí),而在 另一風(fēng)險(xiǎn)分值范圍內(nèi)為低風(fēng)險(xiǎn)等級(jí)??蒞根據(jù)域名風(fēng)險(xiǎn)等級(jí)設(shè)置警報(bào)機(jī)制,例如,監(jiān)控網(wǎng)絡(luò) 內(nèi)主機(jī)訪問高風(fēng)險(xiǎn)域名系統(tǒng)發(fā)出高危警報(bào);監(jiān)控網(wǎng)絡(luò)內(nèi)主機(jī)訪問可疑風(fēng)險(xiǎn)域名系統(tǒng)發(fā)出低 危警報(bào);監(jiān)控網(wǎng)絡(luò)內(nèi)主機(jī)訪問低風(fēng)險(xiǎn)域名不觸發(fā)警報(bào)。若發(fā)現(xiàn)監(jiān)控網(wǎng)絡(luò)中的主機(jī)頻繁查詢 可疑風(fēng)險(xiǎn)域名,則需要加強(qiáng)警惕;若監(jiān)控網(wǎng)絡(luò)中的主機(jī)頻繁查詢高風(fēng)險(xiǎn)域名,則可W認(rèn)為其 遭受了APT攻擊。
[0047] 下面通過示例來描述上述風(fēng)險(xiǎn)評(píng)估過程。在一個(gè)示例中,域名風(fēng)險(xiǎn)等級(jí)評(píng)估包括 異常屯、跳分析、子域名語(yǔ)義分析和域名注冊(cè)信息關(guān)聯(lián)分析。其中,例如,異常屯、跳分析被分 配40 %的權(quán)重,子域名語(yǔ)義分析和域名注冊(cè)信息關(guān)聯(lián)分析分別被分配30 %的權(quán)重。如果 已經(jīng)確定是惡意域名的風(fēng)險(xiǎn)分值為100分,那么,如果異常屯、跳分析判定源主機(jī)在單位時(shí) 間間隔內(nèi)對(duì)域名的查詢請(qǐng)求存在規(guī)律性,則可W計(jì)算域名的第一風(fēng)險(xiǎn)分值為40% *100 = 40分;如果子域名語(yǔ)義分析判定源主機(jī)所查詢的域名的子域名具有實(shí)際意義,則該項(xiàng)分析 不計(jì)入風(fēng)險(xiǎn)分值,即第二風(fēng)險(xiǎn)分值為0分;類似地,如果域名注冊(cè)信息關(guān)聯(lián)分析判定域名的 注冊(cè)信息的不全面或不真實(shí)等,則可W計(jì)算域名的第S風(fēng)險(xiǎn)分值為30% *100 = 30分。運(yùn) 樣,域名風(fēng)險(xiǎn)等級(jí)評(píng)估的總體風(fēng)險(xiǎn)分值為40+0+30 = 70分。如果定義域名風(fēng)險(xiǎn)等級(jí)分值在 (80,100]范圍內(nèi)是高風(fēng)險(xiǎn)域名、(40,80]范圍內(nèi)是可疑風(fēng)險(xiǎn)域名、在[0,40]范圍內(nèi)是低風(fēng) 險(xiǎn)域名,則該域名的風(fēng)險(xiǎn)等級(jí)為可疑風(fēng)險(xiǎn)域名,其例如可W觸發(fā)低危警報(bào),W提示需要加強(qiáng) 警惕。本領(lǐng)域普通技術(shù)人員可W理解,上述描述僅為一個(gè)示例,域名風(fēng)險(xiǎn)等級(jí)評(píng)估所包括的 分析、每種分析所分配的權(quán)重、風(fēng)險(xiǎn)分值與風(fēng)險(xiǎn)等級(jí)的對(duì)應(yīng)關(guān)系等都可W根據(jù)不同情況而 改變,W適應(yīng)不同業(yè)務(wù)不同環(huán)境的需求。
[0048] 根據(jù)本發(fā)明實(shí)施例的上述基于惡意域名檢測(cè)的APT攻擊檢測(cè)方法對(duì)惡意域名的 判定不依賴黑白名單。雖然黑白名單的機(jī)制因?yàn)樗?簡(jiǎn)單粗暴"而被廣泛的應(yīng)用,然而, 通過明確的允許和不允許來限制用戶的訪問往往伴隨著大量誤報(bào)和漏報(bào)狀況,不同用戶環(huán) 境、業(yè)務(wù)需求場(chǎng)景下適應(yīng)性極差。根據(jù)本發(fā)明實(shí)施例的上述基于惡意域名檢測(cè)的APT攻擊 檢測(cè)方法不是基于已有黑白名單限制訪問,而是通過系統(tǒng)評(píng)估動(dòng)態(tài)生成域名風(fēng)險(xiǎn)等級(jí)數(shù)據(jù) 庫(kù),既可W提醒用戶訪問域名的風(fēng)險(xiǎn)等級(jí),也可W依據(jù)具體用戶情況設(shè)定響應(yīng)聯(lián)動(dòng)策略阻 止對(duì)高風(fēng)險(xiǎn)域名的訪問。
[0049] 此外,根據(jù)本發(fā)明實(shí)施例的上述基于惡意域名檢測(cè)的APT攻擊檢測(cè)方法可發(fā)現(xiàn)未 知惡意域名。該方法使得未知域名通過域名風(fēng)險(xiǎn)等級(jí)評(píng)估系統(tǒng)綜合評(píng)估后,可W得到一個(gè) 風(fēng)險(xiǎn)等級(jí)分?jǐn)?shù)(例如百分制的分?jǐn)?shù)),該分?jǐn)?shù)的大小標(biāo)志著該未知域名的風(fēng)險(xiǎn)等級(jí)情況,通 過專家知識(shí)設(shè)定的風(fēng)險(xiǎn)評(píng)級(jí)標(biāo)準(zhǔn)可W發(fā)現(xiàn)新惡意域名,是應(yīng)對(duì)APT攻擊的新手段。
[0050] 進(jìn)一步地,根據(jù)本發(fā)明實(shí)施例的上述基于惡意域名檢測(cè)的APT攻擊檢測(cè)方法可W 融合多締度評(píng)價(jià)體系評(píng)估惡意域名風(fēng)險(xiǎn)等級(jí)檢測(cè)APT攻擊,減少了依據(jù)單一條件判斷域名 為惡意域名的誤報(bào)率。采用多種判斷源設(shè)定不同作用權(quán)值實(shí)現(xiàn)對(duì)域名惡意性的判斷,一方 面可W減少單一判斷源的偶然性和誤報(bào)情況,另一方面也增強(qiáng)了域名風(fēng)險(xiǎn)等級(jí)評(píng)估系統(tǒng)的 自適應(yīng)性,可根據(jù)不同環(huán)境要求,動(dòng)態(tài)更改惡意域名判斷源的權(quán)值,從而實(shí)現(xiàn)定制化域名風(fēng) 險(xiǎn)等級(jí)評(píng)估。
[0051] 根據(jù)本發(fā)明的另一方面,還提供一種基于惡意域名檢測(cè)的APT攻擊檢測(cè)裝置,該 APT攻擊檢測(cè)裝置包括:數(shù)據(jù)獲取模塊,用于獲取網(wǎng)絡(luò)中的通信數(shù)據(jù);數(shù)據(jù)解析模塊,用于 對(duì)通信數(shù)據(jù)進(jìn)行解析,W提取出通信數(shù)據(jù)中設(shè)及到的源主機(jī)的IP、源主機(jī)所查詢的域名W 及查詢域名的時(shí)間;數(shù)據(jù)查詢模塊,用于查詢域名風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)庫(kù),W確定源主機(jī)所查詢的 域名是否存在于域名風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)庫(kù)中;域名風(fēng)險(xiǎn)等級(jí)評(píng)估模塊,用于在域名風(fēng)險(xiǎn)等級(jí)數(shù) 據(jù)庫(kù)中不存在源主機(jī)所查詢的域名時(shí)對(duì)域名進(jìn)行風(fēng)險(xiǎn)等級(jí)評(píng)估;W及評(píng)估結(jié)果顯示模塊, 用于在域名風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)庫(kù)中存在源主機(jī)所查詢的域名時(shí)呈現(xiàn)從域名風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)庫(kù)中 提取的與域名相對(duì)應(yīng)的風(fēng)險(xiǎn)等級(jí)結(jié)果,并且在域名風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)庫(kù)中不存在源主機(jī)所查詢 的域名時(shí)呈現(xiàn)域名風(fēng)險(xiǎn)等級(jí)評(píng)估模塊對(duì)域名的風(fēng)險(xiǎn)等級(jí)評(píng)估結(jié)果,W用于確定源主機(jī)是否 受到APT攻擊。
[0052] 其中,域名風(fēng)險(xiǎn)等級(jí)評(píng)估模塊可W包括如圖3所示的如下模塊中的至少一個(gè)或其 任意組合:
[0053] 異常屯、跳分析模塊,用于判定源主機(jī)在單位時(shí)間間隔內(nèi)對(duì)域名的查詢請(qǐng)求是否存 在規(guī)律性并基于判定結(jié)果和所分配的第一權(quán)重計(jì)算域名的第一風(fēng)險(xiǎn)分值。
[0054] 子域名語(yǔ)義分析模塊,用于判定源主機(jī)所查詢的域名的子域名是否具有實(shí)際意義 并基于判定結(jié)果和所分配的第二權(quán)重計(jì)算域名的第二風(fēng)險(xiǎn)分值。
[0055] 域名注冊(cè)信息關(guān)聯(lián)分析模塊,用于判定域名的注冊(cè)信息的全面性和/或真實(shí)性并 基于判定結(jié)果和所分配的第=權(quán)重計(jì)算域名的第=風(fēng)險(xiǎn)分值。
[0056] 高頻訪問名單分析模塊,用于判定域名當(dāng)前和在過去的預(yù)設(shè)時(shí)間段內(nèi)是否均在或 者是否均不在源主機(jī)訪問頻率最高的前若干位域名名單內(nèi)并基于判定結(jié)果和所分配的第 四權(quán)重計(jì)算域名的第四風(fēng)險(xiǎn)分值。
[0057] 故障監(jiān)測(cè)分析模塊,用于在域名的域名服務(wù)器發(fā)生故障時(shí)監(jiān)測(cè)對(duì)域名服務(wù)器發(fā)送 重新查詢請(qǐng)求的主機(jī)數(shù)目并基于監(jiān)測(cè)結(jié)果和所分配的第五權(quán)重計(jì)算域名的第五風(fēng)險(xiǎn)分值。
[0058] 捜索引擎收錄情況分析模塊,用于判定域名是否被捜索引擎所收錄并分析捜索引 擎對(duì)域名的網(wǎng)頁(yè)級(jí)別評(píng)分,并基于分析判定結(jié)果和所分配的第六權(quán)重計(jì)算域名的第六風(fēng)險(xiǎn) 分值。
[0059] 互聯(lián)網(wǎng)檔案館分析模塊,用于在互聯(lián)網(wǎng)檔案館中并分析域名的歷史活動(dòng)記錄和/ 或歷史快照并基于分析結(jié)果和所分配的第屯權(quán)重計(jì)算域名的第屯風(fēng)險(xiǎn)分值。
[0060] 其中,風(fēng)險(xiǎn)等級(jí)評(píng)估結(jié)果的計(jì)算基于W下中的至少一個(gè):第一風(fēng)險(xiǎn)分值、第二風(fēng)險(xiǎn) 分值、第=風(fēng)險(xiǎn)分值、第四風(fēng)險(xiǎn)分值、第五風(fēng)險(xiǎn)分值、第