专利名称:一种僵尸网络域名的检测与处理方法及系统的制作方法
技术领域:
本发明涉及一种域名检测与处理方法及系统,特别涉及一种僵尸网络域名的检测与处理。
背景技术:
随着社会信息化的发展,互联网已经深入到社会生活的各个方面。因此,互联网面临的安全攻击也愈发频繁和严重。而作为互联网最基本的寻址协议,DNS是几乎所有互联网应用得以顺利开展的基础,而其在设计之初未能充分考虑安全保障的缺陷及其完全开放的特点也使其成为各种恶意应用首选的攻击目标或工具。僵尸网络就是一种危害及其严重的互联网恶意攻击模式,而为了隐藏僵尸网络的控制和命令端,DNS成为僵尸网络近些年来进行通信的主流形式。其主要形式为Fast-flux服务网络技术,Fast-flux服务网络是由一些被控制的计算机系统组成,这些计算机系统的公共DNS记录在持续变化,甚至有些时候每隔几分钟就变化一次。这种DNS记录不断变化的机制致使犯罪行为的追踪和阻断更为困难。因此,如何通过检测手段,从DNS查询日志中提取僵尸网络域名,进行阻断和隔离以打击僵尸网络犯罪的同时,对僵尸域名进行采集,进行其行为研究非常必要。
发明内容
本发明的目的是解决现有技术中僵尸网络域名的检测及处理的不足,提出适合僵尸网络环境的域名特征,然后通过机器学习手段,到达从正常数据中提取僵尸网络域名进而进行处理。为了到达上述目的,本发明的技术方案如下:一种僵尸网络域名的检测与处理方法,其步骤包括:I)对待检测的网络域名进行日志查询,得到域名查询日志记录并输入到检测端Π ;2)根据所述域名查询日志记录提取得到域名特征,对所述域名特征进行机器学习;3)通过所述机器学习后提取出线上域名日志和/或本地域名日志中僵尸网络域名;4)建立所述僵尸网络域名数据库通过黑洞权威服务器进行阻断,完成处理。所述域名特征为:域名每日相似性、域名每小时重复模式、域名查询IP分布、域名查询类型数量、域名典型RR查询比例和域名有效字符串长度比例。所述机器学习可通过如下方法实现:Bagging, Naive Bayes classifier和k—Nearest Neighbor algorithm。所述黑洞权威服务器阻断僵尸网络传播的方法是:4-1)当所述递归服务器查询所述僵尸网络域名时,顶级服务器响应的NS记录中包含该黑洞权威服务器的地址;4-2)该递归服务器再次向黑洞权威服务器发起DNS查询时,所述黑洞权威服务器通过环回地址的方式阻止查询。所述域名每日平均相似性计算方法如下:
权利要求
1.一种僵尸网络域名的检测与处理方法,其步骤包括: 1)对待检测的网络域名进行日志查询,得到域名查询日志记录并输入到检测端口; 2)根据所述域名查询日志记录提取得到域名特征,对所述域名特征进行机器学习; 3)通过所述机器学习后提取出线上域名日志和/或本地域名日志中僵尸网络域名; 4)建立所述僵尸网络域名数据库通过黑洞权威服务器进行阻断,完成处理。
2.如权利要求1所述的僵尸网络域名的检测与处理方法,其特征在于,所述域名特征为:域名每日相似性、域名每小时重复模式、域名查询IP分布、域名查询类型数量、域名典型RR查询比例和域名有效字符串长度比例。
3.如权利要求1所述的僵尸网络域名的检测与处理方法,其特征在于,所述机器学习可通过如下方法实现:Bagging, Naive Bayes Classifier 和 k-Nearest Neighboralgorithm。
4.如权利要求1所述的僵尸网络域名的检测与处理方法,其特征在于,所述黑洞权威服务器阻断僵尸网络传播的方法是: 4-1)当所述递归服务器查询所述僵尸网络域名时,顶级服务器响应的NS记录中包含该黑洞权威服务器的地址; 4-2)该递归服务器再次向黑洞权威服务器发起DNS查询时,所述黑洞权威服务器通过环回地址的方式阻止查询。
5.如权利要求2述的僵尸网络域名的检测与处理方法,其特征在于,所述域名每日平均相似性计算方法如下:
6.如权利要求2所述的僵尸网络域名的检测与处理方法,其特征在于,所述典型RR的查询比例中查询类型为:A、AAAA、NS和MX。
7.如权利要求2所述的僵尸网络域名的检测与处理方法,其特征在于,所述域名有效字符串长度比例通过计算连续字母和连续数字长度之和占据域名总长度的比例得到。
8.一种僵尸网络域名的检测与处理系统,包括: 用于输入域名查询日志的输入模块和输出僵尸网络域名的输出模块,和连接所述输入模块和输出模块的实时校验模块,所述实时校验模块用于所述僵尸网络域名提取并对该些僵尸网络域名进行机器学习,以及用于阻断僵尸网络传播的处置模块; 所述实时校验模块根据僵尸网络域名特征对所述僵尸网络进行域名提取。
所述处置模块由至少一黑洞权威服务器组成。
9.如权利要求8所述的僵尸网络域名的检测与处理系统,其特征在于,所述处置模块中黑洞权威服务器还连接:DNS中递归服务器和顶级权威服务器。
10.如权利要求8所述的僵尸网络域名的检测与处理系统,其特征在于,所述实时校验模块中用于所述僵尸网络域名提取特征为:域名每日相似性、域名每小时重复模式、域名查询IP分布、域名查询类型数量、域名典型RR查询比例和域名有效字符串长度比例。
全文摘要
本发明涉及一种僵尸网络域名的检测与处理方法与系统,由输入模块、输出模块、实时校验模块和处置模块的组成的系统,其方法为1)对待检测的网络域名进行日志查询,得到域名查询日志记录并输入到检测端口;2)根据所述域名查询日志记录提取得到域名特征,对所述域名特征进行机器学习;3)通过所述机器学习后提取出线上域名日志和/或本地域名日志中僵尸网络域名;4)建立所述僵尸网络域名数据库通过黑洞权威服务器进行阻断,完成处理。本发明能够从DNS查询日志中提取僵尸网络域名,进行阻断和隔离以打击僵尸网络犯罪的同时,对僵尸域名进行采集,有效阻止了僵尸主机利用域名连接控制端进而接收恶意指令的网络不良行为。
文档编号H04L12/26GK103152442SQ20131003920
公开日2013年6月12日 申请日期2013年1月31日 优先权日2013年1月31日
发明者延志伟 申请人:中国科学院计算机网络信息中心