基于恶意域名检测的apt攻击检测方法及装置的制造方法
【技术领域】
[0001] 本发明设及网络安全技术领域,具体而言设及一种基于恶意域名检测的APT攻击 检测方法及装置。
【背景技术】
[0002] 近年来,一系列重大安全事件的接连发生将一个新名词一-APT攻击,带入了人们 的视野。APT(AdvancedPersistentT虹eat)即高级持续性威胁。APT攻击区别于传统攻 击的特点是:A(Advanced)难题,攻击者会适应防御者从而产生抵抗能力,采用高级入侵手 段实现入侵计划,使得传统的基于特征匹配的边界防御技术难W有效应对;P(Persistent) 难题,持续性攻击的检测挑战,APT攻击时间跨度很长,入侵成功后往往长期潜伏,在单个时 间点上无明显异常,使得基于单个时间点或较短时间窗口的实时检测、会话检测技术经常 失效。攻击者会长时间驻留在目标的系统和网络中,并积极保持所需远程操作目标的双向 控制和通信通道。一旦找到最终目标并觅得合适信息回传机会,攻击者就会将窃得数据通 过已有的隐蔽通道回传给C&C(命令和控制)服务器。运个行为模式是APT攻击者给予APT 防御者的一个最重要发现和检出机遇,因此可W基于C&C域名检测,判定主机是否受到了 APT攻击。
[0003] 现在已有的一些基于恶意域名检测攻击事件的技术常常依赖于黑白名单,通过明 确地"允许"和"不允许"来限制用户的访问,从而实现"安全性"效果。然而,运样的方法往 往伴随着大量误报和漏报状况,不同用户环境、业务需求场景下适应性极差。
【发明内容】
[0004] 针对现有技术的不足,一方面,本发明提供一种基于恶意域名检测的APT攻击检 测方法,所述APT攻击检测方法包括:获取网络中的通信数据;对所述通信数据进行解析, W提取出所述通信数据中设及到的源主机的IP、所述源主机所查询的域名W及查询所述域 名的时间;W及查询域名风险等级数据库,W确定所述源主机所查询的域名是否存在于所 述域名风险等级数据库中,如果存在,则从所述域名风险等级数据库中取出并呈现与所述 域名相对应的风险等级结果,如果不存在,则对所述域名进行风险等级评估并呈现风险等 级评估结果,W用于确定所述源主机是否受到APT攻击,其中,所述风险等级评估包括异常 屯、跳分析和子域名语义分析,所述异常屯、跳分析和所述子域名语义分析分别被分配第一权 重和第二权重,所述异常屯、跳分析判定所述源主机在单位时间间隔内对所述域名的查询请 求是否存在规律性并基于判定结果和所述第一权重计算所述域名的第一风险分值,所述子 域名语义分析判定所述源主机所查询的域名的子域名是否具有实际意义并基于判定结果 和所述第二权重计算所述域名的第二风险分值,所述风险等级评估结果的计算基于所述第 一风险分值和所述第二风险分值。
[0005] 在本发明的一个实施例中,所述风险等级评估还包括域名注册信息关联分析,所 述域名注册信息关联分析被分配第=权重,所述域名注册信息关联分析判定所述域名的注 册信息的全面性和/或真实性并基于判定结果和所述第=权重计算所述域名的第=风险 分值,并且所述风险等级评估结果的计算还基于所述第=风险分值。
[0006] 在本发明的一个实施例中,所述风险等级评估还包括高频访问名单分析,所述高 频访问名单分析被分配第四权重,所述高频访问名单分析判定所述域名当前和在过去的预 设时间段内是否均在或者是否均不在所述源主机访问频率最高的前若干位域名名单内并 基于判定结果和所述第四权重计算所述域名的第四风险分值,并且所述风险等级评估结果 的计算还基于所述第四风险分值。
[0007] 在本发明的一个实施例中,所述风险等级评估还包括故障监测分析,所述故障监 测分析被分配第五权重,所述故障监测分析用于在所述域名的域名服务器发生故障时监测 对所述域名服务器发送重新查询请求的主机数目并基于监测结果和所述第五权重计算所 述域名的第五风险分值,并且所述风险等级评估结果的计算还基于所述第五风险分值。
[0008] 在本发明的一个实施例中,所述风险等级评估还包括捜索引擎收录情况分析,所 述捜索引擎收录情况分析被分配第六权重,所述捜索引擎收录情况分析判定所述域名是否 被捜索引擎所收录并分析捜索引擎对所述域名的网页级别评分,并基于分析判定结果和所 述第六权重计算所述域名的第六风险分值,并且所述风险等级评估结果的计算还基于所述 第六风险分值。
[0009] 在本发明的一个实施例中,所述风险等级评估还包括互联网档案馆分析,所述互 联网档案馆分析被分配第屯权重,所述互联网档案馆分析用于在互联网档案馆中查询并分 析所述域名的历史活动记录和/或历史快照并基于分析结果和所述第屯权重计算所述域 名的第屯风险分值,并且所述风险等级评估结果的计算还基于所述第屯风险分值。
[0010] 在本发明的一个实施例中,所述APT攻击检测方法还包括:在进行风险等级评估 之后,将所述域名W及与所述域名相对应的所述风险等级评估结果录入到所述域名风险等 级数据库中。
[0011] 另一发明,本发明还提供一种基于恶意域名检测的APT攻击检测装置,所述APT攻 击检测装置包括:数据获取模块,用于获取网络中的通信数据;数据解析模块,用于对所述 通信数据进行解析,W提取出所述通信数据中设及到的源主机的IP、所述源主机所查询的 域名W及查询所述域名的时间;数据查询模块,用于查询域名风险等级数据库,W确定所述 源主机所查询的域名是否存在于所述域名风险等级数据库中;域名风险等级评估模块,用 于在所述域名风险等级数据库中不存在所述源主机所查询的域名时对所述域名进行风险 等级评估;W及评估结果显示模块,用于在所述域名风险等级数据库中存在所述源主机所 查询的域名时呈现从所述域名风险等级数据库中提取的与所述域名相对应的风险等级结 果,并且在所述域名风险等级数据库中不存在所述源主机所查询的域名时呈现所述域名风 险等级评估模块对所述域名的风险等级评估结果,W用于确定所述源主机是否受到APT攻 击,其中,所述域名风险等级评估模块包括:异常屯、跳分析模块,用于判定所述源主机在单 位时间间隔内对所述域名的查询请求是否存在规律性并基于判定结果和所分配的第一权 重计算所述域名的第一风险分值;W及子域名语义分析模块,用于判定所述源主机所查询 的域名的子域名是否具有实际意义并基于判定结果和所分配的第二权重计算所述域名的 第二风险分值,其中,所述风险等级评估结果的计算基于所述第一风险分值和所述第二风 险分值。
[0012] 在本发明的一个实施例中,所述域名风险等级评估模块还包括W下模块中的至少 一个:域名注册信息关联分析模块,用于判定所述域名的注册信息的全面性和/或真实性 并基于判定结果和所分配的第=权重计算所述域名的第=风险分值;高频访问名单分析模 块,用于判定所述域名当前和在过去的预设时间段内是否均在或者是否均不在所述源主机 访问频率最高的前若干位域名名单内并基于判定结果和所分配的第四权重计算所述域名 的第四风险分值;故障监测分析模块,用于在所述域名的域名服务器发生故障时监测对所 述域名服务器发送重新查询请求的主机数目并基于监测结果和所分配的第五权重计算所 述域名的第五风险分值;捜索引擎收录情况分析模块,用于判定所述域名是否被捜索引擎 所收录并分析捜索引擎对所述域名的网页级别评分,并基于分析判定结果和所分配的第六 权重计算所述域名的第六风险分值;W及互联网档案馆分析模块,用于在互联网档案馆中 查询并分析所述域名的历史活动记录和/或历史快照并基于分析结果和所分配的第屯权 重计算所述域名的第屯风险分值,其中,所述风险等级评估结果的计算还基于W下中的至 少一个:所述第=风险分值、所述第四风险分值、所述第五风险分值、所述第六风险分值W 及所述第屯风险分值。
[0013]在本发明的一个实施例中,所述域名风险等级评估模块还用于将进行了风险等级 评估的域名W及与所述域名相对应的风险等级评估结果录入到所述域名风险等级数据库 中。
[0014]本发明所提供的基于恶意域名检测的APT攻击检测方法及装置不依赖黑白名单, 并且能够准确检测未知恶意域名,从而及时检测到APT攻击,减少APT攻击造成的后果。
【附图说明】
[0015]本发明的下列附图在此作为本发明的一部分用于理解本发明。附图中示出了本发 明的实施例及其描述,用来解释本发明的原理。
[0016] 附图中:
[0017] 图1示出了根据本发明实施例的基于恶意域名检测的APT攻击检测方法的流程 图;
[001引图2示出了根据本发明实施例的异常屯、跳分析的流程图;W及
[0019]图3示出了根据本发明实施例的域名风险等级评估模块的架构图。
【具体实施方式】
[0020] 在下文的描述中,给出了大量具体的细节W便提供对本发明更为彻底的理解。然 而,对于本领域技术人员而言显而易见的是,本发明可W无需一个或