专利名称:一种基于主机群特征检测速变攻击域名的方法
技术领域:
本发明涉及网络异常检测领域,是一种基于域名所对应的主机群特征进行速变攻击域名检测的方法。
背景技术:
近年来,随着互联网的迅猛发展,网络安全也面临着巨大的挑战,僵尸网络的出现无疑使网络安全的处境雪上加霜。僵尸网络母体(控制服务器)为了及时更新僵尸主机的客户端模块,或控制新感染的僵尸主机,需要与被感染的僵尸主机进行通信,即通常所说的C&C (Command&Control)通信,同时为了隐藏和保护僵尸网络的母体,僵尸网络往往采用域名速变技术,使得僵尸主机访问的域名对应到不同的当前在线代理主机,代理主机作为中间节点负责与僵尸网络母体通信。僵尸网络母体隐藏于代理主机的背后,难以被发现,而在线代理主机数目众多,分布广泛,难以被完全封杀,因此直接通过封杀僵尸网络母体或代理主机来控制僵尸网络的效果都不佳。而控制僵尸网络的域名可以有效地减轻僵尸网络的危害,2008年发现的僵尸网络Conficker,在微软、ICANN、中国互联网络信息中心、赛门铁克、环球域名有限公司等多家单位的合作下,通过封杀域名的方式阻断僵尸主机与代理主机之间的联系,从而遏制了Conficker 的发展。如何发现僵尸网络的域名,进而发现僵尸网络,迄今为止依然没有很好的办法。目前对速变攻击域名(英文术语的名称Fast Flux Domain)的检测主要从DNS报文的特征、节点服务可靠性以及网络服务内容特征等方面检测速变攻击网络的域名。如现有技术中已经提出的基于速变攻击网络可用性的检测方法和基于网页内容更新频率的检测方法。这些方法可以检测出特定域名是否为速变攻击网络的域名,但是对于及时发现较大局域网内是否有主机被僵尸网络感染存在问题。另外基于网络可用性的检测方法的结果误差较大,且易受到网络状态实时变化的影响,基于网页内容更新频率的检测方法其检测周期长,也难也及时发现并控制速变攻击网络域名。因此,现实中需要一个可以高效、实时的检测局域网内是否存在速变攻击网络的方法。
发明内容
本发明所要解决的技术问题是提供一种基于主机群特征检测速变攻击域名的方法,用于实现高效、实时地检测局域网内是否存在速变攻击域名。本发明解决上述技术问题的技术方案如下:一种基于主机群特征检测速变攻击域名的方法,包括:步骤1,将已有速变攻击域名和正常域名所对应的所有IP的属性作为训练参数,训练出分类器模型;步骤2,捕获网络流量中的DNS (Domain Name System,域名系统)报文,提取出域名IP对元组数据,并将其存储到域名数据库模块;
步骤3,从域名数据库模块中取出域名IP对元组数据得到待检测的域名及其对应的所有IP,并计算每个域名对应的IP分散程度;步骤4,根据步骤3的IP分散程度结果,对分散程度值超过阈值的域名进行服务可用性检测;步骤5,将步骤3的IP分散结果和步骤4的服务可用性检测结果输入至步骤I训练出的分类器模型中进行分类,确定出速变攻击域名。在上述技术方案的基础上,本发明还可以做如下改进。进一步,所述步骤I具体包括:速变攻击域名分类器基于已有速变攻击域名和正常域名数据,采用贝叶斯分类器,以已有速变攻击域名和正常域名所对应的对应所有IP的属性作为为分类向量,训练出分类器模型,且所述IP的属性包括IP所属C类网络个数、平均在线率和最小服务可用率。进一步,所述步骤2具体包括:域名数据采集器实时捕获网络流量中的DNS报文,经过协议解析,过滤出DNS返回报文中的IN报文,提取出域名IP对元组数据,并存储到域名数据库模块中。进一步,所述域名IP对元组数据包括域名、域名对应的IP和报文捕获时间。进一步,所述步骤3具体包括:在分类器训练完成后,在对速变攻击域名检测过程中,首先从域名数据库模块中取出每个待检测的域名,获得域名所对应的所有的IP,总数记作nA,然后统计待检测域名所对应主机群IP所属C类网络个数n。,则域名对应主机群IP的离散程度D为
权利要求
1.一种基于主机群特征检测速变攻击域名的方法,其特征在于,包括: 步骤1,将已有速变攻击域名和正常域名所对应的所有IP的属性作为训练参数,训练出分类器模型; 步骤2,捕获网络流量中的DNS域名系统报文,提取出域名IP对元组数据,并将其存储到域名数据库模块; 步骤3,从域名数据库模块中取出域名IP对元组数据得到待检测的域名及其对应的所有IP,并计算每个域名对应的IP分散程度; 步骤4,根据步骤3的IP分散程度结果,对分散程度值超过阈值的域名进行服务可用性检测; 步骤5,将步骤3的IP分散结果和步骤4的服务可用性检测结果输入至步骤I训练出的分类器模型中进行分类,确定出速变攻击域名。
2.根据权利要求1所述的方法,其特征在于,所述步骤I具体包括:速变攻击域名分类器基于已有速变攻击域名和正常域名数据,采用贝叶斯分类器,以已有速变攻击域名和正常域名所对应的对应所有IP的属性作为为分类向量,训练出分类器模型,且所述IP的属性包括IP所属C类网络个数、平均在线率和最小服务可用率。
3.根据权利要求1所述的方法,其特征在于,所述步骤2具体包括:域名数据采集器实时捕获网络流量中的DNS报文,经过协议解析,过滤出DNS返回报文中的IN报文,提取出域名IP对元组数据,并存储到域名数据库模块中。
4.根据权利要求1或3所述的方法,其特征在于,所述域名IP对元组数据包括域名、域名对应的IP和报文捕获时间。
5.根据权利要求1所述的方法,其特征在于,所述步骤3具体包括:在分类器训练完成后,在对速变攻击域名检测过程中,首先从域名数据库模块中取出每个待检测的域名,获得域名所对应的所有的IP,总数记作nA,然后统计待检测域名所对应主机群IP所属C类网络个数n。,则域名对应主机群IP的离散程度D为
6.根据权利要求1所述的方法,其特征在于,所述步骤4中具体包括:先周期性对所有可疑域名对应主机群的IP进行一次在线探测,并记录探测结果;探测t次之后,对每个可疑域名计算其对应主机群IP的平均在线率和最小服务可用率。
7.根据权利要求6所述的方法,其特征在于,计算平均在线率和最小服务可用率的具体步骤为:记某个待检测域名对应主机群的IP个数为nA,第i次检测在线的主机个数为IIi,则t小时平均在线率为
8.根据权利要求6所述的方法,其特征在于,还包括有网络波动检测步骤,且在存在网络波动检测步骤的基础上,计算平均在线率和最小服务可用率的具体步骤包括:在对所有可疑域名对应主机群的IP进行在线探测时,每次探测的同时探测m个外网在线主机的是否可连通,并判断本地网络是否稳定,得到实际所用的平均在线率和最小服务可用率。
9.根据权利要求8所述的检测方法,其特征在于,记某个待检测域名对应主机群的IP个数为nA,第i次检测在线的主机个数为Iii,若第i次探测预设在线主机数超过阈值λ,则记该次探测结果A为1,否则为O,则实际所用的平均在线率,计算公式为
全文摘要
本发明涉及一种基于主机群特征检测速变攻击域名的方法,主要包括步骤1)网络数据包的抓取和DNS报文特征提取;2)速变攻击域名检测;3)误判检测。其中,速变攻击域名检测包括域名对应主机群的IP分散程序计算、服务可用性评估和网络波动检测,为本发明的核心;误判检测排除速变攻击域名检测过程中正常的大型网络域名和在线率探测中本地网络不佳时的检测结果。本发明分析局域网内DNS报文的集合,基于域名对应的主机群IP分散程度和在线率等特征,避免了对单个DNS报文进行分析的准确率问题,且在计算IP距离时考虑域名对应主机群的规模,从而避免大型良性速变网络被误判。
文档编号H04L29/06GK103152222SQ201310063228
公开日2013年6月12日 申请日期2013年2月28日 优先权日2013年1月5日
发明者时金桥, 陈小军, 张浩亮, 祁成, 谭庆丰, 徐菲, 胡兰兰 申请人:中国科学院信息工程研究所