一种基于Netflow及DNS日志的僵尸网络检测方法与流程

本发明涉及网络安全领域，具体涉及一种基于Netflow和DNS日志的僵尸网络检测方法。

背景技术：

Fast-Flux用于为一个合法域名(例如flux.example.com)分配多个(几百个甚至几千个)IP地址，这些IP地址的更换频率非常快，通过一个轮转的IP地址资源库及对特定的DNS域名资源设置具有短生命周期的解析映射实现。网站域名可以以每三分钟的间隔指定新的IP地址，当浏览器连接这些相同的网站时，可能实际上连接到的是不同的被感染主机。

随着FFSN僵尸网络不断进化以及针对DNS流量攻击的隐蔽性增强和攻击形式的层出不穷，现有的Netflow流量分析方案仅能够检测出基于FFSN网络发起的DDos(Distributed Denial of Service,分布式拒绝服务)攻击的源IP地址、目标IP地址及攻击特征，但无法发现控制FFSN网络的控制域名，现有的基于DNS日志分析方案通过DGA算法查找异常域名，但此种方法误判率较高，无法精准定位FFSN动态恶意域名。

有鉴于此，急需提高现有僵尸网络检测方法定位FFSN动态恶意域名的定位精度，降低误判率。

技术实现要素：

本发明所要解决的技术问题是提高现有僵尸网络检测方法定位FFSN动态恶意域名的定位精度，降低误判率。

为了解决上述技术问题，本发明所采用的技术方案是提供一种基于Netflow和DNS日志的僵尸网络检测方法，包括以下步骤：

通过异常流量监测技术对采集到的Netflow数据进行五元组关联分析，快速分析出运营商网络的被感染主机的IP地址、被感染主机的IP地址所发起的攻击目标的IP地址以及攻击特征；

在DNS服务器上，采集DNS查询请求日志,对多个被感染主机的IP地址在攻击运营商网络期间所发起的域名请求情况进行关联分析，查找到共性域名访问记录并排除正常的共性域名，得到FFSN动态恶意域名。

在上述技术方案中，通过对DNS多级域名进行限速与防护实现对所述FFSN动态恶意域名的限速或封堵。

在上述技术方案中，用户再次访问所述FFSN动态恶意域名时，对域名解析的结果进行重定向，将用户的HTTP访问流量重定向至Portal提示页面。

在上述技术方案中，通过设置域名白名单，对查找到的所述共性域名访问记录进行白名单过滤，排除正常的共性域名。

在上述技术方案中，通过分光采集方式或镜像采集方式采集所述DNS查询请求日志。

在上述技术方案中，利用FP-growth算法对多个被感染主机的IP地址在攻击运营商网络期间所发起的域名请求情况进行关联分析。

在上述技术方案中，包括通过对所述DNS查询请求日志的请求域名字段进行切分，提取获得多个被感染用户的IP地址在发起攻击期间所访问的域名集合以及基于DNS查询请求的时间序列分析出多个被感染用户的IP地址的域名访问路径，从而查找到僵尸网络。

在上述技术方案中，基于Hadoop集群实时处理数据。

在上述技术方案中，所述攻击特征包括攻击协议、源端口、目的端口和数据包大小。

本发明通过异常流量监测技术对采集到的Netflow数据进行五元组关联分析，快速分析出运营商网络的被感染主机的IP地址、被感染主机的IP地址所发起的攻击目标的IP地址以及攻击特征，对被感染主机的IP地址在攻击运营商网络期间所发起的域名请求情况进行关联分析，可快速定位FFSN动态恶意域名，极大的提高了FFSN动态恶意域名的定位精度与实效性，降低了误判率。

附图说明

图1为本发明的一种基于Netflow和DNS日志的僵尸网络检测方法流程图；

图2为本发明的通过设置域名白名单对共性域名访问记录进行白名单过滤的示意图。

具体实施方式

现有的僵尸网络检测方法通常采用某一维度的检测技术，对FFSN动态恶意域名的识别准确率较低，定位效果不佳，而本发明针对Botnet及Fast-Flux等FFSN网络所产生的大量DDoS攻击，提供了一种基于Netflow和DNS日志的僵尸网络检测方法，采用多维度(包括源IP地址、源端口、目的IP地址、目的端口和协议类型)的融合检测技术，可自动检测FFSN动态恶意域名，极大的提高了FFSN动态恶意域名的定位精度与实效性，并且从源头抑制了FFSN网络的蔓延，减少了运营商及用户的基础网络设施的带宽拥塞、拒绝服务时长与发生几率，保障了互联网基础网络设施安全，避免受到大规模DDoS攻击，同时，减少了因FFSN网络受到DDoS攻击所造成的损失，提升运营商及客户网络服务感知。

下面结合说明书附图和具体实施方式对本发明做出详细的说明。

本发明实施例提供了一种基于Netflow和DNS日志的僵尸网络检测方法，如图1所示，包括以下步骤：

S1、对异常攻击流量进行自动化监测：通过异常流量监测技术采集路由器输出的Netflow数据，并对采集到的Netflow数据进行五元组(源IP地址、源端口、目的IP地址、目的端口和传输层协议)关联分析，快速分析出运营商网络的被感染主机的IP地址、被感染主机的IP地址所发起的攻击目标的IP地址以及攻击特征(攻击协议、端口和数据包大小等)等相关信息。

S2、在DNS服务器上，采集DNS查询请求日志,对多个被感染主机的IP地址进行关联分析，通过分析多个被感染主机的IP地址在攻击运营商网络期间所发起的域名请求情况，查找到共性域名访问记录，排除正常的共性域名即可得到FFSN动态恶意域名。

基于步骤S1中分析运营商网络得到的相关信息，在DNS服务器上，通过分光采集方式或镜像采集方式采集DNS查询请求日志，镜像采集方式具体为：在DNS服务器的上联交换机通过端口镜像方式将DNS请求及应答包进行抓包，采集DNS日志信息，DNS日志信息包括时间戳、用户访问源IP、用户请求域名、域名解析IP和域名解析类型等几个字段，以供后续分析及关联使用。

对多个被感染主机的IP地址进行关联分析包括获取多个被感染用户的IP地址在发起攻击期间所访问的域名集合和对多个被感染用户的IP地址的域名访问路径进行查询，其中，获取多个被感染用户的IP地址在发起攻击期间所访问的域名集合具体为：在被感染主机的IP地址向运营商网络发起攻击期间，通常被感染主机的IP地址会在攻击开始前5分钟通过Fast Flux域名向主控端查询获取攻击目标IP地址及攻击特征以发起异常攻击行为，再通过对DNS查询请求日志的请求域名字段进行切分，提取获得被感染用户的IP地址在发起攻击期间所访问的域名集合，例如www.qq.com\www.baidu.com\www.sina.com\flux.example.com等等。对DNS查询请求日志进行日志切分，例如，DNS查询请求日志切分后格式如下20161013105323|202.105.82.**|www.qq.com|14.123.12.11,14.123.12.12|0，各字段分别代表时间戳|源IP|请求域名|域名解析IP|解析类型。

对多个被感染用户的IP地址的域名访问路径进行查询具体为：基于DNS查询请求的时间序列可以分析出多个被感染用户的IP地址的域名访问路径，例如在时间戳20161013121201发起域名www.evilexample.com的访问请求,在时间戳20161013121203发起域名flux.example.com的访问请求，时间戳20161013121208发起域名www.baidu.com的访问请求，通过对域名访问路径进行分析可查找到僵尸域名网络，从而控制域名的传播途径及传播源。

对监测异常攻击流量过程中发现的被感染主机的IP地址进行关联分析时，如图2所示，为了排除干扰，例如部分正常用户的DNS查询请求行为可能包含www.qq.com，www.baidu.com等域名，通过设置域名白名单对共性域名访问记录进行白名单过滤，排除正常的共性域名，过滤得到的其它共性域名即为FFSN动态恶意域名，进而实现快速精准地定位FFSN动态恶意域名。

本发明利用FP-growth算法对多个被感染主机的IP地址进行关联分析，FP-growth算法基于Apriori算法构建，Apriori算法对于每个潜在的频繁项集都会扫描数据集，以判定给定模式是否频繁，而本发明中的FP-growth算法采用了高级的数据结构，以减少扫描数据集的次数，只需要对数据库进行两次扫描，大大加快了算法速度。采用FP-growth算法针对一些僵尸网络的被感染主机的IP地址进行关联分析，找到高频访问特征，并通过白名单过滤方式剔除干扰因素，最终能够快速精准地定位FFSN动态恶意域名。

上述方法中，基于Hadoop集群实时处理海量数据(可处理100GB级的数据)。

更进一步地，通过对DNS多级域名进行限速与防护实现对FFSN动态恶意域名的限速或封堵，从源头上抑制FFSN网络，减少用户及运营商网络受到DDoS攻击的风险。

更进一步地，用户再次访问FFSN动态恶意域名时，对域名解析的结果进行重定向，将用户的HTTP访问流量重定向至Portal提示页面，告知用户已感染相关蠕虫或木马病毒，并请尽快采取相关安全措施，清除相关恶意程序。

绝大部分主流设备厂商都支持Netflow数据，Netflow数据可以统计的维度包括源IP地址、源端口、目的IP地址、目的端口和协议类型，通过对网络流量进行抽样分析统计，可以快速发现如僵尸、木马或蠕虫等网络攻击行为，结合Netflow计费统计得出在某一网络攻击事件中，FFSN网络的被感染主机的分布情况、被感染主机的IP地址和攻击特征，通过在网络受到攻击时对被感染主机的IP地址进行关联分析，得到在网络受到攻击期间被感染主机的IP地址所发起的DNS查询请求的历史记录，查找到共性域名访问记录，并结合域名白名单对共性域名中的常用域名进行过滤，得到的其它共性域名即为FFSN动态恶意域名，进而实现快速精准地定位FFSN动态恶意域名。

本发明不局限于上述最佳实施方式，任何人在本发明的启示下作出的结构变化，凡是与本发明具有相同或相近的技术方案，均落入本发明的保护范围之内。