042]域名分析单元,用于根据所述可疑域名的用户访问DNS日志和RADIUS日志,分析访问这些可疑域名的用户群的特征,并根据用户群的特征确定僵木蠕域名。
[0043]优选的是,所述日志清洗单元,进一步用于基于HADOOP分布式计算,清洗后的DNS日志包括:请求IP ?目息+\t+Long型时间戮+\t+请求域名+\t解析IP彳目息;
[0044]清洗后的RADIUS日志包括:请求IP信息+\t+用户名+\t+开始时间+\t+结束时间?目息。
[0045]优选的是,所述可疑域名获取单元,用于根据已知的僵木蠕网站及其肉鸡的共同行为特征,获取符合指定特征的可疑域名,其中,共同行为特征选择以下或者任一:域名访问量排名变化按变化率排名取前100个;
[0046]解析结果类型为“域名未找到”的域名按访问量排名取前100个;
[0047]解析结果类型为“服务器错误”的域名按访问量排名取前100个;或者,按招受递归攻击量排名取前100个。
[0048]优选的是,所述可疑域名获取单元,用于根据已知的僵木蠕网站及其肉鸡的共同行为特征,获取符合指定特征的可疑域名,具体包括:
[0049]通过分析僵木蠕样本库的解析地址,得出相同解析地址下的其他域名:
[0050]通过分析DNS日志得到某个僵木蠕样本域名的解析IP信息;
[0051]再次分析DNS日志,获取具有相同解析IP信息的其他域名信息,并过滤白名单后即为疑似僵木蠕域名。
[0052]优选的是,所述域名分析单元,用于根据所述可疑域名的用户访问DNS日志和RADIUS日志,分析访问这些可疑域名的用户群的特征,并根据用户群的特征确定僵木蠕域名,具体包括:
[0053]将清洗后的DNS日志中的请求域名与僵木蠕病毒库中的域名进行匹配,获取请求IP信息,即为肉鸡IP地址;
[0054]获取肉鸡账户信息,并得出该肉鸡IP访问僵木蠕样本的具体时间,以Long型时间戮表不;
[0055]分析RADIUS日志,如RADIUS日志中的请求IP信息=肉鸡IP地址,并且Long型时间戳大于开始时间,小于结束时间,那么改用户名即为肉鸡IP地址当前对应的肉鸡账户信息。
[0056]本发明采取了上述方案以后,基于HADOOP大数据平台,可以全量分析用户的访问域名情况,挖掘出潜在的僵尸、木马、蠕虫域名。并且,其通过分析确定僵尸、木马、蠕虫服务器IP地址,可以针对IP地址进行封杀,此外,去还可以找出受僵尸、木马、蠕虫感染的肉鸡IP及账户信息,及时提醒用户杀毒,遏制僵尸、木马、蠕虫的扩散。
[0057]本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
【附图说明】
[0058]下面结合附图对本发明进行详细的描述,以使得本发明的上述优点更加明确。其中,
[0059]图1是本发明基于日志的僵木蠕网络分析方法的流程示意图;
[0060]图2是本发明基于日志的僵木蠕网络分析方法的流程示意图;
[0061]图3是本发明基于日志的僵木蠕网络分析方法的日志清洗的流程示意图;
[0062]图4是本发明基于日志的僵木蠕网络分析系统的结构示意图。
【具体实施方式】
[0063]以下将结合附图及实施例来详细说明本发明的实施方式,借此对本发明如何应用技术手段来解决技术问题,并达成技术效果的实现过程能充分理解并据以实施。需要说明的是,只要不构成冲突,本发明中的各个实施例以及各实施例中的各个特征可以相互结合,所形成的技术方案均在本发明的保护范围之内。
[0064]基于上述问题,本发明基于大数据分析平台HAD00P,结合用户上网行为日志(DNS日志),RADIUS日志,分析已知的僵木蠕网站及其肉鸡的共同行为特征,寻找疑似病毒控制端,挖掘出相对完整的僵尸网络全景图。
[0065]其中,本技术方案依托于HADOOP数据分析平台,依赖DNS日志和RADIUS日志。
[0066]具体来说本方案由以下步骤组成:
[0067]一种基于日志的僵木蠕网络分析方法,包括:
[0068]步骤I)获取DNS日志和RADIUS日志;
[0069]所述DNS日志包括:日期、时间、访问信息、请求IP信息、请求域名信息、请求域名特征、解析类型、解析IP信息、DNS服务器特征信息;
[0070]步骤2)分别对DNS日志和RADIUS日志进行日志清洗,将统计没有影响的字段去掉,保留或修改影响统计结果的字段;
[0071]步骤3)根据已知的僵木蠕网站及其肉鸡的共同行为特征,获取符合指定特征的可疑域名;
[0072]步骤4)根据所述可疑域名的用户访问DNS日志和RADIUS日志,分析访问这些可疑域名的用户群的特征,并根据用户群的特征确定僵木蠕域名。
[0073]本发明采取了上述方案以后,基于HADOOP大数据平台,可以全量分析用户的访问域名情况,挖掘出潜在的僵尸、木马、蠕虫域名。并且,其通过分析确定僵尸、木马、蠕虫服务器IP地址,可以针对IP地址进行封杀,此外,去还可以找出受僵尸、木马、蠕虫感染的肉鸡IP及账户信息,及时提醒用户杀毒,遏制僵尸、木马、蠕虫的扩散。
[0074]详细对以上结构说明,步骤2中,基于HADOOP分布式计算,清洗后的DNS日志包括:请求IP信息+\t+Long型时间戳+\t+请求域名+\t解析IP信息;
[0075]清洗后的RADIUS日志包括:请求IP信息+\t+用户名+\t+开始时间+\t+结束时间?目息。
[0076]优选的是,步骤3)根据已知的僵木蠕网站及其肉鸡的共同行为特征,获取符合指定特征的可疑域名,其中,共同行为特征选择以下或者任一:域名访问量排名变化按变化率排名取前100个;
[0077]解析结果类型为“域名未找到”的域名按访问量排名取前100个;
[0078]解析结果类型为“服务器错误”的域名按访问量排名取前100个;或者,按招受递归攻击量排名取前100个。
[0079]进一步地,优选的是,步骤3)根据已知的僵木蠕网站及其肉鸡的共同行为特征,获取符合指定特征的可疑域名,具体包括:
[0080]通过分析僵木蠕样本库的解析地址,得出相同解析地址下的其他域名:
[0081]通过分析DNS日志得到某个僵木蠕样本域名的解析IP信息;
[0082]再次分析DNS日志,获取具有相同解析IP信息的其他域名信息,并过滤白名单后即为疑似僵木蠕域名。
[0083]进一步地,优选的是,根据所述可疑域名的用户访问DNS日志和RADIUS日志,分析访问这些可疑域名的用户群的特征,并根据用户群的特征确定僵木蠕域名,具体包括:
[0084]将清洗后的DNS日志中的请求域名与僵木蠕病毒库中的域名进行匹配,获取请求IP信息,即为肉鸡IP地址;
[0085]获取肉鸡账户信息,并得出该肉鸡IP访问僵木蠕样本的具体时间,以Long型时间戮表不;
[0086]分析RADIUS日志,如RADIUS日志中的请求IP信息=肉鸡IP地址,并且Long型时间戳大于开始时间,小于结束时间,那么改用户名即为肉鸡IP地址当前对应的肉鸡账户信息。
[0087]其中,更具体地说,其可以三个主要的数据处理过程,第一、日志清洗、第二、可疑域名获取和可疑域名分析过程;第三、