、木马、蠕虫的扩散。
[0136]需要说明的是,对于上述方法实施例而言,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
[0137]本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。
[0138]最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【主权项】
1.一种基于日志的僵木蠕网络分析方法,包括: 步骤I)获取DNS日志和RADIUS日志; 所述DNS日志包括:日期、时间、访问信息、请求IP信息、请求域名信息、请求域名特征、解析类型、解析IP信息、DNS服务器特征信息; 步骤2)分别对DNS日志和RADIUS日志进行日志清洗,将统计没有影响的字段去掉,保留或修改影响统计结果的字段; 步骤3)根据已知的僵木蠕网站及其肉鸡的共同行为特征,获取符合指定特征的可疑域名; 步骤4)根据所述可疑域名的用户访问DNS日志和RADIUS日志,分析访问这些可疑域名的用户群的特征,并根据用户群的特征确定僵木蠕域名。
2.根据权利要求1所述的基于日志的僵木蠕网络分析方法,其特征在于,步骤2中,基于HADOOP分布式计算,清洗后的DNS日志包括:请求IP信息+\t+Long型时间戳+\t+请求域名+\t解析IP信息; 清洗后的RADIUS日志包括:请求IP信息+\t+用户名+\t+开始时间+\t+结束时间信息。
3.根据权利要求1或2所述的基于日志的僵木蠕网络分析方法,其特征在于,步骤3)根据已知的僵木蠕网站及其肉鸡的共同行为特征,获取符合指定特征的可疑域名,其中,共同行为特征选择以下或者任一:域名访问量排名变化按变化率排名取前100个; 解析结果类型为“域名未找到”的域名按访问量排名取前100个; 解析结果类型为“服务器错误”的域名按访问量排名取前100个;或者,按招受递归攻击量排名取前100个。
4.根据权利要求1或2所述的基于日志的僵木蠕网络分析方法,其特征在于,步骤3)根据已知的僵木蠕网站及其肉鸡的共同行为特征,获取符合指定特征的可疑域名,具体包括: 通过分析僵木蠕样本库的解析地址,得出相同解析地址下的其他域名: 通过分析DNS日志得到某个僵木蠕样本域名的解析IP信息; 再次分析DNS日志,获取具有相同解析IP信息的其他域名信息,并过滤白名单后即为疑似僵木蠕域名。
5.根据权利要求1或2所述的基于日志的僵木蠕网络分析方法,其特征在于,根据所述可疑域名的用户访问DNS日志和RADIUS日志,分析访问这些可疑域名的用户群的特征,并根据用户群的特征确定僵木蠕域名,具体包括: 将清洗后的DNS日志中的请求域名与僵木蠕病毒库中的域名进行匹配,获取请求IP信息,即为肉鸡IP地址; 获取肉鸡账户信息,并得出该肉鸡IP访问僵木蠕样本的具体时间,以Long型时间戳表示; 分析RADIUS日志,如RADIUS日志中的请求IP信息=肉鸡IP地址,并且Long型时间戳大于开始时间,小于结束时间,那么改用户名即为肉鸡IP地址当前对应的肉鸡账户信息。
6.一种基于日志的僵木蠕网络分析系统,包括: 日志获取单元,用于获取DNS日志和RADIUS日志; 所述DNS日志包括:日期、时间、访问信息、请求IP信息、请求域名信息、请求域名特征、解析类型、解析IP信息、DNS服务器特征信息; 日志清洗单元,用于分别对DNS日志和RADIUS日志进行日志清洗,将统计没有影响的字段去掉,保留或修改影响统计结果的字段; 可疑域名获取单元,用于根据已知的僵木蠕网站及其肉鸡的共同行为特征,获取符合指定特征的可疑域名; 域名分析单元,用于根据所述可疑域名的用户访问DNS日志和RADIUS日志,分析访问这些可疑域名的用户群的特征,并根据用户群的特征确定僵木蠕域名。
7.根据权利要求6所述的基于日志的僵木蠕网络分析系统,其特征在于,所述日志清洗单元,进一步用于基于HADOOP分布式计算,清洗后的DNS日志包括:请求IP信息+\t+Long型时间戳+\t+请求域名+\t解析IP信息; 清洗后的RADIUS日志包括:请求IP信息+\t+用户名+\t+开始时间+\t+结束时间信息。
8.根据权利要求6或7所述的基于日志的僵木蠕网络分析系统,其特征在于,所述可疑域名获取单元,用于根据已知的僵木蠕网站及其肉鸡的共同行为特征,获取符合指定特征的可疑域名,其中,共同行为特征选择以下或者任一:域名访问量排名变化按变化率排名取前100个; 解析结果类型为“域名未找到”的域名按访问量排名取前100个; 解析结果类型为“服务器错误”的域名按访问量排名取前100个;或者,按招受递归攻击量排名取前100个。
9.根据权利要求1或2所述的基于日志的僵木蠕网络分析系统,其特征在于,所述可疑域名获取单元,用于根据已知的僵木蠕网站及其肉鸡的共同行为特征,获取符合指定特征的可疑域名,具体包括: 通过分析僵木蠕样本库的解析地址,得出相同解析地址下的其他域名: 通过分析DNS日志得到某个僵木蠕样本域名的解析IP信息; 再次分析DNS日志,获取具有相同解析IP信息的其他域名信息,并过滤白名单后即为疑似僵木蠕域名。
10.根据权利要求6或7所述的基于日志的僵木蠕网络分析系统,其特征在于,所述域名分析单元,用于根据所述可疑域名的用户访问DNS日志和RADIUS日志,分析访问这些可疑域名的用户群的特征,并根据用户群的特征确定僵木蠕域名,具体包括: 将清洗后的DNS日志中的请求域名与僵木蠕病毒库中的域名进行匹配,获取请求IP信息,即为肉鸡IP地址; 获取肉鸡账户信息,并得出该肉鸡IP访问僵木蠕样本的具体时间,以Long型时间戳表示; 分析RADIUS日志,如RADIUS日志中的请求IP信息=肉鸡IP地址,并且Long型时间戳大于开始时间,小于结束时间,那么改用户名即为肉鸡IP地址当前对应的肉鸡账户信息。
【专利摘要】本发明公开了一种基于日志的僵木蠕网络分析方法,包括:步骤1)获取DNS日志和RADIUS日志;所述DNS日志包括:日期、时间、访问信息、请求IP信息、请求域名信息、请求域名特征、解析类型、解析IP信息、DNS服务器特征信息;步骤2)分别对DNS日志和RADIUS日志进行日志清洗,将统计没有影响的字段去掉,保留或修改影响统计结果的字段;步骤3)根据已知的僵木蠕网站及其肉鸡的共同行为特征,获取符合指定特征的可疑域名;步骤4)根据所述可疑域名的用户访问DNS日志和RADIUS日志,分析访问这些可疑域名的用户群的特征,并根据用户群的特征确定僵木蠕域名。
【IPC分类】H04L12-24, H04L29-06
【公开号】CN104580249
【申请号】CN201510042430
【发明人】杨蓉, 丁文涛
【申请人】北京润通丰华科技有限公司
【公开日】2015年4月29日
【申请日】2015年1月28日