一种实现恶意域名识别的方法及装置的制造方法
【技术领域】
[0001] 本发明涉及信息安全领域,尤指一种实现恶意域名识别的方法及装置。
【背景技术】
[0002] 域名系统(DNS)及其配套技术,DNS已成为互联网不可或缺的技术,是极大多数用 户与应用系统的互联网入口,具有使IP与域名解耦的功能和可以灵活配置的特点,近年来 随着Round-robinDNS、内容分发网络(CDN,ContentDistributionNetwork)等技术逐渐 普及,DNS技术在负载均衡、高可靠性网络架构设计等方面获得了广泛应用。
[0003] 但随之而来的是,DNS技术的应用也受到了黑客的关注,DNS技术已经成为黑客的 一种保护屏障。由于这道屏障建立成本很低,并且效果较好,当前流形的僵尸网络往往都会 利用DNS技术将命令与控制(C&C)服务器进行隐藏,其中常用技术主要包括DomainFlux和 IPFastFlux(又称为FFSN,FastFluxServiceNetworks)两类。
[0004] 带有恶意域名系统的僵尸网络大致包括多台C&C服务器(或称为mothership)、多 台C&C代理服务器、以及多台被控主机(或称肉鸡)。一个恶意域名,指向多台C&C代理服务 器,当一个肉鸡获取命令时,通过该域名获取到一个C&C代理服务器的IP。当某个C&C代 理服务器被破坏时,某个肉鸡被"升级"为C&C代理服务器,填补空缺位置。在整个过程中, C&C服务器的IP都没有暴露,其IP只有C&C代理服务器知道,通过监听肉鸡和C&C代理服 务器间的通信无法得知,因此黑客容易掌握FFSN的运作原理,通过使用C&C服务器隐藏自 身IP,对于黑客而言,这种网络结构具备极高的可用性。
[0005] FFSNDNS在间断请求过程中,通常会体现出一些动态特征,这些特性可作为鉴别 FFSNDNS的依据,比如域名不存在状态NXDomain返回频率,IP切换频率,生存时间(TTL) 时间长度等。值得注意的是,这些特征并非非常明显,大量情况会使得恶意DNS与正常DNS 的动态特征十分相似,如:一些国际性大站,往往采用了CDN技术;一些关闭的站点;无效的 对等计算(P2P)资源服务器等,因此,FFSNDNS技术使恶意域名并不容易被发现。
[0006] 另一种恶意域名相关的技术是Domain Flux,该技术一般利用泛域名解析等技术, 将多个完整域名(FQDN,Full Qualified Domain Name)对应到一个恶意IP,该恶意IP对 目标主机的危害行为被逻辑地分散到多个FQDN,或者结合FFSN技术,每个恶意代理被控主 机一个FQDN,使得针对FQDN域名的统计值失效。另一种可能的作用是,结合FFSN技术,当 FFSN的C&C服务器暴露时,黑客会建立新的C&C服务器,没死掉的代理服务器(agent)基于 动态生成算法(DGA,Dynamic Generate Algorithm)技术主动连入新的C&C服务器,重新接 管僵尸网络。
[0007] 目前,基于静态特征的恶意域名识别方法具有性能高、实时响应的特点,这里静态 特征一般指域名的构词特征(如特殊字符的占比,域名长度等)。但是,该方法存在准确率与 召回率都不理想的问题。动态特征的恶意域名识别方法一般建立在、以主动探测DNS记录 为途径的原始数据之上,虽然识别效果较好,但其无法实时响应,且应用条件苛刻。
[0008] DNS技术成为黑客的保护屏障,采用域名作为僵尸网络的通信基础,使僵尸网络的 鲁棒性大为提升,且C&C服务器更加难以进行物理位置定位,仅采用动态恶意域名识别方 法和仅采用静态恶意域名识别方法,无法对恶意域名进行有效的识别。
【发明内容】
[0009] 为了解决上述技术问题,本发明提供一种实现恶意域名识别的方法及装置,能够 对DNS域名进行有效识别时以区分恶意域名和正常域名,提高恶意域名的识别效率。
[0010] 为了达到上述发明目的,本发明公开了一种实现恶意域名识别的方法,包括:
[0011] 提取域名系统DNS域名的动态特征集合,通过动态特征的恶意域名可信判断模型 对动态特征集合进行动态特征的恶意域名高可信判断;
[0012] 根据动态特征集合的恶意域名高可信判断结果,确定DNS域名是否为恶意域名, 并将是否为恶意域名确定的结果存到相应的黑名单、或白名单中;
[0013] 所述动态特征集合至少包含:与IP相关的特征、和/或权威DNS服务器主域名一 致率。
[0014] 进一步地,与IP相关的特征至少包含:IP信息熵、和/或IP国家分布变化次数。
[0015] 进一步地,与IP相关的特征包含有IP信息熵时,IP信息熵为:
DNS恶意域名确定的结果的次数,I?I算子表示集合的基,即元素个数;
[0018] 拳) 4?,?,4,?]为算子从IP中以"?,,分割,提取4个字节;
[0019] 其中,//f为第i次DNS请求的返回的第k个IP,IPSet为返回的IP的集合,用公 式表示为:IPSet=UPlil,IPli2,IP2il,…,IPN,k};
[0020] 与IP相关的特征包含有IP国家分布变化次数时,所述IP国家分布变化次数为:
[0024] CountryOfIP(IPiik)为算子,提取IPiik 所属国家;
[0025] 其中,//f为第i次DNS请求的返回的第k个IP,IPSet为返回的IP的集合,用公 式表示为:IPSet=UPlil,IPli2,IP2il,…,IPN,k};
[0026] 动态特征集合包含有权威DNS服务器主域名一致率时,权威DNS服务器主域名一 致率为:权威服务器的主域域名的最高频度与权威服务器的主域域名总频度的比率。
[0027] 进一步地,对动态特征集合进行动态特征的恶意域名高可信判断之前,该方法还 包括:根据预先设置的静态特征过滤黑名单,将白名单与过滤后的黑名单通过支持向量机 SVM建立动态特征的恶意域名可信判断模型。
[0028] 进一步地,根据预先设置的静态特征过滤黑名单包括:预先设置静态特征数字比 例小于0. 5、和/或数字和字母切换比例大于0. 3、和/或域名长度大于10对黑名单进行过 滤。
[0029] 进一步地,动态特征集合还包括:IP-致度、和/或IP变化次数、和/或查询失败 的频度、和/或生存时间最小值TTL_MIN、和/或生存时间最大值TTL_MAX、和/或生存时间 平均值TTL_AVG、和/或生存时间标准差TTL_STD、和/或别名个数。
[0030] 进一步地,该方法之前还包括:对静态特征集合的恶意域名进行高可信判断和处 理,具体的包括:
[0031] 解析防护目标网络的DNS域名,对解析的DNS域名进行黑名单和白名单过滤;
[0032] 当黑名单和白名单过滤未命中时,提取DNS域名的静态特征集合,通过恶意域名 可信判断模型对静态特征集合进行恶意域名高可信判断;
[0033] 当根据静态特征集合进行恶意域名高可信判断的域名为高可信判断结果确定DNS 域名是否为恶意域名,并将确定是否为恶意域名的结果存到相应的黑名单、或白名单中;[0034] 当根据静态特征集合进行恶意域名高可信判断的域名为低可信判断结果时,提取 DNS域名的动态特征集合,通过动态特征的恶意域名可信判断模型对动态特征集合进行动 态特征的恶意域名高可信判断。
[0035] 进一步地,静态特征集合至少包含域名长度、和/或数字比例、和/或数字和字母 切换比例、和/或站点名和主域名长度比例、和/或连接符的数量、和/或最大词长度、和/ 或国家顶级域名的类型、和/或国际顶级域名的类型、和/或二级国际顶级域名的类型;
[0036] 进一步地,在进行静态特征集合的恶意域名高可信判断之前,该方法还包括:将白 名单与黑名单通过支持向量机SVM建立静态特征集合的恶意域名可信判断模型。
[0037] 进一步地,白名单包括:取Alexa列表中排名靠前的域名作为白名单;
[0038] 黑名单包括:从挂马举报平台通过爬虫获取被挂过木马的域名;或利用公开的垃 圾邮件数据库,提取其中的域名;
[0039]Alexa列表包括:从top.chinaz.com、或www.alexa.cn网站通过爬虫获取的列表。
[0040] 进一步地,取Alexa列表中排名靠前的域名包括:取Alexa列表中排名靠前2000 的域名。
[0041] 另一方面,本申请还提供一种实现恶意域名识别的装置,包括:动态判断单元和判 断结果单元;其中,
[0042] 动态判断单元,用于提取域名系统DNS域名的动态特征集合,通过动态特征的恶 意域名可信判断模型对动态特征集合进行动态特征的恶意域名高可信判断;
[0043] 判断结果单元,用于根据动态特征集合的恶意域名高可信判断结果,确定DNS域 名是否为恶意域名,并将是否为恶意域名确定的结果存到相应的黑名单、或白名单中;
[0044] 动态特征集合至少包含:与IP相关的特征、和/或权威DNS服务器主域名一致率。
[0045] 进一步地,与IP相关的特征至少包含:IP信息熵、和/或IP国家分布变化次数。
[0046] 进一步地,与IP相关的特征包含有IP信息熵时,IP信息熵为:
DNS恶意域名确定的结果的次数,I?I算子表示集合的基,即元素个数;
[0049] 功翁(禪"(/?) = !;?,?,为算子从IP中以"?,,分割,提取4个字节;
[0050] 其中,//f为第i次DNS请求的返回的第k个IP,IPSet为返回的IP的集合,用公 式表示为:IPSet=UPlil,IPli2,IP2il,…,IPN,k};
[0051] 所述与IP相关的特征包含有IP国家分布变化次数时,所述IP国家分布变化次数 为:
[0055] CountryOfIP(IPiik)为算子,提取IPiik 所属国家;
[0056] 其中,i/f为第i次DNS请求的返回的第k个IP,IPSet为返回的IP的集合,用公 式表示为IPSetUPhl,IP1,2,IP2,:,…,IPN,k};
[0057] 动态特征集合包含有权威DNS服务器主域名一致率时,权威DNS服务器主域名