CN103152442B - 一种僵尸网络域名的检测与处理方法及*** - Google Patents
一种僵尸网络域名的检测与处理方法及*** Download PDFInfo
- Publication number
- CN103152442B CN103152442B CN201310039205.6A CN201310039205A CN103152442B CN 103152442 B CN103152442 B CN 103152442B CN 201310039205 A CN201310039205 A CN 201310039205A CN 103152442 B CN103152442 B CN 103152442B
- Authority
- CN
- China
- Prior art keywords
- domain name
- corpse
- domain
- domain names
- inquiry
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种僵尸网络域名的检测与处理方法与***,由输入模块、输出模块、实时校验模块和处置模块的组成的***,其方法为:1)对待检测的网络域名进行日志查询,得到域名查询日志记录并输入到检测端口;2)根据所述域名查询日志记录提取得到域名特征,对所述域名特征进行机器学习;3)通过所述机器学习后提取出线上域名日志和/或本地域名日志中僵尸网络域名;4)建立所述僵尸网络域名数据库通过黑洞权威服务器进行阻断,完成处理。本发明能够从DNS查询日志中提取僵尸网络域名,进行阻断和隔离以打击僵尸网络犯罪的同时,对僵尸域名进行采集,有效阻止了僵尸主机利用域名连接控制端进而接收恶意指令的网络不良行为。
Description
技术领域
本发明涉及一种域名检测与处理方法及***,特别涉及一种僵尸网络域名的检测与处理。
背景技术
随着社会信息化的发展,互联网已经深入到社会生活的各个方面。因此,互联网面临的安全攻击也愈发频繁和严重。而作为互联网最基本的寻址协议,DNS是几乎所有互联网应用得以顺利开展的基础,而其在设计之初未能充分考虑安全保障的缺陷及其完全开放的特点也使其成为各种恶意应用首选的攻击目标或工具。
僵尸网络就是一种危害及其严重的互联网恶意攻击模式,而为了隐藏僵尸网络的控制和命令端,DNS成为僵尸网络近些年来进行通信的主流形式。其主要形式为Fast-flux服务网络技术,Fast-flux服务网络是由一些被控制的计算机***组成,这些计算机***的公共DNS记录在持续变化,甚至有些时候每隔几分钟就变化一次。这种DNS记录不断变化的机制致使犯罪行为的追踪和阻断更为困难。
因此,如何通过检测手段,从DNS查询日志中提取僵尸网络域名,进行阻断和隔离以打击僵尸网络犯罪的同时,对僵尸域名进行采集,进行其行为研究非常必要。
发明内容
本发明的目的是解决现有技术中僵尸网络域名的检测及处理的不足,提出适合僵尸网络环境的域名特征,然后通过机器学习手段,到达从正常数据中提取僵尸网络域名进而进行处理。
为了到达上述目的,本发明的技术方案如下:
一种僵尸网络域名的检测与处理方法,其步骤包括:
1)对待检测的网络域名进行日志查询,得到域名查询日志记录并输入到检测端口;
2)根据所述域名查询日志记录提取得到域名特征,对所述域名特征进行机器学习;
3)通过所述机器学习后提取出线上域名日志和/或本地域名日志中僵尸网络域名;
4)建立所述僵尸网络域名数据库通过黑洞权威服务器进行阻断,完成处理。
所述域名特征为:域名每日相似性、域名每小时重复模式、域名查询IP分布、域名查询类型数量、域名典型RR查询比例和域名有效字符串长度比例。
所述机器学习可通过如下方法实现:Bagging,NaiveBayesclassifier和k-NearestNeighboralgorithm。
所述黑洞权威服务器阻断僵尸网络传播的方法是:
4-1)当所述递归服务器查询所述僵尸网络域名时,顶级服务器响应的NS记录中包含该黑洞权威服务器的地址;
4-2)该递归服务器再次向黑洞权威服务器发起DNS查询时,所述黑洞权威服务器通过环回地址的方式阻止查询。
所述域名每日平均相似性计算方法如下:
其中n表示天数,di,j为第ith天和第jth天的欧氏距离EuclideanDistance。
所述典型RR的查询比例中查询类型为:A、AAAA、NS和MX。
所述域名有效字符串长度比例通过计算连续字母和连续数字长度之和占据域名总长度的比例得到。
本发明还提出一种僵尸网络域名的检测与处理***,包括:
用于输入域名查询日志的输入模块和输出僵尸网络域名的输出模块,和连接所述输入模块和输出模块的实时校验模块,所述实时校验模块用于所述僵尸网络域名提取并对该些僵尸网络域名进行机器学习,以及用于阻断僵尸网络传播的处置模块;
所述实时校验模块根据僵尸网络域名特征对所述僵尸网络进行域名提取。
所述处置模块由至少一黑洞权威服务器组成。
所述处置模块中黑洞权威服务器还连接:DNS中递归服务器和顶级权威服务器。
所述实时校验模块中用于所述僵尸网络域名提取特征为:域名每日相似性、域名每小时重复模式、域名查询IP分布、域名查询类型数量、域名典型RR查询比例和域名有效字符串长度比例。
本发明的有益效果
本发明能够从DNS查询日志中提取僵尸网络域名,进行阻断和隔离以打击僵尸网络犯罪的同时,对僵尸域名进行采集,有效阻止了僵尸主机利用域名连接控制端进而接收恶意指令的网络不良行为。
附图说明
图1是正常域名和僵尸网络域名中每小时的查询量示意图,其中benign-ex.cn为正常域,malicious-ex.cn为僵尸网络域名,横坐标是域名查询量,纵坐标是域名查询时间;
图2是本发明对于僵尸网络域名的检测和处理流程示意图;
图3是本发明对于僵尸网络域名的检测和处理流***的一实施例处置模块中黑洞权威服务器阻止僵尸网络原理示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清除、完整地描述,可以理解的是,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明首先根据各种公开的僵尸网络域名建立僵尸网络域名样本集合,然后根据僵尸网络的一般活动规律,本发明提出如下及机器学习特征:
1)每日相似性:通过计算一个域名每日查询量之间的差距,可以判断该域名是否在每一天具有类似的活动行为。因为正常域名每天具有类似的查询量,僵尸网络域名每日查询量差距较大。计算方法如下为该式表示n天的平均相似性指标,其中di,j为第ith天和第jth天的欧氏距离(Euclideandistance);欧氏距离是一个通常采用的距离定义,它是在m维空间中两个点之间的真实距离。
2)每小时重复模式:统计域名每小时的查询量。僵尸网络域名具有典型的时间选择性,在某些时间段集中爆发,因此需要监测每小时的查询量,如图1所示(以小时计算单个域名的查询量):其中benign-ex.cn和malicious-ex.cn分别为正常域名和僵尸网络域名,由此可见,在24小时内,正常域名的每小时查询量较为平滑,而僵尸网络域名由于其查询受到固定程式的控制,只在某些时间段发生突变。
3)查询IP分布:计算域名被查询IP源地址的AS数量。僵尸网络的域名只在感染该僵尸的地域被查询,所以查询IP分布范围有限;
4)查询类型数量:计算域名被查询类型的种类。僵尸网络的查询是依据固定程序发起,因此,查询类型较少,可大致分为:A、AAAA、NS和MX;
5)根据大量可行性试验得出典型RR的查询比例:计算A、AAAA、NS和MX的查询比例。僵尸网络通过域名查询旨在找到控制端的IP,因此,A、AAAA、NS和MX为主要的查询类型,如下表1所示:
表1
由此可见,这些僵尸网络域名的查询基本都限定在这四种类型。
6)有效字符串长度比例:计算连续字母和连续数字长度之和占据名字总长度的比例。由于僵尸网络域名不关心域名的易记性其一般均为机器生成,会更常使用数字和字母混合的形式,如下表2所示,其中表中高亮部分为有效字符串的部分:
表2
僵尸网络域名检测与处置***包括4个模块:
输入模块
此***的输入数据包括僵尸网络域名的查询日志和正常域名的查询日志。并对上述六个特征进行计算。如下为其中几个特征的举例:
实时检测模块
通过从上述两种日志提取本专利提出的特征,将其作为机器学习(如Adaboost,C4.5,Bagging,NaiveBayesClassifier和k-NearestNeighboralgorithm)的输入,从而可以以此对实时的线上日志进行检测。
输出模块
通过学习,可以从线上日志中提取出和输入的僵尸网络域名具有类似规律的僵尸网络域名。
处置模块
处置模块至少包括一台专门响应该僵尸网络域名的DNS权威服务器,称为黑洞权威服务器,该服务器接收到僵尸网络域名的查询请求后,将该域名的应答指定到不可达的无效位置,如可以将此域名的A记录指定为127.0.0.1,这个无效的本地换回地址可以使得查询该域名的僵尸主机无法和控制端进行联络。
如图3所示,是本发明对于僵尸网络域名的检测和处理流***的一实施例处置模块中黑洞权威服务器阻止僵尸网络原理示意图,其中
1)当递归服务器向顶级权威服务器查询yyy.cn时(yyy为僵尸网络域名),顶级权威服务器返回的NS记录中包含黑洞权威服务器的地址;
2)递归服务器接着向黑洞权威服务器发起xxx.yyy.cn的DNS查询,黑洞权威服务器以环回地址予以相应,终止了查询过程。
这种简单高效的方法可以阻止Rustock僵尸网络控制端通过DNS查询进而向互联网散布恶意信息。
Claims (6)
1.一种僵尸网络域名的检测与处理方法,其步骤包括:
1)对待检测的网络域名进行日志查询,得到域名查询日志记录并输入到检测端口;
2)根据所述域名查询日志记录提取得到域名特征,对所述域名特征进行机器学习,所述域名特征为:域名每日相似性、域名每小时重复模式、域名查询IP分布、域名查询类型数量、域名典型RR查询比例和域名有效字符串长度比例;
3)通过所述机器学习后提取出线上域名日志和/或本地域名日志中僵尸网络域名;
4)建立所述僵尸网络域名数据库通过黑洞权威服务器进行阻断,完成处理,所述黑洞权威服务器接收到僵尸网络域名的查询请求后,将该域名的应答指定到不可达的无效位置,所述黑洞权威服务器阻断僵尸网络传播的方法是:
4-1)当递归服务器查询所述僵尸网络域名时,顶级服务器响应的NS记录中包含该黑洞权威服务器的地址;
4-2)该递归服务器再次向黑洞权威服务器发起DNS查询时,所述黑洞权威服务器通过环回地址的方式阻止查询。
2.如权利要求1所述的僵尸网络域名的检测与处理方法,其特征在于,所述机器学习通过如下方法实现:Bagging,NaiveBayesClassifier和k-NearestNeighboralgorithm。
3.如权利要求1所述的僵尸网络域名的检测与处理方法,其特征在于,所述域名每日平均相似性计算方法如下:
其中n表示天数,di,j为第i天和第j天的欧氏距离。
4.如权利要求1所述的僵尸网络域名的检测与处理方法,其特征在于,所述典型RR的查询比例中查询类型为:A、AAAA、NS和MX。
5.如权利要求1所述的僵尸网络域名的检测与处理方法,其特征在于,所述域名有效字符串长度比例通过计算连续字母和连续数字长度之和占据域名总长度的比例得到。
6.一种僵尸网络域名的检测与处理***,包括:
用于输入域名查询日志的输入模块和输出僵尸网络域名的输出模块,和连接所述输入模块和输出模块的实时校验模块,所述实时校验模块用于所述僵尸网络域名提取并对该些僵尸网络域名进行机器学习,以及用于阻断僵尸网络传播的处置模块;
所述实时校验模块根据僵尸网络域名特征对所述僵尸网络进行域名提取,所述僵尸网络域名特征为:域名每日相似性、域名每小时重复模式、域名查询IP分布、域名查询类型数量、域名典型RR查询比例和域名有效字符串长度比例;
所述处置模块由至少一黑洞权威服务器组成,所述黑洞权威服务器还连接:DNS中递归服务器和顶级权威服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310039205.6A CN103152442B (zh) | 2013-01-31 | 2013-01-31 | 一种僵尸网络域名的检测与处理方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310039205.6A CN103152442B (zh) | 2013-01-31 | 2013-01-31 | 一种僵尸网络域名的检测与处理方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103152442A CN103152442A (zh) | 2013-06-12 |
| CN103152442B true CN103152442B (zh) | 2016-06-01 |
Family
ID=48550301
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310039205.6A Active CN103152442B (zh) | 2013-01-31 | 2013-01-31 | 一种僵尸网络域名的检测与处理方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103152442B (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104506538B (zh) * | 2014-12-26 | 2018-01-19 | 北京奇虎科技有限公司 | 机器学习型域名***安全防御方法和装置 |
| CN105187367B (zh) * | 2015-06-04 | 2019-03-08 | 何飚 | 基于大数据发现的僵尸木马病毒检测及管控方法 |
| CN105279238B (zh) * | 2015-09-28 | 2018-11-06 | 北京国双科技有限公司 | 字符串处理方法和装置 |
| CN105376217B (zh) * | 2015-10-15 | 2019-01-04 | 中国互联网络信息中心 | 一种恶意跳转及恶意嵌套类不良网站的自动判定方法 |
| US10911472B2 (en) * | 2016-02-25 | 2021-02-02 | Imperva, Inc. | Techniques for targeted botnet protection |
| CN108768917B (zh) * | 2017-08-23 | 2021-05-11 | 长安通信科技有限责任公司 | 一种基于网络日志的僵尸网络检测方法及*** |
| CN107733867B (zh) * | 2017-09-12 | 2020-09-22 | 北京神州绿盟信息安全科技股份有限公司 | 一种发现僵尸网络及防护的方法、***和存储介质 |
| US11374897B2 (en) * | 2018-01-15 | 2022-06-28 | Shenzhen Leagsoft Technology Co., Ltd. | CandC domain name analysis-based botnet detection method, device, apparatus and medium |
| CN108156174B (zh) * | 2018-01-15 | 2020-03-27 | 深圳市联软科技股份有限公司 | 基于c&c域名分析的僵尸网络检测方法、装置、设备及介质 |
| CN109120733B (zh) * | 2018-07-20 | 2021-06-01 | 杭州安恒信息技术股份有限公司 | 一种利用dns进行通信的检测方法 |
| CN110493253B (zh) * | 2019-09-02 | 2021-06-22 | 四川长虹电器股份有限公司 | 一种基于树莓派设计的家用路由器的僵尸网络分析方法 |
| CN110650157B (zh) * | 2019-10-23 | 2021-01-15 | 北京邮电大学 | 基于集成学习的Fast-flux域名检测方法 |
| CN111371917B (zh) * | 2020-02-28 | 2022-04-22 | 北京信息科技大学 | 一种域名检测方法及*** |
| CN112261169B (zh) * | 2020-10-16 | 2022-02-22 | 重庆理工大学 | 利用胶囊网络和k-means的DGA域名Botnet识别判断方法 |
| CN112787946B (zh) * | 2021-01-28 | 2022-04-15 | 哈尔滨工业大学(威海) | 一种获取网络数据时网络阻塞造成的噪声数据消除方法 |
| CN115134095A (zh) * | 2021-03-10 | 2022-09-30 | 中国电信股份有限公司 | 僵尸网络控制端检测方法及装置、存储介质、电子设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101488965A (zh) * | 2009-02-23 | 2009-07-22 | 中国科学院计算技术研究所 | 一种域名过滤***及方法 |
| CN101572701A (zh) * | 2009-02-10 | 2009-11-04 | 中科正阳信息安全技术有限公司 | 针对DNS服务的抗DDoS攻击安全网关*** |
| CN101702660A (zh) * | 2009-11-12 | 2010-05-05 | 中国科学院计算技术研究所 | 异常域名检测方法及*** |
| CN101841533A (zh) * | 2010-03-19 | 2010-09-22 | 中国科学院计算机网络信息中心 | 分布式拒绝服务攻击检测方法和装置 |
| CN101924757A (zh) * | 2010-07-30 | 2010-12-22 | 中国电信股份有限公司 | 追溯僵尸网络的方法和*** |
| CN102291268A (zh) * | 2011-09-23 | 2011-12-21 | 杜跃进 | 一种安全域名服务器及基于此的恶意域名监控***和方法 |
| CN102821002A (zh) * | 2011-06-09 | 2012-12-12 | ***通信集团河南有限公司信阳分公司 | 网络流量异常检测方法和*** |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8631489B2 (en) * | 2011-02-01 | 2014-01-14 | Damballa, Inc. | Method and system for detecting malicious domain names at an upper DNS hierarchy |
-
2013
- 2013-01-31 CN CN201310039205.6A patent/CN103152442B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101572701A (zh) * | 2009-02-10 | 2009-11-04 | 中科正阳信息安全技术有限公司 | 针对DNS服务的抗DDoS攻击安全网关*** |
| CN101488965A (zh) * | 2009-02-23 | 2009-07-22 | 中国科学院计算技术研究所 | 一种域名过滤***及方法 |
| CN101702660A (zh) * | 2009-11-12 | 2010-05-05 | 中国科学院计算技术研究所 | 异常域名检测方法及*** |
| CN101841533A (zh) * | 2010-03-19 | 2010-09-22 | 中国科学院计算机网络信息中心 | 分布式拒绝服务攻击检测方法和装置 |
| CN101924757A (zh) * | 2010-07-30 | 2010-12-22 | 中国电信股份有限公司 | 追溯僵尸网络的方法和*** |
| CN102821002A (zh) * | 2011-06-09 | 2012-12-12 | ***通信集团河南有限公司信阳分公司 | 网络流量异常检测方法和*** |
| CN102291268A (zh) * | 2011-09-23 | 2011-12-21 | 杜跃进 | 一种安全域名服务器及基于此的恶意域名监控***和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103152442A (zh) | 2013-06-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103152442B (zh) | 一种僵尸网络域名的检测与处理方法及*** | |
| US20220368727A1 (en) | Collaborative database and reputation management in adversarial information environments | |
| US10673887B2 (en) | System and method for cybersecurity analysis and score generation for insurance purposes | |
| US20220014556A1 (en) | Cybersecurity profiling and rating using active and passive external reconnaissance | |
| Jiang et al. | Identifying suspicious activities through dns failure graph analysis | |
| US11991214B2 (en) | System and method for self-adjusting cybersecurity analysis and score generation | |
| JP6490059B2 (ja) | データを処理するための方法、有形機械可読記録可能記憶媒体および装置、ならびにデータ・レコードから抽出された特徴をクエリするための方法、有形機械可読記録可能記憶媒体および装置 | |
| CN105827594B (zh) | 一种基于域名可读性及域名解析行为的可疑性检测方法 | |
| Yu et al. | Modeling malicious activities in cyber space | |
| Zhou et al. | DGA-Based Botnet Detection Using DNS Traffic. | |
| Niu et al. | Identifying APT malware domain based on mobile DNS logging | |
| US11968239B2 (en) | System and method for detection and mitigation of data source compromises in adversarial information environments | |
| CN106713347A (zh) | 一种电力移动应用越权访问漏洞检测方法 | |
| CN102685145A (zh) | 一种基于dns数据包的僵尸网络域名发现方法 | |
| Rudman et al. | Dridex: Analysis of the traffic and automatic generation of iocs | |
| US11956261B2 (en) | Detection method for malicious domain name in domain name system and detection device | |
| US20230283641A1 (en) | Dynamic cybersecurity scoring using traffic fingerprinting and risk score improvement | |
| WO2019204104A1 (en) | Network security system and methods for encoding network connectivity for activity classification | |
| WO2021243321A1 (en) | A system and methods for score cybersecurity | |
| Hong et al. | Ctracer: uncover C&C in advanced persistent threats based on scalable framework for enterprise log data | |
| US11968235B2 (en) | System and method for cybersecurity analysis and protection using distributed systems | |
| CN105530251A (zh) | 识别钓鱼网站的方法及装置 | |
| CN115361182B (zh) | 一种僵尸网络行为分析方法、装置、电子设备及介质 | |
| Schales et al. | Scalable analytics to detect DNS misuse for establishing stealthy communication channels | |
| CN114500122B (zh) | 一种基于多源数据融合的特定网络行为分析方法和*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210224 Address after: 100190 room 506, building 2, courtyard 4, South 4th Street, Zhongguancun, Haidian District, Beijing Patentee after: CHINA INTERNET NETWORK INFORMATION CENTER Address before: 100190 No. four, 4 South Street, Haidian District, Beijing, Zhongguancun Patentee before: Computer Network Information Center, Chinese Academy of Sciences |
|
| TR01 | Transfer of patent right |