[发明专利]一种基于主机群特征检测速变攻击域名的方法

说明书

技术领域

本发明涉及网络异常检测领域，是一种基于域名所对应的主机群特征进行速变攻击域名检测的方法。

背景技术

近年来，随着互联网的迅猛发展，网络安全也面临着巨大的挑战，僵尸网络的出现无疑使网络安全的处境雪上加霜。

僵尸网络母体(控制服务器)为了及时更新僵尸主机的客户端模块，或控制新感染的僵尸主机，需要与被感染的僵尸主机进行通信，即通常所说的C&C（Command&Control）通信，同时为了隐藏和保护僵尸网络的母体，僵尸网络往往采用域名速变技术，使得僵尸主机访问的域名对应到不同的当前在线代理主机，代理主机作为中间节点负责与僵尸网络母体通信。僵尸网络母体隐藏于代理主机的背后，难以被发现，而在线代理主机数目众多，分布广泛，难以被完全封杀，因此直接通过封杀僵尸网络母体或代理主机来控制僵尸网络的效果都不佳。而控制僵尸网络的域名可以有效地减轻僵尸网络的危害，2008年发现的僵尸网络Conficker，在微软、ICANN、中国互联网络信息中心、赛门铁克、环球域名有限公司等多家单位的合作下，通过封杀域名的方式阻断僵尸主机与代理主机之间的联系，从而遏制了Conficker的发展。

如何发现僵尸网络的域名，进而发现僵尸网络，迄今为止依然没有很好的办法。目前对速变攻击域名（英文术语的名称Fast Flux Domain）的检测主要从DNS报文的特征、节点服务可靠性以及网络服务内容特征等方面检测速变攻击网络的域名。如现有技术中已经提出的基于速变攻击网络可用性的检测方法和基于网页内容更新频率的检测方法。这些方法可以检测出特定域名是否为速变攻击网络的域名，但是对于及时发现较大局域网内是否有主机被僵尸网络感染存在问题。另外基于网络可用性的检测方法的结果误差较大，且易受到网络状态实时变化的影响，基于网页内容更新频率的检测方法其检测周期长，也难也及时发现并控制速变攻击网络域名。因此，现实中需要一个可以高效、实时的检测局域网内是否存在速变攻击网络的方法。

发明内容

本发明所要解决的技术问题是提供一种基于主机群特征检测速变攻击域名的方法，用于实现高效、实时地检测局域网内是否存在速变攻击域名。

本发明解决上述技术问题的技术方案如下：一种基于主机群特征检测速变攻击域名的方法，包括：

步骤1，将已有速变攻击域名和正常域名所对应的所有IP的属性作为训练参数，训练出分类器模型；

步骤2，捕获网络流量中的DNS（Domain Name System，域名系统）报文，提取出域名IP对元组数据，并将其存储到域名数据库模块；

步骤3，从域名数据库模块中取出域名IP对元组数据得到待检测的域名及其对应的所有IP，并计算每个域名对应的IP分散程度；

步骤4，根据步骤3的IP分散程度结果，对分散程度值超过阈值的域名进行服务可用性检测；

步骤5，将步骤3的IP分散结果和步骤4的服务可用性检测结果输入至步骤1训练出的分类器模型中进行分类，确定出速变攻击域名。

在上述技术方案的基础上，本发明还可以做如下改进。

进一步，所述步骤1具体包括:速变攻击域名分类器基于已有速变攻击域名和正常域名数据，采用贝叶斯分类器，以已有速变攻击域名和正常域名所对应的对应所有IP的属性作为为分类向量，训练出分类器模型，且所述IP的属性包括IP所属C类网络个数、平均在线率和最小服务可用率。

进一步，所述步骤2具体包括：域名数据采集器实时捕获网络流量中的DNS报文，经过协议解析，过滤出DNS返回报文中的IN报文，提取出域名IP对元组数据，并存储到域名数据库模块中。

进一步，所述域名IP对元组数据包括域名、域名对应的IP和报文捕获时间。

进一步，所述步骤3具体包括：在分类器训练完成后，在对速变攻击域名检测过程中，首先从域名数据库模块中取出每个待检测的域名，获得域名所对应的所有的IP，总数记作n_A，然后统计待检测域名所对应主机群IP所属C类网络个数n_c，则域名对应主机群IP的离散程度D为

其中ε为从训练的分类器中获得的阈值。

进一步，所述步骤4中具体包括：先周期性对所有可疑域名对应主机群的IP进行一次在线探测，并记录探测结果；探测t次之后，对每个可疑域名计算其对应主机群IP的平均在线率和最小服务可用率。