[发明专利]一种基于DNS映射IP的恶意域名匹配方法在审
| 申请号: | 201810375367.X | 申请日: | 2018-04-24 |
| 公开(公告)号: | CN108737385A | 公开(公告)日: | 2018-11-02 |
| 发明(设计)人: | 沈伟;范渊;李凯 | 申请(专利权)人: | 杭州安恒信息技术股份有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L12/26;H04L29/12 |
| 代理公司: | 杭州中成专利事务所有限公司 33212 | 代理人: | 周世骏 |
| 地址: | 310051 浙江省杭州*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 匹配 映射 数据包保存 流量采集模块 协议解析模块 域名识别模块 告警 后续分析 加密流量 模块保存 模块解析 模块识别 网络安全 域名访问 数据包 有效地 解析 搜集 采集 访问 研究 | ||
1.一种基于DNS映射IP的恶意域名匹配方法,其特征在于,具体包括下面步骤:
步骤一:搜集C&C域名:
搜集已知的C&C域名,形成恶意域名名单库;
所述恶意域名名单库是域名的集合;
步骤二:采集流量:
使用DPDK捕获流经网卡的全部IP协议流量数据包,用于后续分析;
步骤三:解析DNS流量:
对步骤二采集的IP协议流量数据包,先判断流量是否属于DNS协议:
如果是DNS协议,则按照DNS协议格式进行解析,解析得到相关信息,相关信息包括请求的域名、请求的时间、域名对应的IP地址和域名对应IP的TTL,然后进入步骤四;
如果不是DNS协议,则进入步骤五;
步骤四:识别DNS中的恶意域名:
判断DNS请求的域名是否属于恶意域名:
如果不属于恶意域名,则结束,不再进行后续步骤;
如果属于恶意域名,则判断域名对应的IP地址是否属于公网IP:如果是公网IP,则将该域名对应的IP地址加入恶意IP名单库,并记录有效时间,如果该域名对应的IP地址已经在恶意IP名单库中,则更新有效时间;如果不是公网IP,则结束,不再进行后续步骤;
所述恶意IP名单库是恶意域名对应的IP地址的集合,且每个恶意IP保存有效时间,对应的恶意域名;
所述有效时间是指请求的时间和域名对应IP的TTL;
步骤五:识别恶意IP:
对于不是DNS协议的流量,判断数据包中源IP和目的IP是否属于恶意IP名单库:
如果源IP和目的IP中至少有一个属于恶意IP名单库,则判断该数据包的时间是否在该恶意IP的有效时间内:如果在有效时间内,则进入步骤六;如果不在有效时间内,则结束,不再进行后续步骤;
如果源IP和目的IP都不属于恶意IP名单库,则结束,不再进行后续步骤;
步骤六:保存数据包:
以IP对为维度保存数据包:将源IP和目的IP相同或相反的数据包保存到同一个文件;
步骤七:解析识别协议:
先判断数据包是否是常用解析:
如果不是常用协议,则直接进行告警,告警信息包括访问时间、访问的源IP、访问的目的IP、恶意IP以及其对应的恶意域名、使用的端口和保存的数据包;
如果是常用协议,则按照相应协议规范进行解析还原,并产生告警,告警信息包括访问时间、访问的源IP、访问的目的IP、恶意IP以及其对应的恶意域名、使用的端口、保存的数据包、使用的协议和解析后的内容。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州安恒信息技术股份有限公司,未经杭州安恒信息技术股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201810375367.X/1.html,转载请声明来源钻瓜专利网。
