[发明专利]一种基于DNS映射IP的恶意域名匹配方法

说明书

本发明涉及网络安全，旨在提供一种基于DNS映射IP的恶意域名匹配方法。该种基于DNS映射IP的恶意域名匹配方法包括步骤：搜集C&C域名、流量采集模块采集流量、DNS解析模块解析DNS流量、恶意域名识别模块识别DNS中的恶意域名、恶意IP识别模块识别恶意IP、数据包保存模块保存数据包、协议解析模块解析识别协议。本发明可以有效地对访问恶意域名的行为进行告警，包括匹配非web的恶意域名访问行为，同时对非常用协议或加密流量进行数据包保存供后续分析研究。

技术领域

本发明是关于网络安全领域，特别涉及一种基于DNS映射IP的恶意域名匹配方法。

背景技术

病毒、木马在感染设备后，往往会通过回连访问命令与控制服务器(C&C服务器)，以获取新的指令或上传窃取的信息，回连访问C&C服务器通常用有固定域名、固定IP、DGA域名等方式。

传统的恶意域名恶意IP检测手段主要是对使用固定域名和固定IP的回连行为进行域名、IP匹配，而大多数恶意域名匹配系统都只匹配了web中的域名，但是事实上，使用固定域名的回连远不止web协议，还有很多其他的协议甚至自己实现的socket连接。

很多病毒往往是将固定域名通过DNS实时解析成对应的IP，然后直接对这个IP进行访问，所使用的协议、端口各式各样，也可以是完全自己实现的socket连接。通过这种方式实现的回连，尤其是域名对应的IP经常变化的时候，即使是拥有这些已知病毒的固定回连域名，传统只匹配web中域名的方法也依然检测不到。

发明内容

本发明的主要目的在于克服现有技术中的不足，提供一种能对已知恶意域名的访问行为进行匹配告警，同时能对非常用协议或加密流量进行数据包保存的方法。为解决上述技术问题，本发明的解决方案是：

提供一种基于DNS映射IP的恶意域名匹配方法，具体包括下面步骤：

步骤一：搜集C&C域名：

搜集已知的C&C域名(从国内外多个安全网站上搜集已知的C&C域名)，形成恶意域名名单库；

所述恶意域名名单库是域名的集合(已知的被黑客利用的域名，后续需要持续更新加入新的恶意域名并删除已经无效的域名)；

步骤二：采集流量(流量采集模块)：

使用DPDK捕获流经网卡的全部IP协议流量数据包，用于后续分析；

步骤三：解析DNS流量(DNS解析模块)：

对步骤二采集的IP协议流量数据包，先判断流量是否属于DNS协议：

如果是DNS协议，则按照DNS协议格式进行解析，解析得到相关信息，相关信息包括请求的域名、请求的时间、域名对应的IP地址和域名对应IP的TTL(域名解析的生命周期)，然后进入步骤四；

如果不是DNS协议，则进入步骤五；

步骤四：识别DNS中的恶意域名(恶意域名识别模块)：

判断DNS请求的域名是否属于恶意域名：

如果不属于恶意域名，则结束，不再进行后续步骤；

如果属于恶意域名，则判断域名对应的IP地址是否属于公网IP：如果是公网IP，则将该域名对应的IP地址加入恶意IP名单库，并记录有效时间，如果该域名对应的IP地址已经在恶意IP名单库中，则更新有效时间；如果不是公网IP，则结束，不再进行后续步骤；

所述恶意IP名单库是恶意域名对应的IP地址的集合，且每个恶意IP保存有效时间，对应的恶意域名(恶意IP名单库是恶意域名名单库根据DNS流量，把域名和IP对应起来后形成的，这个域名和IP的对应是有有效时间的)；