[发明专利]一种基于复杂网络的DNS分析方法

权利要求书

1.一种基于复杂网络的DNS分析方法，其特征在于：所述方法包括以下步骤：

步骤1：读取DNS数据；

步骤2：基于DNS数据中的域名和解析IP进行预处理；

步骤3：建立域名解析IP矩阵，利用复杂网络查找社群，结合威胁情报库挖掘新的恶意域名；

步骤4：基于DNS数据中的域名和源IP进行预处理；

步骤5：建立源IP、访问域名及访问频次矩阵，利用复杂网络查找社群，结合威胁情报库挖掘新的恶意IP；

步骤6：建立源IP、解析IP矩阵，利用复杂网络查找社群，挖掘新的恶意IP或黑客团伙；

步骤7：将相关分析结论数据写入数据库。

2.根据权利要求1所述的一种基于复杂网络的DNS分析方法，其特征在于：所述步骤2包括以下步骤：

步骤2.1：对DNS数据进行抽取，获得任一DNS的域名和解析IP；

步骤2.2：对同一域名但存在多个解析IP的进行展开；

步骤2.3：对域名进行去重，以去重后的域名建立新矩阵，新矩阵中的每个元素为一个域名与另一个域名具有相同IP的个数；

步骤2.4：对新矩阵进行取出操作，去除所有的0值，得到变换后的N×3维矩阵。

3.根据权利要求2所述的一种基于复杂网络的DNS分析方法，其特征在于：所述步骤2.1中，获得的域名进行回溯，得到真实域名。

4.根据权利要求2所述的一种基于复杂网络的DNS分析方法，其特征在于：所述步骤2.3中，新矩阵的行名和列名相同且一一对应；新矩阵的对角线的元素均为0。

5.根据权利要求2所述的一种基于复杂网络的DNS分析方法，其特征在于：所述步骤2.4中，N×3维矩阵的第一列和第二列为域名，第三列为第一列和第二列域名具有相同解析IP的个数。

6.根据权利要求2所述的一种基于复杂网络的DNS分析方法，其特征在于：所述步骤3包括以下步骤：

步骤3.1：基于建立的域名解析IP矩阵，利用复杂网络中的社群算法对数据框中第一列和第二列的所有域名进行社群划分；

步骤3.2：从Hive中抽取威胁情报数据，对所有的域名进行加密，并与威胁情报中加密的域名进行匹配，锁定恶意域名所在位置，同时得到与其具有相同IP的其它域名；

步骤3.3：以得到的匹配恶意域名锁定其在网络中的社群，根据其所在社群得到高疑似恶意域名，度量各个高疑似恶意域名的重要性，对各个高疑似恶意域名的重要性进行排名；

步骤3.4：从Elastic Search数据库中加载前期IoC分析得到的结果，抽取CC威胁类型的域名，并基于之前划分的社群及IoC分析，寻找其它恶意域名；

步骤3.5：对感兴趣的网络中的最大组件单独进行分析；

步骤3.6：以步骤3.2中的恶意域名、其他域名、步骤3.3中的高疑似恶意域名、步骤3.4中的其他恶意域名和步骤3.5的分析结果进行推送，可视化。

7.根据权利要求1所述的一种基于复杂网络的DNS分析方法，其特征在于：所述步骤4包括以下步骤：

步骤4.1：对DNS数据进行抽取，获得任一DNS的域名和源IP；

步骤4.2：获得的域名进行回溯，得到真实域名，对同一域名但解析出多个IP的进行展开；

步骤4.3：对域名进行去重并分组数据操作；

步骤4.4：得到一个新的基于源IP、访问域名及访问频次矩阵的N×3维矩阵。