[发明专利]一种基于DNS映射IP的恶意域名匹配方法

摘要

本发明涉及网络安全，旨在提供一种基于DNS映射IP的恶意域名匹配方法。该种基于DNS映射IP的恶意域名匹配方法包括步骤：搜集C&C域名、流量采集模块采集流量、DNS解析模块解析DNS流量、恶意域名识别模块识别DNS中的恶意域名、恶意IP识别模块识别恶意IP、数据包保存模块保存数据包、协议解析模块解析识别协议。本发明可以有效地对访问恶意域名的行为进行告警，包括匹配非web的恶意域名访问行为，同时对非常用协议或加密流量进行数据包保存供后续分析研究。

主权项

1.一种基于DNS映射IP的恶意域名匹配方法，其特征在于，具体包括下面步骤：步骤一：搜集C&C域名：搜集已知的C&C域名，形成恶意域名名单库；所述恶意域名名单库是域名的集合；步骤二：采集流量：使用DPDK捕获流经网卡的全部IP协议流量数据包，用于后续分析；步骤三：解析DNS流量：对步骤二采集的IP协议流量数据包，先判断流量是否属于DNS协议：如果是DNS协议，则按照DNS协议格式进行解析，解析得到相关信息，相关信息包括请求的域名、请求的时间、域名对应的IP地址和域名对应IP的TTL，然后进入步骤四；如果不是DNS协议，则进入步骤五；步骤四：识别DNS中的恶意域名：判断DNS请求的域名是否属于恶意域名：如果不属于恶意域名，则结束，不再进行后续步骤；如果属于恶意域名，则判断域名对应的IP地址是否属于公网IP：如果是公网IP，则将该域名对应的IP地址加入恶意IP名单库，并记录有效时间，如果该域名对应的IP地址已经在恶意IP名单库中，则更新有效时间；如果不是公网IP，则结束，不再进行后续步骤；所述恶意IP名单库是恶意域名对应的IP地址的集合，且每个恶意IP保存有效时间，对应的恶意域名；所述有效时间是指请求的时间和域名对应IP的TTL；步骤五：识别恶意IP：对于不是DNS协议的流量，判断数据包中源IP和目的IP是否属于恶意IP名单库：如果源IP和目的IP中至少有一个属于恶意IP名单库，则判断该数据包的时间是否在该恶意IP的有效时间内：如果在有效时间内，则进入步骤六；如果不在有效时间内，则结束，不再进行后续步骤；如果源IP和目的IP都不属于恶意IP名单库，则结束，不再进行后续步骤；步骤六：保存数据包：以IP对为维度保存数据包：将源IP和目的IP相同或相反的数据包保存到同一个文件；步骤七：解析识别协议：先判断数据包是否是常用解析：如果不是常用协议，则直接进行告警，告警信息包括访问时间、访问的源IP、访问的目的IP、恶意IP以及其对应的恶意域名、使用的端口和保存的数据包；如果是常用协议，则按照相应协议规范进行解析还原，并产生告警，告警信息包括访问时间、访问的源IP、访问的目的IP、恶意IP以及其对应的恶意域名、使用的端口、保存的数据包、使用的协议和解析后的内容。