一種僵尸網絡域名的檢測與處理方法及系統的制作方法

專利名稱：一種僵尸網絡域名的檢測與處理方法及系統的制作方法
技術領域：
本發明涉及一種域名檢測與處理方法及系統，特別涉及一種僵尸網絡域名的檢測與處理。
背景技術：
隨著社會信息化的發展，互聯網已經深入到社會生活的各個方面。因此，互聯網面臨的安全攻擊也愈發頻繁和嚴重。而作為互聯網最基本的尋址協議，DNS是幾乎所有互聯網應用得以順利開展的基礎，而其在設計之初未能充分考慮安全保障的缺陷及其完全開放的特點也使其成為各種惡意應用首選的攻擊目標或工具。僵尸網絡就是一種危害及其嚴重的互聯網惡意攻擊模式，而為了隱藏僵尸網絡的控制和命令端，DNS成為僵尸網絡近些年來進行通信的主流形式。其主要形式為Fast-flux服務網絡技術，Fast-flux服務網絡是由一些被控制的計算機系統組成，這些計算機系統的公共DNS記錄在持續變化，甚至有些時候每隔幾分鐘就變化一次。這種DNS記錄不斷變化的機制致使犯罪行為的追蹤和阻斷更為困難。因此，如何通過檢測手段，從DNS查詢日志中提取僵尸網絡域名，進行阻斷和隔離以打擊僵尸網絡犯罪的同時，對僵尸域名進行采集，進行其行為研究非常必要。

發明內容
本發明的目的是解決現有技術中僵尸網絡域名的檢測及處理的不足，提出適合僵尸網絡環境的域名特征，然后通過機器學習手段，到達從正常數據中提取僵尸網絡域名進而進行處理。為了到達上述目的，本發明的技術方案如下:一種僵尸網絡域名的檢測與處理方法，其步驟包括:I)對待檢測的網絡域名進行日志查詢，得到域名查詢日志記錄并輸入到檢測端Π ；2)根據所述域名查詢日志記錄提取得到域名特征，對所述域名特征進行機器學習；3)通過所述機器學習后提取出線上域名日志和/或本地域名日志中僵尸網絡域名；4)建立所述僵尸網絡域名數據庫通過黑洞權威服務器進行阻斷，完成處理。所述域名特征為:域名每日相似性、域名每小時重復模式、域名查詢IP分布、域名查詢類型數量、域名典型RR查詢比例和域名有效字符串長度比例。所述機器學習可通過如下方法實現:Bagging, Naive Bayes classifier和k—Nearest Neighbor algorithm。所述黑洞權威服務器阻斷僵尸網絡傳播的方法是:4-1)當所述遞歸服務器查詢所述僵尸網絡域名時，頂級服務器響應的NS記錄中包含該黑洞權威服務器的地址；4-2)該遞歸服務器再次向黑洞權威服務器發起DNS查詢時，所述黑洞權威服務器通過環回地址的方式阻止查詢。所述域名每日平均相似性計算方法如下:
權利要求
1.一種僵尸網絡域名的檢測與處理方法，其步驟包括: 1)對待檢測的網絡域名進行日志查詢，得到域名查詢日志記錄并輸入到檢測端口； 2)根據所述域名查詢日志記錄提取得到域名特征，對所述域名特征進行機器學習； 3)通過所述機器學習后提取出線上域名日志和/或本地域名日志中僵尸網絡域名； 4)建立所述僵尸網絡域名數據庫通過黑洞權威服務器進行阻斷，完成處理。
2.如權利要求1所述的僵尸網絡域名的檢測與處理方法，其特征在于，所述域名特征為:域名每日相似性、域名每小時重復模式、域名查詢IP分布、域名查詢類型數量、域名典型RR查詢比例和域名有效字符串長度比例。
3.如權利要求1所述的僵尸網絡域名的檢測與處理方法，其特征在于，所述機器學習可通過如下方法實現:Bagging, Naive Bayes Classifier 和 k-Nearest Neighboralgorithm。
4.如權利要求1所述的僵尸網絡域名的檢測與處理方法，其特征在于，所述黑洞權威服務器阻斷僵尸網絡傳播的方法是: 4-1)當所述遞歸服務器查詢所述僵尸網絡域名時，頂級服務器響應的NS記錄中包含該黑洞權威服務器的地址； 4-2)該遞歸服務器再次向黑洞權威服務器發起DNS查詢時，所述黑洞權威服務器通過環回地址的方式阻止查詢。
5.如權利要求2述的僵尸網絡域名的檢測與處理方法，其特征在于，所述域名每日平均相似性計算方法如下:
6.如權利要求2所述的僵尸網絡域名的檢測與處理方法，其特征在于，所述典型RR的查詢比例中查詢類型為:A、AAAA、NS和MX。
7.如權利要求2所述的僵尸網絡域名的檢測與處理方法，其特征在于，所述域名有效字符串長度比例通過計算連續字母和連續數字長度之和占據域名總長度的比例得到。
8.一種僵尸網絡域名的檢測與處理系統，包括: 用于輸入域名查詢日志的輸入模塊和輸出僵尸網絡域名的輸出模塊，和連接所述輸入模塊和輸出模塊的實時校驗模塊，所述實時校驗模塊用于所述僵尸網絡域名提取并對該些僵尸網絡域名進行機器學習，以及用于阻斷僵尸網絡傳播的處置模塊； 所述實時校驗模塊根據僵尸網絡域名特征對所述僵尸網絡進行域名提取。
所述處置模塊由至少一黑洞權威服務器組成。
9.如權利要求8所述的僵尸網絡域名的檢測與處理系統，其特征在于，所述處置模塊中黑洞權威服務器還連接:DNS中遞歸服務器和頂級權威服務器。
10.如權利要求8所述的僵尸網絡域名的檢測與處理系統，其特征在于，所述實時校驗模塊中用于所述僵尸網絡域名提取特征為:域名每日相似性、域名每小時重復模式、域名查詢IP分布、域名查詢類型數量、域名典型RR查詢比例和域名有效字符串長度比例。
全文摘要
本發明涉及一種僵尸網絡域名的檢測與處理方法與系統，由輸入模塊、輸出模塊、實時校驗模塊和處置模塊的組成的系統，其方法為1)對待檢測的網絡域名進行日志查詢，得到域名查詢日志記錄并輸入到檢測端口；2)根據所述域名查詢日志記錄提取得到域名特征，對所述域名特征進行機器學習；3)通過所述機器學習后提取出線上域名日志和/或本地域名日志中僵尸網絡域名；4)建立所述僵尸網絡域名數據庫通過黑洞權威服務器進行阻斷，完成處理。本發明能夠從DNS查詢日志中提取僵尸網絡域名，進行阻斷和隔離以打擊僵尸網絡犯罪的同時，對僵尸域名進行采集，有效阻止了僵尸主機利用域名連接控制端進而接收惡意指令的網絡不良行為。
文檔編號H04L12/26GK103152442SQ20131003920
公開日2013年6月12日 申請日期2013年1月31日 優先權日2013年1月31日
發明者延志偉 申請人:中國科學院計算機網絡信息中心