技術領域

本發明涉及網絡通信安全領域，特別是涉及一種惡意代碼感染主機規模估計系統和方法。

背景技術

準確有效地獲取惡意代碼感染主機的規模，對深入分析和研究其傳播機理和對互聯網的破壞程度有著重要意義。不幸的是，盡管這些寶貴的信息對于惡意代碼的早期防范和態勢評估十分必要，但網絡管理員出于某些因素的考慮，往往不愿透露其網絡內的惡意代碼感染情況。為了了解惡意代碼的感染情況，一種常用的辦法是在用戶主機部署信息采集的客戶端，例如：采用瀏覽器插件的形式記錄用戶主機訪問的URL。然而，這種手段面臨隱私保護問題。一方面，用戶因不愿意被監控而不配合部署該類客戶端，這極大地影響了數據的完整性；另一方面，這種主機端監控方式可能被利用作為后門程序，造成嚴重的安全隱患。

發明內容

針對現有技術的不足，本發明的目的在于提出一種基于DNS緩存探測的特定區域惡意代碼感染主機規模估計方法。該方法通過對特定區域范圍內DNS解析器進行探測，收集惡意域名在各個DNS解析器中的緩存信息，并基于該信息構建混合指數估計模型，估計惡意代碼在相應網絡域中感染主機的規模。

本發明的技術方案為：

一種基于DNS緩存探測的惡意代碼感染主機規模估計系統，包括以下模塊：

DNS解析器搜索模塊，用于在特定區域范圍內搜索可用作探測的DNS解析器，該模塊輸出的每一個DNS解析器對應于一個可以進行惡意代碼感染主機規模估計的網絡域；

DNS探測模塊，用于實時探測給定的一個或多個惡意代碼的命令與控制域名在由所述DNS解析器搜索模塊提供的DNS解析器中的緩存信息，作為惡意代碼感染主機規模估計模塊的輸入。

惡意代碼感染主機規模估計模塊，基于所述DNS探測模塊的輸出構建混合指數估計模型，估計給定的一個或多個惡意代碼在由所述DNS解析器搜索模塊提供的各DNS解析器所對應的網絡域中感染主機的規模。

在另一實施例中，本發明提出了一種基于DNS緩存探測的惡意代碼感染主機規模估計方法，包括以下步驟：

DNS解析器搜索：在特定區域范圍內搜索可用作探測的DNS解析器，輸出的每一個DNS解析器對應于一個可以進行惡意代碼感染主機規模估計的網絡域；

DNS探測：實時探測給定的一個或多個惡意代碼的命令與控制域名在由所述DNS解析器搜索步驟提供的DNS解析器中的緩存信息，作為惡意代碼感染主機規模估計模塊的輸入。

惡意代碼感染主機規模估計：基于所述DNS探測步驟的輸出構建混合指數估計模型，估計給定的一個或多個惡意代碼在由所述DNS解析器搜索步驟提供的各DNS解析器所對應的網絡域中感染主機的規模。

本發明具有以下有益的效果：

首先，無需在用戶主機安裝任何客戶端，不涉及隱私保護也不造成額外的安全問題；其次，無需捕獲各個網絡的出口流量，無需任何的授權，易于部署和實施；最后，開銷適度，提供一種輕量級的網絡安全態勢監控工具，具有很強的實用性。

附圖說明

圖1為基于DNS緩存探測的特定區域惡意代碼感染主機規模估計系統模塊圖；

圖2為DNS解析器搜索模塊處理流程圖；

圖3為DNS緩存探測原理圖。

具體實施方式

以下結合附圖對本發明的技術方案進行詳細說明。

參見圖1所示，基于DNS緩存探測的特定區域惡意代碼感染主機規模估計系統包含DNS解析器搜索模塊、DNS探測模塊和惡意代碼感染主機規模估計模塊。

DNS解析器搜索模塊，用于在特定區域范圍(例如地理區域，如指定的國家、省、市)內搜索可用作探測的DNS解析器。該模塊輸出的每一個DNS解析器對應于一個可以進行惡意代碼感染主機規模估計的網絡域。

DNS探測模塊，用于實時探測給定的一個或多個惡意代碼的命令與控制域名在由DNS解析器搜索模塊提供的DNS解析器中的緩存信息，作為惡意代碼感染主機規模估計模塊的輸入。

惡意代碼感染主機規模估計模塊，基于模塊DNS探測模塊的探測記錄，估計給定的一個或多個惡意代碼在各DNS解析器所對應的網絡域中感染主機的規模。

下面，具體介紹各個模塊的原理和流程。

如圖2所示，DNS解析器搜索模塊采用如下步驟，在特定區域范圍內搜索可用作探測的DNS解析器。

(1)注冊一個DNS域，并在該DNS域下注冊域名d。域名d為非公開域名，即現有的網絡應用不可能請求該域名。