技術領域

本發明涉及一種計算機網絡安全領域的僵尸網絡惡意域名檢測系統和方法，尤其涉及一種僵尸網絡惡意域名的分布式協同檢測系統和方法。

背景技術

計算機網絡是當今社會最為重要的信息設施，隨著社會的高速發展，人們對計算機網絡安全的要求也越來越高。僵尸網絡（Botnet）是指攻擊者制造并傳播僵尸程序以控制大量主機（通常所說的僵尸機或肉雞），利用命令和控制（Command?and?Control，C&C）通道組織成的網絡，僵尸網絡經常被用于發起分布式拒絕服務（Distributed?Denial-of-Service，DDoS）攻擊、發送垃圾郵件、傳播或托管惡意代碼和釣魚網站，或者實施身份信息竊取等攻擊。近年來，僵尸網絡已對計算機網絡安全和社會經濟構成了極大的威脅，成為網絡安全領域的重要問題，僵尸網絡攻擊相關的網絡刑事案件也頻頻出現于各種媒體之上。

現有的基于網絡通信監測的僵尸網絡檢測技術和方法，大多基于對僵尸網絡C&C通信常用的互聯網中繼聊天IRC（Internet?Relay?Chat）和HTTP（hypertext?transport?protocol）協議分析，以及僵尸網絡感染主機的攻擊等異常行為的檢測。總體看來，在現有的技術中，僵尸網絡檢測機制大多是對于特定監測點的流量特征和行為特征進行分析，局限于僵尸網絡在特定區域的活動。然而，僵尸網絡普遍具有克隆和遷移的現象，在一個監測點的僵尸網絡可能通過操作系統和軟件漏洞等途徑，傳播到另一個監測點的網絡中。因此，將分布在不同地區的監測點聯合起來進行協同檢測是快速、準確地發現和跟蹤僵尸網絡的有效手段。

Hadoop分布式文件系統HDFS（Hadoop?Distributed?File?System）被設計成適合運行在通用硬件（commodity?hardware）上的分布式文件系統。HDFS是一個高容錯性的系統，適合部署在廉價的機器上。HDFS能夠提供高吞吐量的數據訪問，非常適合大規模數據集上的應用。

因此，本發明致力于提供一種結合特定監測點的流量特征與行為特征的僵尸網絡惡意域名分布式協同檢測系統與檢測方法。

發明內容

有鑒于現有的僵尸網絡檢測方法的缺陷，本發明提出了一種僵尸網絡的分布式協同檢測系統和方法，利用HDFS將分布在不同監測點通過分析域名查詢周期性的僵尸網絡檢測程序結合，實現分布式協同檢測，從而提高僵尸網絡檢測和跟蹤的效率和準確性。

為實現上述目的，本發明提供了一種僵尸網絡惡意域名的分布式協同檢測系統，其特征在于，所述檢測系統包括多個協同檢測的對等節點，所述節點通過HDFS分布式文件系統共享文件；所述節點包括：

DNS日志分割模塊：用于將相同IP的查詢者的DNS日志分割到所述HDFS分布式文件系統的同一DNS日志文件中；

域名查詢周期性分析模塊：分析DNS日志文件中對某一域名的查詢是否具有周期性；

白名單過濾模塊：過濾已知的合法域名；

協同分析模塊：通過所述HDFS分布式文件系統實現獲取其他所述節點的分析結果，協同分析判斷：某一域名是否是惡意域名和某一IP地址是否是僵尸主機地址；

HDFS模塊：用于實現所述HDFS分布式文件系統；

黑名單查詢模塊：用于查詢發布的黑名單。

一種使用所述檢測系統的僵尸網絡的分布式協同檢測方法，其特征在于，所述檢測系統的每個所述節點通過共享所述HDFS分布式文件系統進行僵尸網絡的分布式協同檢測，所述檢測系統的一個所述節點通過所述HDFS分布式文件系統的檢測方法包括：

步驟一，將通過所述節點輸入的DNS日志通過所述節點內的所述DNS日志分割模塊進行分割，并且根據域名查詢者的IP地址，將IP地址相同的DNS日志通過所述HDFS模塊分類存儲到所述HDFS分布式文件系統的同一DNS日志文件中；

步驟二，對存儲到所述HDFS分布式文件系統中的DNS日志文件進行分配和標識，以達到一個DNS日志文件由所述檢測系統中的一個所述節點負責處理分析；

步驟三，過濾已知的合法域名：通過所述白名單過濾模塊對DNS日志文件中的合法域名進行過濾；

步驟四，在所述域名查詢周期性模塊中生產查詢行為對象：對過濾后的DNS日志文件，將每一條DNS日志生成一個查詢行為；

步驟五，在所述域名查詢周期性模塊中，對所述查詢行為以查詢者的IP地址為關鍵字進行分析，得出該查詢者IP地址的主機活動時間；