技術領域

本發(fā)明涉及網(wǎng)絡安全技術領域，具體而言涉及一種基于域名服務狀態(tài)分析的惡意域名檢測方法及裝置。

背景技術

隨著網(wǎng)絡技術的飛速發(fā)展和網(wǎng)絡時代的到來，網(wǎng)絡所蘊含的廣闊而豐富的資源，給人類社會帶來了很多便利。然而，就在人們的生活越來越依賴網(wǎng)絡的同時，由利益驅(qū)動而產(chǎn)生的網(wǎng)絡安全事件卻層出不窮，尤其在近幾年，僵尸網(wǎng)絡、域名放大分布式拒絕服務攻擊、掛馬等眾多安全事件嚴重影響了網(wǎng)絡的正常使用，也給社會各界帶來了極大的危害，因此對這些事件的檢測顯得額外的重要。

域名系統(tǒng)是當前互聯(lián)網(wǎng)重要的基礎設施之一，大量的網(wǎng)絡服務依賴于域名服務來開展。域名解析服務(DNS)將抽象的IP地址映射為易于記憶的域名，使互聯(lián)網(wǎng)用戶更加方便地訪問各種網(wǎng)絡資源，是互聯(lián)網(wǎng)體系結(jié)構中重要的基礎服務之一。由于域名系統(tǒng)并不對依托于其開展的服務行為進行檢測，DNS服務缺少惡意行為檢測能力，因此常常被惡意程序利用。為了檢測這些惡意事件，需要對惡意域名進行檢測。

現(xiàn)在已有的一些檢測惡意域名的技術常常依賴于黑白名單，通過明確地“允許”和“不允許”來限制用戶的訪問，從而實現(xiàn)“安全性”效果。然而，這樣的方法往往伴隨著大量誤報和漏報狀況，不同用戶環(huán)境、業(yè)務需求場景下適應性極差。

發(fā)明內(nèi)容

針對現(xiàn)有技術的不足，一方面，本發(fā)明提供一種基于域名服務狀態(tài)分析的惡意域名檢測方法，所述惡意域名檢測方法包括：獲取網(wǎng)絡中的通信數(shù)據(jù)；對所述通信數(shù)據(jù)進行解析，以提取出所述通信數(shù)據(jù)中涉及到的源主機的IP、所述源主機所查詢的域名以及查詢所述域名的時間；以及查詢域名風險等級數(shù)據(jù)庫，以確定所述源主機所查詢的域名是否存在于所述域名風險等級數(shù)據(jù)庫中，如果存在，則從所述域名風險等級數(shù)據(jù)庫中取出并呈現(xiàn)與所述域名相對應的風險等級結(jié)果，如果不存在，則對所述域名進行風險等級評估并呈現(xiàn)風險等級評估結(jié)果，其中，所述風險等級評估包括域名注冊信息關聯(lián)分析和故障監(jiān)測分析，所述域名注冊信息關聯(lián)分析和所述故障監(jiān)測分析分別被分配第一權重和第二權重，所述域名注冊信息關聯(lián)分析判定所述域名的注冊信息的全面性和/或真實性，并基于判定結(jié)果和所述第一權重計算所述域名的第一風險分值，所述故障監(jiān)測分析用于在所述域名的域名服務器發(fā)生故障時監(jiān)測對所述域名服務器發(fā)送重新查詢請求的主機數(shù)目，并基于監(jiān)測結(jié)果和所述第二權重計算所述域名的第二風險分值，所述風險等級評估結(jié)果的計算基于所述第一風險分值和所述第二風險分值。

在本發(fā)明的一個實施例中，所述風險等級評估還包括異常心跳分析，所述異常心跳分析被分配第三權重，所述異常心跳分析判定所述源主機在單位時間間隔內(nèi)對所述域名的查詢請求是否存在規(guī)律性，并基于判定結(jié)果和所述第三權重計算所述域名的第三風險分值，并且所述風險等級評估結(jié)果的計算還基于所述第三風險分值。

在本發(fā)明的一個實施例中，所述風險等級評估還包括高頻訪問名單分析，所述高頻訪問名單分析被分配第四權重，所述高頻訪問名單分析判定所述域名當前和在過去的預設時間段內(nèi)是否均在或者是否均不在所述源主機訪問頻率最高的前若干位域名名單內(nèi)，并基于判定結(jié)果和所述第四權重計算所述域名的第四風險分值，并且所述風險等級評估結(jié)果的計算還基于所述第四風險分值。

在本發(fā)明的一個實施例中，所述風險等級評估還包括子域名語義分析，所述子域名語義分析被分配第五權重，所述子域名語義分析判定所述源主機所查詢的域名的子域名是否具有實際意義，并基于判定結(jié)果和所述第五權重計算所述域名的第五風險分值，并且所述風險等級評估結(jié)果的計算還基于所述第五風險分值。

在本發(fā)明的一個實施例中，所述風險等級評估還包括搜索引擎收錄情況分析，所述搜索引擎收錄情況分析被分配第六權重，所述搜索引擎收錄情況分析判定所述域名是否被搜索引擎所收錄并分析搜索引擎對所述域名的網(wǎng)頁級別評分，并基于分析判定結(jié)果和所述第六權重計算所述域名的第六風險分值，并且所述風險等級評估結(jié)果的計算還基于所述第六風險分值。

在本發(fā)明的一個實施例中，所述風險等級評估還包括互聯(lián)網(wǎng)檔案館分析，所述互聯(lián)網(wǎng)檔案館分析被分配第七權重，所述互聯(lián)網(wǎng)檔案館分析用于在互聯(lián)網(wǎng)檔案館中查詢并分析所述域名的歷史活動記錄和/或歷史快照，并基于分析結(jié)果和所述第七權重計算所述域名的第七風險分值，并且所述風險等級評估結(jié)果的計算還基于所述第七風險分值。

在本發(fā)明的一個實施例中，所述惡意域名檢測方法還包括：在進行風險等級評估之后，將所述域名以及與所述域名相對應的所述風險等級評估結(jié)果錄入到所述域名風險等級數(shù)據(jù)庫中。