本發(fā)明公開了一種基于DNS請求周期的惡意域名檢測算法，所述的算法由流量預(yù)處理，周期性匹配算法和惡意域名檢測部分組成，所述的流量預(yù)處理可以濾過有名的域名，周期性匹配算法將判定所訪問域名的可疑性，本發(fā)明以1個(gè)月內(nèi)流量特征(訪問IP，訪問時(shí)間，被訪問域名，被訪問IP)為輸入，計(jì)算出被訪問域名的可疑性，再通過檢測，確定域名是否惡意，易于判斷和監(jiān)測流量異常情況。同時(shí)，本發(fā)明的周期性匹配算法適用于其他異常流量以及惡意域名的預(yù)檢測中。

技術(shù)領(lǐng)域

本發(fā)明涉及基于DNS請求周期的惡意域名檢測算法，尤其涉及對(duì)于DNS流量周期性特征的提取和匹配。

背景技術(shù)

隨著網(wǎng)絡(luò)的迅速發(fā)展，伴隨著整個(gè)社會(huì)的網(wǎng)絡(luò)化信息化的發(fā)展，愈來愈多的網(wǎng)絡(luò)犯罪層出不窮，網(wǎng)絡(luò)安全情況愈發(fā)的復(fù)雜，諸多攻擊模式的出現(xiàn)如Botnet,ATP(AdvancedPersistent Threats)等日益趨向于攻擊的隱蔽性，有效性，可持續(xù)運(yùn)作性發(fā)展。人們發(fā)現(xiàn)許多時(shí)候，我們很難有效地發(fā)現(xiàn)各類慢性的網(wǎng)絡(luò)攻擊，等到癥狀明顯，損失慘重之時(shí)發(fā)現(xiàn)則為時(shí)已晚。而病毒以及惡意行為隨著技術(shù)的發(fā)展，越來越多的人們掌握了相關(guān)開發(fā)的技術(shù)，盡管市場上已經(jīng)了許多反病毒軟件以及安防系統(tǒng)，對(duì)于各類變種以及新技術(shù)引入的新漏洞難免會(huì)有漏網(wǎng)之魚。就說現(xiàn)在發(fā)現(xiàn)的總量，截止2015年第二季度，熊貓公司的熊貓病毒實(shí)驗(yàn)室就發(fā)布了一份安全研究報(bào)告就顯示，今天4月至六月間發(fā)現(xiàn)了2100萬種新式的惡意軟件，平均每天會(huì)發(fā)現(xiàn)23萬中新惡意軟件。其中70％多都是木馬，而大多是新型的惡意軟件都是由現(xiàn)有惡意軟件的簡單衍生變種而成，通過修改部分基本代碼從而避開了反病毒軟件的檢測。由于網(wǎng)絡(luò)安全意識(shí)以及社會(huì)原因，亞洲以及美洲是這些病毒的重災(zāi)區(qū)。木馬以及PUP軟件是前兩種主要的感染對(duì)象。當(dāng)前多余3/4的病毒感染來自于木馬，木馬被掛上則大多通過主機(jī)在不自覺的情況下訪問惡意域名所致。如果在感染前期通過對(duì)流量特征進(jìn)行篩選分析很大程度上屏蔽惡意域名，對(duì)企業(yè)級(jí)的大型機(jī)構(gòu)的信息安全環(huán)境有很大的幫助。

在前期發(fā)現(xiàn)小型網(wǎng)站的攻擊情況中，該類域名通常是主機(jī)最近才開始訪問的，而且這些域名本身的生存的時(shí)間也很短。攻擊者傾向于使用少見的網(wǎng)址進(jìn)行不正當(dāng)活動(dòng)(感染主機(jī)，CC等等)。在2011年到2014年間，在某企業(yè)的總流量中檢測出的14915個(gè)可疑域名都在Alexa最多使用的100萬個(gè)域名之外。因此域名的存在周期和訪問歷史是在大流量中發(fā)現(xiàn)可疑域名的篩選條件之一。此外，攻擊者為了逃避傳統(tǒng)意義上的病毒檢測，其攻擊的流量量度較小混跡于正常流量之中；主機(jī)會(huì)在較短時(shí)間(幾天甚至一天內(nèi))自動(dòng)地訪問相關(guān)網(wǎng)站，并且訪問行為很大程度上有一定周期性。如果根據(jù)Jeffrey散度計(jì)算比對(duì)得出周期性的存在，那么則認(rèn)為該域名可疑。

因此，本領(lǐng)域的技術(shù)人員致力于開發(fā)基于DNS訪問行為周期性的惡意域名檢測算法。

發(fā)明內(nèi)容

有鑒于現(xiàn)有技術(shù)的上述缺陷，本發(fā)明所要解決的技術(shù)問題是如何利用DNS訪問行為的周期性模式檢測出惡意域名，在早期降低被木馬入侵的可能性，提高企業(yè)級(jí)網(wǎng)絡(luò)系統(tǒng)的監(jiān)測性能。

本發(fā)明公開了一種基于DNS請求周期的惡意域名檢測算法，包括以下步驟：

步驟1、采集DNS流量數(shù)據(jù)；

步驟2、判斷每個(gè)域名的請求周期性，篩選出周期性較強(qiáng)的域名列表；

步驟3、判斷上述域名列表中的域名是否為惡意域名。

進(jìn)一步地，在步驟2中，判斷每個(gè)域名的請求周期性包括以下步驟：

步驟2.1、使用spark針對(duì)步驟1中的DNS流量數(shù)據(jù)，進(jìn)行數(shù)據(jù)統(tǒng)計(jì)，獲得請求IP和域名對(duì)的時(shí)間序列；

步驟2.2、利用動(dòng)態(tài)矩形比較法進(jìn)行周期性匹配；

步驟2.3、結(jié)合匹配特征值Jeffrey散度來衡量概率分布間的距離，

步驟2.4、設(shè)定一個(gè)閾值，低于該閾值認(rèn)為訪問行為具有周期性。