本發明涉及一種基于DNS流量檢測受感染主機和CC服務器的方法，構建訓練集并訓練識別隨機域名的算法，采集經過任一網卡的DNS流量并解析得到DNS信息；利用識別隨機域名的算法判斷DNS信息中的域名是否為隨機域名，是則判斷域名是否解析成功的信息，解析失敗則識別受感染主機，對受感染的主機進行信息保存，識別CC服務器，對CC服務器，進行信息保存，告警并保存告警信息、展現。本發明通過DNS流量信息有效識別被使用DGA算法進行回連的病毒、木馬感染的主機以及其背后的CC服務器，精確度高，相比通過其他流量的檢測手段，DNS流量要小很多，因而本發明的成本更低且效率更高。

技術領域

本發明涉及網絡安全的技術領域，特別涉及一種網絡安全APT(AdvancedPersistent Threat，高級持續性威脅)檢測領域的基于DNS流量檢測受感染主機和CC服務器的方法。

背景技術

檢測受病毒、木馬感染的主機和CC服務器（遠程命令和控制服務器，是對受感染主機發出指令的服務器）一直是網絡安全研究的重要部分，計算機在被病毒、木馬感染后，往往會回連到CC服務器，獲取新的指令或將獲取到的機密內容傳到CC服務器。

過去，病毒、木馬常常使用固定的域名進行回連，這樣是很容易被檢測到的。然而，現在越來越多的病毒、木馬使用DGA域名生成算法生成域名進行回連，在一個周期內，以日期等為種子產生數百甚至數千相對比較隨機的域名進行逐個訪問，然后攻擊者利用其中的部分域名進行注冊并指向CC服務器，當受感染主機訪問到被攻擊者注冊的域名時，即回連成功，以此來躲避一些檢測技術。

在訪問域名的過程中，就必然會產生DNS流量，而DGA域名生成算法必然會出現很多訪問失敗的隨機域名，本發明正是基于這一點來檢查受感染主機和CC服務器。

發明內容

本發明的目的及時發現受感染主機以及背后的CC服務器，為實現上述技術問題，本發明提供一種基于DNS流量檢測受感染主機和CC服務器的方法。

本發明所采用的技術方案是，一種基于DNS流量檢測受感染主機和CC服務器的方法，所述方法包括以下步驟：

步驟1：構建訓練集，訓練得到識別隨機域名的算法；

步驟2：利用流量采集模塊采集經過任一網卡的DNS流量；

步驟3：對采集的DNS流量按照DNS協議規范進行解析，得到DNS信息；所述DNS信息包括域名、域名是否解析成功、客戶端IP；

步驟4：利用步驟1得到的識別隨機域名的算法判斷DNS信息中的域名是否為隨機域名，如是，進行下一步，如否，返回步驟2；

步驟5：判斷域名是否解析成功的信息，如解析失敗，進行下一步，如解析成功，進行步驟7；

步驟6：識別受感染主機；若是受感染的主機，則對信息進行保存，進行步驟8，否則返回步驟2；

步驟7：識別CC服務器；若是CC服務器，則對信息進行保存，進行步驟8，否則返回步驟2；

步驟8：告警，保存告警信息并展現；返回步驟2。

優選地，所述步驟1中，訓練集包括正常域名和采用隨機算法生成的隨機域名。

優選地，所述識別隨機域名的算法通過對域名長度、數字個數、字母數字交換頻率、數字比例、連續字母的最大長度和特殊字符個數附以權重比例得出。

優選地，所述步驟3中，DNS信息還包括DNS服務器、請求的時間和解析成功的域名對應的實際服務器IP。

優選地，所述步驟6包括以下步驟：

步驟6.1：獲得當前DNS信息的客戶端IP；