本發明涉及網絡安全APT檢測領域，旨在提供一種基于規則的惡意域名所屬DGA家族的檢測方法。該種基于規則的惡意域名所屬DGA家族的檢測方法，用于對惡意域名進行分析與檢測，識別網絡中被攻擊的計算機設備所感染病毒的DGA家族。本發明通過對僵尸程序短時間里大量請求的異常域名的特征計算，將計算結果與已知的DGA算法生成的域名特征規則進行匹配，快速地識別當前網絡里的某一計算機設備感染的僵尸程序相關的DGA家族類型，有利于后續的網絡攻擊的追蹤溯源和僵尸程序的清除工作、補救措施的開展。

技術領域

本發明是關于網絡安全APT(Advanced Persistent Threat，高級持續性威脅)檢測領域，特別涉及一種基于規則的惡意域名所屬DGA家族的檢測方法。

背景技術

域名系統(Domain Name System，DNS)，互聯網業務的重要基礎設施之一，作為域名和IP地址相互映射的一個分布式數據庫，使用戶更加方便的連接、訪問互聯網，而不用去記住能夠被機器直接讀取的IP地址數字串。當前大多數互聯網應用在開展具體的業務前，都需要利用域名系統完成從域名到IP地址的尋址轉換。

作為網絡安全領域研究方向之一的Botnet(僵尸網絡，是指采用一種或多種傳播手段，將大量主機感染bot程序(僵尸程序，屬于惡意程序，例如：蠕蟲或者木馬病毒等)，從而在控制者和被感染主機之間所形成的一個可一對多控制的網絡)，大部分還是在利用DNS進行資源獲取、進行服務器定位、接收指令等。為了提高自身的生存能力，以及達到更好的隱藏和靈活效果，延長生存時間，這些Botnet利用了一些逃避檢測技術：DGA域名生成算法(Domain Generation Algorithm，通常也叫作DGA算法)，常用于僵尸程序與其控制者的C&C服務器(Command&Control，命令與控制)通訊，一般是使用一個私有的隨機字符串生成算法，使用日期或者其他可變參數作為隨機種子(即算法的輸入參數)，每個周期內(例如：每天、每周、每10天等)生成一些隨機字符串，然后攻擊者利用其中的一部分注冊為C&C服務器域名(稱為惡意域名或者DGA域名)，在惡意程序里面也按照同樣的算法生成這些隨機域名，然后惡意程序嘗試發起DNS域名解析請求，當請求解析某一域名返回成功后，惡意程序會繼續嘗試與域名解析返回的IP地址進行通信，若通信成功，則表示惡意程序找到了控制自己的C&C服務器，進一步執行其他操作，例如：從C&C服務器接收后續任務的指令，上傳已經獲取的內部網絡信息到C&C服務器等。

由于僵尸網絡有多種(通過DGA算法生成的域名進行通信的僵尸網絡也叫作DGA家族，一個DGA家族通常對應一個DGA算法，或者一組相似的DGA算法)，相應地，DGA算法也有多種，例如：conficker、virut、simda、mirai等等，生成的域名的特征也就不同，但是對同一個DGA域名生成算法生成的域名，在詞法方面會表現出相同或者相近的特征：SLD(SecondLevel Domain，二級域名)的長度(例如：是固定的一個長度，還是一個區間范圍)、SLD取值使用的字符集(即包含哪些可能的字母字符與數字字符)、TLD(Top Level Domain，一級域名)的取值范圍(例如，是一個固定的一級域名，還是多個可選的一級域名，或者是不確定的，由算法的輸入參數決定)等。

在檢測到網絡中可能被感染蠕蟲或者木馬病毒后，技術人員將進行網絡攻擊溯源，最終識別與清除病毒以及可能與其相關的僵尸網絡，采取可能的補救措施。不同的病毒，清除方法和補救措施可能不同，因此，識別網絡中的計算機設備被感染的病毒的DGA家族種類在整個網絡攻擊追蹤溯源過程中是非常重要的一步。

發明內容