本發明提供了一種基于DGA異常域名的事件檢測系統及方法，包括：定義了基于DGA異常域名的事件檢測框架，設計了框架組成各模塊功能和事件檢測流程；設計了基于聚類和客戶端與服務器端連接分析的正常域名過濾方法，減少了DGA異常域名檢測結果的誤報；定義了DGA異常域名相關的兩類主要事件—僵尸網絡DGA遠控和DDoS攻擊的事件模型，實現了基于DGA異常域名的這兩種攻擊事件的檢測；提出了使用閾值判斷攻擊事件方法，從而實現了對基于DGA異常域名的事件的判定。本發明基于DGA異常域名檢測結果，設計基于聚類和客戶端與服務器端連接分析方法有效地過濾DGA異常域名中正常域名，建立攻擊事件抽象模型實現了對DNS攻擊事件檢測。

技術領域

本發明涉及網絡安全、人工智能領域，尤其涉及一種基于DGA(Domain GenerationAlgorithm，域名生成算法)異常域名的事件檢測系統及方法。

背景技術

現代僵尸網絡如Conficker、Kraken和Torpig，為繞過黑名單檢測，已經使用基于域名生成算法(DGA)生成的域名而不是固定域名或固定IP。由于通過可解析的DGA異常域名能找到僵尸網絡CC服務器的域名，因此，基于DGA異常域名的事件檢測發現僵尸網絡是一種有效的方法。DNS Query Flood是對DNS服務器發起的域名請求攻擊，一般使用DDoS攻擊方式，攻擊者通過控制多臺機器向DNS服務器發起上千個的隨機不可解析域名，造成DNS服務器服務質量下降。這種隨機不可解析域名由于與DGA異常域名一樣由隨機字符串構成，因此通過DGA異常域名檢測模型也能檢測出來。

目前出現了一些針對DGA異常域名檢測的研究工作，但由于DGA算法眾多并且真實環境下有些正常域名也具有隨機特征，會導致DGA異常域名檢測模型在實際環境中誤報率比較高。另外，如何基于DGA異常域名檢測結果進行進一步的攻擊事件分析，也是需要研究的問題。

目前有不少通過分析被動DNS流量檢測僵尸網絡中的DGA異常域名和其他惡意域名的方法。其中，對DGA惡意域名檢測的方法，大都利用機器學習模型，在數據集上有比較高的檢測率。而基于DGA異常域名進行僵尸網絡DGA遠控、DDoS攻擊等相關事件檢測，需要進一步結合流量的多方面特征進行綜合分析，相關研究還比較少見。另外，在實際應用中，內容分發網絡(CDN)服務商(如Amazon Cloudfront，ChinaNetCenter)會生成大量帶有隨機字符串的正常域名以提高網絡傳輸質量和速度。因此若將DGA異常域名檢測模型應用于實際流量中的域名檢測，將由于實際數據分布與數據集中的數據分布相差比較大，使得DGA異常域名檢測算法在真實環境中準確率下降。

發明內容

本發明技術解決問題：克服現有技術的不足，提供一種基于DGA異常域名的事件檢測系統及方法，基于聚類和客戶端與服務器端連接分析過濾DGA異常域名檢測結果中誤報的正常域名、建立攻擊事件抽象模型檢測攻擊事件、使用閾值進行事件判定，實現對DNS攻擊事件的準確檢測。

針對上述問題，本發明提出了一個基于DGA異常域名的DNS攻擊事件檢測方法，對DGA異常域名檢測模型判定的可疑DGA異常域名建立基于聚類和客戶端與服務器端連接分析模型進行正常域名過濾，并進一步根據僵尸網絡DGA遠控和DDoS攻擊的流量特征，建立事件抽象模型檢測攻擊事件，設定閾值對攻擊事件進行判定，檢測僵尸網絡DGA遠控和DDoS攻擊事件。本發明的創新點包括：

(1)提出一種基于DGA異常域名的僵尸網絡DGA遠控和DDoS攻擊事件檢測系統；

本發明提出基于DGA異常域名的事件檢測系統，對DGA異常域名檢測模型判定的流量進行事件分析和判定。系統包括建立了僵尸網絡DGA遠控和DDoS攻擊兩種攻擊事件抽象模型檢測攻擊事件，設定閾值進行事件判定，方法在實際環境中進行了檢驗，取得了良好效果。

(2)提出一種基于聚類和客戶端與服務器端連接分析的DGA異常域名中正常域名的過濾方法。