本發(fā)明涉及域名陰影檢測技術領域，具體涉及一種基于DNS解析的域名陰影檢測方法和裝置，方法包括：獲取域名解析的DNS原始流量或PDNS數(shù)據(jù)，解析域名請求的特征數(shù)據(jù)并進行預處理，獲取特征數(shù)據(jù)向量流；以預設的滑動時間窗口為檢測周期對檢測特征數(shù)據(jù)向量流進行檢測統(tǒng)計，生成檢測特征向量流；利用多階段異常檢測模型組對檢測特征向量進行處理，逐步判斷子域名是否為疑似域名陰影；對疑似域名陰影進行匯聚，輸出疑似域名陰影的主域名、主機IP、受害人或組織以及證據(jù)向量，并寫入數(shù)據(jù)庫。本發(fā)明可以大規(guī)模分析實時的DNS請求流量，也可以分析離線的PDNS數(shù)據(jù)，通過多階段異常檢測模型組挖掘出潛在的域名陰影，極大的提高了分析效率。

技術領域

本發(fā)明涉及域名陰影檢測技術領域，具體涉及一種基于DNS解析的域名陰影檢測方法和裝置。

背景技術

臭名昭著的釣魚工具包Angler Exploit Kit使用了許多漏洞利用工具(含Oday)，以及一項名為“域名陰影(Domain Shadowing)”的新技術，將另一個知名惡意工具包BlackHole exploit kit完全擊敗，成為當前市面上最“先進”的釣魚攻擊裝備。攻擊者通過釣魚郵件或口令暴力破解方式盜取主域名擁有者的賬戶，并創(chuàng)建數(shù)以萬計用于惡意用途的子域名。然后，利用子域名指向惡意網(wǎng)站，或者直接在這些域名綁定的服務器上掛惡意代碼，進而通過域名陰影技術進行了大規(guī)模釣魚攻擊。這種惡意攻擊手法非常有效，子域名非常多、生命周期短暫且域名隨機分布。攻擊者一般并沒有明顯的目的。這讓遏止這種犯罪變得愈加困難，研究也變得十分不易。

現(xiàn)有技術中，對域名陰影的檢測時，通常采用人工對釣魚工具包Angler ExploitKit進行分析，或者對大規(guī)模釣魚事件進行分析，進而發(fā)現(xiàn)攻擊者利用Adobe Flash和Microsoft Silverlight漏洞為基礎，通過域名陰影技術進行了大規(guī)模釣魚攻擊。安全研究人員已經(jīng)發(fā)現(xiàn)了約1萬個這樣的子域名，其中大部分為全球目前最大的域名提供商GoDaddy的帳戶。此外，Liu等人在論文中提出了Woodpecker方法，通過對域名陰影的數(shù)據(jù)分析，發(fā)現(xiàn)兩個維度的特性：

(1)域名陰影和主域名下的合法子域名有較大的差異，例如IP、域名構成、服務器承載的業(yè)務、域名規(guī)模等；

(2)不同主域名下的域名陰影可能來自同一非法組織。

進而，Liu等人從這兩個維度提取了17個特征向量，并使用隨機森林訓練分類器對域名陰影進行建模。但是，由于作者提取的字段過于復雜，單個學習模型同時依賴在線和離線的數(shù)據(jù)，特別是作者為了平衡特征缺失的影響使用了隨機森林分類器，導致檢測性能和精度無法保證，并且算法缺少有效的檢測框架，實際工程應用存在較大的問題。

鑒于此，現(xiàn)有技術有待改進和提高。

發(fā)明內(nèi)容

為了解決上述技術問題，本發(fā)明提供了一種基于DNS解析的域名陰影檢測方法和裝置，解決了現(xiàn)有技術中對域名陰影檢測時存在的性能、精度和工程化等問題。

本發(fā)明是這樣實現(xiàn)的，提供一種基于DNS解析的域名陰影檢測方法，包括如下步驟：

1)獲取域名解析的DNS原始流量或PDNS數(shù)據(jù)，解析域名請求的特征數(shù)據(jù)，對解析后的特征數(shù)據(jù)進行預處理，獲取特征數(shù)據(jù)向量流；

2)以預設的滑動時間窗口為檢測周期對特征數(shù)據(jù)向量流進行檢測統(tǒng)計，生成檢測特征向量流，所述的檢測特征向量流提供兩種分析能力，即分別對于同一域名的分析和同一IP的分析；

3)利用多階段異常檢測模型組對檢測特征向量進行處理，逐步判斷子域名是否為疑似域名陰影；

4)對疑似域名陰影進行匯聚，輸出疑似域名陰影的主域名、主機IP、受害人或組織以及證據(jù)向量，并寫入數(shù)據(jù)庫。

優(yōu)選地，所述步驟1)具體為：