本发明专利技术在网络信息安全领域提供了一种基于频次特征的恶意域名判定方法。其特征在于提出融合多纬度频次特征评价体系,综合高频解析域名分析以及查询搜索引擎收录情况分析,进行评估恶意域名风险级别,从而检测网络攻击的方法。目前已有的依据单一条件判断域名为恶意域名,存在误报率较高,急需解决这种情况。该方法采用融合多纬度频次特征评价体系,作用是为不同的等级判定条件分配不同权重,根据各条件所占权重对域名进行总体评估,得到该域名为恶意域名的风险等级百分制分数,然后判定是否为恶意域名。
【技术实现步骤摘要】
本专利技术属于网络信息安全领域,涉及一种恶意域名判定方法,具体涉及一种基于频次特征的恶意域名判定方法。
技术介绍
近年来,网络攻击屡见不鲜,网络信息安全至关重要。网络攻击者通过多种方法进入目标主机,窃取用户信息。攻击者进入目标主机后,通常使用恶意域名回连控制端服务器。这个行为模式是攻击者给予防御者的一个最重要发现和检出机遇。我们可以基于恶意域名(恶意域名:包含C&C域名、僵尸网络域名,RAT域名等)频次特征检测,判定主机是否受到了攻击。在目前已有的一些恶意域名检测网络攻击事件的技术之中,采用的方法是:校验网络流量中与网络域名对应的域名系统应答数据包的生存时间小于预先设置的时间阈值,则判定该网络域名为疑似僵尸网络域名;如果网络流量中与网络域名对应的域名系统应答数据包所应答的网络协议IP组中各个IP地址的差异度大于预设的差异度阈值,则判定该网络域名为疑似僵尸网络域名;接受用户终端的携带有第一统一资源定位符的安全性查询请求,在N条域名安全性记录中查询是否有匹配,若有匹配记录并且安全性记录指出这一域名为恶意域名,则判定该网络域名为恶意域名;或者将域名通过DNS解析为对应IP地址,基于IP地址与预先收集的恶意DNS对应的IP地址进行匹配,若匹配则判定该网络域名为恶意域名。但这些基于恶意域名检测攻击事件的技术存在一定的局限性,所以本方案提出一种基于融合多纬度频次特征评价体系,来评估恶意域名的风险级别,从而判定恶意域名,进而检测网络攻击的方法。
技术实现思路
为了及时发现网络攻击事件,减少因为网络攻击所带来的损失,本专利技术的目的是提供一种基于融合多纬度频次特征评价体系评估恶意域名风险级别,从而检测网络攻击的方法。我们不仅仅依据单一条件判断域名为恶意域名,因为单一条件的误报率普遍较高,所以我们采用融合多纬度频次特征分析的方式,为不同等级判定条件分配不同权重,根据各条件所占权重,对该域名进行总体评估,得出一个该域名为恶意域名的风险等级百分制分数(0为正常域名,100为恶意域名,分数越高,检测域名为恶意域名的可能性越大),依据分数来判定恶意域名。本专利技术所采用的技术方案是:基于融合多纬度频次特征评价体系评估恶意域名风险级别,从频次特征的角度来判定恶意域名。方案首先对域名服务器查询日志进行分析,从两个方面综合评估域名的风险等级。第一阶段,统计各主机常用域名Top10,根据统计学规律和各个主机上网的规律,周期性的统计各主机常用域名Top10,一般情况下,Top10的名单基本不会变,说明上网情况稳定,若Top10的排名发生了改变,则相应的增加风险分值。同时还采用了域名故障监测分析,当域名主机出现响应故障时,监控网段中大部分主机都会重新发送查询请求,若此时只有单一固定的几台主机定法发送该域名的查询请求,则该域名为恶意域名的可能性较大,因为正常域名在日常情况中是被广泛访问的,若其出现故障,重新访问该域名的用户占比会高于平均值,但若是攻击端的恶意域名其只与监控网络中的一台或几台被控主机有通讯需求,故其产生的重新请求查询量是相对较少的,或具有来源单一性,从而判断可能遭受攻击。第二阶段,查询搜索引擎收录情况。搜索引擎通常对当前活动的域名有收录功能,而对于那些零收录的域名,我们认为其为恶意域名的可能想较大,应增加相应的风险分值。另外,我们同时也可以将GooglePR、搜狗PR的评分列为参考对象,认为那些评分较低,特别是0分域名,应增加其风险分值。在这一基础上,我们还增加了互联网档案查询:archiv.org。对于已下线网站,目前搜索引擎已经不再收录,但archive.org还能检索到历史snapshot。我们可以根据对其活动时间,活动行为,历史snapshot的分析判定其是否有恶意域名的嫌疑,比如一个域名活动一段时间,销声匿迹之后,又发生了活动,那么我们认为它是可疑的,根据频次特征计入相应风险分值。综合两个阶段的分析结果,运用合适的加权算法计算出域名的总体风险等级分数,判定一个域名的风险等级,而当我们发现内网主机与我们认为风险等级较高的域名发生通信的时候,就能判定该主机有很大的可能已经遭受了攻击,以便及早判断攻击的发生,才能采取相应的防御措施,减少攻击造成的损失和后果。本专利技术基于频次特征的恶意域名判定方法的技术特点:1.方案采用融合多纬度频次特征评价体系评估恶意域名风险级别,减少依据单一条件判断所发生的误报率。多种判断源设定不同的风险等级来实现对恶意域名的判断,这样可以减少偶然性和误报情况,同时也增强域名风险等级评估系统的自适应性,可根据不同环境要求,动态更改恶意域名判断源,从而达到定制化域名风险等级评估。2.恶意域名判定不依赖黑白名单。本方案中恶意域名的判定不依赖于黑白名单,黑白名单的机制被广泛的应用,一部分原因是因为它的“简单粗暴”,通过明确的允许和不允许限制用户的访问实现的“安全性”效果往往伴随着大量误报和漏报状况,不同用户环境、业务需求场景下适应性极差。但本方案中不是基于已有黑白名单限制访问,而是通过系统评估动态生成域名风险等级数据库,既可以提醒用户访问域名的风险等级,也可以依据具体用户情况设定响应联动策略阻止对高风险域名的访问。3.本方案可发现未知恶意域名。本方案的设计使得未知域名通过域名风险等级评估系统综合评估后,可以得到一个风险等级的百分制分数,该分数的大小标志着该未知域名的风险等级情况,通过数据知识设定的风险评级标准可以发现新恶意域名,应对新型的网络攻击。附图说明图1是本专利技术基于频次特征的恶意域名判定方法中域名风险等级评估架构图;图2是本专利技术判定方法中基于风险等级评估的恶意域名检测流程图;图3是本专利技术判定方法中基于频次特征的风险分析流程图。具体实施方式下面结合附图和具体实施方式对本专利技术进行详细说明。本专利技术恶意域名判定方法的域名风险等级评估系统中,我们分别从两个方面进行综合评估域名的风险等级,其结构如图1所示。第一阶段,高频解析和域名分析。划分时间段,周期性的统计各主机常用域名Top10,根据统计学规律和各个主机上网的规律,周期性的统计各主机常用域名Top10,一般情况下,Top10的名单基本不会改变,说明上网情况稳定,若Top10的名单发生了较大的改变,则认为该时间段内主机的“行为”较平时出现了异常,很有可能是遭受了攻击,主机频繁的与控制端通信引发的,计入相应风险分值。这一阶段还采用了域名故障监测分析,当域名主机出现响应故障时,监控网段中大部分主机都会重新发送查询请求,若此时只有单一固定的几台主机定法发送该域名的查询请求,则该域名为恶意域名的可能性较大,因为正常域名在日常情况中是被广泛访问的,若其出现故障,重新访问该域名的用户占比会高于平均值,但若是攻击端的恶意域名其只与监控网络中的一台或几台被控主机有通讯需求,故其产生的重新请求查询量是相对较少的,或具有来源单一性,从而判断可能遭受攻击,计入风险分值。第二阶段,查询搜索引擎收录情况分析。搜索引擎通常对当前活动的域名有收录功能,也就是说所有当前活动的页面都是可以被搜索引擎爬取到的,而对于那些零收录的域名,也就是不能被搜索引擎爬取到的域名,我们认为其为恶意域名的可能性较大,应增加相应的风险分值。另外,我们同时也可以将GooglePR、搜狗PR的评分列为参考对象,P本文档来自技高网...
【技术保护点】
一种基于频次特征的恶意域名判定方法,其特征在于,提出一种融合多纬度频次特征评价体系评估恶意域名风险级别;其中:高频解析域名分析,用于分析域名频次特征;对多种判断源设定不同的风险等级来实现对恶意域名的判定,用于降低偶然性和误报情况;多纬度频次特征的评价体系增强域名风险等级评估系统的自适应性,可根据不同环境要求,动态更改恶意域名判断源,用于定制化域名风险等级评估;由评价体系对域名风险等级数据库设定分值,涉及到的有两大方面,四个环节,这四个环节依据不同情况权重设定分值。
【技术特征摘要】
1.一种基于频次特征的恶意域名判定方法,其特征在于,提出一种融合多纬度频次特征评价体系评估恶意域名风险级别;其中:高频解析域名分析,用于分析域名频次特征;对多种判断源设定不同的风险等级来实现对恶意域名的判定,用于降低偶然性和误报情况;多纬度频次特征的评价体系增强域名风险等级评估系统的自适应性,可根据不同环境要求,动态更改恶意域名判断源,用于定制化域名风险等级评估;由评价体系对域名风险等级数据库设定分值,涉及到的有两大方面,四个环节,这四个环节依据不同情况权重设定分值。2.根据权利要求1中所述的基于频次特征的恶意域名判定方法,其特征是,恶意域名判定不依赖黑白名单;判定通过系统评估动态生成的域名风险等...
【专利技术属性】
技术研发人员:不公告发明人,
申请(专利权)人:绵阳灵先创科技有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。