基于云计算的恶意域名检测系统技术方案

一种基于云计算的恶意域名检测系统，包括传感器、外部数据采集模块、数据存储模块、资源交换与共享模块、检测模块、检测接口和提交接口；传感器用于监测和压缩DNS数据，并通过提交接口提交至数据存储模块；外部数据采集模块用于定期下载外部数据并上传至数据存储模块；检测模块用于存储检测算法和进行域名检测；资源交换与共享模块用于控制加入资源共享计划的数据。用户通过检测接口可以共享资源共享计划中的数据，并向检测模块提出检测算法或域名检测请求。本发明专利技术提高了检测效率，降低了用户成本，并在研究机构、安全厂商和政府网络管理部门具有广泛的应用前景。

Malicious domain name detection system based on Cloud Computing

A malicious domain detection system based on cloud computing, including external sensor, data acquisition module, data storage module, resource sharing and exchange module, detection module, interface detection and submission interface; sensor for monitoring and DNS data compression, and submitted to the data storage module through the submission interface; external data acquisition module is used for periodically download external the data and upload it to the data storage module; the detection module is used for storing detection algorithm and domain detection; resources sharing and exchange module is used to control the added resource sharing plan data. The user can share the data in the resource sharing plan through the detection interface, and propose the detection algorithm or domain name detection request to the detection module. The invention improves the detection efficiency, reduces the user cost, and has wide application prospect in the research institutions, the security manufacturers and the government network management department.

【技术实现步骤摘要】
基于云计算的恶意域名检测系统
本专利技术涉及一种恶意域名的检测系统，尤其涉及一种基于云计算的恶意域名检测系统。
技术介绍
当前木马、病毒、僵尸网络普遍使用域名定位,钓鱼网站也通常采用相似域名进行欺骗。目前，各种恶意域名的检测算法主要包括：非法域名识别方法及装置（专利号为201110382578.4）、仿冒域名检测方法及设备（专利号为201210104110.3）、异常域名检测方法及系统（专利号为200910237594.7）、一种Domainflux僵尸网络域名检测（专利号为201210475596.1）、基于域名构造特征的木马网页检测（专利号为201110146967.7）、检测僵尸网络中控制主机域名的方法、装置和系统（专利号为201010109069.X）、Systemsandmethodsforidentifyingmaliciousdomainsusinginternet-widednslookup（WO2011143542A1）和Methodandsystemfordetectingmaliciousdomainnamesatanupperdnshierarchy（US20120198549A1）。现有的恶意域名检测算法存在着一定的局限性，主要表现在：检测数据源单一，在单一数据源检测产生的结果通用性差；缺乏数据协同，多源数据协同可提高检测效率，包括精度和速度；对于恶意域名检测需要机构/用户自己构建检测系统，开销过大；在SIE系统中并无恶意域名检测算法，仅提供资源记录的存储和查询服务；用户无法随机读取整个SIE数据库，基于SIE数据的挖掘需要产生大量的API查询，效率极低。因此，本领域的技术人员致力于专利技术一种基于云计算的恶意域名检测系统，以完成全球性协作的DNS（DomainNameSystem，域名系统）流量采集、存储和挖掘系统，实现对恶意域名的挖掘和SaaS（Software-as-a-service，软件运营）云服务的需求。
技术实现思路
有鉴于现有技术的上述缺陷，本专利技术所要解决的技术问题是提供一种基于云计算的恶意域名检测系统。为实现上述目的，本专利技术提供了一种基于云计算的恶意域名检测系统，其特征在于，包括传感器、外部数据采集模块、数据存储模块、资源交换与共享模块、检测模块、检测接口和提交接口；所述传感器用于监测和压缩DNS数据；所述外部数据采集模块用于定期下载各类外部数据；所述数据存储模块用于存储所述DNS数据和所述外部数据；所述检测模块用于存储检测算法和进行域名检测；所述资源交换与共享模块用于控制加入资源共享计划的数据；所述传感器分布在网络的各处，通过所述提交接口将所述DNS数据上传至所述数据存储模块；所述外部数据采集模块将下载到的所述外部数据上传至所述数据存储模块；用户通过所述检测接口向所述检测模块提出检测算法或域名检测请求。进一步第，所述检测模块包括检测算法库和域名检测子模块；所述检测算法库用于存储检测算法；所述域名检测子模块用于根据所述检测算法库的检测算法进行域名检测。进一步地，所述DNS数据包括网络内的DNS流量和关键类型的资源记录。进一步地，所述外部数据包括Alexa网站的排名数据、IP/域名黑名单和白名单数据以及所述数据存储模块中存在的域名和IP的WHOIS信息、DNSBL(DomainNameSystemBlackList域名系统黑名单)信息和BGP（BorderGatewayProtocol，边界网关协议）信息。进一步地，所述检测系统还包括第一共享接口和第二共享接口；所述第一共享接口位于所述数据存储模块；所述第二共享接口位于所述检测算法库。进一步地，所述资源交换与共享模块通过所述第一共享接口控制所述数据存储模块加入资源共享计划的内容；通过所述第二共享接口控制所述检测算法库加入所述资源共享计划的检测算法。进一步地，所述检测算法库包括用户自己编写的检测算法和加入所述资源共享计划的检测算法。进一步地，用户通过所述检测接口将自己的检测算法编写成检测脚本提交到所述检测模块中。进一步地，用户通过所述检测接口查看域名的检测运行状态和进度，以及下载检测运行结果。进一步地，所述传感器的数量为一个或多个。本专利技术的一种基于云计算的恶意域名检测系统建立了一个广泛协作的云端DNS数据采集、存储与检测框架，数据来自各地的DNS流量观测，检测结果具有全球视野；云端自动采集WHOIS、Alexa排名、黑白名单等数据，本系统用户无需自行重复抓取这些常用的辅助信息；基于云端的资源共享技术，加入共享计划的机构可共享数据资源和检测结果；直接在云端数据挖掘框架内运行检测算法，无需通过API（ApplicationProgrammingInterface,应用程序编程接口）下载云端数据到本地运算，大幅提高运行效率，也降低了用户成本。本专利技术在研究机构，安全厂商，政府网络管理部门具有广泛的应用前景。并且SaaS服务能够节省用户开销，并基于云的辅助提供更好的检测能力，提供数据资源共享计划，以帮助改进检测效率。SIE建立了一个全球性的“被动DNS”数据库，“被动DNS”存储了DNS流量中提取的关键类型资源记录，DNS流量中监测到的资源记录，可根据用户的查询返回匹配的资源记录，形成全球范围协作的框架。以下将结合附图对本专利技术的构思、具体结构及产生的技术效果作进一步说明，以充分地了解本专利技术的目的、特征和效果。附图说明图1是本专利技术的一种基于云计算的恶意域名检测系统的结构示意图。具体实施方式下面结合附图对本专利技术的实施例作详细说明，本实施例在以本专利技术技术方案前提下进行实施，给出了详细的实施方式和具体的操作过程，但本专利技术的保护范围不限于下述的实施例。本专利技术的一种基于云计算的恶意域名检测系统具体如图1所示，包括：传感器Sensor、外部数据采集模块、数据存储模块、资源交换与共享模块、检测模块、检测接口、提交接口和2个共享接口。其中，检测模块包括域名检测子模块和检测算法库。传感器Sensor为多个，其主要用于监测本网络内的DNS数据。其中，DNS数据包括网络内的DNS流量、关键类型的资源记录（例如A、AAAA、NS、CNAME、MX、……）。传感器还需对一定时间段内的资源记录进行聚合、数据压缩并将压缩后的数据通过提交接口提交到数据存储模块。聚合资源记录是将完全相同资源记录进行合并，并添加时间戳。外部数据采集模块用于采集和定期下载外部数据，外部数据包括：Alexa排名数据、常用的IP/域名黑名单和白名单数据、数据存储模块中已有的域名和IP的WHOIS信息、DNSBL信息和BGP等信息。并将外部数据传输至数据存储模块。数据存储模块用于存储通过提交接口得到的来自于传感器Sensor的DNS数据，以及存储外部数据采集模块定期下载到的外部数据。资源交换和共享模块通过第一共享接口控制加入资源共享计划的数据存储模块的内容，通过第二共享接口控制加入资源共享计划的检测算法库中的内容。数据存储模块和检测算法库通过资源交换和共享模块经审批加入资源共享计划，开放自身的数据或检测算法等内容，并通过第一共享接口和第二共享接口享有访问DNS数据、外部数据和检测算法等共享资源访问权限。由于资源共享计划，大幅提高了恶意域名的检测效率。所述检测算法库用于存储不同的检测本文档来自技高网...

【技术保护点】
一种基于云计算的恶意域名检测系统，其特征在于，包括传感器、外部数据采集模块、数据存储模块、资源交换与共享模块、检测模块、检测接口和提交接口；所述传感器用于监测和压缩DNS数据；所述外部数据采集模块用于定期下载各类外部数据；所述数据存储模块用于存储所述DNS数据和所述外部数据；所述检测模块用于存储检测算法和进行域名检测；所述资源交换与共享模块用于控制加入资源共享计划的数据；所述传感器分布在网络的各处，通过所述提交接口将所述DNS数据上传至所述数据存储模块；所述外部数据采集模块将下载到的所述外部数据上传至所述数据存储模块；用户通过所述检测接口向所述检测模块提出检测算法或域名检测请求；其中，所述检测模块包括检测算法库和域名检测子模块；所述检测算法库用于存储检测算法；所述域名检测子模块用于根据所述检测算法库的检测算法进行域名检测；所述检测系统还包括第一共享接口和第二共享接口；所述第一共享接口位于所述数据存储模块；所述第二共享接口位于所述检测算法库；所述资源交换与共享模块通过所述第一共享接口控制所述数据存储模块加入所述资源共享计划的内容；通过所述第二共享接口控制所述检测算法库加入所述资源共享计划的检测算法。...

【技术特征摘要】
1.一种基于云计算的恶意域名检测系统，其特征在于，包括传感器、外部数据采集模块、数据存储模块、资源交换与共享模块、检测模块、检测接口和提交接口；所述传感器用于监测和压缩DNS数据；所述外部数据采集模块用于定期下载各类外部数据；所述数据存储模块用于存储所述DNS数据和所述外部数据；所述检测模块用于存储检测算法和进行域名检测；所述资源交换与共享模块用于控制加入资源共享计划的数据；所述传感器分布在网络的各处，通过所述提交接口将所述DNS数据上传至所述数据存储模块；所述外部数据采集模块将下载到的所述外部数据上传至所述数据存储模块；用户通过所述检测接口向所述检测模块提出检测算法或域名检测请求；其中，所述检测模块包括检测算法库和域名检测子模块；所述检测算法库用于存储检测算法；所述域名检测子模块用于根据所述检测算法库的检测算法进行域名检测；所述检测系统还包括第一共享接口和第二共享接口；所述第一共享接口位于所述数据存储模块；所述第二共享接口位于所述检测算法库；所述资源交换与共享模块通过所述第一共享接口控制所述数据存...

【专利技术属性】
技术研发人员：邹福泰，万天琦，易平，吴越，
申请(专利权)人：上海交通大学，
类型：发明
国别省市：上海,31