[发明专利]一种恶意代码感染主机规模估计系统和方法

权利要求书

1.一种基于DNS缓存探测的恶意代码感染主机规模估计系统，其特征在于，包括以下模块：

DNS解析器搜索模块，用于在特定区域范围内搜索可用作探测的DNS解析器，该模块输出的每一个DNS解析器对应于一个可以进行恶意代码感染主机规模估计的网络域；

DNS探测模块，用于实时探测给定的一个或多个恶意代码的命令与控制域名在由所述DNS解析器搜索模块提供的DNS解析器中的缓存信息，作为恶意代码感染主机规模估计模块的输入。

恶意代码感染主机规模估计模块，基于所述DNS探测步骤的输出构建混合指数估计模型，估计给定的一个或多个恶意代码在由所述DNS解析器搜索模块提供的各DNS解析器所对应的网络域中感染主机的规模。

2.根据权利要求1所述的系统，其特征在于，所述DNS解析器搜索模块包括：

第一子模块，用于注册一个DNS域，并在该DNS域下注册域名d，其中域名d为非公开域名，即现有的网络应用不可能请求该域名；

第二子模块，用于向特定区域IPv4地址段中所有IP的udp53端口发送递归请求，查询域名d的A记录，并接收响应包；其中，记A₁为所有正确解析该递归请求的IP集合，其对应的主机能够提供正确的DNS解析服务；记A₂为所有向第一子模块中注册的所述DNS域的权威服务器做域名d的A记录查询的IP集合，其对应的主机排除了DNS转发器；记A₃＝A₁∩A₂，该集合包含的IP对应能提供正确DNS解析的DNS解析器；

第三子模块，用于等待域名d在A₃中各DNS解析器上缓存期满，即第二子模块的处理完成后等待时间t，t≥TTL_d，TTL_d为域名d的缓存时间；向A₃中所有IP的udp53端口发送非递归请求，查询域名d的A记录，并接收响应包，其中，记A₄为所有返回查询无结果的IP集合，A₄中的IP对应所述DNS解析器搜索模块输出的DNS解析器，排除了A₃中不区分递归请求和非递归请求的DNS解析器。

3.根据权利要求1或2所述的系统，其特征在于，所述DNS探测模块包括：

数据包构造解析子模块，用于构造关于给定的一个或多个恶意域名的非递归A记录查询请求包，并且解析DNS响应包，提取恶意域名在DNS解析器上的缓存信息，所述缓存信息由六元组构成，即探测时间t_p、恶意域名d、DNS解析器S、udp报文标识flag、缓存状态和剩余缓存时间T_l；

探测输出子模块，用于对所述数据包构造解析子模块获取的缓存信息进行加工，输出缓存更新间隔序列CRI。