[发明专利]基于DNS请求周期的恶意域名检测算法

说明书

本发明公开了一种基于DNS请求周期的恶意域名检测算法，所述的算法由流量预处理，周期性匹配算法和恶意域名检测部分组成，所述的流量预处理可以滤过有名的域名，周期性匹配算法将判定所访问域名的可疑性，本发明以1个月内流量特征(访问IP，访问时间，被访问域名，被访问IP)为输入，计算出被访问域名的可疑性，再通过检测，确定域名是否恶意，易于判断和监测流量异常情况。同时，本发明的周期性匹配算法适用于其他异常流量以及恶意域名的预检测中。

技术领域

本发明涉及基于DNS请求周期的恶意域名检测算法，尤其涉及对于DNS流量周期性特征的提取和匹配。

背景技术

随着网络的迅速发展，伴随着整个社会的网络化信息化的发展，愈来愈多的网络犯罪层出不穷，网络安全情况愈发的复杂，诸多攻击模式的出现如Botnet,ATP(AdvancedPersistent Threats)等日益趋向于攻击的隐蔽性，有效性，可持续运作性发展。人们发现许多时候，我们很难有效地发现各类慢性的网络攻击，等到症状明显，损失惨重之时发现则为时已晚。而病毒以及恶意行为随着技术的发展，越来越多的人们掌握了相关开发的技术，尽管市场上已经了许多反病毒软件以及安防系统，对于各类变种以及新技术引入的新漏洞难免会有漏网之鱼。就说现在发现的总量，截止2015年第二季度，熊猫公司的熊猫病毒实验室就发布了一份安全研究报告就显示，今天4月至六月间发现了2100万种新式的恶意软件，平均每天会发现23万中新恶意软件。其中70％多都是木马，而大多是新型的恶意软件都是由现有恶意软件的简单衍生变种而成，通过修改部分基本代码从而避开了反病毒软件的检测。由于网络安全意识以及社会原因，亚洲以及美洲是这些病毒的重灾区。木马以及PUP软件是前两种主要的感染对象。当前多余3/4的病毒感染来自于木马，木马被挂上则大多通过主机在不自觉的情况下访问恶意域名所致。如果在感染前期通过对流量特征进行筛选分析很大程度上屏蔽恶意域名，对企业级的大型机构的信息安全环境有很大的帮助。

在前期发现小型网站的攻击情况中，该类域名通常是主机最近才开始访问的，而且这些域名本身的生存的时间也很短。攻击者倾向于使用少见的网址进行不正当活动(感染主机，CC等等)。在2011年到2014年间，在某企业的总流量中检测出的14915个可疑域名都在Alexa最多使用的100万个域名之外。因此域名的存在周期和访问历史是在大流量中发现可疑域名的筛选条件之一。此外，攻击者为了逃避传统意义上的病毒检测，其攻击的流量量度较小混迹于正常流量之中；主机会在较短时间(几天甚至一天内)自动地访问相关网站，并且访问行为很大程度上有一定周期性。如果根据Jeffrey散度计算比对得出周期性的存在，那么则认为该域名可疑。

因此，本领域的技术人员致力于开发基于DNS访问行为周期性的恶意域名检测算法。

发明内容

有鉴于现有技术的上述缺陷，本发明所要解决的技术问题是如何利用DNS访问行为的周期性模式检测出恶意域名，在早期降低被木马入侵的可能性，提高企业级网络系统的监测性能。

本发明公开了一种基于DNS请求周期的恶意域名检测算法，包括以下步骤：

步骤1、采集DNS流量数据；

步骤2、判断每个域名的请求周期性，筛选出周期性较强的域名列表；

步骤3、判断上述域名列表中的域名是否为恶意域名。

进一步地，在步骤2中，判断每个域名的请求周期性包括以下步骤：

步骤2.1、使用spark针对步骤1中的DNS流量数据，进行数据统计，获得请求IP和域名对的时间序列；

步骤2.2、利用动态矩形比较法进行周期性匹配；

步骤2.3、结合匹配特征值Jeffrey散度来衡量概率分布间的距离，

步骤2.4、设定一个阈值，低于该阈值认为访问行为具有周期性。