[发明专利]基于DNS流量检测受感染主机和CC服务器的方法

说明书

本发明涉及一种基于DNS流量检测受感染主机和CC服务器的方法，构建训练集并训练识别随机域名的算法，采集经过任一网卡的DNS流量并解析得到DNS信息；利用识别随机域名的算法判断DNS信息中的域名是否为随机域名，是则判断域名是否解析成功的信息，解析失败则识别受感染主机，对受感染的主机进行信息保存，识别CC服务器，对CC服务器，进行信息保存，告警并保存告警信息、展现。本发明通过DNS流量信息有效识别被使用DGA算法进行回连的病毒、木马感染的主机以及其背后的CC服务器，精确度高，相比通过其他流量的检测手段，DNS流量要小很多，因而本发明的成本更低且效率更高。

技术领域

本发明涉及网络安全的技术领域，特别涉及一种网络安全APT(AdvancedPersistent Threat，高级持续性威胁)检测领域的基于DNS流量检测受感染主机和CC服务器的方法。

背景技术

检测受病毒、木马感染的主机和CC服务器（远程命令和控制服务器，是对受感染主机发出指令的服务器）一直是网络安全研究的重要部分，计算机在被病毒、木马感染后，往往会回连到CC服务器，获取新的指令或将获取到的机密内容传到CC服务器。

过去，病毒、木马常常使用固定的域名进行回连，这样是很容易被检测到的。然而，现在越来越多的病毒、木马使用DGA域名生成算法生成域名进行回连，在一个周期内，以日期等为种子产生数百甚至数千相对比较随机的域名进行逐个访问，然后攻击者利用其中的部分域名进行注册并指向CC服务器，当受感染主机访问到被攻击者注册的域名时，即回连成功，以此来躲避一些检测技术。

在访问域名的过程中，就必然会产生DNS流量，而DGA域名生成算法必然会出现很多访问失败的随机域名，本发明正是基于这一点来检查受感染主机和CC服务器。

发明内容

本发明的目的及时发现受感染主机以及背后的CC服务器，为实现上述技术问题，本发明提供一种基于DNS流量检测受感染主机和CC服务器的方法。

本发明所采用的技术方案是，一种基于DNS流量检测受感染主机和CC服务器的方法，所述方法包括以下步骤：

步骤1：构建训练集，训练得到识别随机域名的算法；

步骤2：利用流量采集模块采集经过任一网卡的DNS流量；

步骤3：对采集的DNS流量按照DNS协议规范进行解析，得到DNS信息；所述DNS信息包括域名、域名是否解析成功、客户端IP；

步骤4：利用步骤1得到的识别随机域名的算法判断DNS信息中的域名是否为随机域名，如是，进行下一步，如否，返回步骤2；

步骤5：判断域名是否解析成功的信息，如解析失败，进行下一步，如解析成功，进行步骤7；

步骤6：识别受感染主机；若是受感染的主机，则对信息进行保存，进行步骤8，否则返回步骤2；

步骤7：识别CC服务器；若是CC服务器，则对信息进行保存，进行步骤8，否则返回步骤2；

步骤8：告警，保存告警信息并展现；返回步骤2。

优选地，所述步骤1中，训练集包括正常域名和采用随机算法生成的随机域名。

优选地，所述识别随机域名的算法通过对域名长度、数字个数、字母数字交换频率、数字比例、连续字母的最大长度和特殊字符个数附以权重比例得出。

优选地，所述步骤3中，DNS信息还包括DNS服务器、请求的时间和解析成功的域名对应的实际服务器IP。

优选地，所述步骤6包括以下步骤：

步骤6.1：获得当前DNS信息的客户端IP；