[发明专利]基于C＆C域名分析的僵尸网络检测方法、装置、设备及介质

说明书

本发明提供一种基于C&C域名分析的僵尸网络检测方法、装置、设备及介质，方法包括：信息获取步骤，获取DNS日志记录；域名分析步骤，根据预先构建的域名分析器，检测DNS日志记录中的C&C域名，并判断每条C&C域名的所属类别；僵尸网络确定步骤，根据C&C域名及C&C域名的所属类别，确定是否存在僵尸网络。本发明提供的基于C&C域名分析的僵尸网络检测方法、装置、设备及介质，通过分析域名系统(Domain Name System，DNS)日志记录，提取攻击活动使用的C&C域名，进而分析寄生木马的类型，锁定C&C服务器已控制的僵尸主机，此外，利用分析每类C&C域名发生的泊松参数，分析僵尸网络活动的趋势，以实现及时制定有效的抑制措施。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于C&C域名分析的僵尸网络检测方法、装置、设备及介质。

背景技术

僵尸网络(Botnet)，是指攻击者或控制者(Botmaster)传播僵尸程序控制大量主机，并通过一对多的命令与控制信道所组成的网络，实现“向被控制计算机发送控制指令，指示寄生木马执行预定恶意动作”的目的。其中，称被控制计算机为肉鸡或僵尸主机或简称bot机，且图1为僵尸网络结构图。

目前，僵尸网络检测技术主要包括：入侵检测系统(IDS,Instruction DetectionSystem)、蜜罐技术和网络流量分析。

(1)入侵检测系统(IDS,Instruction Detection System)。IDS通过配置安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击行为，以及时锁定感染主机，保证网络系统资源的机密性和可靠性。但是，IDS适合局域网环境，只能找到曾被发现的僵尸网络。

(2)蜜罐技术。蜜罐技术通过刻意布置被攻击的目标引诱攻击，一旦攻击者入侵后，就可以跟踪攻击如何实施、分析攻击者之间的相互联系，获取他们的社交网络。但是，蜜罐技术需要大量部署，且容易被控制作为攻击跳板。

(3)网络流量分析。网络流量的研究思路是通过分析基于互联网中继聊天(Internet Relay Chat，IRC)协议的Botnet中僵尸主机的行为特征，将僵尸主机分为两类：长时间发呆型和快速加入型。具体来说，僵尸主机在Botnet中存在着三个比较明显的行为特征，一是通过蠕虫传播的僵尸程序，大量的被其感染的计算机会在很短的时间内加入到同一个IRC Server中；二是僵尸主机一般会长时间在线；三是僵尸主机作为一个IRC聊天的用户，在聊天频道内长时间不发言，保持空闲。流量分析可以找到部分僵尸主机，却因命令与控制服务器(Command and Control server，C&C服务器)随机生成的恶意域名大部解析失败不产生流量、网络的随机运行状态，很难及时准确地锁定整个互联网的僵尸主机、定位僵尸网络。

综上所述，现有的僵尸网络监测技术尚不能及时捕获攻击行为，锁定僵尸主机并定位僵尸网络。

发明内容

本发明要解决的技术问题是提供一种基于C&C域名分析的僵尸网络检测方法、装置、设备及介质，通过分析域名系统(Domain Name System，DNS)日志记录，提取攻击活动使用的C&C域名，进而分析寄生木马的类型，锁定C&C服务器已控制的僵尸主机，此外，利用分析每类C&C域名发生的泊松参数，分析僵尸网络活动的趋势，以实现及时制定有效的抑制措施。

第一方面，本发明实施例提供一种基于C&C域名分析的僵尸网络检测方法，包括：

信息获取步骤，获取DNS日志记录；

域名分析步骤，根据预先构建的域名分析器，检测DNS日志记录中的C&C域名，并判断每条C&C域名的所属类别；