[发明专利]一种基于DNS多特征的失陷主机检测方法

说明书

本发明涉及一种基于DNS多特征的失陷主机检测方法，所述方法包括以下步骤：步骤1)DNS数据包的解包和会话处理；步骤2)域名分类处理；步骤3)建立域名服务器名单；步骤4)数据特征抽取；步骤5)建训练数据集；步骤6)在实际运用中检验DNS请求；该方案能够定位可能产生问题的主机，达到全面定位的目的，提高定位的准确性。

技术领域

本发明涉及一种检测方法，具体涉及一种基于DNS多特征的失陷主机检测方法，属于主机检测技术领域。

背景技术

目前，随着互联网及相关系统被愈来愈多地应用，相应地，地下黑产也愈发兴盛，各种流氓软件、木马、勒索以及挖矿等相关恶意程序也在使用者不知情的情况下植入 其所使用的计算机，黑客们主要的目的是进行牟利(比如对关键文件进行加密，从而 对计算机的所有者进行敲诈，一般需要支付比特币等电子货币等方能对这些文档进行 解密)，当然也不排除有其它的目的入侵；对于被植入类似软件的主机，则被称作失 陷主机。

在计算机安全领域中，一项重要的工作就是对可能出现失陷的主机进行甄别、检测以及隔离，以防止其在办公网络，甚至是生产网络中进行扩散，造成不可挽回的损 失，一般对类似主机进行甄别的方法无非是从主机侧和网络侧进行；如从主机侧进行 识别，则需要安装专门用途的软件，如360、火绒等，而且一般这些软件是针对Windows 平台的，它们需要有实时更新的特征库，但在现实中Windows平台主机会感染各类有害 软件，即便是Linux平台主机也会被植入很多种类的恶意软件，如Lucky(一款撒旦木 马的变种)等，就是一款ELF格式的勒索软件+挖矿软件，故在网络侧对主机进行监测 就成为必须，但即便是通过网络活动进行监控，一般也依赖于如IDS、防火墙、防毒墙 等产品的检测特征库，无法对新型恶意软件特征进行及时的更新，所以导致效果大打 折扣，从而贻误战机，不能在第一时间降低恶意软件所带来的危害，从而导致数据泄 密、计算资源被滥用、重要文档被加密等严重后果。

那么是否可以不依赖于已知特征来对未知威胁进行检测？当然可以考虑使用沙箱技术来达到此目的，但沙箱技术一般是基于对已知协议(而且是非加密)的文件进行 还原，然后使其在沙箱中进行运行从而观察这些软件的行为来推断是否有害，可以看 出这里存在一些限制：第一，文件的还原必须依赖于非加密传输协议，如HTTP、FTP等， 以及非加密的邮件相关传输协议；第二，文件的还原必须依赖于已知的网络传输协议， 未知的传输协议则无法还原；第三，对于由其它介质传入的文件，如U盘等，一般无法 侦测并还原。通过上述分析，可以看出利用沙箱技术能够对一些未知威胁进行检测， 但存在很大的限制。

一般而言，类似木马、勒索软件、挖矿软件等都需要进行网络通讯，比如一般木 马软件需要和其控制中心通讯以进行更复杂的活动，而勒索软件需要通讯以获取密钥， 挖矿软件需要交换任务信息等，而且它们通讯的目的地一般是境外，故它们试图完全 销声匿迹是不可能的，从这个方面而言，通过对通讯数据的检测则应该能获取一些蛛 丝马迹；早期的一些恶意软件的通讯目的IP地址是被硬编码在代码中的，这就导致很 容易被相关检测软件所发现，故现代的恶意软件一般均是通过动态地址来进行通讯(不 过地址其实也是在有限范围内变化)，既然地址变化的，则需要使用域名来和之相对 应，故通过DNS请求也能进行检测，但随之而来的是黑客软件会使用动态生成算法域名 来不停变换域名，这导致对特定黑域名检测的手段也失效了。

现代的网络安全检查系统一般都配有动态生成域名检测模块，能在一定程度和一定范围内对类似域名进行检测，但其仍存在一些问题，主要表现在：

1.动态生成算法域名不一定都是黑客软件所为，一些正常的软件也会利用此技术；

2.动态生成算法域名检测依赖于训练集，故可能存在较大的误报，即如果是新的动态 生成算法出现，可能已有的训练结果就会无效；

3.对于恶意软件的非法通讯检测，如果仅对域名本身进行检测，而忽略其它方面，则 显得较为单一，误报和漏报的可能性往往较大。