[发明专利]一种基于DNS请求数据的C＆C域名检测方法及装置

说明书

本发明实施例提供一种基于DNS请求数据的CC域名检测方法及装置，该方法包括：获取目标环境中的待检测DNS数据；提取所述待检测DNS数据中的域名文本特征，得到所述待检测DNS数据与域名文本特征的对应关系；利用所述域名文本特征对所述待检测DNS数据进行分组，得到N个DNS数据组；对N个所述DNS数据组进行周期性检测，得到周期性域名组；对所述周期性域名组进行DGA域名分类识别，得到周期性域名组的组内域名的DGA概率均值和标准差；获取所述周期性域名组的互联网信息特征，并利用所述DGA概率均值和所述标准差、所述互联网信息特征确定所述周期性域名组的组内域名是否为CC域名，能够全面长期的检测出CC服务器域名与具体通讯行为，有效的保证计算机通讯安全。

技术领域

本发明实施例涉及网络信息安全技术领域，具体涉及一种基于DNS请求数据的C＆C域名检测方法及装置。

背景技术

C＆C服务器(Command＆Control Server)，一般是指挥控制僵尸网络的主控服务器，用来和僵尸网络的每个感染了恶意软件(malware)的宿主机进行通讯并指挥它们的攻击行为。检测C＆C服务器域名一直是网络安全研究的重要部分。

目前对于C＆C域名的检测，现有的技术实现方案手段如下：

一种是基于域名特征的C＆C域名识别方案，把由DGA算法(域名生成算法)生成的C＆C域名和Alexa排名(网站的世界排名)前10万的合法域名作为正反例，生成可以有效识别两类域名的量化指标，并使用机器学习模型对域名类别进行判断。此种方法弊端主要是由DGA算法生成的C＆C域名包括的域名种类单一，因此模型对实际域名适用性差，且不能描述出具体的C＆C通讯行为。

另一种是基于周期性检测的恶意软件域名检测方案，将所有域名数据进行黑白名单过滤，对每个域名计算相邻请求时间间隔，统计每个时间间隔出现的次数，形成时间间隔集合，构成时间间隔直方图。比较当前直方图与预设周期性直方图的相似性，由此判断域名周期性，再通过合法与非法域名的分类器，对结果进行筛选。此种方法的弊端主要是只能检测单个域名的周期性，忽视了以C＆C域名组的方式进行通讯的行为；而且周期性判断方法过分依赖预设模板，适用性差。

因此，如何提供一种C＆C域名检测方案，能够全面、长期的检测出C＆C服务器域名与具体通讯行为，有效的保证计算机通讯安全，是本领域技术人员亟待解决的技术问题。

发明内容

为此，本发明实施例提供一种基于DNS请求数据的C＆C域名检测方法及装置，能够全面、长期的检测出C＆C服务器域名与具体通讯行为，有效的保证计算机通讯安全。

为了实现上述目的，本发明实施例提供如下技术方案：

第一方面，本发明实施例提供一种基于DNS请求数据的C＆C域名检测方法，包括：

获取目标环境中的待检测DNS数据，所述待检测DNS数据包括：DNS请求发起时间、主机IP、目标IP、请求的域名；

提取所述待检测DNS数据中的域名文本特征，得到所述待检测DNS数据与域名文本特征的对应关系；

利用所述域名文本特征对所述待检测DNS数据进行分组，得到N个DNS数据组，其中N为正整数；

对N个所述DNS数据组进行周期性检测，得到周期性域名组；

对所述周期性域名组进行DGA域名分类识别，得到周期性域名组的组内域名的DGA概率均值和标准差；

获取所述周期性域名组的互联网信息特征，并利用所述DGA概率均值和所述标准差、所述互联网信息特征确定所述周期性域名组的组内域名是否为C＆C域名。

优选地，所述获取目标环境中的待检测DNS数据，所述待检测DNS数据包括：DNS请求发起时间、主机IP、目标IP、请求的域名，包括：