[发明专利]一种基于复杂网络的DNS分析方法

说明书

本发明涉及一种基于复杂网络的DNS分析方法，通过读取DNS数据并基于DNS数据进行预处理，基于此分别建立域名解析IP矩阵和源IP、访问域名及访问频次矩阵和源IP、解析IP矩阵，利用复杂网络查找社群，结合威胁情报库挖掘新的恶意域名、新的恶意IP或黑客团伙，最终将相关分析结论数据写入数据库。本发明采用复杂网络理论来发现网络中的社群，再与威胁情报库结合分析，既可以应用于大规模的DNS数据分析，也可以通过社群发现、进而高效挖掘、发现一些威胁情报库中没有的、未知的域名和IP，同时，由于相关社群的锁定是基于威胁情报库这类高可靠数据，故也避免了出现误报和漏报较高的现实情况。

技术领域

本发明涉及数字信息的传输，例如电报通信的技术领域，特别涉及一种基于复杂网络的DNS分析方法。

背景技术

复杂网络，是指具有自组织、自相似、吸引子、小世界、无标度中的部分或全部性质的网络，其主要表现有结构复杂、网络进化、连接多样性、动力学复杂性和节点多样性。

DNS是现代网络的基础，一旦基础网络出现问题，那么上层应用根本没有安全可言。

现有技术中，一般的DNS数据分析思维有如下几个步骤：

1.对域名进行批量查询其A记录、CNAME与泛解析；

2.分析域名是否采用了CDN、云防护等相关设备；

3.数据分析；

数据分析需要分析域名DNS解析后是否对应同一IP，一方面可以用来分析同一IP下有哪些网站，另一方面若该IP为恶意IP，则可以通过IP上对应的域名了解哪些网站的域名被恶意解析，随后判断哪些域名使用CDN、云防护之类产品或服务；

分析IP的地理位置，如政府类域名解析后，其IP地理位置一般都为其域名所有者所属地市，若发现存在非当地城市，则需要进行提取并分析，即使采用了CDN、云防护之类的产品，DNS解析后的IP地理位置应该也在国内，一般不会解析到国外的IP，若解析到国外，需要提取并分析；

把解析后得到的IP地址全部查询一下其IP的威胁情况，对恶意的IP上的域名进行提取并统计同一IP下的域名；

分析入侵目的；若恶意的IP上有黑客注册的网站，可提取网站备案的邮箱、QQ及域名相关的日志，尝试关联黑客身份信息。

现有技术中，也有一些对于DNS的分析方法，但这些方法或多或少存在不足之处。

如使用Wireshark等软件对DNS数据进行抓包解析，再进行深入的分析；这种分析对单个DNS日志的分析最为深入，但对动辄上亿的DNS日志，进行此类分析是不现实的，且一些攻击或威胁相关日志之间存在关联，这种方法难以对此类情况进行分析。

再如利用Spark等大数据平台和威胁情报库对DNS数据进行SQL数据筛选、匹配、分组、汇总等的分析操作，得到相关数据分析结果，这种方法是目前大数据框架下的常规DNS日志分析，应用范围也最广，由于是基本SQL数据操作，没有太大的技术门槛，但要挖掘出非威胁情报库的域名和IP是无法达成的。

也有基于机器学习识别恶意DGA域名，此主要是利用深度学习等一些分类算法来识别恶意DGA域名，但目前通过实际的DNS数据分析发现，一些云平台也会使用DGA算法产生域名用来CDN加速，并且很多恶意域名并不是采用DGA算法来生成，所以该方法也有较大的弊端。

综上，目前的DNS黑域名和黑IP发现主要基于网络安全知识，在目前的大数据量情况下，效率较低，且存在很多漏报的情况。

发明内容

本发明解决了现有技术中存在的问题，提供了一种优化的基于复杂网络的DNS分析方法，基于复杂网络的社群发现，并将其与情报库或其它相关数据分析结合，能够发现隐藏的其它黑IP和黑域名，能很好与传统方法相结合。