[发明专利]一种域名检测方法及系统

说明书

本发明涉及一种域名检测方法及系统。方法包括获取待检测的域名；根据所述待检测的域名确定在检测时间内所述待检测的域名在不同时刻的响应记录；根据所述待检测的域名在不同时刻的响应记录确定所述待检测的域名的域名特征；根据所述待检测的域名的域名特征，采用分类模型，确定所述待检测的域名的域名类别。本发明所提供一种域名检测方法及系统，提高了域名的检测效率，准确检测出恶意域名。

技术领域

本发明涉及计算机网络安全领域，特别是涉及一种域名检测方法及系统。

背景技术

近年来恶意程序的数量呈现逐年递增的趋势，并且越来越高级和复杂。网络入侵，如蠕虫、垃圾邮件、木马、拒绝服务攻击、重要信息窃取等，已成为网络空间巨大的威胁。攻击者常使用域名系统(Domain Name System，DNS)技术来隐藏其恶意行为，维护恶意网络自身的健壮，因为DNS在所有网络中都存在，并且通常不会被防火墙过滤。恶意程序在感染了主机后，通常和远程的命令与控制服务器连接，攻击者可以直接控制命令与控制服务器。如APT攻击(Advanced Persistent Threat，高级持续性威胁)、僵尸网络会通过远程的CC服务器(Command and Control Server，命令与控制服务器)下载最新的恶意程序，或者获取恶意指令；信息窃取等恶意程序会将窃取的信息发送给远程服务器等；垃圾邮件依赖DNS重定向网页。这些恶意程序常通过域名来访问远程服务器，而不用服务器的IP地址，因而域名在恶意行为中发挥着重要的作用。早期的恶意程序采用单个域名，这种方式存在单点失效问题，并且很容易被发现并被取缔。

为了防止单点失效，为了逃避检测，使得恶意网络更健壮，攻击者会采用fast-flux技术。fast-flux技术指成百上千个IP地址对应一个域名，当查询该域名时，返回不同的IP地址，并且IP地址会频繁变化，这些IP地址作为代理，重定向被感染主机和CC服务器之间的通信。如果某个IP地址被列入黑名单，其它IP地址的服务器仍然可以继续提供服务。通过加入新的IP地址，使得新的服务器很容易加入到恶意网络中。这种动态DNS技术使得入侵检测系统很难发现隐藏在代理主机之后的攻击者。

除此之外，恶意程序采用DGA(Domain Generation Algorithm，域名生成算法)，每天动态生成大量的域名，其中的一部分域名是被攻击者注册的有效域名，多个域名对应一个命令与控制服务器(CC服务器)的IP地址。被感染的主机查询大量自动生成的域名，并与其中少数几个建立连接。由于域名的数量很大，并且每天自动生成，因而很好地隐藏了攻击者的恶意网络。

当前恶意程序逃避机制是同时采用fast-flux和DGA技术。每天采用DGA算法自动生成域名，域名对应的IP地址不再是一个，而是多个代理主机的IP地址，这些代理主机负责重定向CC服务器和被感染主机之间的通信。采用这种逃避机制的恶意程序具有更强的灵活性和健壮性，更难被检测到。

现有的恶意域名检测方法可以分为以下两类：

(1)被动检测方法。通过采集DNS流量，解析并分析DNS查询和响应数据包，来检测恶意域名。

(2)主动检测方法。通过向攻击者的服务器发送数据，分析攻击者的响应结果数据，如响应时间延迟等，来检测恶意域名。

上述两类方法存在着如下局限性：

(1)被动检测方法，需要采集海量的DNS流量，解析DNS数据包，再对解析后的结果进行分析，缺点是计算量较大。

(2)主动检测方法，需要向攻击者的服务器发送数据，缺点是容易引起攻击者的主意，从而被攻击者发现。

可见，现有技术还不能有效的对域名进行检测，不能及时的发现恶意域名。

发明内容

本发明的目的是提供一种域名检测方法及系统，提高域名的检测效率，准确检测出恶意域名。

为实现上述目的，本发明提供了如下方案：