[发明专利]基于DNS数据分析的域名查询与解析异常检测系统及方法

说明书

本发明是基于DNS数据分析的域名查询与解析异常检测，尤其涉及域名解析协议，属于互联网领域，目的是为了解决变化的恶意攻击行为以及DNS的恶意域变化的恶意攻击行为等问题。本发明包括搜索引擎查询主域名地址，收集域名信息，对DNS记录批量查及数据入库和数据分析，提供有关DNS查询和响应方面的客户端的详细信息；对得到的信息数据预处理，通过聚类分析获得时间特征进行解析，从而得到判断网络状态的数据并对数据进行最后的分析处理。域名查询与解析异常检测能寻找出更具描述性的特征，针对当前网络攻击的动态性和复杂性，使DNS的恶意域检测更为清晰，判断准确。

技术领域

本发明是基于DNS数据分析的域名查询与解析异常检测系统及方法，尤其涉及域名解析协议，属于互联网领域。

背景技术

域名解析协议是互联网的重要组成部分，它将难以通信的互联网协议地址映射到易于记忆的域名，从而提供全球性的、分布式的，以及基于关键字的重定向服务。与其他方法相比，通过分析DNS数据来检测恶意域具有许多优点：首先，DNS数据仅构成整个网络流量的一小部分，缓存有助于进一步减少需要分析的数据量，甚至能直接分析进入顶级域名的DNS流量。其次，DNS流量包含大量有意义的特征，可以被用来识别与恶意活动相关的域名。大量的特征和流量数据使得DNS流量成为应用于安全环境的各种机器学习技术的主要候选者。最后，由于恶意攻击行为在DNS数据中遗留了一些痕迹，研究人员能够在早期甚至攻击发生之前就发现恶意活动。

DNS异常检测是动态监视计算机系统或网络中发生的事件的过程，分析它们是否存在可能或已经导致入侵发生的恶意域。由于大多数传统识别技术都无法应对计算机网络上的网络攻击的动态性和复杂性，DNS异常检测通常需要通过自动从各种系统和网络源收集信息，然后分析信息以找到可能存在的安全问题来完成。域名系统是用于计算机、服务或连接到互联网的任何资源的分层分布式命名系统。通过提供全球性的、分布式的重定向服务，DNS成为了互联网的重要组成部分。随着网络流量和网络拓扑的复杂性不断增加，DNS服务中经常会出现问题。

关于DNS异常检测研究现状，Jung等人提出了一种通过DNS查询流量检测SMTP客户端异常的新方法。Lshibashi等人提出了一种通过研究ISP DNS来发现垃圾邮件发件人的方法。但在某种情况下，DNS本身可能是互联网攻击的一部分，如DDoS和DNS缓存中毒。

Wang等人提出了一种数学方法来检测全国范围内对互联网的大规模攻击，通过建立协方差矩阵，记录在不同时间戳处的两个不同省份发生的查询量之间的协方差。平均协方差矩阵表示正常情况，如果当前协方差矩阵显著偏离平均协方差，则可能发生异常事件。此方法适用于全国范围内的攻击，但是未能检测到针对特定域名的攻击。Xu等人改进了RIPPER算法以检测僵尸网络，僵尸网络通常用于恶意活动，例如DDoS、垃圾邮件、网络钓鱼等。该算法在发现访问量较少的域名方面优于传统算法，例如功能匹配或统计方法。

Ji等人提出了一种基于k均值聚类的算法来聚类IP地址和域名的时间行为，最后将域名分为四个聚簇。该方法并非比较不同域名上产生的流量，而是对一组派生变量进行聚类，例如DNS请求总数、源IP数量，以及两个DNS请求之间的平均时间间隔等，最后也得出了有趣的结果。

Cui等人探索了各种现有的数据挖掘方法，并提出了两种新方法，从庞大的DNS日志数据中挖掘出有用的模式。首先，提出了一种频繁情节的挖掘算法，通过预测传入的查询量来检测异常。其次，利用DBSCAN聚类算法将查询量时间序列的数据划分为聚类，并对每个聚类进行进一步分析和研究。最后，提出了一种在查询序列数据库中发现一致情节的方法。

国内外基于DNS的恶意域检测算法非常丰富，不过随着时间的推移，变化的恶意攻击行为迫使研究人员需要寻找更具描述性的特征，即使用从高维数据中自动获取知识的机器学习方法。开发用于检测恶意域的大多数方法都是以数据驱动，其核心是机器学习算法。

发明内容