[发明专利]一种基于DNS解析的域名阴影检测方法和装置

权利要求书

1.一种基于DNS解析的域名阴影检测方法，其特征在于，包括如下步骤：

1)获取域名解析的DNS原始流量或PDNS数据，所述PDNS数据指被动DNS数据，解析域名请求的特征数据，对解析后的特征数据进行预处理，获取特征数据向量流；

2)以预设的滑动时间窗口为检测周期对特征数据向量流进行检测统计，生成检测特征数据向量流；

3)利用多阶段异常检测模型组对检测特征数据向量流进行处理，逐步判断子域名是否为疑似域名阴影，并输出检测结果，具体包括如下步骤；

步骤S103-1)利用分布式数据流处理组件，从消息队列的检测特征数据向量流Topic读取相应的检测特征数据向量流；

步骤S103-2)利用分布式数据流处理组件的滑动时间窗口机制，以预设的滑动时间窗口为检测周期对检测特征数据向量流进行检测统计，以主域名为分析对象进行汇聚，提取汇聚结果的统计特征向量，包括子域名与主域名创建时间间隔F1、子域名组建立时间间隔F2、通用子域名的比例F3、子域名长度的多样性F4、IP的地理位置、阴影社区、K-L散度评估、Web关联性；

步骤S103-3)基于上述统计特征向量，利用阶段1异常检测模型进行域名阴影可信度评估，并根据可信度的阈值q₁判断检测特征数据向量流是否进入下一阶段，包括：

计算总体可信度评分score_p1，若score_p1≥q₁，则判定为该时间窗口存在域名阴影；若score_p1q₁，则将该时间窗口的检测特征数据向量流进行步骤S103-4)的处理；

步骤S103-4)利用分布式数据流处理组件的滑动时间窗口机制，以预设的滑动时间窗口为检测周期对检测特征数据向量流进行检测统计，以解析的主机IP为分析对象进行汇聚，提取汇聚结果的统计特征向量，包括K-L散度评估、Web关联性、主机IP承载的疑似域名阴影的数量；

步骤S103-5)基于步骤S103-4)输出的统计特征向量，利用阶段2异常检测模型进行域名阴影可信度评估，并根据可信度的阈值判断对子域名进行最终的可信度标注，更新检测特征数据向量流相关字段；

步骤S103-6)对可信度超过指定阈值的疑似域名阴影进行汇聚，输出疑似域名阴影的主域名、主机IP、域名拥有组织的相关信息以及证据向量，并写入数据库。

2.如权利要求1所述的基于DNS解析的域名阴影检测方法，其特征在于，所述步骤1)具体为：

101)利用协议解析引擎对DNS流量进行处理，按照标准PDNS数据格式提取相应特征，构造实时PDNS特征数据；

102)利用爬虫根据时间获取来自PDNS特征数据供应商的PDNS特征数据；

103)利用采集器获取来自实时DNS流量的PDNS特征数据和来自数据供应商的PDNS特征数据，送到消息队列；

104)利用DGA域名识别算法、白域名生成算法、CDN服务器列表以及黑名单获取情报黑白名单列表，用于后续过滤使用；

105)利用分布式数据流处理组件，从消息队列读取相应的PDNS数据流，并使用情报黑白名单列表形成的过滤算法对PDNS数据流进行过滤，再使用在线数据扩充算法、离线数据扩充算法对PDNS数据流进行数据特征扩充，补充相关特征向量；

106)生成特征数据向量流，并写回消息队列的特征数据向量流Topic。

3.如权利要求1所述的基于DNS解析的域名阴影检测方法，其特征在于，所述步骤2)具体为：

201)利用分布式数据流处理组件，读取相应的特征数据向量流；

202)利用分布式数据流处理组件的滑动时间窗口机制，以预设的滑动时间窗口为检测周期对特征数据向量流进行检测统计，以解析的主机IP为分析对象进行汇聚，若解析的主机IP承载了大量的、不重复的主域名，则判定为该服务器为CDN加速服务器，更新CDN服务器列表；

203)利用分布式数据流处理组件的滑动时间窗口机制，以预设的滑动时间窗口为检测周期对特征数据向量流进行检测统计，以主域名为分析对象进行汇聚，若主域名包含的子域名具有子域名数量低于指定的阈值且子域名命名符合规范、子域名的活跃度大于指定的阈值的行为时，则过滤这部分特征数据向量流；

204)生成检测特征数据向量流，并写回消息队列的检测特征数据向量流Topic。