[发明专利]一种基于DNS解析的域名阴影检测方法和装置

说明书

本发明涉及域名阴影检测技术领域，具体涉及一种基于DNS解析的域名阴影检测方法和装置，方法包括：获取域名解析的DNS原始流量或PDNS数据，解析域名请求的特征数据并进行预处理，获取特征数据向量流；以预设的滑动时间窗口为检测周期对检测特征数据向量流进行检测统计，生成检测特征向量流；利用多阶段异常检测模型组对检测特征向量进行处理，逐步判断子域名是否为疑似域名阴影；对疑似域名阴影进行汇聚，输出疑似域名阴影的主域名、主机IP、受害人或组织以及证据向量，并写入数据库。本发明可以大规模分析实时的DNS请求流量，也可以分析离线的PDNS数据，通过多阶段异常检测模型组挖掘出潜在的域名阴影，极大的提高了分析效率。

技术领域

本发明涉及域名阴影检测技术领域，具体涉及一种基于DNS解析的域名阴影检测方法和装置。

背景技术

臭名昭著的钓鱼工具包Angler Exploit Kit使用了许多漏洞利用工具(含Oday)，以及一项名为“域名阴影(Domain Shadowing)”的新技术，将另一个知名恶意工具包BlackHole exploit kit完全击败，成为当前市面上最“先进”的钓鱼攻击装备。攻击者通过钓鱼邮件或口令暴力破解方式盗取主域名拥有者的账户，并创建数以万计用于恶意用途的子域名。然后，利用子域名指向恶意网站，或者直接在这些域名绑定的服务器上挂恶意代码，进而通过域名阴影技术进行了大规模钓鱼攻击。这种恶意攻击手法非常有效，子域名非常多、生命周期短暂且域名随机分布。攻击者一般并没有明显的目的。这让遏止这种犯罪变得愈加困难，研究也变得十分不易。

现有技术中，对域名阴影的检测时，通常采用人工对钓鱼工具包Angler ExploitKit进行分析，或者对大规模钓鱼事件进行分析，进而发现攻击者利用Adobe Flash和Microsoft Silverlight漏洞为基础，通过域名阴影技术进行了大规模钓鱼攻击。安全研究人员已经发现了约1万个这样的子域名，其中大部分为全球目前最大的域名提供商GoDaddy的帐户。此外，Liu等人在论文中提出了Woodpecker方法，通过对域名阴影的数据分析，发现两个维度的特性：

(1)域名阴影和主域名下的合法子域名有较大的差异，例如IP、域名构成、服务器承载的业务、域名规模等；

(2)不同主域名下的域名阴影可能来自同一非法组织。

进而，Liu等人从这两个维度提取了17个特征向量，并使用随机森林训练分类器对域名阴影进行建模。但是，由于作者提取的字段过于复杂，单个学习模型同时依赖在线和离线的数据，特别是作者为了平衡特征缺失的影响使用了随机森林分类器，导致检测性能和精度无法保证，并且算法缺少有效的检测框架，实际工程应用存在较大的问题。

鉴于此，现有技术有待改进和提高。

发明内容

为了解决上述技术问题，本发明提供了一种基于DNS解析的域名阴影检测方法和装置，解决了现有技术中对域名阴影检测时存在的性能、精度和工程化等问题。

本发明是这样实现的，提供一种基于DNS解析的域名阴影检测方法，包括如下步骤：

1)获取域名解析的DNS原始流量或PDNS数据，解析域名请求的特征数据，对解析后的特征数据进行预处理，获取特征数据向量流；

2)以预设的滑动时间窗口为检测周期对特征数据向量流进行检测统计，生成检测特征向量流，所述的检测特征向量流提供两种分析能力，即分别对于同一域名的分析和同一IP的分析；

3)利用多阶段异常检测模型组对检测特征向量进行处理，逐步判断子域名是否为疑似域名阴影；

4)对疑似域名阴影进行汇聚，输出疑似域名阴影的主域名、主机IP、受害人或组织以及证据向量，并写入数据库。

优选地，所述步骤1)具体为：