[发明专利]一种内部网络流量的恶意DNS隧道识别方法

权利要求书

1.一种内部网络流量的恶意DNS隧道识别方法，其特征在于，包括如下步骤：

步骤一：数据采集阶段；在机房网络出口镜像流量中，将部分流量数据拷贝出来，并对这部分流量数据进行过滤，提取出内部所有的DNS数据并存储为DNS数据库；

步骤二：搜集网络上正常提供业务的域名，建立域名白名单库；

步骤三：搜集网络上的已暴露的黑名单域名，并将之与建立的DNS流量库相匹配遍寻，发现在DNS流量库中出现的黑名单域名，建立黑名单域名库，并根据该黑名单域名库中的各个黑名单域名在企业内部的周期内访问频率特征和域名请求类型，建立可疑域名库，并在可疑域名库中将这些域名特征的共性作为恶意的DNS隧道识别特征，建立特征识别库并存储在服务器上；

步骤四：基于n-gram的自然域名模型对域名做预测，主要依靠九个特征的均值和方差，使用已有特征识别库内的DNS隧道使用的域名特征进行模型训练，并将n-gram模型预测出来的域名认为是可疑域名加入到可疑域名库中；

步骤五、所有可疑域名均采用黑域名文本特征方法进行检测，判断是否为黑域名，

若是，则进行主动防御与溯源，并将其加入到黑名单域名库中；

若否，则引入人工介入判断是否是白名单域名，若是白名单域名则加入域名白名单库中；

所述步骤四中：九个特征的均值和方差包括如下：

1）域名长度均值/方差；

2）域名中数字占比均值/方差；

3）域名中英文字幕占比均值/方差；

4）域名中特殊符号占比均值/方差；

5）域名信息熵均值/方差；

6）域名基尼系数均值/方差；

7）域名unigram平均排名均值/方差；

8）域名bigram平均排名均值/方差；

9）域名trigram平均排名均值/方；

所述步骤五中：黑域名文本特征方法为：base64解码后是否带有关键字符串或者域名文本敏感信息特征。

2.如权利要求1所述的一种内部网络流量的恶意DNS隧道识别方法，其特征在于：步骤一中：DNS数据获取，在交换机下联口通过分光和镜像的技术，将流量数据拷贝一份到目标网卡上，接收之后过滤流量内所有的DNS数据并存储形成DNS数据库。

3.如权利要求1所述的一种内部网络流量的恶意DNS隧道识别方法，其特征在于：步骤二中：使用alex排名前10w的根域名，以及基于人工反馈且人工确认的该域名为无害域名，作为域名白名单库。

4.如权利要求1所述的一种内部网络流量的恶意DNS隧道识别方法，其特征在于：步骤三中：周期内访问频率特征为：一个周期内，排除白名单域名，基于时间序列的域名解析频率日均10w+的域名；一个周期内，与之前100个周期相比没出现过的新域名；一个周期内，基于时间序列的解析频率存在有突增/突降的域名。

5.如权利要求1所述的一种内部网络流量的恶意DNS隧道识别方法，其特征在于：步骤三中：域名请求类型为：请求为TXT的解析方式，并且域名具有NS记录的域名。