[发明专利]一种内部网络流量的恶意DNS隧道识别方法

说明书

本发明适用于计算机网络安全技术领域，提供了一种内部网络流量的恶意DNS隧道识别方法，本方法根据建立的黑名单库以及域名白名单库对域名进行初步的筛选，再从DNS请求频率，域名子域名文本特征，域名请求类型，域名文本熵值等多个维度来分析DNS请求是否属于有害的DNS隧道，并对有害的有害DNS隧道的特征重新加入到有害DNS隧道的特征识别库，作为数据的补充，帮助机器学习，提高预测以及检测的识别精准度，提高了工作的效率，避免了原有的人工投诉、人工审核这种方式，导致的工作速度和进度低下的问题。

技术领域

本发明属于计算机网络安全技术领域，尤其涉及一种内部网络流量的恶意DNS隧道识别方法。

背景技术

计算机网络安全领域内，DNS隧道是常被使用来作为被入侵主机与黑客之间的通信桥梁。当前的业内普遍对该场景没有较好的解决方案，大部分依靠人工和威胁情报协同处理，误报率非常高。

现有的技术主要依靠威胁情报和人工的方式在DNS流量中，判断域名和IP是否被威胁情报标记为黑IP，如果是黑IP则人工跟进确认并且封禁，此方法存在误报率高，并且过于依靠威胁情报导致防御DNS的措施滞后，威胁情报作为一种社区内的共享消息，在复杂多变的网络环境中消息存在滞后和无法及时同步的问题，因此导致出现较多的DNS隧道的误报和漏洞。

发明内容

本发明提供一种内部网络流量的恶意DNS隧道识别方法，旨在解决上述技术问题。

本发明是这样实现的，一种内部网络流量的恶意DNS隧道识别方法，包括如下步骤：

步骤一：数据采集阶段；在机房网络出口镜像流量中，将部分流量数据拷贝出来，并对这部分流量数据进行过滤，提取出内部所有的DNS数据并存储为DNS数据库。

步骤二：搜集网络上正常提供业务的域名，建立域名白名单库；

步骤三：搜集网络上的已暴露的黑名单域名，并将之与建立的DNS流量库相匹配遍寻，发现在DNS流量库中出现的黑名单域名，建立黑名单域名库，并根据该黑名单域名库中的各个黑名单域名在企业内部的周期内访问频率特征和域名请求类型，建立可疑域名库，并在可疑域名库中将这些域名特征的共性作为恶意的DNS隧道识别特征，建立特征识别库并存储在服务器上；

步骤四：基于n-gram的自然域名模型对域名做预测，主要依靠九个特征的均值和方差，使用已有特征识别库内的DNS隧道使用的域名特征进行模型训练，并将n-gram模型预测出来的域名认为是可疑域名加入到可疑域名库中；

步骤五、所有可疑域名均采用黑域名文本特征方法进行检测，判断是否为黑域名，

若是，则进行主动防御与溯源，并将其加入到黑名单域名库中；

若否，则引入人工介入判断是否是白名单域名，若是白名单域名则加入域名白名单库中。

优选的，步骤一中：DNS数据获取，在交换机下联口通过分光和镜像的技术，将流量数据拷贝一份到目标网卡上，接收之后过滤流量内所有的DNS数据并存储形成DNS数据库。

优选的，步骤二中：使用alex排名前10w的根域名，以及基于人工反馈且人工确认的该域名为无害域名，作为域名白名单库。

优选的，步骤三中：周期内访问频率特征为：一个周期内，排除白名单域名，基于时间序列的域名解析频率日均10w+的域名；一个周期内，与之前100个周期相比没出现过的新域名；一个周期内，基于时间序列的解析频率存在有突增/突降的域名。

优选的，步骤三中：域名请求类型为：请求为TXT的解析方式，并且域名具有NS记录的域名。

优选的，步骤四中：特征的均值和方差包括如下：

1)域名长度均值/方差；

2)域名中数字占比均值/方差；