基于域名服務(wù)狀態(tài)分析的惡意域名檢測(cè)方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域�����,具體而言涉及一種基于域名服務(wù)狀態(tài)分析的惡意 域名檢測(cè)方法及裝置���。
【背景技術(shù)】
[0002] 隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和網(wǎng)絡(luò)時(shí)代的到來�,網(wǎng)絡(luò)所蘊(yùn)含的廣闊而豐富的資源���, 給人類社會(huì)帶來了很多便利����。然而�,就在人們的生活越來越依賴網(wǎng)絡(luò)的同時(shí),由利益驅(qū)動(dòng) 而產(chǎn)生的網(wǎng)絡(luò)安全事件卻層出不窮���,尤其在近幾年,僵尸網(wǎng)絡(luò)���、域名放大分布式拒絕服務(wù)攻 擊��、掛馬等眾多安全事件嚴(yán)重影響了網(wǎng)絡(luò)的正常使用�,也給社會(huì)各界帶來了極大的危害,因 此對(duì)這些事件的檢測(cè)顯得額外的重要���。
[0003] 域名系統(tǒng)是當(dāng)前互聯(lián)網(wǎng)重要的基礎(chǔ)設(shè)施之一�,大量的網(wǎng)絡(luò)服務(wù)依賴于域名服務(wù)來 開展�。域名解析服務(wù)(DNS)將抽象的IP地址映射為易于記憶的域名,使互聯(lián)網(wǎng)用戶更加方 便地訪問各種網(wǎng)絡(luò)資源�����,是互聯(lián)網(wǎng)體系結(jié)構(gòu)中重要的基礎(chǔ)服務(wù)之一�。由于域名系統(tǒng)并不對(duì) 依托于其開展的服務(wù)行為進(jìn)行檢測(cè),DNS服務(wù)缺少惡意行為檢測(cè)能力����,因此常常被惡意程序 利用。為了檢測(cè)這些惡意事件�����,需要對(duì)惡意域名進(jìn)行檢測(cè)��。
[0004] 現(xiàn)在已有的一些檢測(cè)惡意域名的技術(shù)常常依賴于黑白名單��,通過明確地"允許"和 "不允許"來限制用戶的訪問�����,從而實(shí)現(xiàn)"安全性"效果。然而�,這樣的方法往往伴隨著大量 誤報(bào)和漏報(bào)狀況,不同用戶環(huán)境��、業(yè)務(wù)需求場(chǎng)景下適應(yīng)性極差�����。
【發(fā)明內(nèi)容】
[0005] 針對(duì)現(xiàn)有技術(shù)的不足�����,一方面�,本發(fā)明提供一種基于域名服務(wù)狀態(tài)分析的惡意域 名檢測(cè)方法,所述惡意域名檢測(cè)方法包括:獲取網(wǎng)絡(luò)中的通信數(shù)據(jù)��;對(duì)所述通信數(shù)據(jù)進(jìn)行 解析����,以提取出所述通信數(shù)據(jù)中涉及到的源主機(jī)的IP、所述源主機(jī)所查詢的域名以及查詢 所述域名的時(shí)間����;以及查詢域名風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)庫(kù),以確定所述源主機(jī)所查詢的域名是否存 在于所述域名風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)庫(kù)中����,如果存在,則從所述域名風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)庫(kù)中取出并呈現(xiàn) 與所述域名相對(duì)應(yīng)的風(fēng)險(xiǎn)等級(jí)結(jié)果����,如果不存在,則對(duì)所述域名進(jìn)行風(fēng)險(xiǎn)等級(jí)評(píng)估并呈現(xiàn) 風(fēng)險(xiǎn)等級(jí)評(píng)估結(jié)果����,其中,所述風(fēng)險(xiǎn)等級(jí)評(píng)估包括域名注冊(cè)信息關(guān)聯(lián)分析和故障監(jiān)測(cè)分析���, 所述域名注冊(cè)信息關(guān)聯(lián)分析和所述故障監(jiān)測(cè)分析分別被分配第一權(quán)重和第二權(quán)重��,所述域 名注冊(cè)信息關(guān)聯(lián)分析判定所述域名的注冊(cè)信息的全面性和/或真實(shí)性����,并基于判定結(jié)果和 所述第一權(quán)重計(jì)算所述域名的第一風(fēng)險(xiǎn)分值�,所述故障監(jiān)測(cè)分析用于在所述域名的域名服 務(wù)器發(fā)生故障時(shí)監(jiān)測(cè)對(duì)所述域名服務(wù)器發(fā)送重新查詢請(qǐng)求的主機(jī)數(shù)目,并基于監(jiān)測(cè)結(jié)果和 所述第二權(quán)重計(jì)算所述域名的第二風(fēng)險(xiǎn)分值����,所述風(fēng)險(xiǎn)等級(jí)評(píng)估結(jié)果的計(jì)算基于所述第一 風(fēng)險(xiǎn)分值和所述第二風(fēng)險(xiǎn)分值���。
[0006] 在本發(fā)明的一個(gè)實(shí)施例中,所述風(fēng)險(xiǎn)等級(jí)評(píng)估還包括異常心跳分析�����,所述異常心 跳分析被分配第三權(quán)重��,所述異常心跳分析判定所述源主機(jī)在單位時(shí)間間隔內(nèi)對(duì)所述域名 的查詢請(qǐng)求是否存在規(guī)律性����,并基于判定結(jié)果和所述第三權(quán)重計(jì)算所述域名的第三風(fēng)險(xiǎn)分 值,并且所述風(fēng)險(xiǎn)等級(jí)評(píng)估結(jié)果的計(jì)算還基于所述第三風(fēng)險(xiǎn)分值�。
[0007] 在本發(fā)明的一個(gè)實(shí)施例中,所述風(fēng)險(xiǎn)等級(jí)評(píng)估還包括高頻訪問名單分析����,所述高 頻訪問名單分析被分配第四權(quán)重,所述高頻訪問名單分析判定所述域名當(dāng)前和在過去的預(yù) 設(shè)時(shí)間段內(nèi)是否均在或者是否均不在所述源主機(jī)訪問頻率最高的前若干位域名名單內(nèi)�����,并 基于判定結(jié)果和所述第四權(quán)重計(jì)算所述域名的第四風(fēng)險(xiǎn)分值����,并且所述風(fēng)險(xiǎn)等級(jí)評(píng)估結(jié)果 的計(jì)算還基于所述第四風(fēng)險(xiǎn)分值�。
[0008] 在本發(fā)明的一個(gè)實(shí)施例中�����,所述風(fēng)險(xiǎn)等級(jí)評(píng)估還包括子域名語(yǔ)義分析�,所述子域 名語(yǔ)義分析被分配第五權(quán)重���,所述子域名語(yǔ)義分析判定所述源主機(jī)所查詢的域名的子域名 是否具有實(shí)際意義�����,并基于判定結(jié)果和所述第五權(quán)重計(jì)算所述域名的第五風(fēng)險(xiǎn)分值��,并且 所述風(fēng)險(xiǎn)等級(jí)評(píng)估結(jié)果的計(jì)算還基于所述第五風(fēng)險(xiǎn)分值����。
[0009] 在本發(fā)明的一個(gè)實(shí)施例中�����,所述風(fēng)險(xiǎn)等級(jí)評(píng)估還包括搜索引擎收錄情況分析�����,所 述搜索引擎收錄情況分析被分配第六權(quán)重,所述搜索引擎收錄情況分析判定所述域名是否 被搜索引擎所收錄并分析搜索引擎對(duì)所述域名的網(wǎng)頁(yè)級(jí)別評(píng)分����,并基于分析判定結(jié)果和所 述第六權(quán)重計(jì)算所述域名的第六風(fēng)險(xiǎn)分值,并且所述風(fēng)險(xiǎn)等級(jí)評(píng)估結(jié)果的計(jì)算還基于所述 第六風(fēng)險(xiǎn)分值�。
[0010] 在本發(fā)明的一個(gè)實(shí)施例中,所述風(fēng)險(xiǎn)等級(jí)評(píng)估還包括互聯(lián)網(wǎng)檔案館分析�����,所述互 聯(lián)網(wǎng)檔案館分析被分配第七權(quán)重�,所述互聯(lián)網(wǎng)檔案館分析用于在互聯(lián)網(wǎng)檔案館中查詢并分 析所述域名的歷史活動(dòng)記錄和/或歷史快照,并基于分析結(jié)果和所述第七權(quán)重計(jì)算所述域 名的第七風(fēng)險(xiǎn)分值��,并且所述風(fēng)險(xiǎn)等級(jí)評(píng)估結(jié)果的計(jì)算還基于所述第七風(fēng)險(xiǎn)分值����。
[0011] 在本發(fā)明的一個(gè)實(shí)施例中,所述惡意域名檢測(cè)方法還包括:在進(jìn)行風(fēng)險(xiǎn)等級(jí)評(píng)估 之后���,將所述域名以及與所述域名相對(duì)應(yīng)的所述風(fēng)險(xiǎn)等級(jí)評(píng)估結(jié)果錄入到所述域名風(fēng)險(xiǎn)等 級(jí)數(shù)據(jù)庫(kù)中���。
[0012] 另一發(fā)明,本發(fā)明還提供一種基于域名服務(wù)狀態(tài)分析的惡意域名檢測(cè)裝置,所述 惡意域名檢測(cè)裝置包括:數(shù)據(jù)獲取模塊�,用于獲取網(wǎng)絡(luò)中的通信數(shù)據(jù);數(shù)據(jù)解析模塊�,用于 對(duì)所述通信數(shù)據(jù)進(jìn)行解析,以提取出所述通信數(shù)據(jù)中涉及到的源主機(jī)的IP�、所述源主機(jī)所 查詢的域名以及查詢所述域名的時(shí)間;數(shù)據(jù)查詢模塊����,用于查詢域名風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)庫(kù)���,以確 定所述源主機(jī)所查詢的域名是否存在于所述域名風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)庫(kù)中��;域名風(fēng)險(xiǎn)等級(jí)評(píng)估模 塊���,用于在所述域名風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)庫(kù)中不存在所述源主機(jī)所查詢的域名時(shí)對(duì)所述域名進(jìn)行 風(fēng)險(xiǎn)等級(jí)評(píng)估;以及評(píng)估結(jié)果顯示模塊���,用于在所述域名風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)庫(kù)中存在所述源主 機(jī)所查詢的域名時(shí)呈現(xiàn)從所述域名風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)庫(kù)中提取的與所述域名相對(duì)應(yīng)的風(fēng)險(xiǎn)等 級(jí)結(jié)果�����,并且在所述域名風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)庫(kù)中不存在所述源主機(jī)所查詢的域名時(shí)呈現(xiàn)所述域 名風(fēng)險(xiǎn)等級(jí)評(píng)估模塊對(duì)所述域名的風(fēng)險(xiǎn)等級(jí)評(píng)估結(jié)果��,其中���,所述域名風(fēng)險(xiǎn)等級(jí)評(píng)估模塊 包括:域名注冊(cè)信息關(guān)聯(lián)分析模塊��,用于判定所述域名的注冊(cè)信息的全面性和/或真實(shí)性�, 并基于判定結(jié)果和所分配的第一權(quán)重計(jì)算所述域名的第一風(fēng)險(xiǎn)分值���;以及故障監(jiān)測(cè)分析模 塊��,用于在所述域名的域名服務(wù)器發(fā)生故障時(shí)監(jiān)測(cè)對(duì)所述域名服務(wù)器發(fā)送重新查詢請(qǐng)求的 主機(jī)數(shù)目���,并基于監(jiān)測(cè)結(jié)果和所分配的第二權(quán)重計(jì)算所述域名的第二風(fēng)險(xiǎn)分值,其中�,所述 風(fēng)險(xiǎn)等級(jí)評(píng)估結(jié)果的計(jì)算基于所述第一風(fēng)險(xiǎn)分值和所述第二風(fēng)險(xiǎn)分值。
[0013] 在本發(fā)明的一個(gè)實(shí)施例中��,所述域名風(fēng)險(xiǎn)等級(jí)評(píng)估模塊還包括以下模塊中的至少 一個(gè):異常心跳分析模塊�����,用于判定所述源主機(jī)在單位時(shí)間間隔內(nèi)對(duì)所述域名的查詢請(qǐng)求 是否存在規(guī)律性��,并基于判定結(jié)果和所分配的第三權(quán)重計(jì)算所述域名的第三風(fēng)險(xiǎn)分值��;高 頻訪問名單分析模塊,用于判定所述域名當(dāng)前和在過去的預(yù)設(shè)時(shí)間段內(nèi)是否均在或者是否 均不在所述源主機(jī)訪問頻率最高的前若干位域名名單內(nèi)���,并基于判定結(jié)果和所分配的第四 權(quán)重計(jì)算所述域名的第四風(fēng)險(xiǎn)分值����;子域名語(yǔ)義分析模塊�,用于判定所述源主機(jī)所查詢的 域名的子域名是否具有實(shí)際意義,并基于判定結(jié)果和所分配的第五權(quán)重計(jì)算所述域名的第 五風(fēng)險(xiǎn)分值�;搜索引擎收錄情況分析模塊,用于判定所述域名是否被搜索引擎所收錄并分 析搜索引擎對(duì)所述域名的網(wǎng)頁(yè)級(jí)別評(píng)分����,并基于分析判定結(jié)果和所分配的第六權(quán)重計(jì)算所 述域名的第六風(fēng)險(xiǎn)分值�����;以及互聯(lián)網(wǎng)檔案館分析模塊��,用于在互聯(lián)網(wǎng)檔案館中查詢并分析 所述域名的歷史活動(dòng)記錄和/或歷史快照�,并基于分析結(jié)果和所分配的第七權(quán)重計(jì)算所述 域名的第七風(fēng)險(xiǎn)分值,其中��,所述風(fēng)險(xiǎn)等級(jí)評(píng)估結(jié)果的計(jì)算還基于以下中的至少一個(gè):所述 第三風(fēng)險(xiǎn)分值���、所述第四風(fēng)險(xiǎn)分值�、所述第五風(fēng)險(xiǎn)分值、所述第六風(fēng)險(xiǎn)分值以及所述第七風(fēng) 險(xiǎn)分值��。
[0014] 在本發(fā)明的一個(gè)實(shí)施例中�,所述域名風(fēng)險(xiǎn)等級(jí)評(píng)估模塊還用于將進(jìn)行了風(fēng)險(xiǎn)等級(jí) 評(píng)估的域名以及與所述域名相對(duì)應(yīng)的風(fēng)險(xiǎn)等級(jí)評(píng)估結(jié)果錄入到所述域名風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)庫(kù) 中。
[0015] 本發(fā)明所提供的基于域名服務(wù)狀態(tài)分析的惡意域名檢測(cè)方法及裝置不依賴黑白 名單����,能夠準(zhǔn)確檢測(cè)未知惡意域名。
【附圖說明】
[0016] 本發(fā)明的下列附圖在此作為本發(fā)明的一部分用于理解本發(fā)明��。附圖中示出了本發(fā) 明的實(shí)施例及其描述����,用來解釋本發(fā)明的原理。
[0017] 附圖中:
[0018] 圖1示出了根據(jù)本發(fā)明實(shí)施例的基于域名服務(wù)狀態(tài)分析的惡意域名檢測(cè)方法的 流程圖���;
[0019] 圖2示出了根據(jù)本發(fā)明實(shí)施例的異常心跳分析的流程圖����;以及
[0020] 圖3示出了根據(jù)本發(fā)明實(shí)施例的域名風(fēng)險(xiǎn)等級(jí)評(píng)估模塊的架構(gòu)圖��。
【具體實(shí)施方式】
[0021] 在下文的描述中����,給出了大量具體的細(xì)節(jié)以便提供對(duì)本發(fā)明更為徹底的理解�����。然 而�,對(duì)于本領(lǐng)域技術(shù)人員而言顯而易見的是�,本發(fā)明可以無需一個(gè)或多個(gè)這些細(xì)節(jié)而得以 實(shí)施。在其他的例子中�����,為了避免與本發(fā)明發(fā)生混淆��,對(duì)于本領(lǐng)域公知的一些技術(shù)特征未進(jìn) 行描述���。