[发明专利]异常域名检测方法及系统

说明书

技术领域

本发明涉及网络安全领域，尤其涉及异常域名的检测方法及系统。

背景技术

随着网络技术的发展，域名(DNS，Domain Name System)技术已被广泛应 用，与域名相关的安全事件也日益增多，比如僵尸网络(BotNet)、域名放大 分布式拒绝服务攻击(DNS Amplification DDoS Attack)、挂马网站等等。

以僵尸网络为例，为了规避检测和封堵，僵尸网络往往利用动态域名 (DDNS，Dynamic DNS)的方法来指定控制服务器(C&C，Command-and-Control server)的IP地址，从而达到隐蔽和迁移控制服务器地址的目的，而僵尸程 序(Bot)则通过对这些域名的解析动态获取控制服务器的地址，以便获取来自 攻击者发布的信息和命令，由此可见，域名成为了僵尸程序与控制服务器之 间重要的通讯纽带，对僵尸网络的检测、测量与控制具有重要作用。

现有技术中异常域名检测方法主要包括如下方法。

基于查询请求数的方法，Botnet Detection and Response，The Network is the Infection，OARC Workshop，2005.，获得网址为 http://www.caida.org/projects/oarc/200507/slides/oarc0507-Dagon.pd f，该方法利用查询请求数异常多和查询请求具有临时集中性等特征来判定请 求的域名为异常域名，但文献Identifying Botnets Using Anomaly Detection Techniques Applied to DNS Traffic.In Proceedings of the 5th IEEE Consumer Communications and Networking Conference.2008：476-481 中，通过实验评价指出该方法的误报率比较高，效果不理想。

文献The Domain Name Service as an IDS，Master’s Project， University of Amsterdam，Netherlands，Feb.2006，获得网址为 http://staff.science.uva.nl/~delaat/snb-2005-2006/p12/report.pdf 在基于查询请求数的方法的基础上公开了一种基于不存在域名(NXDOMAIN)重 复请求的方法，该方法的误报率较低，但只有符合该情形的域名才能被发现， 无法检测出大量存在的异常域名。

文献Botnet Detection by Monitoring Group Activities in DNS Traffic.In Proceedings of the 7th IEEE International Conference on Computer and Information Technology table of contents.2007：715-720， 公开了一种基于发起查询请求IP地址分布的方法，该方法主要利用连续时间 段内发起请求的IP地址相似性和IP地址列表大小相似性等特征来判定域名 异常，然而伪造源IP地址的域名请求将严重影响该方法的检测效果。

文献Bayesian bot detection based on DNS traffic similarity.In Proceedings of the 2009 ACM Symposium on Applied Computing (SAC).Hawaii，USA.2009：2035-2041，公开了一种基于已知僵尸程序DNS 请求流量的方法，但该方法缺乏对未知异常域名的发现。

发明内容

为解决上述问题，本发明提供了异常域名检测方法及系统，能够对未知 异常域名进行检测。

本发明公开了一种异常域名检测方法，包括：

步骤1，接收并解析DNS响应报文，以预设的统计时间间隔为统计周期 进行统计，在所述统计周期内生成包含DNS响应报文的信息和个数统计值的 DNS解析统计向量集；