[发明专利]一种Domain flux僵尸网络域名检测方法

说明书

技术领域

本检测方法涉及网络安全领域。 

背景技术

域名系统(Domain Name System，DNS)作为重要的互联网业务基础设施，主要用于完成从域名到IP地址的翻译转换功能。当前大多数互联网应用在开展具体的业务前，都需要利用域名系统完成从域名到IP地址的寻址转换。 

作为当前网络上很多恶意活动开展的主体botnet，虽然部分已经采用了新的技术和协议，如p2p，但是大部分的botnet还在利用DNS进行资源获取、控制服务器定位等。为了提高自身的生存能力及达到更好的隐藏和灵活效果，获取更大的利益，这些botnet利用了一些技术，如fast flux和domain flux。近两年，botnet对domain flux的利用呈现快速上升的趋势。 

ICANN将fast flux描述为快速且持续变换主机的资源记录，导致域名解析出的ip快速改变的行为，而domain flux与fast flux恰好相反，指不停的改变和分配多个域名到一个或多个ip的行为。 

这两种技术都可用于Botnet的C&C定位方面，最为出名的僵尸网络storm利用的是fast flux方法，根据RSA fraudaction团队发布的报告，rock钓鱼组织也已经在它们的架构中使用了这种技术；而一些botnet如Conficker、Kraken和Torpig等，则利用domain flux方法生成的域名进行联络和控制。以Conficker为例，其每3个小时生成250个域名，并随机挑选其中的32个获取ip以尝试连接控制端。 

由于fast flux利用一个域名，botnet在使用时，存在容易单点失效的缺陷，所以很多botnet利用domain flux来弥补这个问题。同时，生成的大量域名可以增加安 全分析人员的分析成本，延长分析时间。 

在相关研究方面，前期fast flux的利用和相关研究比较多，而对domain flux的研究和关注这两年则比较迅速。 

当前对domain flux的检测，主要集中在对域名字符特征的分析上。由于域名生成算法差异较大，易于修改和替换，其生成的域名字符特征表现也就各不相同，由于当前的检测方法多针对具体的字符特征，所以字符特征的变化可以逃避针对其僵尸网络的检测。相比较于域名字符特征，由于域名访问具有较强的稳定和规律，domain flux域名的使用特征比较稳定，因此针对domain flux生成的域名访问活跃情况，提出一种检测domain flux僵尸网络域名的方法。 

发明内容

针对现有domain flux僵尸网络，给出基于子域名活跃特征的域名检测方法。 

本文提出的检测方法，是基于这样的观察结论：botnet在利用domain flux时，其域名在子域名数量、新子域名的出现和子域名活跃方面与合法的域名有着明显的区别。 

在基于domian flux的botnet中，每个bot周期性的生成一系列域名用于联络c&c服务器，随着时间的推移，其域名数量不断增多。图1所示为几个此类样本生成的子域名数量。 

由于部署的限制，捕获到所有针对某域名的解析请求是非常困难的。但是，即便针对获取的部分请求数据，随时间而增长的子域名数可以作为从大量域名数据中筛选域名的首要过滤条件^[2]。 

对于domain flux生成的大量域名，其有一定的生成算法和组织方式。为了保证各个bot在某段时间能够定位到同一C&C，其算法经常会利用如时间、热门话题等作 为种子。在域名的组织方面，很多botnet利用多个二级域名(或三级域名)来生成子域名。对于生成的域名，根据需要，将域名映射到一个或多个ip上去； 

生成的各子域名，除了在域名的词法方面表现一定的特征，如字符分布、字符串长度、所包含点的数量等。除了提高分析的代价、隐藏真正使用的域名达到迷惑的目的外，自动生成的域名主要任务是作为内部联络的途径，其在使用即域名的请求方面，会表现出一些特征，明显区别于合法域名的访问方式。 

如图2所示，图左边为一非法域名的被请求情况，图右为一合法域名的被请求解析情况。横轴表示时间，纵轴为域名对应的ip，星号表示在某时间此域名ip被客户端请求解析。 

从图2对比可以看到，合法的域名其访问比较随机，且时间上持续时间较长；而恶意样本利用的域名只在某一短时间内使用。 

图3为某一恶意域名在一段时间内其子域名的访问情况：