[发明专利]一种僵尸主机检测方法

说明书

本申请提出一种僵尸主机检测方法，包括：捕获域名系统DNS流量，从所述DNS流量中提取被动DNS数据，并获取主机从DNS服务器查询域名的DNS协议元数据；对于提取的被动DNS数据，过滤掉合法域名及所述合法域名的被动DNS数据；将过滤后剩余的被动DNS数据作为僵尸主机待检测数据；对所述待检测数据中的目标域名进行编码，利用预设检测模型对编码后的所述目标域名进行检测，输出最高概率的僵尸网络家族名称作为所述目标域名的分类结果；在指定的时间窗口内，通过僵尸网络家族的域名检测僵尸网络受控主机和僵尸网络命令控制服务器。本发明对于僵尸网络CC通信的DGA域名具有优异的检测能力，资源使用率低、快速、准确率高、误报率低、跨平台检测等特点。

技术领域

本发明涉及计算机网络安全技术领域，具体涉及一种僵尸主机检测方法。

背景技术

当前，僵尸网络已经成为互联网最大的安全威胁之一，来自它们的攻击时常发生，并且在全世界互联网内蔓延，攻击种类多样，例如分布式拒绝服务攻击、端口扫描、发送垃圾邮件、点击欺诈、在线身份窃取、植入广告、网络钓鱼、加密勒索、非法利用用户主机资源挖矿等等。由于巨大的经济利益，对于僵尸网络技术的优化和变种发展更为迅速，这也导致僵尸网络的检测和防卫更为困难。无论是现在还是将来，僵尸网络的研究都是网络安全领域重要的研究方向。

在僵尸网络的拓扑中，僵尸网络通过僵尸程序控制大量主机，并通过一个或若干个命令控制服务器(Command and Control Servers，CC Server)组成网络。同传统恶意代码形态相比，僵尸网络的攻击实现依赖攻击者和受害主机之间的信息交互，即攻击者需要告知僵尸主机命令，僵尸主机才可发起相应的攻击，命令的下发通过CC Server实现，这是僵尸网络构建的核心，也是攻防双方博弈的关键点。

在早期中心结构的僵尸网络中，僵尸主机通常采用轮询的方法访问硬编码的CCServer域名或IP(Internet Protocol，网络互连协议)地址来访问命令控制服务器，获取攻击者命令，由于硬编码的域名或IP固定且数量有限，防御人员通过逆向掌握该部分内容后可对该域名进行有效的屏蔽，阻断其命令控制途径，使其失去控制源并逐渐消亡。该种缺陷称之为中心节点失效。

为了解决上述问题，攻击者使用Fast-Flux(快速通量)技术来对抗防御人员的阻断，僵尸主机访问的CC Server域名不再是静态硬编码，而是根据一定算法动态生成的、变化的域名，命令控制服务器和僵尸主机之间通信的域名动态变化，防御人员难以检测。而且，Fast-Flux和DDNS(Dynamic Domain Name Server，动态域名服务器)行为很相似，但是变化速度更快，想要跟踪并定位僵尸软件背后的操作者将会更加困难。

相关技术已经在Fast-Flux域名检测领域做了大量的工作，主要是基于DGA(Domain generation algorithms，域名生成算法)的域名的特征，例如长度、随机熵、n-gram(汉语语言模型)、分词(拼音和英文)、元音字母比例等，然后利用机器学习算法中的监督学习算法训练分类器。这些工作的主要区别在于描述Fast-Flux域名的行为特征个数和分类算法细节。传统方法的优点在于能够在一定程度上对僵尸网络家族生成的DGA域名进行准确的检测，但准确性过度依赖特征工程，需要复杂的特征选择、主分量分析和大量的测试才能够选取有效的特征。更为深层次的特征，特别是人类难以理解的有效特征无法提取。这导致机器学习训练的分类器良莠不齐，很难达到产品级的应用，误报率和漏报率都难以保证。而且，在检测过程中，传统机器学习技术需要提取域名特征，时间代价较大。同时，基于机器学习技术生成的多分类模型过大，分类良好的模型通常都几百兆，对于低配置的设备难以应用。

鉴于此，现有技术有待改进和提高。

发明内容

本发明提供一种僵尸主机检测方法，实现快速、准确检测僵尸主机。

为了实现上述发明目的，本发明采取的技术方案如下：

一种僵尸主机检测方法，包括：