[发明专利]一种基于规则的恶意域名所属DGA家族的检测方法

说明书

本发明涉及网络安全APT检测领域，旨在提供一种基于规则的恶意域名所属DGA家族的检测方法。该种基于规则的恶意域名所属DGA家族的检测方法，用于对恶意域名进行分析与检测，识别网络中被攻击的计算机设备所感染病毒的DGA家族。本发明通过对僵尸程序短时间里大量请求的异常域名的特征计算，将计算结果与已知的DGA算法生成的域名特征规则进行匹配，快速地识别当前网络里的某一计算机设备感染的僵尸程序相关的DGA家族类型，有利于后续的网络攻击的追踪溯源和僵尸程序的清除工作、补救措施的开展。

技术领域

本发明是关于网络安全APT(Advanced Persistent Threat，高级持续性威胁)检测领域，特别涉及一种基于规则的恶意域名所属DGA家族的检测方法。

背景技术

域名系统(Domain Name System，DNS)，互联网业务的重要基础设施之一，作为域名和IP地址相互映射的一个分布式数据库，使用户更加方便的连接、访问互联网，而不用去记住能够被机器直接读取的IP地址数字串。当前大多数互联网应用在开展具体的业务前，都需要利用域名系统完成从域名到IP地址的寻址转换。

作为网络安全领域研究方向之一的Botnet(僵尸网络，是指采用一种或多种传播手段，将大量主机感染bot程序(僵尸程序，属于恶意程序，例如：蠕虫或者木马病毒等)，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络)，大部分还是在利用DNS进行资源获取、进行服务器定位、接收指令等。为了提高自身的生存能力，以及达到更好的隐藏和灵活效果，延长生存时间，这些Botnet利用了一些逃避检测技术：DGA域名生成算法(Domain Generation Algorithm，通常也叫作DGA算法)，常用于僵尸程序与其控制者的C&C服务器(Command&Control，命令与控制)通讯，一般是使用一个私有的随机字符串生成算法，使用日期或者其他可变参数作为随机种子(即算法的输入参数)，每个周期内(例如：每天、每周、每10天等)生成一些随机字符串，然后攻击者利用其中的一部分注册为C&C服务器域名(称为恶意域名或者DGA域名)，在恶意程序里面也按照同样的算法生成这些随机域名，然后恶意程序尝试发起DNS域名解析请求，当请求解析某一域名返回成功后，恶意程序会继续尝试与域名解析返回的IP地址进行通信，若通信成功，则表示恶意程序找到了控制自己的C&C服务器，进一步执行其他操作，例如：从C&C服务器接收后续任务的指令，上传已经获取的内部网络信息到C&C服务器等。

由于僵尸网络有多种(通过DGA算法生成的域名进行通信的僵尸网络也叫作DGA家族，一个DGA家族通常对应一个DGA算法，或者一组相似的DGA算法)，相应地，DGA算法也有多种，例如：conficker、virut、simda、mirai等等，生成的域名的特征也就不同，但是对同一个DGA域名生成算法生成的域名，在词法方面会表现出相同或者相近的特征：SLD(SecondLevel Domain，二级域名)的长度(例如：是固定的一个长度，还是一个区间范围)、SLD取值使用的字符集(即包含哪些可能的字母字符与数字字符)、TLD(Top Level Domain，一级域名)的取值范围(例如，是一个固定的一级域名，还是多个可选的一级域名，或者是不确定的，由算法的输入参数决定)等。

在检测到网络中可能被感染蠕虫或者木马病毒后，技术人员将进行网络攻击溯源，最终识别与清除病毒以及可能与其相关的僵尸网络，采取可能的补救措施。不同的病毒，清除方法和补救措施可能不同，因此，识别网络中的计算机设备被感染的病毒的DGA家族种类在整个网络攻击追踪溯源过程中是非常重要的一步。

发明内容