[发明专利]一种基于主动和被动探测的恶意域名服务器检测方法

说明书

本发明是一种基于主动和被动探测的恶意域名服务器检测方法，核心是基于主动和被动探测联动起来利用机器学习来检测恶意的域名服务器。本发明方法首先由数据采集和处理层收集良性和恶意的DNS数据流量样本，并基于一定时间窗口以（通信IP组，目的端口，域名）方式提流。接着由主动和被动探测方法分别提取基于流的特征和基于域名服务器的特征，其中域名服务器是由相应流锁定的。然后经由模型训练层的随机森林算法训练出恶意域名服务器分类器。最后为在线检测层嗅探数据提流，由主动和被动模块联动提取特征，然后将流输入检测器得到最终的分类结果。本发明可以准确地寻找到恶意的域名服务器，通过主动和被动探测方法的联动有效地增强了检测效果。

技术领域

本发明属于网络安全技术领域，是一种基于主动和被动探测的恶意域名服务器检测方法。

背景技术

在信息时代，网络技术发展愈来愈迅速，人们的生活、工作和学习已经与网络世界紧密相连起来。随之而来的，由利益驱动的网络安全事件层出不穷，各类恶意活动日益猖獗，对人们的隐私、财产以及安全都构成了严重的威胁。尤其近年，依赖于域名系统实施的恶意活动的现象越来越明显，因此相应的检测技术就显得格外的重要。域名系统（DNS）是目前互联网上最为关键的基础设施，大部分的网络活动都依赖于域名解析服务。域名解析服务是将较难记忆的IP地址映射转换为易于理解记忆的域名，使在互联网中更加便捷地访问各种网络资源。域名系统确实是有着良好地系统性能，但是作为一个开放的系统存在着诸多的安全问题和隐患。如今域名查询过程基本都是迭代查询，即首先由主机询问本地域名服务器，若本地域名服务器有缓存，则立即返回。否则本地域名服务器就以DNS客户的身份，基于查询的域名依次一级一级从根域名服务器开始递归查询，直到最终的域名服务器返回主机名对应的IP地址。

因为DNS服务的重要性，通常情况下防火墙都是配置为允许DNS服务所使用的UDP53号端口上所有的数据包，即并不会对DNS流量做过多的阻拦和控制，并且主机端一般都会无条件信任域名服务器返回的响应信息。实际中，黑客常常会利用这一点来实施自己的恶意活动。例如，僵尸网络会将自己的CC伪装为正常的域名服务器，建立起与被感染主机间的DNS隧道，通过DNS请求响应数据来管理C2通信，常常被用于发起分布式拒绝服务攻击或大量发送垃圾邮件等恶意攻击活动。如果能阻断与恶意域名服务器的数据通信，就可以十分有效地提高组织系统内的网络安全防护。那么恶意域名服务器的检测方法就显得十分重要。

现有的检测方法大部分仅仅针对域名本身的恶意检测，通常依赖于黑白名单的技术方法，这样的方法往往有着较高的误报和漏报率，在不同的环境和需求下自适应性会很差。然而，结合主动和被动探测的方式对恶意域名服务器进行检测，组织系统内部就可以通过阻断所有与被识别为恶意域名服务器相关的数据通信，从而达到十分有效的安全防护。

发明内容

本发明是一种针对恶意域名服务器的检测技术，结合主动和被动探测方法，利用随机森林机器学习方法准确有效地识别出恶意的域名服务器。

区别于传统的基于黑白名单的检测方法，本发明创新性地提出了结合主动和被动探测方法，从而提取出更加全面的相关特征，进而训练出优异的检测器。

为了达到上述目的，本发明所采取的技术方案如下。

首先本发明的技术框架包含了数据采集和处理层、模型训练层和在线检测层三个部分。其中数据采集和处理层的工作主要为三部分，第一是收集有着丰富多样性的DNS数据流量，包含了恶意和良性的DNS流量；第二是基于一定的时间窗口以（通信IP组，目的端口，域名）的聚合方式对DNS数据提流；第三是分别基于主动和被动角度提取出相应特征，并且为流打上标签，最终在这一阶段输出一个用于机器学习模型的训练集。

其中，提流操作中的通信IP组指的是互相通信的一组IP，不区分源或目的主机；目的端口则是DNS协议所使用的UDP53端口；域名（除去主机名）则是从TLD（顶级域名）往左进行最长标签匹配的方式进行聚合，并且标签个数最小必须大于等于2。通过域名匹配聚合德操作进而也锁定了欲检测的域名服务器。