[发明专利]一种Domain Flux数据流的检测方法及装置

说明书

本申请提供了一种Domain Flux数据流的检测方法及装置，该方法包括：从当前检测窗口内的数据流中提取DNS请求记录信息；基于所述DNS请求记录信息，确定所述当前检测窗口中的数据流的流量特征统计数据；基于当前检测窗口和历史检测窗口的流量特征统计数据，采用预设算法判断所述当前检测窗口中的数据流是否存在突发数据流；若所述当前检测窗口中存在突发数据流，则确定所述当前检测窗口内的数据流中存在Domain Flux数据流。采用上述方法，可以有效且准确地识别出Domain Flux数据流。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种Domain Flux数据流的检测方法及装置。

背景技术

僵尸网络指攻击者出于恶意目的，通过命令控制信道(CC Channel)操控一群受害主机所形成的虚拟网络。通过该网络，攻击者可以发起多种常见攻击，包括DDoS、垃圾邮件、钓鱼攻击、点击欺诈、在线身份窃取、比特币挖掘/窃取、加密勒索等。同传统恶意代码形态相比，僵尸网络的攻击实现依赖攻击者和受害主机之间的信息交互，即攻击者需要告知僵尸主机命令，僵尸主机才可发起相应的攻击，命令的下发通过命令控制信道实现，因此研究命令控制信道的检测成为僵尸主机检测的核心课题。

早期的僵尸主机通常采用轮询的方法访问硬编码的CC域名或IP来访问命令控制服务器，获取攻击者命令。然而这类型的命令控制信道很容易被防御方逆向解析出来后形成威胁情报，拦截率极高。为了突破防御方的拦截，攻击方使用Domain Flux协议来对抗防御人员的关闭，僵尸主机访问的CC域名不再是静态硬编码，而是根据一定算法动态生成的、变化的域名，攻击方和肉鸡通信的集合点(rendezvous points)动态变化，防御方难以关闭该僵尸网络，该域名生成算法称之为DGA(Domain Generation Algorithm，域名生成算法)，算法的输入称为Seeds，涵盖日期、社交网络搜索热词、随机数或字典，生成的一串特殊字符前缀(比如kvbtltjwoxf52b68nslulzgvevh44bvatey)添加TLD(顶级域)后得到最终域名资源，该域名称为AGD(Algorithmically-Generated Domain，算法生成域)，攻击方只需成功注册并让肉鸡访问到一个AGD即可实现僵尸网络的控制，而防御方为了彻底关闭该僵尸网络，需要屏蔽所有的AGD，成本极大，因此，Domain Flux被认为是一种非常健壮的命令控制协议，如何检测Domain Flux数据流是极为重要的课题。

现有技术在检测Domain Flux数据流时，是采用提取窗口的最大公共子串，如果出现次数超过认为设定的阈值且DNS响应为“未找到域名对应的A记录”的频率超过认为设定的域名，则判定该窗口存在Domain Flux数据流。上述方案无法检测通用型的Domain Flux数据流，而且很多DGA算法生成的域名并不存在公共子串，因此单纯从最大子串方式判定存在检测不全；此外，人为设定的阈值无法反应客户主机正常的网络情况，从而造成阈值不适应。

因此，如何检测Domain Flux数据流是值得考虑的技术问题之一。

发明内容

有鉴于此，本申请提供一种Domain Flux数据流的检测方法及装置，用以准确地识别出Domain Flux数据流。

具体地，本申请是通过如下技术方案实现的：

根据本申请的第一方面，提供一种Domain Flux数据流的检测方法，包括：

从当前检测窗口内的数据流中提取DNS请求记录信息；

基于所述DNS请求记录信息，确定所述当前检测窗口中的数据流的流量特征统计数据；

基于当前检测窗口和历史检测窗口的流量特征统计数据，采用预设算法判断所述当前检测窗口中的数据流是否存在突发数据流；

若所述当前检测窗口中存在突发数据流，则确定所述当前检测窗口内的数据流中存在Domain Flux数据流。