[发明专利]一种基于规则的恶意域名所属DGA家族的检测方法

摘要

本发明涉及网络安全APT检测领域，旨在提供一种基于规则的恶意域名所属DGA家族的检测方法。该种基于规则的恶意域名所属DGA家族的检测方法，用于对恶意域名进行分析与检测，识别网络中被攻击的计算机设备所感染病毒的DGA家族。本发明通过对僵尸程序短时间里大量请求的异常域名的特征计算，将计算结果与已知的DGA算法生成的域名特征规则进行匹配，快速地识别当前网络里的某一计算机设备感染的僵尸程序相关的DGA家族类型，有利于后续的网络攻击的追踪溯源和僵尸程序的清除工作、补救措施的开展。

主权项

1.一种基于规则的恶意域名所属DGA家族的检测方法，用于对恶意域名进行分析与检测，识别网络中被攻击的计算机设备所感染病毒的DGA家族的种类，其特征在于，所述基于规则的恶意域名所属DGA家族的检测方法包括下述步骤：/n步骤一：在互联网上收集DGA算法相关的资料，以及获得由这些DGA算法生成的域名样例；/n步骤二：对每个DGA算法，选取将要分析的域名集合特征，最终形成一个总的特征列表，对每一种DGA算法选择至少一个训练样本，对特征列表里的每一个特征，计算和归纳出训练样本对应的特征值，最终形成一个特征矩阵，具体包括下述子步骤：/n步骤(2A)：将步骤一中每一个DGA算法在一个时间段里生成的域名集合，作为一个样本，列出需要分析的域名特征；/n步骤(2B)：通过步骤(2A)获得每个样本需要分析的域名特征，然后对这些域名特征做并集操作，最后得到一个特征列表；/n步骤(2C)：对每一个DGA算法生成的至少两个域名集合，划分为两部分：一部分作为训练样本，设训练样本的样本个数为M；另一部分作为测试样本；/n针对M个训练样本，分别计算特征的值，设步骤(2B)得到的特征列表里有N个特征，则对每一个样本计算这N个特征的值，再加上每一个样本所归属的DGA家族类型，M个训练样本经过计算后，形成一个M行N+1列的特征矩阵；其中，M、N为大于零的自然数；/n步骤三：规则创建功能根据训练样本的特征矩阵，创建DGA家族类型分类规则；/n创建好DGA家族类型分类规则之后，将DGA家族类型分类规则保存在配置文件或者关系数据库里，由检测模块进行加载和使用；所述检测模块用于检测某一个具体的域名集合样本的DGA家族类型；/n所述检测模块，即为具有DGA家族类型检测功能的程序，是指可以检测某一个具体的域名集合样本的DGA家族类型的程序；对于输入的一个域名集合样本的特征的值，检测模块将依据创建好的DGA家族类型分类规则，判断出该域名集合样本的DGA家族类型，或者是其他情况；所述其他情况是指请求解析的域名没有找到特征匹配的DGA家族类型，该域名是正常的域名或恶意域名；/n步骤四：采集模块采集DNS协议流量、HTTP协议流量，获得原始流量数据；/n所述采集模块用于网络流量采集，能直接从网卡上采集数据，也能直接接收其他系统发送过来的流量数据；/n所述DNS协议流量是指计算机设备为了获取域名对应的IP地址，向DNS服务器发送的解析域名对应的IP地址的请求以及DNS服务器返回的域名解析结果；通过收集需要保护的计算机设备的DNS协议流量，并检测这些计算机请求解析的域名，是否为某个DGA算法生成的，来判断这些计算机设备是否被感染了恶意程序，以及与恶意程序相关的DGA家族类型；/n所述HTTP协议流量用于记录检测到恶意程序在请求解析恶意域名返回成功后，进一步可能请求的HTTP操作，方便后续的风险检测；/n步骤五：协议解析模块根据协议规范解析DNS协议流量、HTTP协议流量，还原原始网络行为信息，获得后续功能模块能够处理的流量数据；/n所述协议解析模块能依据协议规范，从网络流量数据里解析出通信双方的信息，包括源IP、目的IP、源端口、目的端口、请求内容和响应信息；/n步骤六：协议解析模块对需要保护的计算机设备请求解析的域名，使用域名白名单库进行过滤，如果在域名白名单库里能够找到，则认为是正常普通的域名，不再检测该域名所属的DGA家族类型，继续处理下一个域名；如果在域名白名单库里没有找到，则需要将该域名以及请求解析该域名的计算机IP地址发送给检测模块，进入步骤七处理；/n步骤七：检测模块根据规则检测DGA家族类型，具体包括下述子步骤：/n步骤(7A)：检测模块加载和使用步骤三创建好的DGA家族类型分类规则，接收步骤六发送过来的计算机IP和该计算机请求解析的域名，检测模块将该计算机在一段时间里请求解析的多个域名作为一个域名集合样本，结合步骤(2B)得到的特征列表，计算和归纳出该域名集合样本的特征；用于形成域名集合样本的所述一段时间，根据网络内部的情况和需求进行预先确定；/n步骤(7B)：使用步骤(7A)计算得到的样本特征，去匹配检测模块已经加载的DGA家族类型分类规则；/n如果匹配成功，则说明该域名集合样本里包括的域名是由与该DGA家族相关的恶意程序请求解析的，进一步说明该计算机感染了恶意程序；如果匹配失败，则继续执行步骤八；/n步骤八：如果根据请求解析的域名，没有找到特征匹配的DGA家族类型，则分为下述两种情况：/n(1)请求解析的域名是正常的域名，则补充、更新域名白名单库；/n(2)请求解析的域名为恶意域名，分为三种情形：/nA、这是一种已经存在的病毒程序，但是它请求的域名特征不在已经创建的规则里；/nB、这是一个已经存在的病毒程序的新的变种，或者是病毒程序对原先已经存在的DGA算法使用了不同的输入参数，导致输出的域名集合的特征变化很大；/nC、这是一个全新的病毒程序，它请求解析的域名特征在在网络上还没有完整的资料。/n