一种基于频次特征的恶意域名判定方法
阅读:1028发布:2020-06-30
专利汇可以提供一种基于频次特征的恶意域名判定方法专利检索,专利查询,专利分析的服务。并且本 发明 在网络信息安全领域提供了一种基于频次特征的恶意域名判定方法。其特征在于提出融合多纬度频次特征评价体系,综合高频解析域名分析以及查询 搜索引擎 收录情况分析,进行评估恶意域名 风 险级别,从而检测网络攻击的方法。目前已有的依据单一条件判断域名为恶意域名,存在误报率较高,急需解决这种情况。该方法采用融合多纬度频次特征评价体系,作用是为不同的等级判定条件分配不同权重,根据各条件所占权重对域名进行总体评估,得到该域名为恶意域名的风险等级百分制分数,然后判定是否为恶意域名。,下面是一种基于频次特征的恶意域名判定方法专利的具体信息内容。
1.一种基于频次特征的恶意域名判定方法,其特征在于,提出一种融合多纬度频次特征评价体系评估恶意域名风险级别;其中:高频解析域名分析,用于分析域名频次特征;对多种判断源设定不同的风险等级来实现对恶意域名的判定,用于降低偶然性和误报情况;
多纬度频次特征的评价体系增强域名风险等级评估系统的自适应性,可根据不同环境要求,动态更改恶意域名判断源,用于定制化域名风险等级评估;由评价体系对域名风险等级数据库设定分值,涉及到的有两大方面,四个环节,这四个环节依据不同情况权重设定分值。
2.根据权利要求1中所述的基于频次特征的恶意域名判定方法,其特征是,恶意域名判定不依赖黑白名单;判定通过系统评估动态生成的域名风险等级数据库,用于提醒访问域名的风险等级;也可依据不同情况设定响应联动策略,阻止计算机对高风险域名的访问。
3.根据权利要求1中所述的方法,其特征在于,恶意域名的判定包括:定义最后得分为
100分的结果表示为确认是恶意域名(实际情况不一定能达到 );最后得分为0分的结果表示安全,不是恶意域名;分值根据域名风险等级评估得出。
4.根据权利要求1或3中所述的方法,其特征在于,可发现未知恶意域名;基于频次特征的特性,使得未知域名通过域名风险等级评估系统综合评估后,可以得到一个风险等级的百分制分数,该分数的大小标志着该未知域名的风险等级情况,通过数据知识设定的风险评级标准可以发现新的恶意域名,用于应对新型的网络攻击。
一种基于频次特征的恶意域名判定方法
技术领域
[0001] 本发明属于网络信息安全领域,涉及一种恶意域名判定方法,具体涉及一种基于频次特征的恶意域名判定方法。
背景技术
[0002] 近年来,网络攻击屡见不鲜,网络信息安全至关重要。网络攻击者通过多种方法进入目标主机,窃取用户信息。攻击者进入目标主机后,通常使用恶意域名回连控制端服务器。这个行为模式是攻击者给予防御者的一个最重要发现和检出机遇。我们可以基于恶意域名(恶意域名:包含C&C域名、僵尸网络域名,RAT域名等)频次特征检测,判定主机是否受到了攻击。
[0003] 在目前已有的一些恶意域名检测网络攻击事件的技术之中,采用的方法是:校验网络流量中与网络域名对应的域名系统应答数据包的生存时间小于预先设置的时间阈值,则判定该网络域名为疑似僵尸网络域名;如果网络流量中与网络域名对应的域名系统应答数据包所应答的网络协议IP组中各个IP地址的差异度大于预设的差异度阈值,则判定该网络域名为疑似僵尸网络域名;接受用户终端的携带有第一统一资源定位符的安全性查询请求,在N条域名安全性记录中查询是否有匹配,若有匹配记录并且安全性记录指出这一域名为恶意域名,则判定该网络域名为恶意域名;或者将域名通过DNS解析为对应IP地址,基于IP地址与预先收集的恶意DNS 对应的IP地址进行匹配,若匹配则判定该网络域名为恶意域名。但这些基于恶意域名检测攻击事件的技术存在一定的局限性,所以本方案提出一种基于融合多纬度频次特征评价体系,来评估恶意域名的风险级别,从而判定恶意域名,进而检测网络攻击的方法。
发明内容
[0004] 为了及时发现网络攻击事件,减少因为网络攻击所带来的损失,本发明的目的是提供一种基于融合多纬度频次特征评价体系评估恶意域名风险级别,从而检测网络攻击的方法。我们不仅仅依据单一条件判断域名为恶意域名,因为单一条件的误报率普遍较高,所以我们采用融合多纬度频次特征分析的方式,为不同等级判定条件分配不同权重,根据各条件所占权重,对该域名进行总体评估,得出一个该域名为恶意域名的风险等级百分制分数(0为正常域名,100为恶意域名,分数越高,检测域名为恶意域名的可能性越大),依据分数来判定恶意域名。
[0005] 本发明所采用的技术方案是:基于融合多纬度频次特征评价体系评估恶意域名风险级别,从频次特征的角度来判定恶意域名。方案首先对域名服务器查询日志进行分析,从两个方面综合评估域名的风险等级。
[0006] 第一阶段,统计各主机常用域名Top 10,根据统计学规律和各个主机上网的规律,周期性的统计各主机常用域名Top 10,一般情况下,Top 10的名单基本不会变,说明上网情况稳定,若Top 10 的排名发生了改变,则相应的增加风险分值。同时还采用了域名故障监测分析,当域名主机出现响应故障时,监控网段中大部分主机都会重新发送查询请求,若此时只有单一固定的几台主机定法发送该域名的查询请求,则该域名为恶意域名的可能性较大,因为正常域名在日常情况中是被广泛访问的,若其出现故障,重新访问该域名的用户占比会高于平均值,但若是攻击端的恶意域名其只与监控网络中的一台或几台被控主机有通讯需求,故其产生的重新请求查询量是相对较少的,或具有来源单一性,从而判断可能遭受攻击。
[0007] 第二阶段,查询搜索引擎收录情况。搜索引擎通常对当前活动的域名有收录功能,而对于那些零收录的域名,我们认为其为恶意域名的可能想较大,应增加相应的风险分值。另外,我们同时也可以将Google PR、搜狗PR的评分列为参考对象,认为那些评分较低,特别是0分域名,应增加其风险分值。在这一基础上,我们还增加了互联网档案查询:
archiv.org。对于已下线网站,目前搜索引擎已经不再收录,但archive.org还能检索到历史snapshot。我们可以根据对其活动时间,活动行为,历史snapshot的分析判定其是否有恶意域名的嫌疑,比如一个域名活动一段时间,销声匿迹之后,又发生了活动,那么我们认为它是可疑的,根据频次特征计入相应风险分值。
archiv.org。对于已下线网站,目前搜索引擎已经不再收录,但archive.org还能检索到历史snapshot。我们可以根据对其活动时间,活动行为,历史snapshot的分析判定其是否有恶意域名的嫌疑,比如一个域名活动一段时间,销声匿迹之后,又发生了活动,那么我们认为它是可疑的,根据频次特征计入相应风险分值。
[0008] 综合两个阶段的分析结果,运用合适的加权算法计算出域名的总体风险等级分数,判定一个域名的风险等级,而当我们发现内网主机与我们认为风险等级较高的域名发生通信的时候,就能判定该主机有很大的可能已经遭受了攻击,以便及早判断攻击的发生,才能采取相应的防御措施,减少攻击造成的损失和后果。
[0009] 本发明基于频次特征的恶意域名判定方法的技术特点:1.方案采用融合多纬度频次特征评价体系评估恶意域名风险级别,减少依据单一条件判断所发生的误报率。多种判断源设定不同的风险等级来实现对恶意域名的判断,这样可以减少偶然性和误报情况,同时也增强域名风险等级评估系统的自适应性,可根据不同环境要求,动态更改恶意域名判断源,从而达到定制化域名风险等级评估。
[0010] 2.恶意域名判定不依赖黑白名单。本方案中恶意域名的判定不依赖于黑白名单,黑白名单的机制被广泛的应用,一部分原因是因为它的“简单粗暴” ,通过明确的允许和不允许限制用户的访问实现的“安全性”效果往往伴随着大量误报和漏报状况,不同用户环境、业务需求场景下适应性极差。但本方案中不是基于已有黑白名单限制访问,而是通过系统评估动态生成域名风险等级数据库,既可以提醒用户访问域名的风险等级,也可以依据具体用户情况设定响应联动策略阻止对高风险域名的访问。
[0011] 3.本方案可发现未知恶意域名。本方案的设计使得未知域名通过域名风险等级评估系统综合评估后,可以得到一个风险等级的百分制分数,该分数的大小标志着该未知域名的风险等级情况,通过数据知识设定的风险评级标准可以发现新恶意域名,应对新型的网络攻击。附图说明
具体实施方式
[0013] 下面结合附图和具体实施方式对本发明进行详细说明。
[0014] 本发明恶意域名判定方法的域名风险等级评估系统中,我们分别从两个方面进行综合评估域名的风险等级,其结构如图1所示。
[0015] 第一阶段,高频解析和域名分析。划分时间段,周期性的统计各主机常用域名Top 10,根据统计学规律和各个主机上网的规律,周期性的统计各主机常用域名Top 10,一般情况下,Top 10的名单基本不会改变,说明上网情况稳定,若Top 10 的名单发生了较大的改变,则认为该时间段内主机的“行为”较平时出现了异常,很有可能是遭受了攻击,主机频繁的与控制端通信引发的,计入相应风险分值。
[0016] 这一阶段还采用了域名故障监测分析,当域名主机出现响应故障时,监控网段中大部分主机都会重新发送查询请求,若此时只有单一固定的几台主机定法发送该域名的查询请求,则该域名为恶意域名的可能性较大,因为正常域名在日常情况中是被广泛访问的,若其出现故障,重新访问该域名的用户占比会高于平均值,但若是攻击端的恶意域名其只与监控网络中的一台或几台被控主机有通讯需求,故其产生的重新请求查询量是相对较少的,或具有来源单一性,从而判断可能遭受攻击,计入风险分值。
[0017] 第二阶段,查询搜索引擎收录情况分析。搜索引擎通常对当前活动的域名有收录功能,也就是说所有当前活动的页面都是可以被搜索引擎爬取到的,而对于那些零收录的域名,也就是不能被搜索引擎爬取到的域名,我们认为其为恶意域名的可能性较大,应增加相应的风险分值。另外,我们同时也可以将Google PR、搜狗PR的评分列为参考对象,PR为PageRank也就是网页级别,其评分级别为从0到10,10级为满分。PR值越高说明该网页越受欢迎(越重要)。例如:一个PR值为1的网站表明这个网站不太具有流行度,而PR值为7到10则表明这个网站非常受欢迎(或者说极其重要)。一般PR值达到4,就算是一个不错的网站了。若一个域名越受欢迎,那么其为恶意域名的可能性就越低,所以,我们可以关注那些评分较低,特别是0分域名,计入相应风险分值。
[0018] 在这一基础上,我们还增加了互联网档案查询:archiv.org。对于已下线网站,目前搜索引擎已经不再收录,但archive.org还能检索到历史snapshot。我们可以根据对其活动时间,活动行为,历史snapshot的分析判定其是否有恶意域名的嫌疑,比如一个域名活动一段时间,销声匿迹之后,又发生了活动,那么我们认为它是可疑的,根据频次特征计入相应风险分值。
[0019] 综合两个阶段的分析结果,运用合适的加权算法计算出域名的总体风险等级分数。根据风险等级分数设置域名风险等级:域名风险等级分数在(80,100]范围内认为是高风险域名;域名风险等级分数在(40,80]范围内认为是可疑风险域名;域名风险等级分数在(0,40]范围内认为是低风险域名;如经过域名风险等级评估系统的两个阶段评估,得出域名的风险等级分数为89,则我们认为其是一个高风险域名,若我们发现监控网络中的主机频繁查询可疑风险域名,则我们需要加强警惕;若监控网络中的主机频繁查询高风险域名,则认为其遭受了攻击。
[0020] 本方案基于融合多纬度频次特征评价体系评估恶意域名风险级别,主要由数据读取模块,查询解析模块,域名风险等级数据库和域名风险等级评估模块组成。方案的主要流程如图2所示,数据读取模块的主要功能是获取网络流量中的通信数据,通过DNS服务器的查询日志或Sinffer抓取到的数据流量等方式读取我们要监控的数据。然后将这些数据放入查询解析模块进行数据查询解析,提取出域名查询结构,作为查询的基础数据结构。接下来在域名风险等级数据库中查找我们欲鉴别的域名是否已经存在,若存在,则只需要取出其相应的风险等级分数呈现即可,若不存在则进入域名风险等级评估模块对域名进行评估,评估后将评估结果呈现,同时装入域名风险等级数据库完毕。初始域名风险等级数据库时,我们遵循已发生的攻击事件的恶意域名风险等级为100;与各知名网站的域名相似性较高的域名,如mail.l63.com(数字163的1改为小写英文字母l),风险等级为80,完成数据库的初始化。然后通过域名风险等级评估系统的评估填充域名风险等级数据库。
[0021] 本发明的基于频次特征的风险分析来自于,设置查询域名在单位时间间隔内,观察它的请求是否存在周期性规律,其流程图如图3所示。由对已发生的网络攻击事件的研究发现,高级持续性威胁网络攻击为保持连接,通常会定时发送心跳包,保证存活,这是正常应用程序没有的机制,所以我们可以设置一个查询时间段,在每个时间段内记录域名查询次数,正常应用程序或网页浏览的域名查询应该是随机的无规律,若出现周期性的有规律的域名查询则说明可能存在异常,也就有可能存在恶意域名。
[0022] 本发明基于频次特征的恶意域名判定方法中,融合多纬度频次特征评价体系评估恶意域名风险级别方案的域名风险等级评估从两个方面实现对恶意域名风险等级的评估,针对不同网络的实际情况也可有所改动,两个方面所占危险权重也可依据实际情况设定。我们可以给两个大阶段,四个具体环节设置权值例如一阶段一环节权重3,一阶段二环节权重2,二阶段一环节权重3,二阶段二环节权重2,在计算权重比例分别为:阶段权重/阶段权重总和,这样在去掉或新增判定条件时也可以适应,增强了判定方法的健全性。 本发明的方案中域名风险等级评估模块从两大方面、四个环节来实现对恶意域名风险等级的评估,针对不同网络的实际情况也可有所改动,四个环节所占危险权重也可依据实际情况设定。
| 标题 | 发布/更新时间 | 阅读量 |
|---|---|---|
| 基于关联数据的自治数据湖构建系统及方法 | 2020-05-11 | 984 |
| 供应链金融的风险分析方法、装置、计算终端及存储介质 | 2020-05-14 | 947 |
| 基于ATT&CK的欺骗性防御系统、构建方法及全链路防御实现方法 | 2020-05-15 | 827 |
| 大数据风控管理系统 | 2020-05-08 | 562 |
| 一种基于知识图谱的漏洞知识库构建方法 | 2020-05-13 | 945 |
| 一种面向在线教育的实时反作弊检测和预警方法 | 2020-05-14 | 770 |
| 一种用于大型赛事赛时运行管理的系统及方法 | 2020-05-15 | 830 |
| 一种基于专家知识库的渗透测试风险评估方法以及模型 | 2020-05-08 | 277 |
| 一种基于知识图谱的医疗保障骗保行为发现方法 | 2020-05-12 | 166 |
| 一种油气田钻井现场智能安全管控系统 | 2020-05-14 | 855 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
分析报告
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
QQ群二维码
意见反馈
意见反馈