一种恶意域名访问分析及确定方法与流程

本发明涉及网络安全，特别是涉及一种恶意域名访问分析及确定方法。

背景技术：

1、域名系统是当前互联网重要的基础设施之一，大量的网络服务依赖于域名服务来开展。域名解析服务(dns)将抽象的ip地址映射为易于记忆的域名，使互联网用户更加方便地访问各种网络资源，是互联网体系结构中重要的基础服务之一。其中恶意域名也叫恶意网站，是指该网站利用浏览器或者应用软件的漏洞，嵌入恶意代码，在用户不知情的情况下，对用户的机器进行篡改或破坏的网站。对于弹出插件或提示用户是否将其设为首页的网站，因为需要用户确认，则不被定义为恶意域名。对于内容不合法、不健康的网站，如果它并未对用户的机器进行篡改或破坏，也不被定义为恶意域名。但是对于仿冒其他网站比如银行网站、电子商务网站的，虽然未对用户的机器进行篡改或破坏，但是也被定义为恶意域名。

2、目前，随着网络技术的飞速发展和网络时代的到来，互联网规模的不断扩大，互联网应用已经深入到人们生活的方方面面，互联网成为了推动社会进步和经济发展的巨大动力。尤其是近年来，智能手机的广泛普及，让人类的生活与互联网紧密相连。但互联网在带给广大公众跨越时空、快速便捷和互动交流的同时，也给网络攻击、网络犯罪、信息泄漏、窥探隐私提供了可能。由于域名系统并不对依托于其开展的服务行为进行检测，dns服务缺少恶意行为检测能力，因此常常被恶意程序利用，网络中有相当一部分已知恶意程序采用域名关联的方式进行网络信息的窃取，当计算机被植入恶意程序后，会主动的向恶意程序的植入方所指定的域名源源不断的发送信息，为了减少这些恶意事件的发生，需要对恶意域名进行分析并确定。

技术实现思路

1、本发明要解决的技术问题是：现有技术难以对恶意域名访问进行分析以及无法确定恶意域名的问题。

2、为了解决上述技术问题，本发明提供了一种恶意域名访问分析及确定方法，包括：

3、收集恶意域名和恶意行为，分别建立恶意域名黑名单和恶意行为模型库；

4、获取网卡捕获的全部流量数据包，并提取所述流量数据包内的dns流量数据包；

5、对所述dns流量数据包进行解析得到域名记录集；

6、根据所述恶意域名黑名单对域名记录集中的每一个域名进行分析得到域名分析结果，并根据所述恶意行为模型库对域名记录集中的每一个域名对应的访问行为进行分析得到访问行为分析结果；

7、根据所述域名分析结果和访问行为分析结果综合判断，确定域名记录集中的恶意域名，并对恶意域名进行警告标识。

8、进一步的，所述收集恶意域名和恶意行为，分别建立恶意域名黑名单和恶意行为模型库，具体包括：

9、利用大数据挖掘技术对公开的威胁情报源进行搜集并及时更新，利用大数据分析处理搜集到的威胁情报中的域名和行为；

10、判断搜集到的威胁情报中的域名是否为恶意域名，判断搜集到的威胁情报中的行为是否为恶意行为；

11、若威胁情报中的域名是恶意域名，提取出威胁情报中的恶意域名，建立恶意域名黑名单；

12、若威胁情报中的行为是恶意行为，提取出威胁情报中的恶意行为，建立恶意行为模型库。

13、进一步的，所述获取网卡捕获的全部流量数据包，并提取所述流量数据包内的dns流量数据包，具体包括：

14、将所述网卡捕获的全部流量数据包以镜像的方式保存至内部储存中；

15、确定所述网卡捕获的全部流量数据包内的dns流量数据包；

16、将dns流量数据包从所述网卡捕获的全部流量数据包内分离出来。

17、进一步的，所述对所述dns流量数据包进行解析得到域名记录集，具体包括：

18、对所述dns流量数据包进行解析得到dns解析数据；

19、对所述dns解析数据进行数据清洗，将所述dns解析数据中没有影响的字段去掉，保留有影响统的字段；

20、从有影响统的字段内提取所有的域名，集合后得到所有的域名记录集。

21、进一步的，所述根据所述恶意域名黑名单对域名记录集中的每一个域名进行分析得到域名分析结果，具体包括：

22、获取每一个域名，将每一个域名与所述恶意域名黑名单中的域名进行匹配得到一个匹配度值；

23、根据所述匹配度值与预设匹配度值的大小判断所述域名是否为疑似恶意域名；

24、若所述匹配度值小于等于所述预设匹配度值，则所述域名不是疑似恶意域名，继续对下一域名行为进行判断；

25、若所述访问域名是异常访问域名，则将所述域名为疑似恶意域名记录到所述域名分析结果内。

26、进一步的，所述根据所述匹配值与预设匹配值的大小判断所述域名是否为疑似恶意域名，具体包括：

27、调用所述恶意域名黑名单中的恶意域名模型，以及将所述域名与所述恶意域名模型的匹配度值进行计算以判断所述域名是否为疑似恶意域名。

28、进一步的，所述并根据所述恶意行为模型库对域名记录集中的每一个域名对应的访问行为进行分析得到访问行为分析结果，具体包括：

29、获取每一个域名对应的访问行为，提取所述访问行为的特征信息；

30、将所述特征信息进行熵值量化，将量化后得到的熵值向量输入至分类器，得到与所述访问行为对应的行为类型；

31、根据所述行为类型判断所述访问行为是否为异常访问行为；

32、若所述访问行为不是异常访问行为，则继续对下一域名对应的访问行为进行判断；

33、若所述访问行为是异常访问行为，则将所述访问行为异常访问行为记录到所述行为分析结果内。

34、进一步的，所述根据所述行为类型判断所述访问行为是否为异常访问行为，具体包括：

35、调用所述恶意行为模型库中的恶意行为模型，以及将所述访问行为与所述恶意行为模型进行匹配以判断所述访问行为是否为异常访问行为。

36、进一步的，所述根据所述域名分析结果和访问行为分析结果综合判断，确定域名记录集中的恶意域名，并对恶意域名进行警告标识，具体包括：

37、根据所述域名分析结果和访问行为分析结果的重要度，给所述域名分析结果分配第一权重值，给所述访问行为分析结果分配第二权重值；

38、将所述第一权重值与第二权重值相加得到恶意值；

39、若所述恶意值未超过预设恶意值，则所述域名记录集中的域名不是恶意域名；

40、若所述恶意值超过预设恶意值，则所述域名记录集中的域名是恶意域名，并对恶意域名通过颜色标识进行警告。

41、本发明的一种恶意域名访问分析及确定方法与现有技术相比，其有益效果在于：

42、本发明通过对域名和域名对应的行为进行综合分析来确定域名是否为恶意域名，提高恶意域名确认的精确度，避免恶意域名逃脱检测，并且对恶意域名进行警告标识，保证恶意域名能够及时被发现。

技术特征：

1.一种恶意域名访问分析及确定方法，其特征在于，包括：

2.根据权利要求1所述的一种恶意域名访问分析及确定方法，其特征在于，所述收集恶意域名和恶意行为，分别建立恶意域名黑名单和恶意行为模型库，具体包括：

3.根据权利要求1所述的一种恶意域名访问分析及确定方法，其特征在于，所述获取网卡捕获的全部流量数据包，并提取所述流量数据包内的dns流量数据包，具体包括：

4.根据权利要求1所述的一种恶意域名访问分析及确定方法，其特征在于，所述对所述dns流量数据包进行解析得到域名记录集，具体包括：

5.根据权利要求1所述的一种恶意域名访问分析及确定方法，其特征在于，所述根据所述恶意域名黑名单对域名记录集中的每一个域名进行分析得到域名分析结果，具体包括：

6.根据权利要求1所述的一种恶意域名访问分析及确定方法，其特征在于，所述根据所述匹配值与预设匹配值的大小判断所述域名是否为疑似恶意域名，具体包括：

7.根据权利要求1所述的一种恶意域名访问分析及确定方法，其特征在于，所述并根据所述恶意行为模型库对域名记录集中的每一个域名对应的访问行为进行分析得到访问行为分析结果，具体包括：

8.根据权利要求7所述的一种恶意域名访问分析及确定方法，其特征在于，所述根据所述行为类型判断所述访问行为是否为异常访问行为，具体包括：

9.根据权利要求1所述的一种恶意域名访问分析及确定方法，其特征在于，所述根据所述域名分析结果和访问行为分析结果综合判断，确定域名记录集中的恶意域名，并对恶意域名进行警告标识，具体包括：

技术总结
本发明公开了一种恶意域名访问分析及确定方法，其包括：收集恶意域名和恶意行为，建立恶意域名黑名单和恶意行为模型库；提取流量数据包内的DNS流量数据包；对DNS流量数据包进行解析得到域名记录集；根据恶意域名黑名单对域名记录集中的每一个域名进行分析得到域名分析结果，并根据恶意行为模型库对域名记录集中的每一个域名对应的访问行为进行分析得到访问行为分析结果；根据域名分析结果和访问行为分析结果综合判断确定域名记录集中的恶意域名，并进行警告。本发明通过对域名和域名对应的行为进行综合分析来确定域名是否为恶意域名，提高恶意域名确认的精确度，避免恶意域名逃脱检测，并且对恶意域名进行警告标识，保证恶意域名能够及时被发现。

技术研发人员：范伟宁,戚红建,韩硕,王宇飞,徐蕾,宋成风,张强,秦绪帅,李亚楠,师凤瑞
受保护的技术使用者：华能信息技术有限公司
技术研发日：
技术公布日：2024/1/13