机有通讯需求,故其产生的重新请求查询量是相对较少的,或具有来源单一 性的,那么我们认为该查询域名可能为恶意域名。示例性地,当域名风险等级评估还包括 其他分析时,可以基于对故障监测分析所分配的权重对域名的风险等级计入相应的风险分 值。
[0044] 根据本发明的一个实施例,域名风险等级评估还可以包括搜索引擎收录情况分 析。搜索引擎收录情况分析通过判定域名是否被搜索引擎所收录和/或参照搜索引擎对域 名的网页级别评分来确定域名的风险等级。搜索引擎通常对当前活动的域名有收录功能, 也就是说所有当前活动的页面都是可以被搜索引擎爬取到的,而对于那些零收录的域名, 也就是不能被搜索引擎爬取到的域名,则认为其为恶意域名的可能性较大。另外,同时也可 以将GooglePR、搜狗PR的评分列为参考对象。PR为PageRank也就是网页级别,其评分级 别为从〇到10,10级为满分。PR值越高说明该网页越受欢迎(越重要)。例如:一个PR值 为1的网站表明这个网站不太具有流行度,而PR值为7到10则表明这个网站非常受欢迎 (或者说极其重要)。一般PR值达到4,就算是一个不错的网站了。若一个域名越受欢迎, 那么其为恶意域名的可能性就越低;反之,评分较低特别是〇分的域名,其为恶意域名的可 能性很高。示例性地,当域名风险等级评估还包括其他分析时,可以基于对搜索引擎收录情 况分析所分配的权重对域名的风险等级计入相应的风险分值。
[0045] 根据本发明的一个实施例,域名风险等级评估还可以包括互联网档案馆分析。互 联网档案馆分析通过在互联网档案馆中查询并分析域名的历史活动记录和/或历史快 照来确定域名的风险等级。相比较于搜索引擎的检索记录查询,互联网档案馆archive, org查询的优势在于:已下线网站搜索引擎会排除搜索结果记录,但互联网档案馆是整个 互联网历史的大百科全书。也就是说对于那些已下线网站,目前搜索引擎已经不再收录, 但archive,org还能检索到历史snapshot。因此可以根据对其活动时间,活动行为,历史 snapshot的分析判定其是否有恶意域名的嫌疑,比如一个域名活动一段时间,销声匿迹之 后,又发生大规模的活动,那么可以认为它是可疑的。示例性地,当域名风险等级评估还包 括其他分析时,可以基于对互联网档案馆分析所分配的权重对域名的风险等级计入相应的 风险分值。
[0046] 根据上述实施例,域名风险等级评估可以包括异常心跳分析、子域名语义分析、域 名注册信息关联分析、高频访问名单分析、故障监测分析、搜索引擎收录情况分析以及互联 网档案馆分析中的任意一个或它们的任意组合。当组合分析时,可以为它们分配相应的权 重,使其各自的分析按照所分配的权重计算相应的风险分值,最终总体的风险等级评估结 果即为它们各自计算的风险分值的总和。其中,对各分析所分配的权重可以依据实际情况 而改变,从而可以实现定制化域名风险等级评估。
[0047] 最终的风险等级评估结果可以包括风险分值及其相对应的风险等级。例如,可以 设定在某一风险分值范围内为高风险等级,在另一风险分值范围内为可疑风险等级,而在 另一风险分值范围内为低风险等级。可以根据域名风险等级设置警报机制,例如,监控网络 内主机访问高风险域名系统发出高危警报;监控网络内主机访问可疑风险域名系统发出低 危警报;监控网络内主机访问低风险域名不触发警报。若发现监控网络中的主机频繁查询 可疑风险域名,则需要加强警惕;若监控网络中的主机频繁查询高风险域名,则可以认为其 遭受了APT攻击。
[0048] 下面通过示例来描述上述风险评估过程。在一个示例中,域名风险等级评估包括 异常心跳分析、子域名语义分析和域名注册信息关联分析。其中,例如,异常心跳分析被分 配40%的权重,子域名语义分析和域名注册信息关联分析分别被分配30%的权重。如果已 经确定是恶意域名的风险分值为100分,那么,如果异常心跳分析判定源主机在单位时间 间隔内对域名的查询请求存在规律性,则可以计算域名的第I风险分值为40% *100 = 40 分;如果子域名语义分析判定源主机所查询的域名的子域名具有实际意义,则该项分析不 计入风险分值,即第II风险分值为0分;类似地,如果域名注册信息关联分析判定域名的注 册信息的不全面或不真实等,则可以计算域名的第III风险分值为30% *100 = 30分。这 样,域名风险等级评估的总体风险分值为40+0+30 = 70分。如果定义域名风险等级分值在 (80,100]范围内是尚风险域名、(40,80]范围内是可疑风险域名、在[0,40]范围内是低风 险域名,则该域名的风险等级为可疑风险域名,其例如可以触发低危警报,以提示需要加强 警惕。本领域普通技术人员可以理解,上述描述仅为一个示例,域名风险等级评估所包括的 分析、每种分析所分配的权重、风险分值与风险等级的对应关系等都可以根据不同情况而 改变,以适应不同业务不同环境的需求。
[0049] 根据本发明实施例的上述基于域名解析会话模式分析的恶意域名检测方法对恶 意域名的判定不依赖黑白名单。虽然黑白名单的机制因为它的"简单粗暴"而被广泛的应 用,然而,通过明确的允许和不允许来限制用户的访问往往伴随着大量误报和漏报状况,不 同用户环境、业务需求场景下适应性极差。根据本发明实施例的上述基于域名解析会话模 式分析的恶意域名检测方法不是基于已有黑白名单限制访问,而是通过系统评估动态生成 域名风险等级数据库,既可以提醒用户访问域名的风险等级,也可以依据具体用户情况设 定响应联动策略阻止对高风险域名的访问。
[0050] 此外,根据本发明实施例的上述基于域名解析会话模式分析的恶意域名检测方法 可发现未知恶意域名。该方法使得未知域名通过域名风险等级评估系统综合评估后,可以 得到一个风险等级分数(例如百分制的分数),该分数的大小标志着该未知域名的风险等 级情况,通过专家知识设定的风险评级标准可以发现新恶意域名。
[0051] 进一步地,根据本发明实施例的上述基于域名解析会话模式分析的恶意域名检测 方法可以融合多炜度评价体系评估恶意域名风险等级,减少了依据单一条件判断域名为恶 意域名的误报率。采用多种判断源设定不同作用权值实现对域名恶意性的判断,一方面可 以减少单一判断源的偶然性和误报情况,另一方面也增强了域名风险等级评估系统的自适 应性,可根据不同环境要求,动态更改恶意域名判断源的权值,从而实现定制化域名风险等 级评估。
[0052] 根据本发明的另一方面,还提供一种基于域名解析会话模式分析的恶意域名检测 装置,该恶意域名检测装置包括:数据获取模块,用于获取网络中的通信数据;数据解析模 块,用于对通信数据进行解析,以提取出通信数据中涉及到的源主机的IP、源主机所查询的 域名以及查询域名的时间;数据查询模块,用于查询域名风险等级数据库,以确定源主机所 查询的域名是否存在于域名风险等级数据库中;域名风险等级评估模块,用于在域名风险 等级数据库中不存在源主机所查询的域名时对域名进行风险等级评估;以及评估结果显示 模块,用于在域名风险等级数据库中存在源主机所查询的域名时呈现从域名风险等级数据 库中提取的与域名相对应的风险等级结果,并且在域名风险等级数据库中不存在源主机所 查询的域名时呈现域名风险等级评估模块对域名的风险等级评估结果。
[0053] 其中,域名风险等级评估模块可以包括如图3所示的如下模块中的至少一个或其 任意组合:
[0054] 域名注册信息关联分析模块,用于判定所述域名的注册信息的全面性和/或真实 性,并基于判定结果和所分配的第一权重计算所述域名的第一风险分值。
[0055] 高频访问名单分析模块,用于判定域名当前和在过去的预设时间段内是否均在或 者是否均不在源主机访问频率最高的前若干位域名名单内,并基于判定结果和所分配的第 二权重计算域名的第二风险分值。
[0056] 异常心跳分析模块,用于判定源主机在单位时间间隔内对域名的查询请求是否存 在规律性,并基于判定结果和所分配的第三权重计算域名的第三风险分值。
[0057] 子域名语义分析模块,用于判定源主机所查询的域名的子域名是否具有实际意 义,并基于判定结果和所分配的第四权重计算域名的第四风险分值。
[0058] 故障监测分析模块,用于在域名的域名服务器发生故障时监测对域名服务器发送 重新查询请求的主机数目,并基于监测结果和所分配的第五权重计算域名的第五风险分 值。
[0059] 搜索引擎收录情况分析模块,用于判定域名是否被搜索引擎所收录并分析搜索引 擎对域名的网页级别评分,并基于分析判定结果和所分配的第六权重计算域名的第六风险 分值。
[0060] 互联网档案馆分析模块,用于在互联网档案馆中分析域名的历史活动记录和/或 历史快照,并基于分析结果和所分配的第七权重计算域名的第七风险分值。