买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!
摘要:本申请提供了一种基于行为场景的DGA域名检测系统及方法,检测系统包括数据采集和解析模块、DGA请求行为检测模块、DGA请求过程行为监测模块、DGA请求结果行为监测模块、关联设备行为监测模块和行为关联分析引擎;数据采集和解析模块用于采集网络流量日志和DNS日志,并对采集到的日志进行解析;DGA请求行为检测模块用于对日志解析得到的域名进行检测,以确定DGA恶意域名;行为关联分析引擎用于根据DGA请求过程行为监测模块的研判结果和DGA请求结果行为监测模块的研判结果进行综合研判,以根据研判结果产生DGA告警。本申请能够减少误报率,有效降低安全分析人员人工分析的工作量,提高分析效率。
主权项:1.一种基于行为场景的DGA域名检测系统,其特征在于,包括数据采集和解析模块、DGA请求行为检测模块、DGA请求过程行为监测模块、DGA请求结果行为监测模块、关联设备行为监测模块和行为关联分析引擎;所述数据采集和解析模块用于采集网络流量日志和DNS日志,并对采集到的日志进行解析;所述DGA请求行为检测模块用于对日志解析得到的域名进行检测,以确定DGA恶意域名;所述DGA请求过程行为监测模块用于对DGA请求过程行为是否异常进行研判,所述DGA请求结果行为监测模块用于对DGA请求结果行为是否异常进行研判,所述关联设备行为监测模块用于当本地研判线索缺失时,从关联设备上获取相关线索;行为关联分析引擎用于根据DGA请求过程行为异常研判结果和DGA请求结果行为异常研判结果进行综合研判,以根据研判结果产生DGA告警;其中,对DGA请求过程行为是否异常进行研判的过程为:设置基线检测条件,其包括NXDomain基线、陌生域名访问基线和同一域名请求返回IP数基线;利用NXDomain基线异常检测维护每个本地设备的当天NXDomain数,以历史数据中网络内所有设备的一天的NXDomain数的高斯分布模型的作为基线阈值,将基于当前疑似DGA请求所对应的本地设备的当天统计的NXDomain数与历史基线阈值进行比较,如果基于当前疑似DGA请求所对应的本地设备的当天统计的NXDomain数超过该历史基线阈值,则判定NXDomain数异常;利用陌生域名访问基线异常检测维护每个本地设备的当天陌生非白名单域名访问个数,以历史数据中网络内所有设备一天的陌生域名访问数的高斯分布模型的作为基线阈值,将基于当前疑似DGA请求所对应的本地设备的当天统计的陌生域名访问数与历史基线阈值进行比较,如果基于当前疑似DGA请求所对应的本地设备的当天统计的陌生域名访问数超过该历史基线阈值,则判定陌生域名访问数异常;预设IP地址个数阈值,将当天疑似DGA域名所返回的IP地址个数与预设的IP地址个数阈值进行比较,如果当天疑似DGA域名所返回的IP地址个数超过IP地址个数阈值,则判定同一域名请求返回IP数基线异常已发生;如果至少存在两个基线检测条件异常,则判定DGA请求过程行为异常;对DGA请求结果行为是否异常进行研判的过程为:利用可疑IP地址来源国家、可疑的常用端口和可疑的访问时间构造的黑名单列表;判断本地设备使用疑似DGA请求获得的IP地址进行外联的相关数据是否与黑名单列表中的数据相匹配,如果是,则产生一个行为异常,至少两个行为异常判定为存在外连行为异常;当本地研判线索缺失时,从关联设备上获取相关线索,以替代本地研判线索,其包括请求当前疑似DGA的同一个域名的其它设备是否存在DGA请求过程行为异常,是否存在外连行为异常,如果是,用关联设备行为替代本地设备的对应行为。
全文数据:
权利要求:
百度查询: 国家工业信息安全发展研究中心 基于行为场景的DGA域名检测系统及方法
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。