压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

1.前言

互聯(lián)網(wǎng)的產(chǎn)生是應(yīng)用需求驅(qū)動的結(jié)果，強(qiáng)大的需求牽引其高速發(fā)展，在這一過程中，對于各種技術(shù)、協(xié)議的設(shè)計(jì)者，首要目標(biāo)是解決面前的問題，在急切的需求面前投入太多精力去考慮其他問題似乎是奢侈的，正因如此，解決應(yīng)用問題與制造安全問題的交織出現(xiàn)在網(wǎng)絡(luò)安全領(lǐng)域?qū)乙姴货r，隨著眾多網(wǎng)絡(luò)技術(shù)的普遍采用，大量安全問題也隨之而來。

域名系統(tǒng)及其擴(kuò)展是一個(gè)典型的事例，它的設(shè)計(jì)初衷是提升互聯(lián)網(wǎng)的易用性，其在一定程度上促成了互聯(lián)網(wǎng)的快速發(fā)展；以其為基礎(chǔ)的內(nèi)容分發(fā)網(wǎng)絡(luò)技術(shù)，是一種廣泛應(yīng)用的負(fù)載均衡技術(shù)；泛域名解析技術(shù)，是Web2.0發(fā)展過程中的底層技術(shù)之一；在復(fù)雜網(wǎng)絡(luò)架構(gòu)中，域名系統(tǒng)也被采用以提升網(wǎng)絡(luò)的魯棒性和可用性。然而，以上這些技術(shù)并非只有正常的使用方式，結(jié)合其他惡意網(wǎng)絡(luò)技術(shù)，它們往往可以制造出令人頭疼的網(wǎng)絡(luò)安全問題。本文嘗試從大數(shù)據(jù)的角度出發(fā)來考慮與此相關(guān)的網(wǎng)絡(luò)安全問題，基于已知域名的某些特征，建立分類模型，通過數(shù)據(jù)來預(yù)測數(shù)據(jù)，從而發(fā)現(xiàn)那些被惡意使用的域名。

2.技術(shù)背景

DNS及其配套技術(shù)，具有使ip與域名解耦的功能，以及靈活配置的特點(diǎn)，DNS已成為互聯(lián)網(wǎng)不可或缺的技術(shù)，是極大多數(shù)用戶與應(yīng)用系統(tǒng)的互聯(lián)網(wǎng)入口，近年來隨著Round-robin DNS、CDN（Content Distribution Networks，內(nèi)容分發(fā)網(wǎng)絡(luò)）等技術(shù)逐漸普及，DNS技術(shù)在負(fù)載均衡、高可靠性網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)等方面獲得了廣泛應(yīng)用。

但隨之而來的是，DNS技術(shù)的利用也受到了黑客的關(guān)注，目前DNS已經(jīng)成為黑客的保護(hù)屏障，由于這道屏障建立成本很低，并且效果較好，當(dāng)前流形的僵尸網(wǎng)絡(luò)往往都會利用DNS技術(shù)將C&C服務(wù)器進(jìn)行隱藏，其中常用技術(shù)主要包括Domain Flux和IP Fast Flux（又稱為FFSN，F(xiàn)ast Flux Service Networks）兩類。

帶有惡意域名系統(tǒng)的僵尸網(wǎng)絡(luò)整體，包括多臺C&C服務(wù)器（或稱為mothership），多臺C&C代理服務(wù)器，以及多臺被控主機(jī)（或稱肉雞）。一個(gè)惡意域名，指向多臺C&C代理服務(wù)器，當(dāng)一個(gè)肉雞獲取命令時(shí)，通過該域名獲取到一個(gè)C&C代理服務(wù)器的ip。當(dāng)某個(gè)C&C代理服務(wù)器被破壞時(shí)，某個(gè)肉雞被“升級”為C&C代理服務(wù)器，填補(bǔ)空缺位置。在整個(gè)過程中，mothership的ip都沒有暴露，其ip只有C&C代理服務(wù)器知道，通過監(jiān)聽肉雞和C&C代理服務(wù)器間的通信，無法得知，因此保護(hù)了實(shí)際的C&C服務(wù)器，這是FFSN的運(yùn)作原理，這種網(wǎng)絡(luò)結(jié)構(gòu)具備極高的可用性。

FFSN DNS的通常在間斷請求過程中，體現(xiàn)出一些動態(tài)特征，這些特性可做為鑒別FFSN DNS的依據(jù)，比如NXDomain返回頻率，ip切換頻率，TTL時(shí)間長度等。值得注意的是，這些特征并非非常明顯，大量情況會使得惡意DNS與正常DNS的動態(tài)特征十分相似，如：一些國際性大站，往往采用了CDN技術(shù)；一些關(guān)閉的站點(diǎn)；無效的P2P資源服務(wù)器等。

另一種惡意域名相關(guān)的技術(shù)是Domain Flux，該技術(shù)一般利用泛域名解析等技術(shù)，將多個(gè)FQDN（Full Qualified Domain Name,完整域名）域名對應(yīng)到一個(gè)惡意ip，該惡意ip對目標(biāo)主機(jī)的危害行為被邏輯地分散到多個(gè)FQDN，或者結(jié)合FFSN技術(shù)，每個(gè)惡意代理被控主機(jī)一個(gè)FQDN，使得針對FQDN域名的統(tǒng)計(jì)值失效。另一種可能的作用是，結(jié)合FFSN技術(shù)，當(dāng)FFSN的C&C服務(wù)器暴露時(shí)，黑客會建立新的C&C服務(wù)器，沒死掉的agent基于DGA（Dynamic Generate Algorithm，動態(tài)生成算法）技術(shù)主動連入新的C&C服務(wù)器，重新接管僵尸網(wǎng)絡(luò)。

本文所述系統(tǒng)旨在解決上述惡意域名問題，其主要的途徑為，將用于Domain Flux檢測的靜態(tài)特征，與用于Fast Flux Service Networks檢測的動態(tài)特征相結(jié)合，配合常規(guī)的黑白名單過濾方法，構(gòu)建以黑白名單檢測、針對Domain Flux的靜態(tài)特征分類器、針對FFSN的動態(tài)特征分類器為主體，具備黑白名單自維護(hù)、分類模型自學(xué)習(xí)的惡意域名識別系統(tǒng)。

3.具體實(shí)施方式

本節(jié)介紹本文所述系統(tǒng)的具體實(shí)施方式，首先籠統(tǒng)介紹系統(tǒng)框架，及系統(tǒng)的工作流程做一說明，然后對其中重要環(huán)節(jié)再做闡述，它們包括針對Domain Flux的靜態(tài)特征分類器，針對FFSN的動態(tài)特征分類器。

3.1 系統(tǒng)框架及其工作流程

本文所述的靜態(tài)及動態(tài)特征相結(jié)合的惡意域名識別系統(tǒng)，用于解決單一網(wǎng)絡(luò)（下文稱為防護(hù)目標(biāo)網(wǎng)絡(luò)）相關(guān)的惡意DNS識別問題，也就說發(fā)生在防護(hù)目標(biāo)網(wǎng)絡(luò)內(nèi)的DNS查詢情況將被捕捉，經(jīng)系統(tǒng)的三層分析后給出是否是惡意域名的判斷，相關(guān)結(jié)果提供給用戶作為決策參考。其系統(tǒng)框架如下圖1所示：

圖1 系統(tǒng)框架

如上圖1所示，整個(gè)系統(tǒng)由數(shù)據(jù)采集層、靜態(tài)檢測層、動態(tài)檢測層、用戶接口層構(gòu)成。各層依職能劃分，其基本職能為：

數(shù)據(jù)采集層：負(fù)責(zé)對防護(hù)目標(biāo)網(wǎng)絡(luò)的DNS請求監(jiān)聽，產(chǎn)生診斷目標(biāo)（域名）；同時(shí)負(fù)責(zé)動態(tài)特征原始數(shù)據(jù)的采集（通過DNS查詢來采集，采集間隔與次數(shù)由用戶指定，經(jīng)驗(yàn)參數(shù)為針對一個(gè)診斷目標(biāo)，每3小時(shí)采集一次，共采集24次，即3天后完成動態(tài)特征原始數(shù)據(jù)的采集）；

靜態(tài)檢測層：負(fù)責(zé)對檢測目標(biāo)進(jìn)行黑、白名單過濾；若黑、白名單未命中，則提取其靜態(tài)特征，利用靜態(tài)特征分類器來進(jìn)行檢測，這一分類器主要針對Domain Flux問題，對于高可信度的診斷結(jié)果（采用支持向量機(jī)算法，并利用相適應(yīng)的概率估計(jì)算法），直接給出判別結(jié)論，對于其他診斷結(jié)果，判別為‘可疑域名’，其留待后續(xù)程序處理。

動態(tài)檢測層：負(fù)責(zé)判斷可疑域名是否為惡意域名，在數(shù)據(jù)采集層提供的動態(tài)特征原始數(shù)據(jù)基礎(chǔ)上，建立動態(tài)特征，并利用動態(tài)特征分類器來進(jìn)行檢測，這一分類器主要針對FFSN問題，，對于高可信度的診斷結(jié)果（采用支持向量機(jī)算法，并利用相適應(yīng)的概率估計(jì)算法），直接給出判別結(jié)論，并將惡意域名加入黑名單，或?qū)⒄Ｓ蛎尤氚酌麊?；對于可信度低的診斷結(jié)果，只給出診斷結(jié)果，不對黑白名單做出修改。

用戶接口層：負(fù)責(zé)向外部系統(tǒng)提供軟件接口，這些外部接口包括用戶界面、IDS（入侵檢測系統(tǒng)）、IPS（入侵防護(hù)系統(tǒng)）、Information Securitry Management Systems（信息安全管理系統(tǒng)）等。

系統(tǒng)共包括三個(gè)主要的工作流程，它們是檢測流程，靜態(tài)特征分類器的訓(xùn)練建模流程與動態(tài)特征分類器的訓(xùn)練建模流程。后面兩個(gè)流程，周期性啟動（周期由用戶指定，依經(jīng)驗(yàn)可設(shè)定為30天）訓(xùn)練樣本集構(gòu)造、特征提取、支持向量機(jī)（Support Vector Machine, SVM）建模流程，用以更新相關(guān)的分類器模型。這里主要說明檢測流程，其可由下圖2表述。

圖2 檢測流程

檢測流程由防護(hù)目標(biāo)網(wǎng)絡(luò)中的DNS查詢捕捉事件觸發(fā)，一個(gè)診斷目標(biāo)首先經(jīng)過白名單過濾器、黑名單過濾器，若命中則立即給出結(jié)論并結(jié)束流程，否則向后進(jìn)行；診斷目標(biāo)的靜態(tài)特征將被提取，之后使用靜態(tài)特征分類器來做出判斷，對于高可信度的判斷結(jié)果，直接給出結(jié)論，結(jié)束流程，對于其他判斷結(jié)果，判別為‘可疑域名’進(jìn)入后續(xù)流程；診斷目標(biāo)的動態(tài)特征將被提取，之后使用動態(tài)特征分類器來做出判斷，對于高可信度的判斷結(jié)果，給出結(jié)論并將診斷目標(biāo)放入相應(yīng)的黑或白名單中，對于其他判斷結(jié)果，只給出結(jié)論，不修改黑白名單。

整個(gè)檢測流程，最多會進(jìn)行四次判斷，即白名單過濾器、黑名單過濾器、靜態(tài)特征分類器與動態(tài)特征分類器。

3.2 黑白名單數(shù)據(jù)庫的初始化

在本文所述系統(tǒng)中，黑白名單數(shù)據(jù)庫是自維護(hù)的，在系統(tǒng)運(yùn)行過程中，經(jīng)動態(tài)特征分類器診斷的高可信結(jié)果將導(dǎo)入到黑白名單數(shù)據(jù)庫，以提升檢測效率，但在系統(tǒng)正式啟動前，黑白名單數(shù)據(jù)庫需要初始化，加入常見的白名單與確定的黑名單。

白名單初始化的方式——取Alexa排名靠前的域名，該列表可以從top.chinaz.com、www.alexa.cn等網(wǎng)站通過爬蟲獲取。

黑名單初始化的方式——有兩種途徑，其一、從掛馬舉報(bào)平臺通過爬蟲獲取被掛過木馬的域名，如www.anva.org.cn/virusAddress/listBlack，untroubled.org/spam/等；其二，利用公開的垃圾郵件數(shù)據(jù)庫，提取其中的域名。掛馬和垃圾郵件是僵尸網(wǎng)絡(luò)的主要用途，因此其中涵蓋大量惡意域名。

3.3 靜態(tài)特征分類器

靜態(tài)特征分類器主要針對于Domain Flux技術(shù)相關(guān)的惡意域名進(jìn)行實(shí)時(shí)檢測，它的檢測原理基于這樣的前提假設(shè)，良好的（或正常的）域名構(gòu)造方式是有一定統(tǒng)計(jì)規(guī)律的，如長度不宜過長，即使有數(shù)字但也不會太多，數(shù)字與字母交替的情況一般不超過兩次，這些構(gòu)造規(guī)律本質(zhì)上是保證域名可以被人們輕易記住，印象深刻，有益于網(wǎng)站的推廣，值得注意的是，這種域名往往很早被搶注甚至炒作，因此注冊成本很高；相反，僵尸網(wǎng)絡(luò)利用域名的目的并不是讓人去記住，而是用于計(jì)算機(jī)間的連接，結(jié)合注冊成本的考慮，根本不會考慮上述構(gòu)造規(guī)律，因此以這些規(guī)律出發(fā)，可以有效建立區(qū)分惡意/正常域名的統(tǒng)計(jì)特征。

本系統(tǒng)涉及以下靜態(tài)特征：

1）域名長度——

FQDN的總長度，如www.163.com的長度為11。

2）數(shù)字比例

其中為FQDN中數(shù)字的數(shù)量。

3）數(shù)字與字母切換比例——DigitCharRatio

相鄰兩個(gè)字符稱為一個(gè)“相鄰字符對”，若一個(gè)相鄰字符對中只存在一個(gè)數(shù)字，則為一個(gè)“數(shù)字與字母切換”，該特征為數(shù)字與字母切換總數(shù)與相鄰字符對總數(shù)的比例。

4）站點(diǎn)名與主域名長度比例

其中為FQDN中站點(diǎn)名稱的長度，為主域名的長度。如：www.163.com的站點(diǎn)名稱為www，，主域名為163，。

5）連接符的數(shù)量——ConnectcharNum

FQDN中連接符“-”的個(gè)數(shù)。

6）最大詞長度

MaxWordLength為以小數(shù)點(diǎn)“.”為分隔符，將FQDN分割為多個(gè)字符串，其中最長的字符串的長度。

7）國家頂級域名的類型——CountryCode

如“cn”，”jp”等。

8）國際頂級域名的類型——InterCode

如“com”，”net”等。

9）二級國際頂級域名的類型——Inter2Code

如“edu”，“gov”等。

如圖1所示，靜態(tài)特征分類器的訓(xùn)練樣本來自現(xiàn)有黑白名單，針對每一個(gè)FQDN可以直接計(jì)算上述靜態(tài)特征，從而形成訓(xùn)練樣本，樣本依黑白名單，標(biāo)注為兩類——正常域名、惡意域名。針對這些樣本，利用SVM算法建立分類器模型，該分類器模型除判別類別外，還支持輸出概率。

3.4 動態(tài)特征分類器

動態(tài)特征分類器主要針對于FFSN技術(shù)相關(guān)的惡意域名進(jìn)行實(shí)時(shí)檢測，它的檢測原理基于這樣的前提假設(shè)，正常的域名一般是分為兩類，其一、一個(gè)域名就對應(yīng)一個(gè)ip，TTL（域名緩存時(shí)長）一般較大，這是最常見的情況；其二、一個(gè)域名對應(yīng)一組固定的ip，這些ip基本是固定的，且物理位置基本固定，這種情況一般發(fā)生在訪問量很大的站點(diǎn)，這些站點(diǎn)利用CDN技術(shù)，實(shí)現(xiàn)負(fù)載均衡。

對于其他情況則很可能是僵尸網(wǎng)絡(luò)利用惡意域名在維護(hù)網(wǎng)絡(luò)整體的通信的表象。例如，由于僵尸網(wǎng)絡(luò)的脆弱性，C&C代理主機(jī)經(jīng)常性失效，此時(shí)一個(gè)惡意域名對應(yīng)的ip就需要被替換為新的C&C代理主機(jī)，因此ip經(jīng)常性變換、地理位置分布變化等就是一些明顯的現(xiàn)象?；谶@些現(xiàn)象，可以建立一下統(tǒng)計(jì)特征，對于同一診斷目標(biāo)（域名），采集N次（經(jīng)驗(yàn)值20次，間隔3小時(shí)）DNS請求返回的結(jié)果：

1）IP信息熵

該動態(tài)特征構(gòu)造的基本思路是，把DNS結(jié)果中的IP分為4個(gè)字節(jié)，形成一個(gè)字節(jié)數(shù)組，以字節(jié)的頻度為基礎(chǔ)建立熵，用來評估返回ip的穩(wěn)定性。

形式化定義：

設(shè) ，其中為第i次DNS請求的返回的第k個(gè)IP，IPSet為返回的IP集合。

，為算子從IP中以“.”分割，提取4個(gè)字節(jié)（此處假設(shè)IPv4，IPv6的處理方式與此類似）。

其中P(B)表示一個(gè)字節(jié)B的概率，B∈[0，254]? ，N為總共返回結(jié)果的次數(shù)。|·|算子表示集合的基，即元素個(gè)數(shù)，注意即使 ，它們只是值相同，但仍代表兩個(gè)不同的元素。

從而上面給出IP信息熵的定義。

2）IP一致度

該動態(tài)特征構(gòu)造的基本思路是，IP去重總數(shù)*請求次數(shù)/IP不去重總數(shù)，正常的域名應(yīng)該為1.0，而惡意域名往往大于1。

沿用1）中假設(shè)，

若，只表示它們值相同，但仍為兩個(gè)元素。

3）IP變化次數(shù)

該動態(tài)特征構(gòu)造的基本思路是，統(tǒng)計(jì)每次DNS查詢返回的一組IP集合發(fā)生變化的頻度，若相鄰兩次查詢的返回結(jié)果（兩個(gè)IP集合），完全相同，則視為無變化，否則計(jì)數(shù)加1。

4）IP國家分布變化次數(shù)

該動態(tài)特征構(gòu)造的基本思路是，計(jì)算每一次DNS查詢結(jié)果的IP所屬國家的比率，若相鄰兩次查詢的IP所屬國家的比率完全相同，則視為無變化，否則計(jì)數(shù)加1。

Country={中國，美國，日本，……法國}

IP國家分布變化次數(shù)的形式化定義為,其中R(c)為國家c的占比，

為算子，提取所屬國家。

5）查詢失敗的頻度

該動態(tài)特征構(gòu)造的基本思路是，當(dāng)沒有成功查詢到域名時(shí)，DNS服務(wù)器會返回NxDomain狀態(tài)，該特征為此狀態(tài)出現(xiàn)的次數(shù)。

6）TTL_MIN

每一個(gè)DNS查詢結(jié)果都附帶一個(gè)TTL屬性，告知緩存服務(wù)器建議在TTL秒后更新該域名的緩存記錄，最小TTL指N次查詢返回結(jié)果中最小的TTL值。

7）TTL_MAX

最大TTL指N次查詢返回結(jié)果中最大的TTL值。

8）TTL_AVG

TTL均值指N次查詢返回結(jié)果中的TTL值的平均值。

9）TTL_STD

TTL標(biāo)準(zhǔn)差指N次查詢返回結(jié)果中的TTL值的標(biāo)準(zhǔn)差。

10）別名個(gè)數(shù)

該動態(tài)特征構(gòu)造的基本思路是，一個(gè)域名有時(shí)會設(shè)置別名，正常域名的別名應(yīng)該是固定的，該特征是N次查詢返回結(jié)果中出現(xiàn)的別名個(gè)數(shù)。

11）權(quán)威DNS服務(wù)器主域名一致率

該動態(tài)特征構(gòu)造的基本思路是，一般來講，一個(gè)域名的所有權(quán)威服務(wù)器的主域域名是一致的，主域域名的數(shù)量遠(yuǎn)遠(yuǎn)小于權(quán)威服務(wù)器FQDN的數(shù)量，該特征是權(quán)威服務(wù)器的主域域名的最高頻度與權(quán)威服務(wù)器的主域域名總頻度的比率。

與靜態(tài)特征分類器的訓(xùn)練過程類似，仍然從黑白名單中獲取訓(xùn)練樣本，有所不同的是，這里需要依靜態(tài)特征對黑名單進(jìn)行過濾，這是因?yàn)楹诿麊蔚臉?biāo)注來源于互聯(lián)網(wǎng)的一般用戶，其標(biāo)注可靠性較低，在建立模型前有必要提高標(biāo)注精度，而靜態(tài)特征可有效區(qū)分惡意與正常域名。

過濾的規(guī)則由人工進(jìn)行設(shè)定，經(jīng)驗(yàn)地，可采用：

數(shù)字比例<0.5 or數(shù)字與字母切換比例>0.3 or域名長度>10

樣本形成后，通過DNS的定時(shí)查詢，完成上述動態(tài)特征的原始數(shù)據(jù)獲取及其統(tǒng)計(jì)值，最后利用SVM算法完成動態(tài)特征分類器的建模。

4.原型系統(tǒng)

相應(yīng)的原型系統(tǒng)依照上述原理所設(shè)計(jì)，系統(tǒng)原型采用久經(jīng)考驗(yàn)的高并發(fā)服務(wù)框架Twisted作為底層框架，前端展現(xiàn)采用了Zend Framework，數(shù)據(jù)持久化采用了Mongodb，系統(tǒng)運(yùn)行于Ubuntu12，系統(tǒng)語言采用python，因此系統(tǒng)具備跨操作系統(tǒng)的可移植性。

4.1 系統(tǒng)功能

1）實(shí)時(shí)查詢

除了直接將判斷結(jié)果展示給用戶外，本系統(tǒng)最大的意義在于，向其他安全產(chǎn)品提供惡意域名相關(guān)的數(shù)據(jù)信息，以支持這些安全產(chǎn)品達(dá)到更好的檢測效果，這些外延設(shè)備、軟件系統(tǒng)可以通過http請求的方式，獲得相關(guān)數(shù)據(jù)，例如curl命令：

curl http://192.168.55.100:8080/?IP=192.168.55.11&DNS=www.163.com

該命令以Json格式返回，對應(yīng)域名的動/靜態(tài)惡意域名概率（如果建立動態(tài)特征的原始數(shù)據(jù)量不足，則相應(yīng)值為None），其結(jié)果如下：

{‘filter': ‘Norm’, ‘ip': ‘192.168.55.11’, ‘static': {u’NormPossibility': u’0.838253′, u’timepoint': 1398411842, u’MaliPossibility': u’0.161747′}, ‘timepoint': 1400728820, ‘dns': ‘www.163.com’}

其中，F(xiàn)ilter項(xiàng)表示黑白名單過濾結(jié)果，’Norm’與’Mali’分別表示命中白與黑名單，static項(xiàng)表示基于靜態(tài)特征的判斷結(jié)果，dynamic項(xiàng)表示基于動態(tài)特征的判斷結(jié)果。

相應(yīng)的，下文介紹的界面展示的信息，基本上都可以通過http協(xié)議來獲取，如：

curl http://192.168.55.100:8081/? DNS=www.163.com&detail=1

上面的命令可以獲得相應(yīng)域名的基本信息，包括動態(tài)特征、靜/動態(tài)模型的判斷結(jié)果，以及本地ip的歷史請求信息，與歷史解析信息。

2）域名信息查詢

域名信息包括該域名的動態(tài)惡意域名概率、靜態(tài)惡意域名概率，解析情況的歷史，在什么時(shí)間被解析為哪些ip地址，這些ip的物理位置，有哪些本地ip對其進(jìn)行過查詢，以及頻度比例，原型界面如下：

圖3 域名信息查詢

這里提供了系統(tǒng)主要的判斷依據(jù)，包括一些動態(tài)統(tǒng)計(jì)特征，如TTL、IP集合變化均值等，靜態(tài)特征沒有顯示，但通過http協(xié)議也可以請求到Json格式的動/靜態(tài)特征數(shù)據(jù)，它們是概率生成的基礎(chǔ)；同時(shí)該界面還提供了，解析ip的物理位置，其是動態(tài)的，如下圖展示了ak.exe.imgfarm.com的解析歷史情況，這些信息對于進(jìn)一步對域名進(jìn)行定性，提供了豐富有效的信息；右側(cè)提供的本地ip對該域名的請求情況，為定位僵木蠕的被控主機(jī)提供了直接信息。

圖4 域名解析IP地理位置分布

上圖是一個(gè)動畫的截圖，該動畫提供了域名ak.exe.imgfarm.com在不同時(shí)間點(diǎn)的，解析ip的物理位置變化情況，如上圖所示，該域名每隔10小時(shí)，往往會變化所解析的ip，同時(shí)物理位置不斷變化，橫跨美國、日本、歐洲，極不穩(wěn)定，從動態(tài)特征的角度，十分可疑。

3）本地ip信息查詢

系統(tǒng)內(nèi)部維護(hù)了本地ip查詢dns的歷史記錄，基于這個(gè)數(shù)據(jù)我們可以獲得一個(gè)本地ip近期訪問可疑域名的情況，原型界面如下：

圖5 本地ip信息查詢

以上界面為用戶提供了，這個(gè)ip在什么時(shí)間，訪問了哪些可疑域名，這些可疑域名的動/靜態(tài)惡意域名概率，以及訪問可疑域名的頻率，結(jié)合其他網(wǎng)絡(luò)安全檢測信息，如流量特征、命中規(guī)則情況，可進(jìn)一步確定該本地ip的網(wǎng)絡(luò)安全狀況。

注：本界面所展示信息，同樣支持http請求獲得Json格式的相同數(shù)據(jù)，外延產(chǎn)品可以方便地獲取及處理。

4）全局信息查詢

全局信息查詢，相當(dāng)于一套惡意域名檢測系統(tǒng)的監(jiān)控平臺，可以提供所防護(hù)網(wǎng)絡(luò)近一段時(shí)間，與dns請求相關(guān)的一些情況，原型界面如下：

圖6 全局信息查詢

該界面從全局dns請求的視角，告訴用戶近一段時(shí)間：

1）動態(tài)惡意域名概率的均值波動情況；

2）靜態(tài)惡意域名概率的均值波動情況；

3）出現(xiàn)了哪些動態(tài)惡意域名概率高的域名，以及訪問它的本地ip；

4）出現(xiàn)了哪些動態(tài)惡意域名概率高的域名，以及訪問它的本地ip。

在分析開始時(shí)，用戶可以從以上這些信息入手，定位在何時(shí)、哪些本地ip訪問了哪些可疑域名，這是一個(gè)較好的分析入手點(diǎn)。

注：本界面所展示信息，同樣支持http請求獲得Json格式的相同數(shù)據(jù)，外延產(chǎn)品可以方便地獲取及處理。

4.2 應(yīng)用方式

本系統(tǒng)的設(shè)計(jì)初衷是實(shí)現(xiàn)一個(gè)獨(dú)立運(yùn)行的系統(tǒng)，通過http協(xié)議的API對外提供支持服務(wù)。對于允許Internet訪問的環(huán)境（準(zhǔn)確的說，是訪問dns服務(wù)器）下，本系統(tǒng)直接部署，自行運(yùn)維，包括建立動態(tài)特征的原始數(shù)據(jù)的自動采集，與模型更新。

對于不允許訪問dns服務(wù)器的環(huán)境下，可通過以下方式使用本系統(tǒng)提供的服務(wù)或數(shù)據(jù)：

1）部署本系統(tǒng)，但關(guān)閉建立動態(tài)特征的原始數(shù)據(jù)的自動采集，通過定期手工更新模型，此種方式下，靜態(tài)特征及其分類器可用，但動態(tài)特征及其分類器只支持?jǐn)?shù)據(jù)庫中已更新的域名；

2）部署本系統(tǒng)，將建立動態(tài)特征的原始數(shù)據(jù)的自動采集關(guān)閉，但建立一個(gè)API（目前未開發(fā)），外延設(shè)備通過它將dns請求信息的返回結(jié)果導(dǎo)入到本系統(tǒng)數(shù)據(jù)，達(dá)到類似于‘原始數(shù)據(jù)的自動采集’的作用，這種情況下，靜/動態(tài)分類器可工作，但由于‘自動采集’是周期性采集，而外延設(shè)備的注入信息可能在時(shí)間長度和數(shù)量上都會不足，對于動態(tài)分類器判斷的及時(shí)性和有效性都會有一定影響（然而，由于有了網(wǎng)絡(luò)中真實(shí)的dns請求行為數(shù)據(jù)，有可能誘導(dǎo)出基于請求行為的新的檢測技術(shù)，這是好的一方面）；

3）不部署本系統(tǒng)，本系統(tǒng)只負(fù)責(zé)導(dǎo)出白名單及其相關(guān)解析IP列表，和可疑域名名單及其相關(guān)解析IP列表（需要從數(shù)據(jù)庫中以一定指標(biāo)過濾，目前未開發(fā)），講這些數(shù)據(jù)直接推送給外延設(shè)備，供其利用。

5.結(jié)束語

相較于一個(gè)成熟的產(chǎn)品，本文所述的惡意域名檢測方法及其原型系統(tǒng)必然有很多不足和缺陷，然而筆者認(rèn)為其仍是填補(bǔ)國內(nèi)相關(guān)空白的積極嘗試，隨著研究進(jìn)程的發(fā)展，筆者感到這一領(lǐng)域依然存在著很大的挑戰(zhàn)，諸多問題對于惡意域名檢測效果會產(chǎn)生嚴(yán)重的影響，如中西方不同的域名構(gòu)成習(xí)慣，CDN等技術(shù)對動態(tài)特征的混淆等等，這些問題還有待我們?nèi)ド钊胙芯?；在系統(tǒng)的普適性方面，對于在與外部網(wǎng)絡(luò)隔絕的部署環(huán)境下，如何利用本地產(chǎn)生的DNS請求與解析信息建立動態(tài)特征，也是一個(gè)非常有意義的研究方向。