基于恶意域名的APT检测关键技术研究

摘要

随着互联网技术的迅猛发展，人与人之间的信息交换也变得更加方便和快捷。互联网现在已经不仅仅是信息交流的平台，也是人们学习生活和工作中重要的组成部分，通过它可以实现网络信息的共享以及快速的传递出帮助别人的信息，使有需要的人能够以最快的速度得到自己想要的信息。虽然互联网给人们的生活带来这么多好处，但是许多不法分子经常利用网络技术的微小漏洞来攻击其它网络上的用户以达到自己不可告人的目的。这其中APT（Advanced Persistent Threat)即高级持续性威胁攻击，对企业和政府重要信息资产构成了极大的安全威胁。由于该类威胁具有丰富经验的黑客团伙进行操控，具有技术性强，持续时间长、危害性较大等特点，是近来出现的新型综合性网络攻击手段，因此研究和设计可以检测网络攻击的方法已经非常必要和迫在眉睫的。由于APT在攻击过程中会进行大量的恶意域名查询活动，而这些恶意域名活动都会记录在 DNS流量日志中。本文主要是从检测恶意域名的角度来发现网络主机是否遭到APT攻击。　　在对域名长度分布检测方法中，二级域名的长度分布异常的检测方法是检测恶意域名的最常使用的方法。该方法首先会对新采集到的域名数据进行筛选，利用筛选过的数据分组求出二级域名的距离函数值，观察二级域名的距离函数值的分布情况，得到恶意域名的二级域名长度分布的阈值。通过这个阈值对之后的待测域名数据进行判断是否为恶意域名。在实验过程中此方法检测出的恶意域名中包含许多合法域名，这说明这种方法存在误报的情况。在此方法的基础上又加入了二级域名内容相似性的检测方法。两个方法的结合不但很好的补充了之前方法的不足，而且还提高了检测恶意域名的精确度。　　在对域名解析行为的检测方法中，采用二级域名的长度为基础对域名的行为开展研究。通过对采集的数据进行筛选之后，使用已知的恶意域名和合法域名进行训练，这些域名有的来自知名的网站，有的来自安全机构发布的域名，也有的是在实验过程中发现的域名。通过这些已知的域名数据训练出合法域名标准差的阈值和恶意域名标准差的阈值，之后用真实的数据进行验证这两个阈值的正确性。对待检测的域名数据，按照两个连续查询域名的时间间隔对这些域名数据进行聚类，聚类后分别计算出二级域名长度的每个聚类的标准差值。标准差值再分别与合法域名标准差的阈值和恶意域名标准差的阈值进行比较。进而判断出哪些是恶意域名，哪些域名数据是合法域名。　　通过对恶意域名的检测可以发现APT攻击过的痕迹，也可以还原APT攻击的整个过程，让具有隐蔽性的APT攻击无处藏匿。

目录

声明

第1章 绪论

1.1 论文研究背景

1.2 课题研究目的和意义

1.3 论文组织结构

第2章 相关理论与技术研究现状

2.1 APT攻击

2.2 域名的相关基础知识介绍

2.3 恶意域名

2.4 本章小结

第3章 基于长度分布异常与内容相似性的恶意域名检测技术

3.1 引言

3.2 长度分布异常与内容相似性的恶意域名检测方法

3.3 实验过程与结果分析

3.4 本章小结

第4章 基于域名解析行为的恶意域名判别方法

4.1 引言

4.2 域名解析行为的检测特征

4.3 域名解析行为的检测技术及研究现状

4.4 域名解析行为的恶意域名检测方法

4.5 实验过程与结果分析

4.6 本章小结

结论

参考文献

致谢