一种基于T-Pot蜜罐和主干网流量的恶意域名检测方法及装置

摘要

本公开提供了一种基于T‑Pot蜜罐和主干网流量的恶意域名检测方法、装置、电子设备及介质，包括：S1，采集主干网DNS流量数据，解析获取待检测域名及对应IP地址；S2，过滤掉待检测域名中已知的恶意域名与非恶意域名，得到剩余待检测域名；S3，获取T‑Pot蜜罐系统主机日志，解析并生成恶意IP列表；S4，判断剩余待检测域名对应的IP地址是否在恶意IP列表中，若是，则将IP地址对应的域名加入恶意域名库；若否，则根据恶意域名的特征重复检测。本公开的一种基于T‑Pot蜜罐和主干网流量的恶意域名检测方法及装置，通过DNS流量数据的分析，结合蜜罐技术，以及恶意域名的特征，多次检测，提高了恶意域名的检测效率及正检率。

说明书

技术领域

本公开涉及网络安全技术领域，具体涉及一种基于T-Pot蜜罐和主干网流量的恶意域名检测方法、装置、电子设备及介质。

背景技术

随着信息化水平和互联网技术的迅猛发展，互联网市场规模和用户体量高速增长，使网络渗透到了社会生活的方方面面，但是在网络带给人们便利的同时，也给网络安全及信息安全方面带来了各种威胁。形式多样的病毒、新的攻击方式层出不穷，所带来的不确定性也越来越多，特别是一些恶意程序给我们带来了极大的网络安全威胁，窃取个人隐私、实施钓鱼欺骗等，严重危害了网络安全。

T-Pot蜜罐是一个基于Docker容器的集成了众多针对不同应用蜜罐程序的系统。蜜罐技术是一种新型的网络安全防护工具，通过布置一些作为诱饵的主机、网络服务或信息，诱使攻击方对它们进行攻击，这样攻击者所做的任何事情都会记录在蜜罐系统的日志中，从而通过捕获、分析蜜罐系统日志，获取攻击者的信息以及它们的攻击技术、手段等。

DNS(域名系统)作为互联网重要的基础设施，它主要负责完成域名与IP地址之间的相互转换。然而，由于DNS的开放性，黑客常会构造众多恶意域名来进行网络攻击与控制，而这些攻击、控制记录都会存在于DNS解析数据中，通过分析海量DNS解析数据，从中发现恶意域名。在网络安全中尤为重要，这也是本文的主要研究内容。

发明内容

(一)要解决的技术问题

针对上述问题，本公开提供了一种基于T-Pot蜜罐和主干网流量的恶意域名检测方法、装置、电子设备及介质，用于至少部分解决恶意程序给我们带来的极大网络安全威胁等技术问题。

(二)技术方案

本公开一方面提供了一种基于T-Pot蜜罐和主干网流量的恶意域名检测方法，包括：S1，采集主干网DNS流量数据，解析获取待检测域名及对应IP地址；S2，过滤掉待检测域名中已知的恶意域名与非恶意域名，得到剩余待检测域名；S3，获取T-Pot蜜罐系统主机日志，解析并生成恶意IP列表；S4，判断剩余待检测域名对应的IP地址是否在恶意IP列表中，若是，则将IP地址对应的域名加入恶意域名库；若否，则根据恶意域名的特征重复检测。

进一步地，S2中还包括：将过滤掉的恶意域名加入恶意域名库中。

进一步地，S4中根据恶意域名的特征包括域名活跃度、域名长度，若域名活跃度、域名长度超过设定的阈值，则加入恶意域名库中。

进一步地，域名活跃度D(y)的计算公式为：

其中，设定10min为一个时间单位，一天分为144个时间单位，即从T

进一步地，S4中还包括计算域名长度，若长度超过所设阈值，则将域名加入恶意域名库中，否则丢弃。

本公开另一方面提供了一种基于T-Pot蜜罐和主干网流量的恶意域名检测的装置，包括：数据采集模块，用于采集主干网DNS流量数据，解析获取待检测域名及对应IP地址；蜜罐系统日志分析模块，用于获取T-Pot蜜罐系统主机日志，解析并生成恶意IP列表；恶意域名检测模块，用于过滤掉待检测域名中已知的恶意域名与非恶意域名，得到剩余待检测域名；判断剩余待检测域名对应的IP地址是否在恶意IP列表中，若是，则将IP地址对应的域名加入恶意域名库；若否，则根据恶意域名的特征重复检测。

进一步地，还包括：蜜罐系统日志捕获模块，用于对出入蜜罐系统主机的所有活动监视和记录，存入日志文件；分析出恶意IP地址，同时将日志进行备份。

进一步地，还包括：恶意域名特征判断模块，用于根据恶意域名的特征重复检测；恶意域名特征包括域名活跃度、域名长度，若域名活跃度、域名长度超过设定的阈值，则加入恶意域名库中。

本发明还有一方面提供了一种电子设备，包括：一个或多个处理器；存储器，用于存储一个或多个程序；其中，当一个或多个程序被一个或多个处理器执行时，使得一个或多个处理器实现上述提供的方法。

本发明还有一方面提供了一种计算机可读存储介质，存储有计算机可执行指令，上述指令在被执行时用于实现上述提供的方法。

(三)有益效果

本公开提出一种基于T-Pot蜜罐和主干网流量的恶意域名检测方法、装置、电子设备及介质，通过对T-Pot蜜罐主机日志的分析和主干网DNS协议流量的分析，检测出恶意域名，从而建立恶意域名库。

附图说明

图1示意性示出了根据本发明实施例基于T-Pot蜜罐和主干网流量的恶意域名检测方法流程图；

图2示意性示出了根据本发明实施例恶意域名检测方法流程图；

图3示意性示出了根据本发明实施例电子设备的框图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本发明进一步详细说明。

在此使用的术语仅仅是为了描述具体实施例，而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在，但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。

在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义，除非另外定义。应注意，这里使用的术语应解释为具有与本说明书的上下文相一致的含义，而不应以理想化或过于刻板的方式来解释。

附图中示出了一些方框图和/或流程图。应理解，方框图和/或流程图中的一些方框或其组合可以由计算机程序指令来实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器，从而这些指令在由该处理器执行时可以创建用于实现这些方框图和/或流程图中所说明的功能/操作的装置。

因此，本公开的技术可以硬件和/或软件(包括固件、微代码等)的形式来实现。另外，本公开的技术可以采取存储有指令的计算机可读介质上的计算机程序产品的形式，该计算机程序产品可供指令执行系统使用或者结合指令执行系统使用。在本公开的上下文中，计算机可读介质可以是能够包含、存储、传送、传播或传输指令的任意介质。例如，计算机可读介质可以包括但不限于电、磁、光、电磁、红外或半导体系统、装置、器件或传播介质。计算机可读介质的具体示例包括：磁存储装置，如磁带或硬盘(HDD)；光存储装置，如光盘(CD-ROM)；存储器，如随机存取存储器(RAM)或闪存；和/或有线/无线通信链路。

本公开的实施例提供了一种基于T-Pot蜜罐和主干网流量的恶意域名检测方法，请参见图1，包括：S1，采集主干网DNS流量数据，解析获取待检测域名及对应IP地址；S2，过滤掉待检测域名中已知的恶意域名与非恶意域名，得到剩余待检测域名；S3，获取T-Pot蜜罐系统主机日志，解析并生成恶意IP列表；S4，判断剩余待检测域名对应的IP地址是否在恶意IP列表中，若是，则将IP地址对应的域名加入恶意域名库；若否，则根据恶意域名的特征重复检测。

采集主干网DNS流量数据，解析获取待检测域名及对应IP地址；T-Pot蜜罐系统主机日志获取，解析获取黑IP地址，生成恶意IP列表；从权威平台下载已知域名黑、白名单，并定时更新，分析出恶意域名特征；根据下载的已知域名黑、白名单过滤掉恶意域名与非恶意域名；再判断待检测域名所对应IP地址是否在恶意IP列表中，若存在输出恶意域名，则将IP地址对应的域名加入恶意域名库；若否，则根据恶意域名特征判断是否为恶意域名，最后建立恶意域名库。

在上述实施例的基础上，S2中还包括：将过滤掉的恶意域名加入恶意域名库中。

通过权威平台下载已知域名黑、白名单列表，过滤掉待检测域名中已知的恶意域名与非恶意域名，将过滤掉的恶意域名加入恶意域名库，剩余待检测的域名继续步骤S3、S4。

在上述实施例的基础上，S4中根据恶意域名的特征包括域名活跃度、域名长度，若域名活跃度、域名长度超过设定的阈值，则加入恶意域名库中。

域名在短时间内活跃程度越高，成为恶意域名的几率也就越大；恶意域名的长度较长，长度越长成为恶意域名的几率也就越大；若域名超过设定的阈值，则加入恶意域名库中。通过结合恶意域名特征对域名多次检测，提高了恶意域名的检测效率及正检率。

在上述实施例的基础上，域名活跃度D(y)的计算公式为：

其中，设定10min为一个时间单位，一天分为144个时间单位，即从T

当前待检测域名为y，一般情况下恶意域名的活跃时间约为半小时，因此在计算C(y，T

在上述实施例的基础上，S4中还包括计算域名长度，若长度超过所设阈值，则将域名加入恶意域名库中，否则丢弃。

当域名y活跃次数超过设定阈值时，记为恶意域名加入恶意域名库，否则继续计算所得域名长度，若长度超过所设阈值，记为恶意域名加入恶意域名库。根据上述检测结果，恶意域名库建立。

本公开的另一实施例提供了一种基于T-Pot蜜罐和主干网流量的恶意域名检测的装置，包括：数据采集模块，用于采集主干网DNS流量数据，解析获取待检测域名及对应IP地址；蜜罐系统日志分析模块，用于获取T-Pot蜜罐系统主机日志，解析并生成恶意IP列表；恶意域名检测模块，用于过滤掉待检测域名中已知的恶意域名与非恶意域名，得到剩余待检测域名；判断剩余待检测域名对应的IP地址是否在恶意IP列表中，若是，则将IP地址对应的域名加入恶意域名库；若否，则根据恶意域名的特征重复检测。

数据采集模块通过架设DNS流量数据采集服务器，获取DNS请求解析数据，用于分析得到待检测域名；蜜罐系统日志分析模块分析收集到的蜜罐系统日志，获取IP地址，生成恶意IP数据组；恶意域名检测模块按照DNS协议字段对海量DNS数据流量进行解析，获取待检测域名，再根据该方法设计的检测原理进行运算检测，根据检测结果建立恶意域名库。

在上述实施例的基础上，还包括：蜜罐系统日志捕获模块，用于对出入蜜罐系统主机的所有活动监视和记录，存入日志文件；分析出恶意IP地址，同时将日志进行备份。

蜜罐系统日志捕获模块通过部署T-Pot蜜罐系统，对出入蜜罐系统主机的所有活动监视和记录，存入日志文件中，用于分析出恶意IP地址，同时将收集的蜜罐系统日志远程备份到日志服务器上。

在上述实施例的基础上，还包括：恶意域名特征判断模块，用于根据恶意域名的特征重复检测；恶意域名特征包括域名活跃度、域名长度，若域名活跃度、域名长度超过设定的阈值，则加入恶意域名库中。

若IP地址未匹配到恶意IP列表，恶意域名特征判断模块则根据恶意域名的特征重复监测。根据恶意域名的特征，统计未匹配到的域名的活跃次数，若活跃次数超过设定的阈值，将该域名写入恶意域名库，若小于设定的阈值，再根据域名的长度进行检测，若域名长度超过设定的阈值，加入恶意域名库，否则丢弃。

本公开通过T-Pot蜜罐系统对恶意行为及操作进行监控与记录，以及主干网DNS流量数据采集分析，结合恶意域名特征对域名多次检测，最后根据检测结果建立恶意域名库。本公开提供的恶意域名检测方法及装置，提高了恶意域名的检测效率及正检率。

下面以一具体实施例对本公开基于T-Pot蜜罐和主干网流量的恶意域名检测方法进一步说明。

S1：T-Pot蜜罐系统部署对硬件要求：T-Pot系统安装需要至少4G内存，64G磁盘空间，并且联网。待检测域名获取，采集DNS协议的流量数据，根据DNS协议字段，分析解析出域名及域名对应的IP地址，生成域名、IP数据组，写入S2file。

S2：从权威平台下载已知域名黑、白名单，判断待检测域名是否存在于已知域名黑、白名单中，将存在于黑名单中的域名加入恶意域名库中，存在于白名单中的域名丢弃，如不存在，则继续后续步骤；

S3：获取T-Pot蜜罐系统主机日志，分析解析出IP地址，生成恶意IP数据组，写入S1file。

S4：对步骤S2所得待检测域名检测，判断域名对应IP地址是否存在于步骤S3所得S1file中，若存在，则将此IP所对应的域名写入恶意域名库中，若不存在，则根据收集的已知域名黑、白名单，分析恶意域名与非恶意域名的特征，得出成为恶意域名每个特征的阈值，本设计方法中选择域名活跃度特征和域名长度两个特征计算检测。

图2是本发明一种基于T-Pot蜜罐和主干网流量的恶意域名检测方法中恶意域名检测流程图，包括了根据该方法设计的检测原理对待检测域名检测的完整流程图。

其中检测域名活跃度特征和域名长度两个特征的具体步骤还包括：对S4所得待检测域名进行活跃次数统计。假设当前待检测域名为y，设定10min为一个时间单位，一天分为144个时间单位，即从T

当D(y)取值越大，表明域名y在短时间内活跃程度越高，成为恶意域名的几率也就越高。

根据域名活跃度特征统计结果，与所设阈值比较判断，当域名y活跃次数超过设定阈值时，记为恶意域名加入恶意域名库，否则继续计算域名长度，若长度超过所设阈值，记为恶意域名加入恶意域名库。根据前述检测结果，恶意域名库建立。

图3示意性示出了根据本公开另一实施例的电子设备的框图。

如图3所示，电子设备300包括处理器310、计算机可读存储介质320。该电子设备300可以执行根据本公开实施例的方法。

具体地，处理器310例如可以包括通用微处理器、指令集处理器和/或相关芯片组和/或专用微处理器(例如，专用集成电路(ASIC))，等等。处理器310还可以包括用于缓存用途的板载存储器。处理器310可以是用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。

计算机可读存储介质320，例如可以是能够包含、存储、传送、传播或传输指令的任意介质。例如，可读存储介质可以包括但不限于电、磁、光、电磁、红外或半导体系统、装置、器件或传播介质。可读存储介质的具体示例包括：磁存储装置，如磁带或硬盘(HDD)；光存储装置，如光盘(CD-ROM)；存储器，如随机存取存储器(RAM)或闪存；和/或有线/无线通信链路。

计算机可读存储介质320可以包括计算机程序321，该计算机程序321可以包括代码/计算机可执行指令，其在由处理器310执行时使得处理器310执行根据本公开实施例的方法流程及其任何变形。

计算机程序321可被配置为具有例如包括计算机程序模块的计算机程序代码。例如，在示例实施例中，计算机程序321中的代码可以包括一个或多个程序模块，例如包括321A、模块321B、……。应当注意，模块的划分方式和个数并不是固定的，本领域技术人员可以根据实际情况使用合适的程序模块或程序模块组合，当这些程序模块组合被处理器310执行时，使得处理器310可以执行根据本公开实施例的方法流程及其任何变形。

本公开还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中描述的设备/系统/系统中所包含的，也可以是单独存在，而未装配入该设备/系统/系统中。上述计算机可读存储介质承载有一个或者多个程序，当上述一个或者多个程序被执行时，实现根据本公开实施例的方法。

尽管已经参照本公开的特定示例性实施例示出并描述了本公开，但是本领域技术人员应该理解，在不背离所附权利要求及其等同物限定的本公开的精神和范围的情况下，可以对本公开进行形式和细节上的多种改变。因此，本公开的范围不应该限于上述实施例，而是应该不仅由所附权利要求来进行确定，还由所附权利要求的等同物来进行限定。

以上所述的具体实施例，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施例而已，并不用于限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。