[发明专利]基于随机森林的DGA域名检测方法

说明书

本发明公开了一种基于随机森林的DGA域名检测方法，步骤一，构建知识库，包括构建黑白名单样本库和单词词典；步骤二，设定域名特征模板，将黑白名单中的域名作为训练集，过滤掉噪音，训练并离线保存随机森林算法模型；步骤三，获取待检测域名，加载最优随机森林算法模型，将待检测域名作为输入，得到预测结果。本发明不依赖在线获取DNS数据，不仅可以单独、快速完成DGA域名检测，也可以为其他恶意域名检测方法提供预测；此外，该方法基于随机森林算法，在噪音干扰上具有明显的优势，使用资源少，运行效率高，泛化性能好。

技术领域

本发明涉及一种基于随机森林的DGA域名检测方法，属于网络安全领域。

背景技术

恶意域名指传播蠕虫、病毒和特洛伊木马或是进行诈骗、色情内容传播等不法行为的网站域名。随着Domain-Flux、Fast-Flux技术越来越广泛的被黑客采用，网络攻击更加隐蔽，恶意追踪更加困难，安全隐患更加长久。其中，由域名生成算法(Domain GenerationAlgorithm，DGA)生成到的域名被广泛应用于僵尸网络(Botnet)。在大量被僵尸程序所感染的主机(Bot)构成的网络中，攻击者(BotMaster)可以通过控制服务器操控Bot发起各种类型的网络攻击，如分布式拒绝服务(DDoS)、垃圾邮件(Spare)、网络钓鱼(Phishing)、点击欺诈(Click Fraud)以及窃取敏感信息(Information Theft)等。

目前，各种恶意域名检测算法主要分为以下两类：

(1)基于构造特征的方法。现有专利包括：基于域名构造特征的挂马网页检测方法(专利号为201110146967.7)、仿冒域名检测方法及设备(专利号为201210104110.3)。

(2)基于访问行为的方法。现有的专利包括：异常域名检测方法及系统(专利号为200910237594.7)、非法域名识别方法及装置(专利号为201110382578.4)、一种DomainFlux僵尸网络域名检测(专利号为201210475596.1)。

上述两类方法存在着如下局限性：1、基于构造特征的方法中，现有的两种专利均从相似性度量出发，通过计算样本对得到阈值，确定待检测域名是否属于假冒域名或者未知挂马网站。上述方法使用了较为简单的相似性度量方法，考虑的特征较为单一，设定阈值受训练样本影响，漏报或误报率较高，方法泛化性教差。2、基于访问行为的方法大多基于一个假设：恶意域名和合法域名表现出来的访问行为有着根本的差异。其基本流程是从域名服务器获取DNS记录，然后解析这些DNS数据，再根据各种方法对数据进行分析。这是一种在线的方法，需要在DNS服务器部署相关的服务，在线获取这些记录和数据的成本较高。

发明内容

为了解决上述技术问题，本发明提供了一种基于随机森林的DGA域名检测方法。

为了达到上述目的，本发明所采用的技术方案是：

基于随机森林的DGA域名检测方法，包括以下步骤，

步骤一，构建知识库，包括构建黑白名单样本库和单词词典；

步骤二，设定域名特征模板，将黑白名单中的域名作为训练集，过滤掉噪音，训练并离线保存随机森林算法模型；

所述域名特征模板可根据训练反馈进行修改；

步骤三，获取待检测域名，加载最优随机森林算法模型，将待检测域名作为输入，得到预测结果。

黑名单为通过开源渠道获取的恶意域名，白名单为通过开源渠道获取的合法域名，单词词典由英文单词和字母组合构成。

所述特征模板中的特征包括域名长度、域名信息熵、域名语音性、域名中元音字符数、域名中数字字符数、域名中重复字母数、域名中连续数字字符数、域名中非元音连续字符数、域名中N元语言模型在白名单中得分以及域名中N元语言模型在单词词典中得分。