[发明专利]基于DNS请求周期的恶意域名检测算法

权利要求书

1.一种基于DNS请求周期的恶意域名检测算法，其特征在于，包括以下步骤：

步骤1、采集DNS流量数据；

步骤2、判断每个域名的请求周期性，筛选出周期性较强的域名列表；

步骤3、判断上述域名列表中的域名是否为恶意域名；

在步骤2中，判断每个域名的请求周期性包括以下步骤：

步骤2.1、使用spark针对步骤1中的DNS流量数据，进行数据统计，获得请求IP和域名对的时间序列；

步骤2.2、利用动态矩形比较法进行周期性匹配；

步骤2.3、结合匹配特征值Jeffrey散度来衡量概率分布间的距离；

步骤2.4、设定一个阈值，低于该阈值认为访问行为具有周期性；

所述步骤1中，采集一个月内的DNS流量数据，包括不同客户端请求不同DNS的IP地址，请求时间，被请求的第一域名集，被请求的IP地址；

所述步骤1中，将采集到的第一域名集通过与Alexa网站排名前10万的域名进行匹配，去除有名域名数据，留下经过预处理的第二域名集；

所述步骤2中，将所有IP与第二域名集组对的访问情况通过变换为一个个桶进行分类；计算出所有请求之间的时间间隔，通过排序，将一个时间间隔作为第一个桶，只要在一定的宽度下的时间间隔我们都放入同一个桶，直到超过宽度上限，然后再次建立一个桶，重新计数；采用Jeffrey散度计算两个柱状图之间的距离。

2.如权利要求1所述的基于DNS请求周期的恶意域名检测算法，其特征在于，所述步骤2中请求周期性的判断算法利用Python实现。

3.如权利要求1所述的基于DNS请求周期的恶意域名检测算法，其特征在于，所述第二域名集中低于阈值的第三域名集具有可疑性。

4.如权利要求3所述的基于DNS请求周期的恶意域名检测算法，其特征在于，所述第三域名集里的域名通过公网搜索引擎，获取不同结果中的匹配，如果发现大量virus或者malicious字样，则可以认为这些域名与恶意行为有比较大的相关性，因而判定为恶意域名。