[发明专利]一种基于DNS流量的自适应恶意域名检测方法

说明书

本发明公开了一种基于DNS流量的自适应恶意域名检测方法，搜集第三方平台提供的黑白名单样本集，并依照域名结构特征列表，使用黑白名单样本集作为训练集基线，选择随机森林分类器训练域名结构检测模型；对判定为恶意的域名进行Whois查询及追踪验证；训练流量检测模型；将待检测的域名与DNS的流量数据经数据预处理后，分别作为加载的域名结构检测引擎和流量检测引擎的输入，得到预测结果；将流量检测引擎判定为恶意域名的数据集，定时更新域名结构检测引擎的训练集黑名单，形成自适应恶意域名检测模式。本发明能够快速地检测出可疑域名，并保持较低延时和可接受的准确率；能够海量数据面前检测出多种类型恶意域名，并保持较高准确率和较低误报率。

技术领域

本发明涉及网络安全领域，具体是一种基于DNS流量的自适应恶意域名检测方法。

背景技术

当前，互联网技术的快速发展使得源于网络方面的安全威胁愈加突出。攻击者逐渐形成一种使用域名生成算法(Domain Generation Algorithm，DGA)技术生成的域名用于控制僵尸网络，即由恶意软件发起攻击的傀儡机器构成的网络，进而通过命令与控制服务器(Command And Control Server，CC)向僵尸网络各节点下发命令，发起诸如DDOS、点击欺诈、垃圾邮件等网络攻击的攻击模式。

CC服务器控制者为了既能有效控制僵尸网络又能隐藏自己，采用了诸如速变域名、DGA等技术手段规避安全软件的检测，其中DGA技术是活跃在恶意软件中的主流，它以时间、热点词汇、随机数、偏移量为种子与TLD拼接成大量域名，攻击者通过注册其中一部分并让受感染主机访问来实现对僵尸网络的控制。其检测难点在于DGA算法自身难以被逆向，且具有较强的寻址方式，并配备灵活的备用信道。

目前，恶意域名检测方法主要分为如下两类：

(1)以域名结构为主题的恶意域名检测。一种是通过构造几个量化指标采用无监督的方法划分未知域名与已知域名组之间的关系。另一种为通过引入自然语言的Word处理技术，基于词素特征、人工命名习惯特征区分恶意域名和正常域名。

(2)以流量为主题的恶意域名检测。主要思路为在收集第三方提供的样本集基础上，挖掘出恶意域名的查询与回答特性，使用机器学习的相关方法进行分类。

显然，上述的两类方法取得了一定突破，但也存在着一些不足之处：

1)已有的轻量级恶意域名检测方法，特征模型单一化，在海量数据面前准确精度较差，计算的时间、空间开销设计不合理。

2)无法解决多类型恶意域名，尤其是高级DGA域名(单词组合、拼音、首字母缩进等)的检测盲点。同时，过渡依赖于第三方平台提供的恶意域名样本，且存在恶意标示较少、可靠性差等缺陷。

3)目前，仍然没有提出一种解决方案可以在一定训练样本、模型基线基础上，实现对恶意域名的自适应动态检测的解决方案。

发明内容

本发明的目的在于提供一种基于DNS流量的自适应恶意域名检测方法，使恶意域名检测具有实时性、高准确性和自适应性，以解决上述背景技术中提出的问题。

为实现上述目的，本发明提供如下技术方案：

一种基于DNS流量的自适应恶意域名检测方法，包括如下步骤：

步骤1)，搜集第三方平台提供的黑白名单样本集，并依照域名结构特征列表，使用黑白名单样本集作为训练集基线，选择随机森林分类器训练域名结构检测模型；

步骤2)，提取元数据中协议为DNS的流量数据，对域名数据进行数据预处理操作，并将其作为域名结构检测模型的输入；

步骤3)，使用域名结构检测模型对步骤2)中的输入进行分类，对判定为恶意的域名进行Whois查询及追踪验证；同时，抽取同一批次经验证后的恶意域名与Alexa前10万域名对应的步骤2)中的流量数据；