[发明专利]一种命令和控制通信检测方法及系统

权利要求书

1.一种命令和控制CC通信检测方法，其特征在于，所述方法包括：

构造黑白域名样本的训练数据集；

根据所述训练数据集，利用多种特征提取算法构造不同类别的特征向量文件；

利用所述不同类别的特征向量文件对域名生成算法DGA基分类器进行训练；

利用训练后的DGA基分类器和集成策略构建DGA智能检测模型；

构建并训练强化学习模型，利用所述强化学习模型强化所述DGA智能检测模型的检测能力；

利用所述DGA智能检测模型和关联分析算法，识别目标对象。

2.根据权利要求1所述的方法，其特征在于，所述构造黑白域名样本的训练数据集，包括：

获取DGA域名数据集和合法域名数据集；

对所述DGA域名数据集和合法域名数据集进行预处理，以构造所述训练数据集。

3.根据权利要求2所述的方法，其特征在于，获取所述DGA域名数据集和合法域名数据集，包括：

从开源社区获取第一DGA和第一DGA域名数据集；

对恶意代码进行逆向分析，获取第二DGA；

根据所述第一DGA和/或所述第二DGA生成第二DGA域名数据集；

根据所述恶意代码运行产生的网络流量获取第三DGA域名数据集；

所述DGA域名数据集包含所述第一DGA域名数据集、第二DGA域名数据集和第三DGA域名数据集中的一个或多个域名数据集；

从合法域名站点获取所述合法域名数据集。

4.根据权利要求1所述的方法，其特征在于，所述根据所述训练数据集，利用多种特征提取算法构造不同类别的特征向量文件，具体包括：

获取所述训练数据集，并对所述训练数据集进行数据清洗；

利用所述多种特征提取算法分别提取清洗后的训练数据集的不同类别的特征，以构造不同类别的特征向量；

对所述不同类别的特征向量分别进行量化处理；

将量化处理后的不同类别的特征向量存储为对应的特征向量文件。

5.根据权利要求1所述的方法，其特征在于，所述利用所述不同类别的特征向量文件对DGA基分类器进行训练，包括：

针对所述不同类别的特征向量文件中的每一特征向量文件，执行如下操作：

获取特征向量文件包括的一个或多个特征向量；

使用所述一个或多个特征向量和不同的监督学习算法训练不同的DGA基分类器。

6.根据权利要求1-5任一项所述的方法，其特征在于，所述利用训练后的DGA基分类器和集成策略构建DGA智能检测模型，包括：

根据预设集成策略对多个DGA基分类器进行组合；

基于组合后的DGA基分类器训练不同的高层DGA分类器，并对所述不同的高层DGA分类器进行交叉验证；

根据交叉验证后的所述不同的高层DGA分类器生成所述DGA智能检测模型。

7.根据权利要求1所述的方法，其特征在于，所述利用所述强化学习模型强化所述DGA智能检测模型的检测能力，包括：

所述强化学习模型包括：智体、环境、动作、状态和奖励；

基于所述黑白域名样本和所述强化学习模型生成免杀DGA域名样本，并构造所述免杀DGA域名样本对应的免杀训练数据集，所述免杀DGA域名样本能够绕过所述DGA智能检测模型的检测；

利用所述免杀训练数据集强化所述DGA智能检测模型的检测能力。

8.根据权利要求1所述的方法，其特征在于，所述利用所述DGA智能检测模型和关联分析算法，识别目标对象，包括：

利用所述DGA智能检测模型识别域名是否为DGA域名；如果所述域名为DGA域名，则提取域名系统DNS访问特征，构造可疑DNS访问特征向量；

利用所述关联分析算法，在指定的时间窗口范围内，以源主机为对象进行关联分析，进而识别受控主机以及僵尸网络家族；

利用所述关联分析算法，在指定的时间窗口范围内，以目标主机为对象进行关联分析，进而识别控制服务器；

输出所述受控主机、所述僵尸网络家族和所述控制服务器。