[发明专利]一种利用域名共现关系的恶意域名检测方法及系统在审
| 申请号: | 201910729466.8 | 申请日: | 2019-08-08 |
| 公开(公告)号: | CN110557382A | 公开(公告)日: | 2019-12-10 |
| 发明(设计)人: | 云晓春;彭成维;张永铮;李书豪;徐小琳 | 申请(专利权)人: | 中国科学院信息工程研究所;国家计算机网络与信息安全管理中心 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L29/12 |
| 代理公司: | 11200 北京君尚知识产权代理有限公司 | 代理人: | 陈艳 |
| 地址: | 100093 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 滑动窗口 域名请求 计算复杂度 有效地减少 层次研究 更远位置 关联关系 网络活动 序列切割 域名检测 有效地 触发 团簇 感知 噪声 生态系统 背后 引入 保留 支撑 分析 发现 成功 | ||
1.一种利用域名共现关系的恶意域名检测方法,包括以下步骤:
(1)解析主机层面的DNS流量,获取请求信息,所述请求信息包括请求用户、请求域名和请求时间三元组信息;
(2)基于(1)中的三元组数据,按照序列切割时间阈值τ将请求用户的DNS请求序列进行切割,划分为域名共现序列;
(3)基于(2)中的域名共现序列,生成域名共现对;
(4)基于(3)中的域名共现对,在保留域名共现关系的前提下,将每一个域名映射为特征向量;
(5)将(4)中的特征向量输入恶意域名分类器以检测恶意域名;
其中所述恶意域名分类器通过下述步骤得到:
按照上述步骤(1)-(4)得到特征向量,利用已知属性的正常域名和恶意域名,结合机器学习分类算法进行训练,得到恶意域名分类器。
2.如权利要求1所述一种利用域名共现关系的恶意域名检测方法,其特征在于,步骤(1)中主机层面DNS流量未经NAT网络地址转换。
3.如权利要求1所述一种利用域名共现关系的恶意域名检测方法,其特征在于,步骤(1)还包括:按照请求用户和请求时间对三元组集合进行排序,形成域名请求数据集其中为用户ui请求域名的集合,代表用户ui在时间请求域名
4.如权利要求3所述一种利用域名共现关系的恶意域名检测方法,其特征在于,步骤(2)具体为:针对用户ui的请求序列集合Di,将相邻的两个域名请求之间的时间间隔大于切割阈值τ的两个域名请求切割开来,划分到不同的域名共现序列中,反之则划分到同一个域名共现序列中。
5.如权利要求3所述一种利用域名共现关系的恶意域名检测方法,其特征在于,步骤(3)具体为:
(3-1)设定滑动窗口w大小;
(3-2)针对每一个域名共现序列中的每一个域名dj,确定其窗口范围为C(dj)=(dj-w,dj-w+1,…,dj-1,dj+1,dj+2,…,dj+w),为dj前w个域名和后w个域名;
(3-3)基于域名dj窗口范围C(dj),进一步提取域名共现对{(dj,dj-w),…,(dj,dj-1),(dj,dj+1),…,(dj,dj+w)};
(3-4)整合所有序列中提取的域名共现对,形成集合
6.如权利要求3所述一种利用域名共现关系的恶意域名检测方法,其特征在于,步骤(4)具体为:
(4-1)采用sigmoid函数衡量两个域名di和dj的共现概率,即:
(4-2)应用负采样技术生成不具有共现关系的负样本集合每一个负样本为一个域名对(di,dj),但是di和dj不具有共现关系;
(4-3)构建如下映射目标函数:
(4-4)采用优化算法不断迭代优化,最后得到每一个域名对应的特征向量。
7.如权利要求3所述一种利用域名共现关系的恶意域名检测方法,其特征在于,步骤(5)机器学习分类算法包括随机森林、随机森林、深度神经网络。
8.基于权利要求1-7任一所述方法检测恶意域名团伙的方法,包括如下步骤:
(1)结合每个域名所对应的特征向量,采用机器学习聚类算法进行聚类;
(2)整理聚类之后的域名团簇,形成恶意域名团伙。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国科学院信息工程研究所;国家计算机网络与信息安全管理中心,未经中国科学院信息工程研究所;国家计算机网络与信息安全管理中心许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201910729466.8/1.html,转载请声明来源钻瓜专利网。
