[发明专利]一种DGA域名检测方法、系统、介质、设备及终端

说明书

本发明属于计算机网络技术领域，公开了一种DGA域名检测方法、系统、介质、设备及终端，包括对各类别域名进行配对使用的样本配对规则；用于拟合域名特征空间的包含预处理层、嵌入层、特征提取层及相似度计算层的孪生架构模型Siam‑BLA，及对其结构拆分得到的用于提取域名特征的网络BLA及用于对两个域名进行专属相似性度量的模块Weighted‑vd；代表各类别特征情况的参考向量的计算方法；高效的孪生架构多分类及未知类识别算法。通过本发明的技术方案，无需特征工程和大规模标注数据，识别准确率达到98％以上，部分类别准确率甚至在100％，提高了小样本环境下的分类准确率，减少了孪生架构用于多分类预测的时间。

技术领域

本发明属于计算机网络技术领域，尤其涉及一种DGA域名检测方法、系统、介质、设备及终端。

背景技术

目前，在网络空间中，攻击者往往通过木马程序、蠕虫病毒等恶意程序对用户使用的计算机，智能手机等设备进行攻击或控制。用户的设备一旦受控，将沦为被攻击者控制的“僵尸网络”中的一部分。攻击者进而通过互联网发送指令来窃取用户设备内的隐私，或者遥控设备参与到对特定目标服务器的拒绝服务攻击中去。攻击者为了躲避检测和打击，同时也为了使“僵尸网络”通信畅通，使用了域名生成算法(Domain Generation Algorithm，DGA)。该方法使得攻击者不需要在恶意程序中写入攻击者的固定域名信息或者IP地址，而是让部署于僵尸机的恶意程序生成大量的伪域名，尝试去连接这些域名中的全部或部分，而攻击者只需要提前随机注册其中一两个域名，便可恢复与受控设备之间的通信。

最初，人们通过对DGA伪域名抢先注册或者拉入黑名单来对“僵尸网络”进行打击。首先要提前预测DGA伪域名需要对DGA算法进行逆向工程，繁琐复杂，其次随着DGA生成域名数量及速率的大幅上升，无论是对伪域名进行抢先注册还是拉入黑名单都已经行不通了。根据检测原理，目前主流DGA域名检测方法大致分为三类。首先是基于分析与统计的方法：如根据DGA攻击时需要不断进行DNS查询的特点，受害主机会收到大量不存在域(NXDomain)的回应报文，同一僵尸网络将产生具有相同特征的DNS流量。还有根据DNS请求和响应的长度比，结合检测客户端不常用的查询记录，来区分恶意数据与正常流量。其次是传统机器学习算法结合特征工程的方法：针对合法域名与DGA域名自身的特征，包括熵值，n-gram值、词根、词缀、拼音及缩写特征、元辅音分布等可读性特征等再结合主流的诸如K-means、SVM、随机森林、XGBoost等机器学习算法来区分正常域名和DGA域名。最后是基于深度学习模型的方法：引入诸如CNN、RNN、LSTM等网络模型通过训练一个深度学习分类器来进行DGA检测。但是当前攻击手段逐渐与大数据及人工智能等新技术结合并不断更新迭代，上述三类方法均无法应对变种DGA家族及那些与合法域名特征愈发相似的DGA域名；且在现实复杂网络环境下，上述三类方法亦无法解决“海量存在的特征分布广泛的正常合法域名”与“特征分布不均衡样本获取困难的DGA各家族域名”之间存在的极度类不平衡现象及小样本学习要求。

通过上述分析，现有技术存在的问题及缺陷为：

(1)当前攻击手段逐渐与大数据及人工智能等新技术结合不断更新迭代，现有方法均无法应对变种DGA家族及那些与合法域名特征愈发相似的DGA域名。

(2)在现实复杂网络环境下，现有方法亦无法解决“海量存在的特征分布广泛的正常合法域名”与“特征分布不均衡样本获取困难的DGA各家族域名”之间存在的极度类不平衡现象及小样本学习要求。

发明内容

针对传统DGA检测方法中存在的问题，本发明提供了一种DGA域名检测方法、系统、介质、设备及终端，尤其涉及一种基于孪生架构的DGA域名检测方法、系统、介质、设备及终端。