[发明专利]基于域名字符串统计特征的DGA生成域名的检测方法在审
| 申请号: | 201710123327.1 | 申请日: | 2017-03-03 |
| 公开(公告)号: | CN106992969A | 公开(公告)日: | 2017-07-28 |
| 发明(设计)人: | 方玮;任梦晨;刘光杰;翟江涛;刘伟伟;戴跃伟 | 申请(专利权)人: | 南京理工大学 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L29/12 |
| 代理公司: | 南京理工大学专利中心32203 | 代理人: | 薛云燕 |
| 地址: | 210094 江*** | 国省代码: | 江苏;32 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种基于域名字符串统计特征的DGA生成域名的检测方法。该方法提取域名字符串中包含连续数字占比、连续二辅字占比、随机相邻双字平均相似指数、随机相邻三字平均相似指数、单元音字母到二字符平均转移概率、单辅音字母到二字符平均转移概率六个维度的统计特征量,并通过包含正常域名和典型DGA算法生成的恶意域名的测试集合训练分类器,通过分类器实现对恶意软件DGA生成域名的检测。本发明采用特征提取和分类器训练分类的模式,且所提六个维度的统计特征量均能敏感地区分正常域名和DGA生成的域名,降低了实施训练和检测的计算复杂度。 | ||
| 搜索关键词: | 基于 域名 字符串 统计 特征 dga 生成 检测 方法 | ||
【主权项】:
一种基于域名字符串统计特征的DGA生成域名的检测方法,其特征在于,包括以下步骤:步骤1,收集整理并构建正常的标准域名集合,将其中超过三个字符的二级或者三级域名取出,构成由字母、数字和连字符组成的域名字符串SNi,i=1,2,…,N;所述域名字符串SNi的集合SDN作为后续特征矢量构造的数据基础;步骤2,收集整理并构建正常的域名集合,将其中超过三个字符的二级或者三级域名取出,构成由字母、数字和连字符组成的域名字符串LNj,j=1,2,…,nL的集合LDN;收集整理恶意软件DGA算法生成的域名集合,将其中超过三个字符的二级或者三级域名取出,构成由字母、数字和连字符组成的域名字符串DNk,k=1,2,…,nD的集合DDN;步骤3,提取LDN中所有LNj和DDN中所有DNk的统计特征,得到LDN中所有LNj的特征矢量集合LV、DDN中所有DNk的特征矢量集合DV,LV中具有nL个六维的特征矢量,DV中具有nD个六维的特征矢量;步骤4,对LV中的特征矢量添加标记1,对DV中的特征矢量添加标记‑1,分别作为正样本和负样本构成测试集合训练分类器,通过分类器实现对恶意软件DGA生成域名的检测。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于南京理工大学,未经南京理工大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201710123327.1/,转载请声明来源钻瓜专利网。
- 上一篇:可折叠医用X射线防护器具
- 下一篇:一种聚烯烃护套防火电缆
