[发明专利]一种基于DNS流量的自适应恶意域名检测方法有效
| 申请号: | 201711108716.3 | 申请日: | 2017-11-11 |
| 公开(公告)号: | CN107786575B | 公开(公告)日: | 2020-07-10 |
| 发明(设计)人: | 孟坤;徐硕;李淑琴;丁濛;罗江 | 申请(专利权)人: | 北京信息科技大学 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L29/12 |
| 代理公司: | 北京华仲龙腾专利代理事务所(普通合伙) 11548 | 代理人: | 李静 |
| 地址: | 100192 北*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种基于DNS流量的自适应恶意域名检测方法,搜集第三方平台提供的黑白名单样本集,并依照域名结构特征列表,使用黑白名单样本集作为训练集基线,选择随机森林分类器训练域名结构检测模型;对判定为恶意的域名进行Whois查询及追踪验证;训练流量检测模型;将待检测的域名与DNS的流量数据经数据预处理后,分别作为加载的域名结构检测引擎和流量检测引擎的输入,得到预测结果;将流量检测引擎判定为恶意域名的数据集,定时更新域名结构检测引擎的训练集黑名单,形成自适应恶意域名检测模式。本发明能够快速地检测出可疑域名,并保持较低延时和可接受的准确率;能够海量数据面前检测出多种类型恶意域名,并保持较高准确率和较低误报率。 | ||
| 搜索关键词: | 一种 基于 dns 流量 自适应 恶意 域名 检测 方法 | ||
【主权项】:
一种基于DNS流量的自适应恶意域名检测方法,其特征在于,包括如下步骤:步骤1),搜集第三方平台提供的黑白名单样本集,并依照域名结构特征列表,使用黑白名单样本集作为训练集基线,选择随机森林分类器训练域名结构检测模型;步骤2),提取元数据中协议为DNS的流量数据,对域名数据进行数据预处理操作,并将其作为域名结构检测模型的输入;步骤3),使用域名结构检测模型对步骤2)中的输入进行分类,对判定为恶意的域名进行Whois查询及追踪验证;同时,抽取同一批次经验证后的恶意域名与Alexa前10万域名对应的步骤2)中的流量数据;步骤4),依据流量特征列表,使用步骤3)得到的流量数据进行规则过滤,将处理后的结果作为训练集,选择Adaboost分类器训练流量检测模型;步骤5),将待检测的域名与DNS的流量数据经数据预处理后,分别作为加载的域名结构检测引擎和流量检测引擎的输入,得到预测结果;步骤6),将流量检测引擎判定为恶意域名的数据集,定时更新域名结构检测引擎的训练集黑名单,形成自适应恶意域名检测模式;并对域名结构检测引擎判定为恶意域名部分提交给其它检测模块,其它检测模块包括隐蔽通道检测与异常行为检测模块。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京信息科技大学,未经北京信息科技大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201711108716.3/,转载请声明来源钻瓜专利网。
- 上一篇:移动终端的语音通信信源加密系统
- 下一篇:一种高效推送软件智能识别阻拦系统
