【技术实现步骤摘要】
一种DGA恶意软件识别方法
本专利技术属于网络安全
,具体涉及一种DGA(DomainGenerationAlgorithm,域名生成算法)恶意软件识别方法。
技术介绍
早期的DGA技术主要用于僵尸网络,很多相关检测方法均是基于僵尸网络的特性(包括同步性、周期性和节点关联性)来检测DGA恶意软件。而近期的DGA技术被用于勒索软件,在该类应用中,勒索软件不具备上述僵尸网络的特性,因此传统的检测方法难以应用于此类场景。DGA恶意软件的关键弱点在于被感染的主机不知道控制服务器域名,即被感染主机需通过随机算法不断生成域名并尝试进行连接,直至成功连接到控制服务器域名。因此,可通过分析连接失败的域名数量以及域名本身的特点来实现DGA恶意软件的识别。专利CN106576058A《用于检测域生成算法恶意软件和被此类恶意软件感染的系统的系统和方法》、专利CN106992969A《基于域名字符串统计特征的DGA生成域名的检测方法》、专利CN105577660A《基于随机森林的DGA域名检测方法》、专利CN107046586A《一种基于类自然语言特征的算法生成域名检测方法》、专利US2013191915(A1)《METHODANDSYSTEMFORDETECTINGDGA-BASEDMALWARE》提出的检测方法均是以单个域名或该域名的相关参数作为分析检测对象,由于在实际网络环境中存在大量正常的不规则域名,尤其是长度较短的域名,导致该类检测方法均具有较高的误报率。
技术实现思路
本专利技术技术解决问题:针对DGA恶意软件的关键弱点,即被感染主机不知道控制服务器域名,提供一种D ...
【技术保护点】
1.一种DGA恶意软件识别方法,其特征在于,包括以下步骤:(1)主机每一次失败的域名连接称为一次随机漫步,基于主机第i个连接失败的域名,计算随机漫步增量Δi,并求得前n次随机漫步增量和Λn;(2)当Λn大于预设阈值上界Bu或n超过预设阈值Bs时,判定该主机被DGA恶意软件感染,当Λn小于预设阈值下界Bl时,判定该主机未被DGA恶意软件感染;(3)当某主机被判定为被感染状态时,发出告警并重置Λ1=0,当主机被判定为正常状态时,直接重置Λ1=0。
【技术特征摘要】
1.一种DGA恶意软件识别方法,其特征在于,包括以下步骤:(1)主机每一次失败的域名连接称为一次随机漫步,基于主机第i个连接失败的域名,计算随机漫步增量Δi,并求得前n次随机漫步增量和Λn;(2)当Λn大于预设阈值上界Bu或n超过预设阈值Bs时,判定该主机被DGA恶意软件感染,当Λn小于预设阈值下界Bl时,判定该主机未被DGA恶意软件感染;(3)当某主机被判定为被感染状态时,发出告警并重置Λ1=0,当主机被判定为正常状态时,直接重置Λ1=0。2.根据权利要求1所述的DGA恶意软件识别方法,其特征在于:所述步骤(1)中,随机漫步增量Δi的计算方法为其中,l为域名长度,Pr(α0)为所有域名中初始字符为α0的统计概率,Pr(αk|αk-1)为所有域名中第k-1个字符为αk-1的条件下第k个字符为αk的概率。3.根据权利要求2所述的DGA恶意软件识别方法,其特征在于:所述Pr(αk|αk-1)的计算方法为:其中为二元字符组αk-1αk在所有域名中出现的次数,为起始字符为αk-1的二元字符组在所有域名中出现的次数。4.根据权利要求1...
【专利技术属性】
技术研发人员:罗熙,徐震,王利明,杨婧,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。