【技术实现步骤摘要】
【国外来华专利技术】
本公开总地涉及网络安全管理,并且具体涉及用于检测使用域生成算法的恶意软件和标识被此类恶意软件感染的系统的系统和方法。背景与其他网络交互的计算机网络被不断地暴露给恶意软件或恶性软件,例如病毒、蠕虫、僵尸网络和木马,恶意软件被形成以潜入计算机软件架构的每一级。随着用于检测这些恶意软件的机制发展和改进,恶意软件的数量和种类也发展和改进。一种近年使用增加的恶意软件依赖于用于创建数千接触命令和控制(C&C)通道的域名的域生成算法(DGA)。C&C通道包括C&C服务器,C&C服务器是恶意软件作者具有控制权的域名。大部分生成的域名为不是有效的域名的随机字符串。然而,算法创建足够多的域名,最终生成了一些有效的域名,并且从这些有效的域名中最终发现和接触到C&C服务器。通过只使用一个C&C服务器,这种类型的恶意软件帮助恶意软件作者维持小但灵活的物理C&C基础结构,其只需要短的时间段被配置和调节开启。这帮助恶意软件作者保持他们的僵尸网络在较长的时间段中是活的并且防止损坏。此外,僵尸守护者只需要从DGA生成的多个域名中注册一个域名以运行此类操作。这帮助恶意软件作者在不暴露C&C基础结构的情形下建立大的感染基础。因此,此类恶意软件是高度有效的并且很难被检测到。这种类型的恶意软件还使静态信誉系统难以维持所有可能的C&C域的准确列表。此外,传统黑名单机制在这种情况下通常不起作用。以下公开解决了这些问题和其他问题。附图说明图1是示出根据一个或多个公开的实施例的网络架构基础结构的框图。图2是示出根据一个实施例的与 ...
【技术保护点】
至少一种计算机可读介质,指令存储在所述计算机可读介质上,包括被执行时使可编程设备进行以下操作的指令:通过监测网络活动来标识域名;将所述域名的一部分标识为名称;为所述名称计算词法复杂度分数;以及至少基于所述词法复杂度分数确定所述域名是否是域生成算法(DGA)生成的。
【技术特征摘要】
【国外来华专利技术】2014.08.22 US 14/466,8061.至少一种计算机可读介质,指令存储在所述计算机可读介质上,包括被执行时使可编程设备进行以下操作的指令:通过监测网络活动来标识域名;将所述域名的一部分标识为名称;为所述名称计算词法复杂度分数;以及至少基于所述词法复杂度分数确定所述域名是否是域生成算法(DGA)生成的。2.如权利要求1所述的计算机可读介质,其特征在于,用于将所述域名的一部分标识为所述名称的所述指令进一步使所述可编程设备:标识和移除顶级域(TLD);响应于确定所述FLD的长度小于指定的阈值,移除第一级域(FLD);以及如果确定所述域名以藉词开始,则移除所述藉词;以及将所述域名的剩余部分标识为所述名称。3.如权利要求1-2中的任一项所述的计算机可读介质,其特征在于,所述藉词包括字符www。4.如权利要求2所述的计算机可读介质,其特征在于,用于将所述域名的一部分标识为所述名称的所述指令进一步使所述可编程设备:如果确定所述FLD的长度等于或小于所述指定的阈值,则移除所述FLD。5.如权利要求1-2中的任一项所述的计算机可读介质,其特征在于,用于为所述名称计算词法复杂度分数的所述指令进一步包括使所述可编程设备进行以下操作的指令:解析所述名称以标识有效的词;创建有效的词的组合;计算被标识的有效的词的总长度;从所述名称的长度中减去所述总长度以确定剩余部分的长度;以及通过将所述剩余部分的长度除以所述名称的长度来计算所述词法复杂度分数。6.如权利要求5所述的计算机可读介质,其特征在于,用于确定所述域名是否是DGA生成的所述指令进一步包括使所述可编程设备进行以下操作的指令:确定所述域名的域名服务器(DNS)响应是否指示失败的解析;如果确定所述词法复杂度分数小于词法复杂度阈值,则将所述域名添加至不存在的域的列表;计算当在所述不存在的域的列表中建立第一条目时和当建立当前条目时之间的时间差;确定所述不存在的域的列表中的条目的数量;以及如果所述时间差小于指定的时间阈值并且所述条目的数量大于指定的计数阈值,则将所述域名标识为DGA生成的。7.如权利要求6所述的计算机可读介质,其特征在于,用于确定所述域名是否是DGA生成的所述指令进一步包括使所述可编程设备进行以下操作的指令:如果所述域名被标识为在白名单上,则不将所述域名标识为DGA生成的。8.如权利要求6所述的计算机可读介质,其特征在于,用于确定所述域名是否是DGA生成的所述指令进一步包括使所述可编程设备进行以下操作的指令:如果所述域名的长度大于指定的阈值,则不将所述域名标识为DGA生成的。9.如权利要求6所述的计算机可读介质,其特征在于,用于确定所述域名是否是DGA生成的所述指令进一步包括使所述可编程设备进行以下操作的指令:如果确定先前未观察到所述域名的计算的级数,则创建新的不存在的域列表。10.一种网络设备,配置为执行对多媒体文件的分析,包括:处理器;存储器,耦合至所述处理器;以及软件,存储在所述存储器上,包括被执行时使所述处理器进行以下操作的指令:确定失败的解析域名是否在源IP监察列表上;当所述域名的长度落在指定的范围中并且所述域名的词法复杂度分数小于平均词法复杂度分数时,计算所述域名的年龄;以及确定所述年龄是否小于指定的值;以及当所述年龄小于所述指定的值时,将所述域名...
【专利技术属性】
技术研发人员:N·塔卡尔,P·K·阿姆里塔鲁鲁,V·塔内加,
申请(专利权)人:迈克菲股份有限公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。