The invention provides a malicious domain name detection method and system using a domain name co-occurrence relationship. The invention uses the time interval between domain name requests to cut the DNS request sequence into domain name co occurrence sequence, so as to effectively divide domain name requests that do not belong to the same network activity trigger into different sequences; at the same time, it uses the sliding window to extract the domain name co occurrence sequence from the domain name co occurrence sequence: on the one hand, the introduction of the sliding window successfully eliminates the co occurrence sequence length On the other hand, the sliding window only keeps the co-occurrence relationship between domain names and domain names in the window, and ignores the relationship with domain names in the further location, which can effectively reduce the noise co-occurrence relationship. The invention can discover suspicious malicious domain name gangs by analyzing the domain name cluster behavior, sense the association relationship behind the malicious domain name, and provide support for further research on the malicious domain name ecosystem.
【技术实现步骤摘要】
一种利用域名共现关系的恶意域名检测方法及系统
本专利技术涉及计算机网络安全领域的恶意域名检测领域,尤其是涉及一种利用域名共现关系的恶意域名检测方法及系统。
技术介绍
域名系统(domainnamesystem,DNS)是当今互联网中重要的基础核心服务之一,负责提供统一的域名地址空间映射服务,主要将易于人类记忆的域名翻译为易于机器识别的IP地址。然而,近年来DNS遭受各种非法网络活动的滥用。例如,僵尸网络利用域名生成算法(domaingeneratealgorithm,DGA)批量生成大量域名,构建更健壮的命令与控制(command&control,C&C)信道,逃避安全机构的封杀和屏蔽。网络诈骗犯注册与流行域名(如alipay.com)相似的域名(如al1pay.com),搭建钓鱼网站欺骗用户,从而窃取账户敏感信息、信用卡密码等。思科2016年度安全报告中指出高达91.3%的恶意软件均会从一定程度上滥用域名系统。在诸如网络钓鱼、恶意软件、垃圾邮件、勒索诈骗、僵尸网络等攻击手段背后,域名发挥着重要作用。这些网络攻击中使用的域名称为恶意域名。及时有效地检测恶意域名在异常检测、态势感知、追踪溯源中具有极其重要的研究意义和现实价值。现有的恶意域名检测技术可以分为以下两类:(1)基于手工特征和机器学习的技术。这类技术的主要思路是首先根据专家经验从域名相关数据中提取域名的特征(如域名的IP地址特征、域名的访问行为、域名的词法特征等),然后利用机器学习分类算法和域名黑白名单数据构建恶意域名分类器,最
【技术保护点】
1.一种利用域名共现关系的恶意域名检测方法,包括以下步骤:/n(1)解析主机层面的DNS流量,获取请求信息,所述请求信息包括请求用户、请求域名和请求时间三元组信息;/n(2)基于(1)中的三元组数据,按照序列切割时间阈值τ将请求用户的DNS请求序列进行切割,划分为域名共现序列;/n(3)基于(2)中的域名共现序列,生成域名共现对;/n(4)基于(3)中的域名共现对,在保留域名共现关系的前提下,将每一个域名映射为特征向量;/n(5)将(4)中的特征向量输入恶意域名分类器以检测恶意域名;/n其中所述恶意域名分类器通过下述步骤得到:/n按照上述步骤(1)-(4)得到特征向量,利用已知属性的正常域名和恶意域名,结合机器学习分类算法进行训练,得到恶意域名分类器。/n
【技术特征摘要】
1.一种利用域名共现关系的恶意域名检测方法,包括以下步骤:
(1)解析主机层面的DNS流量,获取请求信息,所述请求信息包括请求用户、请求域名和请求时间三元组信息;
(2)基于(1)中的三元组数据,按照序列切割时间阈值τ将请求用户的DNS请求序列进行切割,划分为域名共现序列;
(3)基于(2)中的域名共现序列,生成域名共现对;
(4)基于(3)中的域名共现对,在保留域名共现关系的前提下,将每一个域名映射为特征向量;
(5)将(4)中的特征向量输入恶意域名分类器以检测恶意域名;
其中所述恶意域名分类器通过下述步骤得到:
按照上述步骤(1)-(4)得到特征向量,利用已知属性的正常域名和恶意域名,结合机器学习分类算法进行训练,得到恶意域名分类器。
2.如权利要求1所述一种利用域名共现关系的恶意域名检测方法,其特征在于,步骤(1)中主机层面DNS流量未经NAT网络地址转换。
3.如权利要求1所述一种利用域名共现关系的恶意域名检测方法,其特征在于,步骤(1)还包括:按照请求用户和请求时间对三元组集合进行排序,形成域名请求数据集其中为用户ui请求域名的集合,代表用户ui在时间请求域名
4.如权利要求3所述一种利用域名共现关系的恶意域名检测方法,其特征在于,步骤(2)具体为:针对用户ui的请求序列集合Di,将相邻的两个域名请求之间的时间间隔大于切割阈值τ的两个域名请求切割开来,划分到不同的域名共现序列中,反之则划分到同一个域名共现序列中。
5.如权利要求3所述一种利用域名共现关系的恶意域名检测方法,其特征在于,步骤(3)具体为:
(3-1)设定滑动窗口w大小;
(3-2)针对每一个域名共现序列中的每一个域名dj,确定其窗口范围为C(dj)=(dj-w,dj-w+1,…,dj-1,dj+1,dj+2,…,dj+w),为dj前w个域名和后w个域名;
(3-3)基于域名dj窗口范围C(dj),进一步提取域名共现对{(dj,dj-w),…,(dj,dj-1),(dj,dj+1),...
【专利技术属性】
技术研发人员:云晓春,彭成维,张永铮,李书豪,徐小琳,
申请(专利权)人:中国科学院信息工程研究所,国家计算机网络与信息安全管理中心,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。