【技术实现步骤摘要】
一种基于主机关联性的DGA家族分类方法
本专利技术涉及网络安全
,更具体地,涉及一种基于主机关联性的DGA家族分类方法。
技术介绍
恶意软件是现代互联网中不可忽视的一个安全问题,随着安全措施的升级,各种新的攻击手段层出不穷。很多恶意攻击者为了创建更隐蔽更难以被查封的恶意软件,在恶意软件中利用域名生成算法(DomainGenerationAlgorithm,DGA)生成命令与控制(Command&Control,C&C)服务器的域名代替之前使用的直接硬编码在软件内的域名。恶意软件采用DGA技术增加了C&C域名的不可预测性,令常见的黑名单防护策略失效。而安全人员需要对该恶意软件进行逆向才能获取其使用DGA的信息,而后再进一步的采取措施,这无疑是提高了安全防护的成本。传统的恶意软件常常会将恶意域名硬编码在恶意软件中,在于C&C服务器通信时直接使用,但是这种方法容易被黑名单检测。为防范黑名单的检测,提高恶意程序的存活周期,恶意攻击者更改为采用DGA的方式,在恶意程序运行时自动生成域名,而...
【技术保护点】
1.一种基于主机关联性的DGA家族分类方法,其特征在于,包括以下步骤:/nS1.获取包含DGA域名数据的DNS流量数据,利用现有的DGA域名检测技术将流量中所包含的所有DGA域名及其解析行为关系提取出来,形成DGA域名与解析主机的集合;/nS2.根据DGA域名与解析主机的集合进行DGA家族的详细分析,针对不同家族的特性提出新的描绘家族特性的特征,得到DGA家族的家族画像;/nS3.主机关联预分类阶段,利用S1所得的DGA域名与解析主机的集合获得某个主机解析的全部域名的集合,然后遍历主机集合,当两个主机解析的域名出现重合的则将这两个主机关联在一起并归为一类;/nS4.将步骤S...
【技术特征摘要】
1.一种基于主机关联性的DGA家族分类方法,其特征在于,包括以下步骤:
S1.获取包含DGA域名数据的DNS流量数据,利用现有的DGA域名检测技术将流量中所包含的所有DGA域名及其解析行为关系提取出来,形成DGA域名与解析主机的集合;
S2.根据DGA域名与解析主机的集合进行DGA家族的详细分析,针对不同家族的特性提出新的描绘家族特性的特征,得到DGA家族的家族画像;
S3.主机关联预分类阶段,利用S1所得的DGA域名与解析主机的集合获得某个主机解析的全部域名的集合,然后遍历主机集合,当两个主机解析的域名出现重合的则将这两个主机关联在一起并归为一类;
S4.将步骤S3所得的初步聚类的类别进行再次聚合,遍历所有类别,利用初步聚类的类别训练分类器,计算某一类别与其他类别的元素相似度,实现类别融合,最终得到DGA家族的聚类结果;
S5.使用S2所得的家族画像对聚类结果进行比较验证,对聚类结果进行纠正分析并进行评估判断。
2.根据权利要求1所述的基于主机关联性的DGA家族分类方法,其特征在于,所述的S2中不同家族的特性包括域名信息熵、类别内字符频率分布方差、类别内是否包含缺陷字符、类别内相邻日期域名重复使用率、域名使用周期、顶级域分布。
3.根据权利要求1所述的基于主机关联性的DGA家族分类方法,其特征在于,所述的S3的具体步骤如下:
S31.获得某个主机解析的全部域名的集合,记为Di;
S32.每一个主机hi,从域名解析记录RS中提取其解析的域名Hi,初始化C={H1,H2,H3…Hi},C为预分类结果集合;
S33.对于任意的Hi≠Hj∈C,若Hi∩Hj≠φ,则将Hi∩Hj添加到C,同时从C中删除Hi,Hj;
S34.重复步骤S33,直至不存在Hi∩Hj≠φ,则输出预分类结果集合C。
4.根据权利要求3所述的基于主机关联性的DGA家族分类方法,其特征在于,所述的S4的具体步骤如下:
S41.设获得的初步聚类的预分类结果集合C={C1,C2,…,Cn},其中集合C中的第i类为未知类别,而其余的n-1个类别为已知类...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。