僵尸程序域名识别方法、装置、设备及存储介质制造方法及图纸

本发明专利技术公开了一种僵尸程序域名识别方法、装置、设备及存储介质。其中，该方法包括：对域名系统(DNS)日志中设定时长内的域名进行域名特征提取，确定所述设定时长内多个域名分别对应的域名特征值；将所述域名特征值载入域名分类模型进行识别，得到第一疑似域名生成算法(DGA)域名集合；基于域名黑白名单对所述第一疑似DGA域名集合进行过滤，得到第二疑似DGA域名集合；基于所述DNS日志对所述第二疑似DGA域名集合中的各域名进行追踪查询，得到各域名对应的访问记录信息；基于所述各域名对应的访问记录信息确定出各域名是否为DGA域名的识别结果。

【技术实现步骤摘要】
僵尸程序域名识别方法、装置、设备及存储介质
本专利技术涉及网络安全领域，尤其涉及一种僵尸程序域名识别方法、装置、设备及存储介质。
技术介绍
随着僵尸网络技术的发展，攻击者在僵尸程序使用了DomainFlux技术，来应对安全技术人员的屏蔽。僵尸程序发起访问的C&C(命令控制)域名是根据一定的算法，选取固定的特征作为随机数种子，动态的生成变化的前缀字符串，然后加上固定的TLD(TopLevelDomain，顶级域名)，这种域名生成算法称之为DGA(DomainGenerationAlgorithm)，攻击者会使用DGA算法生成大量域名，但只会注册其中少量域名用做C&C域名。相关技术中，对于僵尸程序生成的DGA域名，监控和检测手段主要有：1、基于蜜罐蜜网的僵尸网络检测技术，模拟真实的网络环境，在客户端机器上设置蜜罐，诱导僵尸程序进行感染，从而俘获僵尸网络程序，然后逆向从源码中获取僵尸网络的相关信息。2、基于网络流量的僵尸网络检测技术，利用受感染的不同客户端在与服务端建立通信的过程中具有协同性，对特征值相似的数据本文档来自技高网...

【技术保护点】
1.一种僵尸程序域名识别方法，其特征在于，包括：/n对域名系统DNS日志中设定时长内的域名进行域名特征提取，确定所述设定时长内多个域名分别对应的域名特征值；/n将所述域名特征值载入域名分类模型进行识别，得到第一疑似域名生成算法DGA域名集合；/n基于域名黑白名单对所述第一疑似DGA域名集合进行过滤，得到第二疑似DGA域名集合；/n基于所述DNS日志对所述第二疑似DGA域名集合中的各域名进行追踪查询，得到各域名对应的访问记录信息；/n基于所述各域名对应的访问记录信息确定出各域名是否为DGA域名的识别结果。/n

【技术特征摘要】
1.一种僵尸程序域名识别方法，其特征在于，包括：
对域名系统DNS日志中设定时长内的域名进行域名特征提取，确定所述设定时长内多个域名分别对应的域名特征值；
将所述域名特征值载入域名分类模型进行识别，得到第一疑似域名生成算法DGA域名集合；
基于域名黑白名单对所述第一疑似DGA域名集合进行过滤，得到第二疑似DGA域名集合；
基于所述DNS日志对所述第二疑似DGA域名集合中的各域名进行追踪查询，得到各域名对应的访问记录信息；
基于所述各域名对应的访问记录信息确定出各域名是否为DGA域名的识别结果。


2.根据权利要求1所述的方法，其特征在于，所述域名分类模型是基于训练集的域名特征值训练确定的，提取训练集的域名特征值，包括以下至少之一：
基于收集的合法域名集合形成的第一语料库，使用N元语言N-gram算法的三元语言trigram模型确定所述训练集中各域名的域名字符整体出现概率；
基于收集的合法域名集合形成的第二语料库，使用变音位Metaphone语音匹配算法和N-gram算法的trigram模型确定所述训练集中各域名的域名语音整体出现概率；
所述方法还包括：
基于所述识别结果确定的非DGA域名扩充所述第一语料库和/或所述第二语料库；
基于扩充后的所述第一语料库和/或所述第二语料库更新所述域名分类模型。


3.根据权利要求1所述的方法，其特征在于，所述对DNS日志中设定时长内的域名进行域名特征提取，确定所述设定时长内多个域名分别对应的域名特征值，包括：
对所述DNS日志中设定时长内的域名进行过滤，所述过滤包括以下至少之一：根据域名长度进行过滤、进行域名去重；
对过滤后的域名进行域名特征提取，确定域名对应的域名特征值。


4.根据权利要求3所述的方法，其特征在于，所述对过滤后的域名进行域名特征提取，包括以下至少之一：
提取域名对应的域名信息熵特征；
提取域名对应的元音信息熵特征；
提取域名对应的构词法特征；
提取域名对应的语音特征；
提取域名对应的词素特征；
提取域名对应的顶级域名TLD特征。


5.根据权利要求4所述的方法，其特征在于，
所述提取域名对应的域名信息熵特征，包括：
根据域名对应的域名字符长度及各字符出现的次数确定所述域名信息熵特征；
所述提取域名对应的元音信息熵特征，包括：
根据域名对应的域名字符长度及元音字符出现的次数确定所述元音信息熵特征；
所述提取域名对应的构词法特征，包括：
基于收集的合法域名集合形成的第一语料库，使用N-gram算法的trigram模型确定域名的域名字符整体出现概率；
所述提取域名对应的语音特征，包括：
基于收集的合法域名集合形成的第二语料库，使用Metaphone语音匹配算法和N-gram算法的trigram模型确定域名的域名语音整体出现概率；
所述提取域名对应的词素特征，包括：
对域名基于词素索引库对字符串进行词素切分，确定相应的词素特征；所述词素索引库包括以下至少之一：英语中的词根、英语中的词缀、中文中组合发音的拼音、及英文缩写；
所述提取域名对应的TLD特征，包括：
基...

【专利技术属性】
技术研发人员：郭智慧，付俊，陈璨璨，彭晋，张峰，
申请(专利权)人：中国移动通信有限公司研究院，中国移动通信集团有限公司，
类型：发明
国别省市：北京;11