【技术实现步骤摘要】
基于聚类和关联情报的DGA域名检测分析方法和系统
[0001]本专利技术涉及网络安全
,具体涉及一种基于聚类和关联情报的DGA域名检测分析方法和系统。
技术介绍
[0002]动态域名生成算法能够有效地生成伪随机域名,恶意软件使用该域名连接其所用的命令控制服务器(Command and Control server,C2),不仅可有效地绕过黑名单检测,而且可以在命令控制服务器地址变更或部分失效时仍然可以连接服务器,提高了恶意软件通信连接的可靠性。该算法是实现恶意软件的关键技术,破解该技术可有效地检测恶意软件,对于提升信息安全防护水平有着重要意义。
[0003]目前,工业和学术界对DGA(Domain Generation Algorithm,DGA)域名的检测方法进行了深入研究,尽管模型在实验测试中表现出来良好的效果,但在工程应用中,即使很小的误报率在海量的数据中也会产生大量的结果,对误报进行有效的筛出是一项具有挑战性的工作;另外,一般的检测方法只是检测域名是否是DGA域名,即使采用多分类的方法对域名进行分类,准...
【技术保护点】
【技术特征摘要】
1.一种基于聚类和关联情报的DGA域名检测分析方法,其特征在于,所述方法包括:获取DNS的统计数据,并在统计数据范围内获取疑似DGA域名;抽取疑似DGA域名的行为和文本特征,并生成疑似DGA域名的聚类标签;基于所述聚类标签划分疑似DGA域名的DGA家族,并使用解析IP数量过滤删减所述DGA家族,以获得所述DGA家族中保留下来的DGA域名;在DGA家族中保留下来的DGA域名范围内,使用域名创建时间和威胁情报信息过滤疑似DGA域名。2.根据权利要求1所述的基于聚类和关联情报的DGA域名检测分析方法,其特征在于,所述获取DNS的统计数据,并在统计数据范围内获取疑似DGA域名,具体包括:在预先设定的DNS流量出入口获取DNS流量数据,并对预设时间段内的DNS流量数据进行统计计算,以获取DNS统计数据;基于获取的DNS统计数据,使用深度学习或机器学习算法检测出疑似DGA域名。3.根据权利要求2所述的基于聚类和关联情报的DGA域名检测分析方法,其特征在于,所述抽取疑似DGA域名的行为和文本特征,具体包括:基于检测出的疑似DGA域名,利用DNS统计数据中DNS全域名抽取出疑似DGA域名的文件特征;抽取DNS统计数据中的域名访问量和/或访问终端数作为行为特征。4.根据权利要求3所述的基于聚类和关联情报的DGA域名检测分析方法,其特征在于,所述生成疑似DGA域名的聚类标签,具体包括:基于所抽取疑似DGA域名的行为和文本特征,使用聚类算法,分别生成域名的文本聚类标签和行为聚类标签。5.根据权利要求4所述的基于聚类和关联情报的DGA域名检测分析方法,其特征在于,所述基于所述聚类标签划分疑似DGA域名的DGA家族,具体包括:...
【专利技术属性】
技术研发人员:杨云龙,罗赟骞,云晓春,李佳,黄亮,张良,候爽,李婷,刘伟,徐剑,李晔,王晨,郝帅,党向磊,胡燕林,李鑫淼,
申请(专利权)人:长安通信科技有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。