【技术实现步骤摘要】
面向物联网设备的分布式DGA域名检测方法及系统
[0001]本专利技术属于网络安全
,尤其涉及一种面向物联网设备的分布式DGA域名检测方法及系统。
技术介绍
[0002]目前,随着物联网技术的广泛应用,路由器、网络摄像头和智能家居设备等物联网设备得到广泛的普及,极大的提高了日常生活便利度。但是,这些设备由于成本原因安全防护能力较弱,导致极易被僵尸网络入侵造成隐私泄露和财产损失。DGA(域名生成算法)是僵尸网络中常用的黑名单逃避手段,该算法能够生成随机字符串,并将生成的字符串与顶级域名拼接生成大量DGA域名,僵尸网络使用DGA域名建立C&C通信,由于黑名单更新速度远不及DGA域名生成速度,使得黑名单无法用于阻断通信。因此,通过DGA域名检测模型发现DGA域名来及时阻断僵尸网络的C&C通信。
[0003]现有的DGA域名检测方法可以分为两种:(1)基于特征工程的机器学习方法来检测DGA域名,通过对DGA域名提取特征并训练机器学习分类器完成检测。然而,提取特征过程耗时耗力,并且由于DG...
【技术保护点】
【技术特征摘要】
1.一种面向物联网设备的分布式DGA域名检测方法,其特征在于,所述面向物联网设备的分布式DGA域名检测方法包括:训练分布式DGA检测算法,使用Flask框架作为分布式I
‑
SDF算法的通信框架,传输节点与主机之间的森林与准确率;采集物联网设备上网卡中的DNS流量,采集到的流量用于后续检测;处理DNS流量,并从中解析到DNS请求的域名数据;基于离线训练的模型对数据处理得到的域名数据DGA检测。2.如权利要求1所述的面向物联网设备的分布式DGA域名检测方法,其特征在于,所述面向物联网设备的分布式DGA域名检测方法包括以下步骤:步骤一,在多个物联网设备中选择性能最好的一台作为主机,其余设备作为节点;步骤二,将每个节点上的训练集中的正常域名数据与DGA域名数据通过配对来扩充数据;步骤三,每个节点将配对后的数据进行预处理,包括域名长度对齐及字典转换;步骤四,每个节点对使用预处理后的数据进行滑动窗口扫描,将扫描到的数据训练一个随机森林和一个完全随机森林,并将两个森林发送至主机;步骤五,主机将各节点发送的随机森林与完全随机森林分别聚合成一个大的随机随机森林和完全随机森林,并下发给所有节点;步骤六,每个节点更新随机森林和完全随机森林后将训练集转换为类向量并拼接成变换特征F1;步骤七,每个基于变换特征逐层构建级联森林,使用变换特征训练完每一层后,将该层森林发送至主机聚合,聚合完成后,主机再下发给所有节点,所有节点更新该层级联森林,直到完成整个级联森林构建;步骤八,每个节点基于分布式训练得到的模型独立检测DGA域名。3.如权利要求2所述的面向物联网设备的分布式DGA域名检测方法,其特征在于,所述步骤二中的域名配对方法的具体配对规则包括:正常域名样本集S1,样本量为N1,DGA域名样本集S2,样本量为N2,同类域名配对的样本,对应标签为0,异类域名配对的样本,对应标签为1;基于随机下采样解决样本的不平衡,正常域名样本集相互配对的下采样系数为p1,DGA样本集相互配对下采样系数为p2,同类样本中正常域名对与DGA域名对相同,类样本量为N1*N1*p1=N2*N2*p2,则p2=(N1*N1*p1)/(N2*N2),正常域名样本集与DGA样本集配对的下采样系数为p3,异类样本量与同类样本量相同,根据N1*N1*p1+N2*N2*p2=N1*N2*p3,计算出异类样本采样系数p3=(N1*N1*p1*2)/(N1*N2);按照采样系数p1,p2,p3对正常域名样本集与DGA样本集随机下采样配对得到数据集X,划分为训练集X
train
与验证集X
valid
。4.如权利要求2所述的面向物联网设备的分布式DGA域名检测方法,其特征在于,所述步骤七中的级联森林每层包含2个随机森林与2个完全随机森林,训练的当前层数为k,k初始值为1,第k层的变换特征为F
k
,准确率阈值为t。5.如权利要求2所述的面向物联网设备的分布式DGA域名检测方法,其特征在于,所述步骤七中的逐层构建级联森林包括:(1)所有的...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。