本发明专利技术公开了一种基于神经网络的恶意DNS流量检测方法及装置,首先获取原始的DNS数据,将DNS数据流特征序列编码转化为向量;基于权威白名单域名数据对编码后的DNS数据进行清理;然后将DNS请求时间序列转换为频域序列,并对每一个请求进行离散傅立叶变换,再将频域序列转换为功率谱密度向量,表示为时间频率下事件发生率的强度;功率谱密度向量进行归一化后,输入卷积神经网络进行分类,得到DNS域名查询是否由恶意程序发送请求的结果。与其他恶意领域检测方法相比,本发明专利技术方法不需要大量多样的特征,也不需要引入各种机器学习算法来分析特征,也无需分析恶意样本,提高了检测结果的鲁棒性,减少了资源开销。
【技术实现步骤摘要】
本专利技术涉及dns流量检测领域,尤其涉及一种基于神经网络的恶意dns流量检测方法。
技术介绍
1、现在许多攻击者利用网络漏洞来进行各种恶意活动,例如钓鱼攻击、恶意软件传播、垃圾邮件发送等。其中,dns(domain name system)是一种关键的基础网络服务,用于将主机名映射到ip地址。然而,它也成为了黑客们主要攻击的目标之一。据统计,大约有一半以上的网络攻击都是利用dns来进行的。
2、机器学习的兴起极大地帮助了检测恶意域名。grill(m.grill,i.nikolaev,v.valeros and m.rehak,"detecting dga malware using netflow,"2015ifip/ieeeinternational sym posium on integrated network management(im),ottawa,on,canada,2015,pp.1304-1309,doi:10.1109/inm.2015.7140486.),gao(gao,j.,zhao,w.,zhang,x.et al.mri analysi s of the isobar ttl internal fixation system forthe dynamic fixation of intervertebral di scs:a comparison with rigidinternal fixation.j orthop surg res 9,43(2014).https://doi.or g/10.1186/1749-799x-9-43)等一些研究人员使用特定的算法将未知域的网络行为与已知的网络恶意行为进行聚类,以确定这些域是恶意的还是良性的,尽管这种方法取得了良好的结果,但其鲁棒性较差,并且参数的调整对结果有很大影响。schüppen(schüppen,s.,teubert,d.,herrmann,p.,et al.fanci:feature-based automated nxdomain classification andintelligen ce[c].proceedings of the 27th usenix security symposium.2018:1165-1181.)、casino(ca sino f,lykousas n,homoliak i,et al.intercepting hail hydra:real-time detection of algorithmically generated domains[j].2020.doi:10.1016/j.jnca.2021.103135.(2018)proceedingsof the 27th usenix security symposium,pp.1165-1181.)、alaeiyan(alaeiyan,m.,parsa,s.,vinod,p.,conti,m..detection ofalgorithmically-generated domains:an adversarial ma chine learningapproach.comput.commun.2020,160,661–673.)等人结合域名字符特征和dns流量特征对未知域名的签名进行评分以检测未知域名。上述所有方法在特定的数据集中都取得了良好的效果,但它们都是基于域名的低维特征。提取的特征是多样的,但在这些方法中并没有很大的不同。这种方法只分析了部分恶意域名数据集,而没有研究未知域名之间的深层关系。当面对不断变化的恶意域名时,它们的有效性可能会大大降低。zhang h(zhangh,gharaibeh m,thanasoulas s,et al.botdigger:detectingdga bots in a singlenetwork.[c]//traffic monitoring and analysis.2016.)等研究人员从dns流量和日志提取特征并识别域名,尽管这样的检测方法可以高精度地完成检测任务。这些方法显然为攻击者提供了一个机会,他们可以在发起攻击时瞄准并更改此类检测方法所需的重要判断特征,例如,域名存活了多久,响应ip是否包含多个域。然后大大降低了这些检测方法的泛化能力。为了检测和识别未知域名,在dns流量级别进一步探索域名之间的相关性。hautran(h.tran,a.nguyen,p.vo and t.vu,"dns graph mining for malicious domaindetection,"2017ieeeinternational conference on big data(big data),boston,ma,usa,2017,pp.4680-4685,doi:10.1109/bigdata.2017.8258515.)、peng c(peng c,yun x,zhang y,et al.malshoo t:shooting malicious domains through graph embedding onpassive dnsdata:methods and protocols[m].2019.)等研究人员基于dns流量构建域名之间的关系连接图模型,以检测未知域名是良性的还是恶意的,在dns流量特征级别构建不同域名之间的关系,以检测和识别未知域名,虽然这些方法达到了很高的准确性,但是需要大量的计算,而且需要大量的资源来启动模型。它们中的大多数方法模型只能应用于静态场景,缺乏实时可用性。l.yin(l.yin,x.luo,c.zhu,l.wang,z.xu and h.lu,"connspoiler:disrupting c&c commu nication of iot-based botnet through fastdetection of anomalous domain queries,"in ie ee transactions on industrialinformatics,vol.16,no.2,pp.1373-1384,feb.2020,doi:10.1109/tii.2019.2940742.)等使用业内权威域名列表作为算法的种子,同时对dns流量中生成的“nxdomain”响应进行抓取,他们对算法的输出值进行叠加,并将叠加值与设置的阈值进行比较,以检测主机是否连接到恶意的c&c服务器,该方法简单、成本低、易于部署,可用于计算能力有限的物联网设备,但是该方法仅使用“nxdomain”响应dns特征作为算法操作的符号,这可能会导致遗漏和误报,从而无法准确地对每个域名进行分类。此外,算法阈值的触发需要更多的恶意域,这也降低了该方法的及时性和可靠性。xiaoqing sun(xiaoqing sun,zhiliang wang,jiahaiyang,xinran liu.deepdom:malicious domain detectionwith scalable andheter本文档来自技高网...
【技术保护点】
1.一种基于神经网络的恶意DNS流量检测方法,其特征在于,该方法包括以下步骤:
2.根据权利要求1所述的一种基于神经网络的恶意DNS流量检测方法,其特征在于,步骤S1中,将终端设备H在时间T对目标系统域名D发送的DNS查询R定义为式(1):
3.根据权利要求1所述的一种基于神经网络的恶意DNS流量检测方法,其特征在于,步骤S2中,数据清理的目标是基于权威域名清单从输入DNS请求序列中删除非恶意域名的查询数据,定义一个过滤函数F,如果输出一个真值则表示请求R应该保留,过滤函数使用参数G以定义被视为可信的全球权威域名数量;使用公式(3)定义的过滤函数F对域名请求序列R进行清洗:
4.根据权利要求1所述的一种基于神经网络的恶意DNS流量检测方法,其特征在于,步骤S3中,利用离散傅里叶变换DFT对DNS请求数据在时间周期T内进行频域转换,如式(5)所示:
5.根据权利要求1所述的一种基于神经网络的恶意DNS流量检测方法,其特征在于,步骤S4中,功率谱密度向量的归一化将每个频率的幅度缩放到0到1之间的值,该值与DNS数据集中出现的原始值成比例;所得到的归一化功率谱密度向量保证对于每个频率保持相同的能量分布,并保持一致的分类尺度:
6.根据权利要求1所述的一种基于神经网络的恶意DNS流量检测方法,其特征在于,步骤S4中,使用Keras构建一个具有卷积层、池化层、全连通层和softmax层的CNN卷积神经网络,神经网络选择adam作为神经网络优化算法,选择二元交叉熵作为损失函数,并将准确度作为评估指标;
7.一种基于神经网络的恶意DNS流量检测装置,包括存储器和一个或多个处理器,所述存储器中存储有可执行代码,其特征在于,所述处理器执行所述可执行代码时,实现如权利要求1-6中任一项所述的一种基于神经网络的恶意DNS流量检测方法。
8.一种计算机可读存储介质,其上存储有程序,其特征在于,所述程序被处理器执行时,实现如权利要求1-6中任一项所述的一种基于神经网络的恶意DNS流量检测方法。
...
【技术特征摘要】
1.一种基于神经网络的恶意dns流量检测方法,其特征在于,该方法包括以下步骤:
2.根据权利要求1所述的一种基于神经网络的恶意dns流量检测方法,其特征在于,步骤s1中,将终端设备h在时间t对目标系统域名d发送的dns查询r定义为式(1):
3.根据权利要求1所述的一种基于神经网络的恶意dns流量检测方法,其特征在于,步骤s2中,数据清理的目标是基于权威域名清单从输入dns请求序列中删除非恶意域名的查询数据,定义一个过滤函数f,如果输出一个真值则表示请求r应该保留,过滤函数使用参数g以定义被视为可信的全球权威域名数量;使用公式(3)定义的过滤函数f对域名请求序列r进行清洗:
4.根据权利要求1所述的一种基于神经网络的恶意dns流量检测方法,其特征在于,步骤s3中,利用离散傅里叶变换dft对dns请求数据在时间周期t内进行频域转换,如式(5)所示:
5.根据权利要求1所述的一种基于神经网络的恶意dns流量检测方法,其特征在于,步骤s...
【专利技术属性】
技术研发人员:单康康,袁书宏,金晶,
申请(专利权)人:浙江大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。