[发明专利]基于域名字符串统计特征的DGA生成域名的检测方法

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于域名字符串统计特征的DGA生成域名的检测方法。

背景技术

DNS作为实现域名和IP地址映射的分布式系统，是当前互联网中重要的基础设施之一。进行间谍活动、勒索破坏、僵尸网络的恶意软件和C&C进行通信过程中，通常会避免使用确定的IP地址以避免C&C迁移后导致的通信失连。而固定的域名也容易导致形成可察觉的软件指纹。且域名一旦被列人黑名单，软件的远控即失效。在这种背景下Domain-Flux技术(Sharifnya R,Abadi M.DFBotKiller:Domain-flux botnet detection based on the history of group activities and failures in DNS traffic[J].Digital Investigation,2015,12(12):15-26.)得到了广泛应用，它采用域名生成算法DGA，通过特定的参数(如网络时间，热门话题等)定期自动生成大量的随机域名。实施远控的C&C控制者通过相同的种子获得相同的域名池，并选取其中的一部分域名注册为C&C服务器的域名。恶意程序在域名池中随机挑选域名进行DNS解析，一旦解析成功便可获得C&C服务器的IP地址并与之建立连接。由于其他一些实施APT攻击和Botnet控制的软件也大量使用这一手段。所以针对DGA生成域名的DNS请求的发现，成为一种间接的恶意软件检测方法。当前这方面的主要方法如下：

第一种是随机森林的dga域名检测方法(王红凯,张旭东等.基于随机森林的dga域名检测方法:CN105577660A[P].2015)，该方法主要使用了域名长度、域名信息上、域名语音性、域名中元音字符数、域名中数字字符数、域名中重复字母数、域名中连续数字字符数、域名中非元音连续字符数、域名中N元语言模型在白明代中得分以及域名中N元语言模型在单词字典中的得分。该方法采用的特征数量多，且存在很多区分能力不强的低阶特征，训练的时间长效率低。

第二种基于域名特征的c&c域名识别方法(唐力,岳扶天,周海燕.基于域名特征的c&c域名识别方法，CN105072214A[P].2015)，该方法陈述的主要特点是对给定的域名生成用于判定域名类别的量化指标，并简单举例该指标可以报考元音字母占比、域名中的拼音出现次数等。方法的技术特征不明显，其陈述的训练和学习方法为该领域的一般技术，无法精确高效地区分正常域名和DGA生成的域名。

第三种实现恶意域名识别的方法及装置(侯伟,曲武,周涛.一种实现恶意域名识别的方法及装置,CN105024969A[P].2014)，该发明主要声明了一种动态特征的恶意域名可信判断模型，这个动态特征集合包括与IP相关的特征、和/或权威服务器主域名一致率。其方法是主要是基于恶意软件的DNS请求的概率，而其中的域名相关的统计特征采用的是比较简单的字符和数字特征，被作为静态特征进行过滤黑名单的设定。该方法由于需要用到DNS请求的通信行为的特征，因此复杂度较高。

发明内容

本发明的目的在于提供一种复杂度低、精度高的基于域名字符串统计特征的DGA生成域名的检测方法。

实现本发明目的的技术解决方案为：一种基于域名字符串统计特征的DGA生成域名的检测方法，包括以下步骤：

步骤1，收集整理并构建正常的标准域名集合，将其中超过三个字符的二级或者三级域名取出，构成由字母、数字和连字符组成的域名字符串SN_i，i＝1,2,…,N；所述域名字符串SN_i的集合SDN作为后续特征矢量构造的数据基础；

步骤2，收集整理并构建正常的域名集合，将其中超过三个字符的二级或者三级域名取出，构成由字母、数字和连字符组成的域名字符串LN_j,j＝1,2,…,n_L的集合LDN；收集整理恶意软件DGA算法生成的域名集合，将其中超过三个字符的二级或者三级域名取出，构成由字母、数字和连字符组成的域名字符串DN_k，k＝1,2,…,n_D的集合DDN；

步骤3，提取LDN中所有LN_j和DDN中所有DN_k的统计特征，得到LDN中所有LN_j的特征矢量集合LV、DDN中所有DN_k的特征矢量集合DV，LV中具有n_L个六维的特征矢量，DV中具有n_D个六维的特征矢量；