[发明专利]一种DGA恶意软件感染主机检测方法

权利要求书

1.一种DGA恶意软件感染主机检测方法，其特征在于：所述方法包括以下步骤：

步骤1：提取DNS数据作为原始数据集；

步骤2：构造训练数据集；

步骤3：对训练数据集中的训练数据和原始数据集的数据进行特征提取；

步骤4：对提取的特征进行归一化处理；

步骤5：以处理后的训练数据的特征进行训练，得到稳定的模型，以原始数据集的数据输入模型，得到可疑DGA域名列表；

步骤6：对可疑DGA域名列表进行误报过滤；

步骤7：基于过滤后的可疑DGA域名列表进行感染主机确认。

2.根据权利要求1所述的一种DGA恶意软件感染主机检测方法，其特征在于：所述步骤1中，DNS数据为从实际网络流量中提取的DNS查询请求数据。

3.根据权利要求1所述的一种DGA恶意软件感染主机检测方法，其特征在于：所述步骤2中，以Alexa的域名为训练数据集的负样本，以公开DGA算法的域名为训练数据集的正样本。

4.根据权利要求3所述的一种DGA恶意软件感染主机检测方法，其特征在于：步骤3中，提取的特征包括：

字符随机性特征，为任一域名的Shannon熵；

域名长度特征，为任一域名的字符串长度；

域名N-gram特征，为取n为2和3时，任一域名的字符串bigram、trigram的平均排名；

域名可读性特征，为计算任一域名的字符串中元音字母个数、元音字母占比、去重后的字母个数、去重后的数字个数及其占比获得；

域名TLD特征，为取任一域名TLD、使用独热编码处理后的特征串；

转移概率特征，为以隐马尔科夫链计算得到的任一域名的转移概率。

5.根据权利要求1所述的一种DGA恶意软件感染主机检测方法，其特征在于：所述步骤5中，训练分类器时，对训练数据集使用10折交叉验证。

6.根据权利要求1所述的一种DGA恶意软件感染主机检测方法，其特征在于：所述步骤6的过滤包括过滤汉语拼音导致的误报和过滤其他正常单一域名导致的误报。

7.根据权利要求6所述的一种DGA恶意软件感染主机检测方法，其特征在于：所述过滤汉语拼音导致的误报包括以下步骤：

步骤6.1.1：获取开源拼音库数据；

步骤6.1.2：提取中文词组的拼音全拼和首字母组合；

步骤6.1.3：使用贪婪算法判断可疑DGA域名列表中的域名是否为拼音或首字母组成，若是，则从可疑DGA域名列表中删除，否则保留。

8.根据权利要求6所述的一种DGA恶意软件感染主机检测方法，其特征在于：所述过滤其他正常单一域名导致的误报包括以下步骤：

步骤6.2.1：对原始数据集中匹配到可疑DGA域名列表中的数据进行统计；

步骤6.2.2：基于统计后的结果，按照源地址进行分组聚合；

步骤6.2.3：筛选出预设时间内请求不同可疑域名个数超过m的疑似感染主机IP及其对应的可疑DGA域名列表，m≥5。

9.根据权利要求1所述的一种DGA恶意软件感染主机检测方法，其特征在于：所述步骤7包括以下步骤：

步骤7.1：基于过滤后的可疑DGA域名列表进行whois查询；

步骤7.2：统计DNS服务器返回NXDOMAIN和NOERROR的占比；

步骤7.3：若返回NXDOMAIN的域名占比大于80%，则确定当前主机为感染主机；

若返回NXDOMAIN的域名占比在40%-80%的范围内，则当前主机需要人工核查是否为感染主机；

其他情况，则当前主机非感染主机，标注误报。

10.根据权利要求9所述的一种DGA恶意软件感染主机检测方法，其特征在于：所述步骤7.3中，将人工核查的结果反馈到训练数据集中，作为误报或确认样本，优化训练数据及模型。