[发明专利]一种DGA恶意软件感染主机检测方法

说明书

本发明涉及一种DGA恶意软件感染主机检测方法，提取DNS数据作为原始数据集，构造训练数据集，对所有数据特征提取并归一化处理，以处理后的训练数据特征进行训练，得到稳定模型，以原始数据集数据输入模型得到可疑DGA域名列表，对进行误报过滤后的可疑DGA域名列表进行感染主机确认。本发明采用信息熵、隐马尔可夫链、N‑gram模型等方法提取特征建模预测可疑域名，通过计算同一IP地址发起的可疑域名请求的统计特征判断DGA恶意程序感染主机，兼容多种DGA可疑域名检测，通过感染主机请求可疑域名的行为特征剔除误报，具有低人工参与判别的优势，具有高检测覆盖率、高识别率和低误报率的优势，具有实际应用价值。

技术领域

本发明涉及数字信息的传输，例如电报通信的技术领域，特别涉及一种DGA恶意软件感染主机检测方法。

背景技术

DGA域名是指利用域名生成算法(Domain Generation Algorithm)生成的一系列随机域名，DGA恶意软件则是指利用DGA算法生成大量动态变化的域名，从而躲避威胁情报、域名黑名单的检测，常用于僵尸网络(Botnet)。著名的DGA恶意软件家族有conficker、zeus等。

利用DGA域名进行恶意软件传播和控制相对比较隐蔽，且难以追踪，攻击者通过算法在每天生成的大量随机域名中挑选一个或多个注册成为C2服务器域名，就可以实现对感染主机的控制，而已有的威胁情报系统无法有效检测到这种新产生的域名的信誉度。

现有技术中，DGA域名检测包括多种方法，例如通过规则判断、统计特征判断、机器学习分类算法、深度学习训练检测模型等，但由于DGA生成算法的灵活性，导致各类DGA病毒家族特征差异较大，目前还没有一种比较完善的高检测率模型可以针对不同的DGA家族(包括未知家族)且具有普适效果，同时，由于正常流量环境下DGA恶意域名占比很小，对误报非常敏感，因此如何剔除误报有效识别感染主机才是最急需解决的问题。

专利申请号为CN201711130020.0的专利“DGA域名实时检测方法和装置”采用深度学习(ImageNet数据集的各类训练好的深度学习网络)将DGA域名转换成图片，提取特征，再对提取的特征训练分类器进行DGA域名预测。但事实上，各类DGA恶意软件家族的DGA域名特征差异较大，采用深度学习提取特征对样本要求较高，对某些未知DGA家族检测效果可能不理想。

专利申请号为CN201910344380.3的专利“一种检测DGA域名的方法及装置”，对域名计算索引序列，通过训练卷积神经网络得到预测模型。然而，采用卷积神经网络训练模型存在特征提取不全面、训练速度慢等问题，且单一域名的预测结果在实际场景中误报率较高(黑样本占比很低)。

专利申请号为CN201910387482.3的专利“一种DGA域名检测分类方法”对域名采用LSTM模型进行训练，得到的结果通过黑白名单、人工统计判断输出结果并反馈训练样本集。然而单一域名的预测结果在实际场景中误报率较高(黑样本占比很低)，会导致大量人工判断的开销。

专利申请号为CN201510971299.X的专利“基于随机森林的DGA域名检测方法”使用随机森林算法做DGA域名检测，特征提取包含域名长度、域名信息熵、域名语音性、域名中元音字符数、域名中数字字符数、域名中重复字母数、域名中连续数字字符数、域名中非元音连续字符数、域名中N元语言模型在白名单中得分以及域名中N元语言模型在单词词典中得分等。其提取的特征有效性并不一定适用于所有DGA家族，部分场景下检测率较低。

综上，现有技术主要通过对DGA域名自身的特征提取来训练机器学习分类器或构造神经网络来做恶意域名识别，在特征选择、算法优化、实际场景下的误报筛除等方面具有较大的困难，无法做到对各类型DGA域名都具有高效的检测效果。

发明内容