[发明专利]一种基于流量特征的视频域名检测方法

说明书

本发明公开了一种基于流量特征的视频域名检测方法，所述方法包括如下步骤：(S1)进行流量预处理并获取基础数据；流量预处理包括基于pf_ring的内核抓包和DNS流量的过滤以及相关字段的提取；(S2)采用基于LSTM的深度学习模型对已知种类的DGA域名进行检测；(S3)将检测到的数据按需由存储模块进行存储；(S4)将检测到的数据进行分类，通过展示模块进行结果展示。该方法不需要人工特征的参与，检测更具有健壮性；除此之外，在保证检测健壮性的同时还兼顾了恶意域名的检测准确率。

技术领域

本发明属于计算机技术领域，具体涉及一种基于流量特征的视频域名检测方法。

背景技术

当前，复杂、动态、开放的互联网环境，为外部有组织恶意攻击的蔓延和软件自身缺陷的利用提供了快速发展的温床，大规模网络安全攻击事件日益频发，这一趋势严重威胁到我国整个信息基础设施与互联网环境的健康发展。一些域名已经成为恶意用途的一部分，恶意域名会对用户账户进行攻击、进行DDo S攻击、危害广告搜索产业和催生僵尸网络，必须分析这些威胁，提前主动感知这些威胁，才能降低被攻击的安全风险、确保信息安全、国家安全和社会稳定。

域名系统(Domain Name System，DNS)是当今互联网中重要的基础核心服务之一，负责提供统一的域名地址空间映射服务，主要将易于人类记忆的域名翻译为易于机器识别的IP地址。然而，由于DNS服务自身缺少恶意行为检测能力，在域名系统提供正常服务的同时，近年来越来越多的非法活动也开始滥用域名系统以达到其恶意目的。

传统网络下对恶意域名的防护一般是在用户主机或网络出口安装杀毒软件和防火墙等，但并不是每个用户都愿意或具备安装能力，而且目前对恶意域名的检测主要依赖于黑白名单，通过明确地“允许”和“不允许”来限制用户的访问，并且从而实现“安全性”效果，黑白名单需要及时更新维护，这样的方法往往伴随着大量的误报和漏报状况，不同用户环境、业务需求场景下适应性极差。

发明内容

针对背景技术中的问题，本发明提出了一种基于长短时记忆网络(Long ShortTerm Memory Network,LSTM)神经网络的DGA域名检测方法，并结合pf_ring内核抓包技术，实现了满足高速网络环境下的恶意域名实时检测系统。

为了实现上述目的，本发明的具体技术方案如下：

一种基于流量特征的视频域名检测方法，所述方法包括如下步骤：

(S1)进行流量预处理并获取基础数据；流量预处理包括基于pf_ring的内核抓包和DNS流量的过滤以及相关字段的提取；

由于DNS请求的域名保存在Header下面的Queries区域，则可根据libpcap相关函数获取该域名等信息，从而提取相关字段；基础数据获取是为了做特征提取，主要负责从相关网站中获取恶意域名检测需要的原始数据；

(S2)采用基于LSTM的深度学习模型对已知种类的DGA域名进行检测；

该模型使用360公开的DGA域名数据进行训练，可以对已知类别的DGA进行很好的预测；

(S3)将检测到的数据按需由存储模块进行存储；存储模块包括黑白名单存储、恶意域名库存储和日志管理模块；

(S4)将检测到的数据进行分类，通过展示模块进行结果展示。

作为一种优选的方案，所述步骤(S1)包含如下步骤：

(S11)由内核抓包模块进行流量数据包获取，为了达到在高速网络流量中减少丢包率而采用了pf_ring技术。对于提取域名、IP等信息的处理不在pf_ring抓包函数里进行，而是使用单独进程的方式对抓取的数据包进行离线的方式进行处理，这样避免影响pf_ring内核的抓包效率；