[发明专利]基于异质图表示学习的恶意域名检测方法及装置

说明书

本发明公开了一种基于异质图表示学习的恶意域名检测方法及装置，包括：通过采集DNS流量数据与构建域名白名单及域名黑名单，得到正常域名标注数据集与恶意域名标注数据集；根据DNS流量数据构造DNS场景异质图，获取各节点初始特征，并利用正常域名标注数据集与恶意域名标注数据集对DNS场景异质图中的域名节点标注；通过异质图神经网络半监督学习，获取DNS场景异质图中各未标注域名节点的预测结果。本发明通过提取DNS流量中的域名、IP地址等字段，构建DNS场景异质图，并采用异质图表示学习方法融合域名的属性特征及相关拓扑结构信息，可对具备完备关联模式的恶意域名、新出现的恶意域名及关联模式不完备的恶意域名进行识别，提升了恶意域名检测的准确率。

技术领域

本发明属于网络信息安全领域，尤其涉及一种基于异质图表示学习的恶意域名检测方法及装置。

背景技术

在互联网高速发展的今天，网络安全是我们永远无法回避的话题。数据泄露、勒索软件、拒绝服务攻击等网络攻击事件层出不穷，给企业和组织造成巨大的损失。DNS(DomainName System，域名系统)作为互联网的重要基础设施，具有将域名解析为IP的功能。而DNS流量通常不会被检测或拦截，这使得攻击者可以利用DNS通信对被感染主机及其所在网络进行渗透。域名逐渐成为各类网络攻击事件的载体。根据思科的一项研究报告指出，约91.3％的恶意软件在攻击中使用了DNS，而68％的企业不监控DNS。因此，检测恶意域名刻不容缓。

目前，恶意域名检测的方法可以分为三大类方法：基于测量的方法、基于特征的方法、基于关系的方法。

基于测量的方法：Sato和Choi从域名查询信息中测量发现属于同一恶意软件家族的域名往往会被同一主机查询到，因此，通过测量已知恶意域名与未分类域名之间的共现程度，并将结果与阈值进行比较，可以检测到新的恶意域名。Grill发现基于DGA恶意软件需要通过大量DNS解析才能找到正常通信的域名。测量发现感染DGA恶意软件的主机，其DNS解析数量远大于后续的通信数量。通过比较两者之间的比率和设定的阈值，可以检测到感染恶意软件的主机，进而发现用于通信的恶意域名。这类方法实现比较简单，但是分类能力不强，通常只能针对一种恶意行为；此外，由于需要人为设定阈值，容易产生误报、漏报。

基于特征的方法：Bilge提出EXPOSURE检测系统，它依赖于从被动DNS流量中提取的四组统计特征：基于时间的特征、基于DNS响应的特征、基于TTL的特征和域名词法特征，并使用J48决策树分类器来训练数据。Schuppen提出了FANCI检测系统，它只从NXD的响应信息构建了三大类特征：域名结构特征、域名语言学特征、域名统计特征，最后使用SVM、RF进行分类。Erdisci通过引入域名的IP变迁情况提取了共13个特征，并首次使用聚类算法检测fast-flux域名，设计并实现了fluxBuster系统。实现也比较简单，但是由于需要抽取特征信息，因此需要了解对应的领域知识。对于监督学习方法，由于黑白名单的易变性，造成无法获得完整且精确的标注数据集，此外监督学习所使用的模型通常会对特定数据集产生过拟合，从而无法有效识别具备新型特征的恶意域名集。而对于无监督学习方法，这类方法设计起来更难，完全依靠数据自身特性，聚类效果的好坏也极大依赖于抽取的特征。