[发明专利]一种DGA域名检测方法、检测装置及计算机存储介质

说明书

本发明公开了一种DGA域名检测方法、检测装置及计算机存储介质，基于LSTM的DGA域名检测模型对于检测百万级别DGA域名有一定的效果，能在短时间内提取域名中的特征并将特征用于DGA域名的分类。但由于DGA域名多类不平衡特性，模型对于少数类的学习效果并不是特别明显，例如对于基于单词生成的DGA域名检测效果差。使用代价成本敏感的LSTM方法对DGA家族进行检测和损失函数上加入惩罚因子，提高训练学习中数量少的DGA家族重要性。在DGA域名检测模型基础上使用这种方法检测DGA域名的多分类，在少数域名的检测准确率方面，有较为明显的提升。

技术领域

本发明涉及网络安全技术领域，具体涉及一种DGA域名检测方法、检测装置及计算机存储介质。

背景技术

随着互联网技术的应用场景越来越广泛，互联网中网络安全攻击和入侵事件频繁发生。虽然网络中有各种网络安全防御工具的持续防护，但还是时不时会出现一些新的风险与挑战。无论是僵尸网络、木马、蠕虫、DDoS、APT以及其他任意的网络攻击行为，都需要解决一个相同的网络安全问题。即操控攻击方与受感染主机之间的通信，并对受控主机发起和执行操作的过程。攻击者往往会在双方成功建立通信信道后对目标系统进行远程控制、信息窃取、组建僵尸网络以发起大规模的攻击等非法操作。这些恶意行为使得在网络安全问题频繁发生，也让网络环境中的用户隐私数据在信息的完整性和可靠性防护方面增加了许多挑战。其中，僵尸网络会利用广泛使用的域名解析服务进行控制指令传输和躲避防火墙等安全设备的检测，从而实现对目标网络环境中主机的非法操作。因此，对非正常域名解析数据流量的检测是有助于发现和阻断僵尸网络的攻击行为。

攻击者利用域名解析过程，建立CC(Command and Control，命令和控制)的通信通道，进行分发破坏Web服务命令到受感染主机、接收在目标主机上窃取的数据、传播恶意软件等恶意行为。攻击者利用域名解析发起攻击的过程可以分为以下三个部分：首先是注册域名(例如abv.com)，受感染主机中的恶意软件可以将隐私数据(例如信用卡号，登录网站密码或知识产权)编码为形式为random-string.abv.com的DNS请求；其次，攻击者会将此DNS请求由DNS服务器转发到abv.com域的权威服务器(该服务器在攻击者的控制之下)；最后，该域名服务器将应答响应发送给受感染主机。这个过程中提供了攻击者与受感染主机隐蔽的双向通信信道，攻击者通过该信道可以使用其他协议(例如SSH、FTP等)远程登录到受感染主机，窃取受感染主机中重要数据并维持与恶意软件的通信进程。因此，检测DGA域名可以降低当前的网络中的潜在安全风险，能极大的减少由僵尸网络给互联网带来的安全威胁。

僵尸网络(Botnet)是通过网络之间的互相连接建立恶意程序的传播途径，从而进一步实现攻击者对于目标系统的控制和信息的窃取。目前绝大多数恶意软件利用域名解析过程控制受感染的主机和获取隐私敏感信息。僵尸网络会利用域名生成算法提高僵尸网络的生存能力，并延长自我生存时间和规避现有的安全检测技术。僵尸网络是网络安全最大的威胁之一，大多数的网络攻击都是依托于僵尸网络启动，例如分布式拒绝服务，点击欺骗，网络钓鱼，身份盗用，垃圾邮件，恶意软件感染。僵尸网络是由攻击者通过恶意软件控制、用户难以察觉的一组计算机集群，一个完整的僵尸网络由被控制的主机，CC服务器和攻击者组成。攻击者是僵尸网络的控制方和攻击发起者，控制僵尸主机进行自我复制、垃圾邮件、拒绝攻击、窃取信息等非法行为。僵尸主机的数量近年来增加速度加快，分布在全球各地，形式多样。它的通信信道隐蔽，可以躲避防火墙的拦截以及安全软件的过滤。

在僵尸网络中，因使用硬编码的IP地址连接受感染主机的方式容易被管理者加入黑名单中，所以攻击者使用DNS的域名解析过程来连接服务器和发起攻击。而在实际环境中使用固定的域名地址解析服务器也会被黑名单策略阻止，所以攻击者使用DGA算法生成恶意域名后建立与CC服务器的连接。域名生成算法会生成大量的域名，攻击者选择其中几个注册，使用这些注册的域名与受感染主机进行通信，构建僵尸网络，保护攻击者真正的服务器地址。