[发明专利]一种基于异质图传播网络的恶意域名检测方法和系统

说明书

本发明涉及一种基于异质图传播网络的恶意域名检测方法和系统。该方法使用异质图传播网络进行恶意域名分类问题时，将DNS场景建模为包含主机、域名、IP地址的异质信息网络，该异质信息网络包含三种关系，能够很好的模拟真实DNS场景。该方法使用的异质图传播网络模型包含语义传播机制和语义融合机制。语义传播机制能够在聚合邻居节点特征时强调节点自身特征，即使增加语义传播机制的层数，学习到的节点特征依然可以相互区分，缓解语义混淆现象。语义融合机制能够在恶意域名检测任务下，学习到每个语义的重要性，加权融合各个语义。本发明能够有效地实现恶意域名检测。

技术领域

本发明属于网络安全技术领域，涉及恶意域名检测，具体涉及一种基于异质图传播网络的恶意域名检测方法和系统。

背景技术

DNS(域名系统)是互联网最重要的基础设施之一，能够将易于记忆的域名转化为IP地址，包括由DNS服务器组成的分布式数据库，实现定位互联网资源。当用户在网址栏输入查询域名，浏览器调用DNS协议，在分布式的DNS服务器里查询域名对应的IP地址，最后将IP地址返回到用户。DNS分布式服务器主要分为四类：DNS解析器、根域名服务器、顶级域名服务器、权威性域名服务器。DNS解析器是一类DNS服务器，通过Web等应用程序接收来自用户的域名查询，跟踪DNS查询过程，最终将域名对应的IP地址返回给用户，DNS解析器也可以运用DNS缓存技术缩短域名查询时间。根域名服务器保存顶级域名服务器的位置信息，是将域名转换为IP地址的第一步，顶级域名是域名的尾部部分，例如www.example.com中的.com，目前，全世界共有13个根域名服务器。顶级域名服务器是解析域名的第二步，每个顶级域名都有一个对应的服务器，用于维护顶级域名下的域名信息，保存权威性域名服务器位置。权威性域名服务器是域名查询的最后一步，拥有并维护DNS资源记录，如果权威性域名服务器能够访问请求的记录，就会将域名对应的IP地址返回给DNS解析器。当一个域名在被查询、解析时，会产生大量关联信息，这些信息记录为DNS流量数据、DNS日志、被动DNS数据或者其它DNS相关数据，攻击者很难完全篡改这些信息。现有的恶意域名检测方法包括基于经验规则的方法、基于统计特征的方法、基于关联关系的方法。

(一)基于经验规则的方法。基于规则的方法是最传统、应用最广泛的恶意域名检测方法，该类方法主要依靠专家领域知识来检测恶意域名。Sato等经过分析发现，如果两个域名经常被同一个用户请求解析，其中一个域名是恶意域名，那么另外一个域名很有可能也是恶意域名。Grill等研究Domain-Flux技术原理发现，受感染的主机能够在短时间内解析大量域名，却没有访问相应数量的IP，作者建模每个主机发出DNS请求与访问IP之间的比率关系，利用Fuzz方程并设置阈值识别恶意域名，在测试样本上有很好的表现。该类方法严重依赖专家领域经验，只能针对某一类恶意域名，泛化能力不强。

(二)基于统计特征的方法。基于特征的方法，该类方法从DNS流量数据、DNS日志或者其它DNS相关数据中提取域名特征，基于特征建立分类器对域名分类。Antonakakis等设计了一个动态、全面的DNS评估系统Notos，作者提取域名的三类特征：基于网络的特征、基于域的特征、基于证据的特征，Notos基于这些特征及历史恶意数据对恶意域名赋予低的信誉分，良性域名给予高的信誉分，实验表明Notos能够识别甚至一个月后出现在黑名单上的恶意域名。Bilge等提出的在线EXPOSURE恶意域名检测系统，能够每天提供新恶意域名列表，作者提取域名四大类的十五个特征，即基于时间、基于DNS响应、基于TTL、基于域名文本信息。Schüppen等设计的FANCI系统对DNS流量中的NXD，即不可解析为IP地址的域名，分类为恶意域名和良性域名，作者仅从域名本身提取特征，包括三大类的21个特征：域名的结构特征，域名的语言学特征、域名的统计特征，使用基于机器学习方法SVM、RF对域名进行分类，在多个真实网络上都能取得很高的准确率。与上述基于特征的恶意域名检测方法相比，FANCI系统只需要域名的文本信息，消耗的训练时间更短。基于特征的恶意域名检测方法由于需要抽取特征信息，因此需要相应的领域知识，并且设计的特征容易被攻击者修改。