名单通过支持向量机(SVM)建立静态特征集合的恶意域名可信 判断模型。
[0176] 虽然本申请所揭露的实施方式如上,但所述的内容仅为便于理解本申请而采用的 实施方式,并非用以限定本申请。任何本申请所属领域内的技术人员,在不脱离本申请所揭 露的精神和范围的前提下,可以在实施的形式及细节上进行任何的修改与变化,但本申请 的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
【主权项】
1. 一种实现恶意域名识别的方法,其特征在于,包括: 提取域名系统DNS域名的动态特征集合,通过动态特征的恶意域名可信判断模型对动 态特征集合进行动态特征的恶意域名高可信判断; 根据动态特征集合的恶意域名高可信判断结果,确定DNS域名是否为恶意域名,并将 是否为恶意域名确定的结果存到相应的黑名单、或白名单中; 所述动态特征集合至少包含:与IP相关的特征、和/或权威DNS服务器主域名一致率。2. 根据权利要求1所述的方法,其特征在于,所述与IP相关的特征至少包含:IP信息 熵、和/或IP国家分布变化次数。3. 根据权利要求2所述的方法,其特征在于,所述与IP相关的特征包含有IP信息熵 时,IP信息熵为:其中[〇,254],N为总共返回DNS 恶意域名确定的结果的次数,I?I算子表示集合的基,即元素个数;J算子从IP中以"分割,提取4个字节; 其中,为第i次DNS请求的返回的第k个IP,IPSet为返回的IP的集合,用公式表 示为JPSetHlPu,IPli2,IP2il,…,IPN,k}; 所述与IP相关的特征句,含有IP国家分布夺化次数时,所沭IP国家分布变化次数为:其中R(c)为国家c的占比,CountryOfIP(IPiik)为算于,提取:^"所属国冢; 其中,〃V'为第i次DNS请求的返回的第k个IP,IPSet为返回的IP的集合,用公式表 示为JPSetHlPu,IPli2,IP2il,…,IPN,k}; 所述动态特征集合包含有权威DNS服务器主域名一致率时,权威DNS服务器主域名一 致率为:权威服务器的主域域名的最高频度与权威服务器的主域域名总频度的比率。4. 根据权利要求1~3任一项所述的方法,其特征在于,所述对动态特征集合进行动态 特征的恶意域名高可信判断之前,该方法还包括:根据预先设置的静态特征过滤黑名单,将 白名单与过滤后的黑名单通过支持向量机SVM建立动态特征的恶意域名可信判断模型。5. 根据权利要求4所述的方法,其特征在于,所述根据预先设置的静态特征过滤黑名 单包括:预先设置静态特征数字比例小于〇. 5、和/或数字和字母切换比例大于0. 3、和/或 域名长度大于10对黑名单进行过滤。6. 根据权利要求1所述的方法,其特征在于,所述动态特征集合还包括:IP-致度、和 /或IP变化次数、和/或查询失败的频度、和/或生存时间最小值TTL_MIN、和/或生存时 间最大值TTL_MAX、和/或生存时间平均值TTL_AVG、和/或生存时间标准差TTL_STD、和/ 或别名个数。7. 根据权利要求1~6任一项所述的方法,其特征在于,该方法之前还包括:对静态特 征集合的恶意域名进行高可信判断和处理,具体的包括: 解析防护目标网络的DNS域名,对解析的DNS域名进行黑名单和白名单过滤; 当黑名单和白名单过滤未命中时,提取DNS域名的静态特征集合,通过恶意域名可信 判断模型对静态特征集合进行恶意域名高可信判断; 当根据静态特征集合进行恶意域名高可信判断的域名为高可信判断结果确定DNS域 名是否为恶意域名,并将确定是否为恶意域名的结果存到相应的黑名单、或白名单中; 当根据静态特征集合进行恶意域名高可信判断的域名为低可信判断结果时,提取DNS域名的动态特征集合,通过动态特征的恶意域名可信判断模型对动态特征集合进行动态特 征的恶意域名高可信判断。8. 根据权利要求7所述的方法,其特征在于,所述静态特征集合至少包含域名长度、和 /或数字比例、和/或数字和字母切换比例、和/或站点名和主域名长度比例、和/或连接符 的数量、和/或最大词长度、和/或国家顶级域名的类型、和/或国际顶级域名的类型、和/ 或二级国际顶级域名的类型。9. 根据权利要求7所述的方法,其特征在于,在进行静态特征集合的恶意域名高可信 判断之前,该方法还包括:将白名单与黑名单通过支持向量机SVM建立静态特征集合的恶 意域名可信判断模型。10. 根据权利要求1所述的方法,其特征在于, 所述白名单包括:取Alexa列表中排名靠前的域名作为白名单; 所述黑名单包括:从挂马举报平台通过爬虫获取被挂过木马的域名;或利用公开的垃 圾邮件数据库,提取其中的域名; 所述Alexa列表包括:从top.chinaz.com、或www.alexa.cn网站通过爬虫获取的列 表。11. 根据权利要求10所述的方法,其特征在于,所述取Alexa列表中排名靠前的域名包 括:取Alexa列表中排名靠前2000的域名。12. -种实现恶意域名识别的装置,其特征在于,包括:动态判断单元和判断结果单 元;其中, 动态判断单元,用于提取域名系统DNS域名的动态特征集合,通过动态特征的恶意域 名可信判断模型对动态特征集合进行动态特征的恶意域名高可信判断; 判断结果单元,用于根据动态特征集合的恶意域名高可信判断结果,确定DNS域名是 否为恶意域名,并将是否为恶意域名确定的结果存到相应的黑名单、或白名单中; 所述动态特征集合至少包含:与IP相关的特征、和/或权威DNS服务器主域名一致率。13. 根据权利要求12所述的装置,其特征在于,所述与IP相关的特征至少包含:IP信 息熵、和/或IP国家分布变化次数。14. 根据权利要求13所述的装置,其特征在于,所述与IP相关的特征包含有IP信息熵 时,IP信息熵为:其中Be[〇, 254],N为总共返回DNS 恶意域名确定的结果的次数,I?I算子表示集合的基,即元素个数;算子从IP中以"分割,提取4个字节; 其中,/ff为第i次DNS请求的返回的第k个IP,IPSet为返回的IP的集合,用公式表 示为JPSetHlPu,IPli2,IP2il,…,IPN,k}; 所述与IP相关的特征包含有IP国家分布变化次数时,所述IP国家分布变化次数为:CountryOfIP(IPiik)为算子,提取IPiik所属国家; 其中,V为第i次DNS请求的返回的第k个IP,IPSet为返回的IP的集合,用公式表 示为JPSetHlPu,IPli2,IP2il,…,IPN,k}; 所述动态特征集合包含有权威DNS服务器主域名一致率时,权威DNS服务器主域名一 致率为:权威服务器的主域域名的最高频度与权威服务器的主域域名总频度的比率。15. 根据权利要求12~14任一项所述的装置,其特征在于,该装置还包括动态识别模 型单元,包括过滤模块和动态识别建模模块;其中, 过滤模块,用于对动态特征集合进行动态特征的恶意域名高可信判断之前,根据预先 设置的静态特征过滤黑名单; 动态识别建模模块,用于将白名单与过滤模块中过滤后的黑名单通过支持向量机SVM建立动态特征的恶意域名可信判断模型。16. 根据权利要求15所述的装置,其特征在于,所述过滤模块具体用于,预先设置静态 特征数字比例小于〇. 5、和/或数字和字母切换比例大于0. 3、和/或域名长度大于10对黑 名单进行过滤。17. 根据权利要求12所述的装置,其特征在于,所述动态特征集合还包括:IP-致度、 和/或IP变化次数、和/或查询失败的频度、和/或生存时间最小值TTL_MIN、和/或生存 时间最大值TTL_MAX、和/或生存时间平均值TTL_AVG、和/或生存时间标准差TTL_STD、和 /或别名个数。18. 根据权利要求12~17任一项所述的装置,其特征在于,该装置还包括解析单元、静 态判断单元;其中, 解析单元,用于解析防护目标网络的DNS域名,对解析的DNS域名进行黑名单和白名单 过滤; 所述判断结果单元,还用于对解析单元的黑名单和白名单过滤结果为命中黑名单和白 名单时,将确定的结果存到相应的黑名单、或白名单中;根据静态特征集合的恶意域名高可 信判断结果,确定DNS域名是否为恶意域名,并将确定的是否为恶意域名的结果存到相应 的黑名单、或白名单中; 静态判断单元,用于当解析单元发往判断结果单元的DNS域名过滤后未命中黑名单和 白名单时,提取DNS域名的静态特征集合,进行静态特征集合的恶意域名高可信判断;当静 态特征集合的恶意域名高可信判断为低时,将所述DNS域名发往动态判断单元。19. 根据权利要求18所述的装置,其特征在于,所述静态特征集合至少包含域名长度、 和/或数字比例、和/或数字和字母切换比例、和/或站点名和主域名长度比例、和/或连 接符的数量、和/或最大词长度、和/或国家顶级域名的类型、和/或国际顶级域名的类型、 和/或二级国际顶级域名的类型。20. 根据权利要求18所述的装置,其特征在于,该装置还包括静态识别模型单元,用于 在进行静态特征集合的恶意域名高可信判断之前,将白名单与黑名单通过支持向量机SVM 建立静态特征集合的恶意域名可信判断模型。21. 根据权利要求12所述的装置,其特征在于,所述判断结果单元包括白名单模块和 黑名单模块;其中, 白名单模块,用于取Alexa列表中排名靠前的域名作为白名单; 黑名单模块,用于从挂马举报平台通过爬虫获取被挂过木马的域名;或利用公开的垃 圾邮件数据库,提取其中的域名; 所述Alexa列表包括:从top.chinaz.com、或www.alexa.cn网站通过爬虫获取的列 表。22. 根据权利要求21所述的装置,其特征在于,所述白名单模块具体用于,取Alexa列 表中排名靠前2000的域名作为白名单。
【专利摘要】本发明公开了一种实现恶意域名识别的方法及装置,包括:提取域名系统(DNS)域名的动态特征集合,通过动态特征的恶意域名可信判断模型对动态特征集合进行动态特征的恶意域名高可信判断;根据动态特征集合的恶意域名高可信判断结果,确定DNS域名是否为恶意域名,并将是否为恶意域名确定的结果存到相应的黑名单、或白名单中;动态特征集合至少包含:与IP相关的特征、和/或权威DNS服务器主域名一致率。本申请的技术方案实现了根据动态特征集合进行恶意域名确定;通过静态特征高可信判断和动态特征高可信判断,提高了恶意域名的识别效率。
【IPC分类】H04L29/06, H04L29/12
【公开号】CN105024969
【申请号】CN201410155997
【发明人】侯伟, 曲武, 周涛
【申请人】北京启明星辰信息安全技术有限公司, 北京启明星辰信息技术股份有限公司
【公开日】2015年11月4日
【申请日】2014年4月17日