CN105024969A - 一种实现恶意域名识别的方法及装置 - Google Patents

Abstract

本发明公开了一种实现恶意域名识别的方法及装置，包括：提取域名系统（DNS）域名的动态特征集合，通过动态特征的恶意域名可信判断模型对动态特征集合进行动态特征的恶意域名高可信判断；根据动态特征集合的恶意域名高可信判断结果，确定DNS域名是否为恶意域名，并将是否为恶意域名确定的结果存到相应的黑名单、或白名单中；动态特征集合至少包含：与IP相关的特征、和/或权威DNS服务器主域名一致率。本申请的技术方案实现了根据动态特征集合进行恶意域名确定；通过静态特征高可信判断和动态特征高可信判断，提高了恶意域名的识别效率。

Description

一种实现恶意域名识别的方法及装置

技术领域

本发明涉及信息安全领域，尤指一种实现恶意域名识别的方法及装置。

背景技术

域名系统（DNS）及其配套技术，DNS已成为互联网不可或缺的技术，是极大多数用户与应用系统的互联网入口，具有使IP与域名解耦的功能和可以灵活配置的特点，近年来随着Round-robin DNS、内容分发网络（CDN，Content Distribution Network）等技术逐渐普及，DNS技术在负载均衡、高可靠性网络架构设计等方面获得了广泛应用。

但随之而来的是，DNS技术的应用也受到了黑客的关注，DNS技术已经成为黑客的一种保护屏障。由于这道屏障建立成本很低，并且效果较好，当前流形的僵尸网络往往都会利用DNS技术将命令与控制（C&C）服务器进行隐藏，其中常用技术主要包括Domain Flux和IP Fast Flux（又称为FFSN，FastFlux Service Networks）两类。

带有恶意域名系统的僵尸网络大致包括多台C&C服务器（或称为mothership）、多台C&C代理服务器、以及多台被控主机（或称肉鸡）。一个恶意域名，指向多台C&C代理服务器，当一个肉鸡获取命令时，通过该域名获取到一个C&C代理服务器的IP。当某个C&C代理服务器被破坏时，某个肉鸡被“升级”为C&C代理服务器，填补空缺位置。在整个过程中，C&C服务器的IP都没有暴露，其IP只有C&C代理服务器知道，通过监听肉鸡和C&C代理服务器间的通信无法得知，因此黑客容易掌握FFSN的运作原理，通过使用C&C服务器隐藏自身IP，对于黑客而言，这种网络结构具备极高的可用性。

FFSN DNS在间断请求过程中，通常会体现出一些动态特征，这些特性可作为鉴别FFSN DNS的依据，比如域名不存在状态NX Domain返回频率，IP切换频率，生存时间（TTL）时间长度等。值得注意的是，这些特征并非非常明显，大量情况会使得恶意DNS与正常DNS的动态特征十分相似，如：一些国际性大站，往往采用了CDN技术；一些关闭的站点；无效的对等计算（P2P）资源服务器等，因此，FFSN DNS技术使恶意域名并不容易被发现。

另一种恶意域名相关的技术是Domain Flux，该技术一般利用泛域名解析等技术，将多个完整域名（FQDN，Full Qualified Domain Name）对应到一个恶意IP，该恶意IP对目标主机的危害行为被逻辑地分散到多个FQDN，或者结合FFSN技术，每个恶意代理被控主机一个FQDN，使得针对FQDN域名的统计值失效。另一种可能的作用是，结合FFSN技术，当FFSN的C&C服务器暴露时，黑客会建立新的C&C服务器，没死掉的代理服务器（agent）基于动态生成算法（DGA，Dynamic Generate Algorithm）技术主动连入新的C&C服务器，重新接管僵尸网络。

目前，基于静态特征的恶意域名识别方法具有性能高、实时响应的特点，这里静态特征一般指域名的构词特征（如特殊字符的占比，域名长度等）。但是，该方法存在准确率与召回率都不理想的问题。动态特征的恶意域名识别方法一般建立在、以主动探测DNS记录为途径的原始数据之上，虽然识别效果较好，但其无法实时响应，且应用条件苛刻。

DNS技术成为黑客的保护屏障，采用域名作为僵尸网络的通信基础，使僵尸网络的鲁棒性大为提升，且C&C服务器更加难以进行物理位置定位，仅采用动态恶意域名识别方法和仅采用静态恶意域名识别方法，无法对恶意域名进行有效的识别。

发明内容

为了解决上述技术问题，本发明提供一种实现恶意域名识别的方法及装置，能够对DNS域名进行有效识别时以区分恶意域名和正常域名，提高恶意域名的识别效率。

为了达到上述发明目的，本发明公开了一种实现恶意域名识别的方法，包括：

提取域名系统DNS域名的动态特征集合，通过动态特征的恶意域名可信判断模型对动态特征集合进行动态特征的恶意域名高可信判断；

根据动态特征集合的恶意域名高可信判断结果，确定DNS域名是否为恶意域名，并将是否为恶意域名确定的结果存到相应的黑名单、或白名单中；

所述动态特征集合至少包含：与IP相关的特征、和/或权威DNS服务器主域名一致率。

进一步地，与IP相关的特征至少包含：IP信息熵、和/或IP国家分布变化次数。

进一步地，与IP相关的特征包含有IP信息熵时，IP信息熵为：

$\mathrm{EntropyOfIP}=-\underset{B=0}{\overset{254}{\mathrm{\Σ}}}P\left(B\right)\log P\left(B\right)$

其中， $P\left(B\right)=\frac{\left|\right\{B_{i,k}^m|\∀B_{i,k}^m\∈\mathrm{ByteOfIP}\left({\mathrm{IP}}_{i,k}\right),B_{i,k}^m=B\}|}{N\×4},$ B∈>0,254，N为总共返回DNS恶意域名确定的结果的次数，|·|算子表示集合的基，即元素个数；

为算子从IP中以“.”分割，提取4个字节；

其中，为第i次DNS请求的返回的第k个IP，IPSet为返回的IP的集合，用公式表示为：IPSet＝{IP_1,1,IP_1,2,IP_2,1,…,IP_N,k}；

与IP相关的特征包含有IP国家分布变化次数时，所述IP国家分布变化次数为：

$\mathrm{IPCountryRatio}=\left\{R\left(c\right)\right|\∀c\∈\mathrm{Country}\}$

其中R(c)为国家c的占比，

$R\left(c\right)=\frac{\left|\right\{{\mathrm{IP}}_{i,k}|\∀{\mathrm{IP}}_{i,k}\∈\mathrm{IPSet},\mathrm{CountryOfIP}\left({\mathrm{IP}}_{i,k}\right)=c\}|}{\left|\mathrm{IPSet}\right|}$

CountryOfIP(IP_i,k)为算子，提取IP_i,k所属国家；

其中，为第i次DNS请求的返回的第k个IP，IPSet为返回的IP的集合，用公式表示为：IPSet＝{IP_1,1,IP_1,2,IP_2,1,…,IP_N,k}；

动态特征集合包含有权威DNS服务器主域名一致率时，权威DNS服务器主域名一致率为：权威服务器的主域域名的最高频度与权威服务器的主域域名总频度的比率。

进一步地，对动态特征集合进行动态特征的恶意域名高可信判断之前，该方法还包括：根据预先设置的静态特征过滤黑名单，将白名单与过滤后的黑名单通过支持向量机SVM建立动态特征的恶意域名可信判断模型。

进一步地，根据预先设置的静态特征过滤黑名单包括：预先设置静态特征数字比例小于0.5、和/或数字和字母切换比例大于0.3、和/或域名长度大于10对黑名单进行过滤。

进一步地，动态特征集合还包括：IP一致度、和/或IP变化次数、和/或查询失败的频度、和/或生存时间最小值TTL_MIN、和/或生存时间最大值TTL_MAX、和/或生存时间平均值TTL_AVG、和/或生存时间标准差TTL_STD、和/或别名个数。

进一步地，该方法之前还包括：对静态特征集合的恶意域名进行高可信判断和处理，具体的包括：

解析防护目标网络的DNS域名，对解析的DNS域名进行黑名单和白名单过滤；

当黑名单和白名单过滤未命中时，提取DNS域名的静态特征集合，通过恶意域名可信判断模型对静态特征集合进行恶意域名高可信判断；

当根据静态特征集合进行恶意域名高可信判断的域名为高可信判断结果确定DNS域名是否为恶意域名，并将确定是否为恶意域名的结果存到相应的黑名单、或白名单中；

当根据静态特征集合进行恶意域名高可信判断的域名为低可信判断结果时，提取DNS域名的动态特征集合，通过动态特征的恶意域名可信判断模型对动态特征集合进行动态特征的恶意域名高可信判断。

进一步地，静态特征集合至少包含域名长度、和/或数字比例、和/或数字和字母切换比例、和/或站点名和主域名长度比例、和/或连接符的数量、和/或最大词长度、和/或国家顶级域名的类型、和/或国际顶级域名的类型、和/或二级国际顶级域名的类型；

进一步地，在进行静态特征集合的恶意域名高可信判断之前，该方法还包括：将白名单与黑名单通过支持向量机SVM建立静态特征集合的恶意域名可信判断模型。

进一步地，白名单包括：取Alexa列表中排名靠前的域名作为白名单；

黑名单包括：从挂马举报平台通过爬虫获取被挂过木马的域名；或利用公开的垃圾邮件数据库，提取其中的域名；

Alexa列表包括：从top.chinaz.com、或www.alexa.cn网站通过爬虫获取的列表。

进一步地，取Alexa列表中排名靠前的域名包括：取Alexa列表中排名靠前2000的域名。

另一方面，本申请还提供一种实现恶意域名识别的装置，包括：动态判断单元和判断结果单元；其中，

动态判断单元，用于提取域名系统DNS域名的动态特征集合，通过动态特征的恶意域名可信判断模型对动态特征集合进行动态特征的恶意域名高可信判断；

判断结果单元，用于根据动态特征集合的恶意域名高可信判断结果，确定DNS域名是否为恶意域名，并将是否为恶意域名确定的结果存到相应的黑名单、或白名单中；

动态特征集合至少包含：与IP相关的特征、和/或权威DNS服务器主域名一致率。

进一步地，与IP相关的特征至少包含：IP信息熵、和/或IP国家分布变化次数。

进一步地，与IP相关的特征包含有IP信息熵时，IP信息熵为：

$\mathrm{EntropyOfIP}=-\underset{B=0}{\overset{254}{\mathrm{\Σ}}}P\left(B\right)\log P\left(B\right)$

其中， $P\left(B\right)=\frac{\left|\right\{B_{i,k}^m|\∀B_{i,k}^m\∈\mathrm{ByteOfIP}\left({\mathrm{IP}}_{i,k}\right),B_{i,k}^m=B\}|}{N\×4},$ B∈[0,254]，N为总共返回DNS恶意域名确定的结果的次数，|·|算子表示集合的基，即元素个数；

为算子从IP中以“.”分割，提取4个字节；

其中，为第i次DNS请求的返回的第k个IP，IPSet为返回的IP的集合，用公式表示为：IPSet＝{IP_1,1,IP_1,2,IP_2,1,…,IP_N,k}；

所述与IP相关的特征包含有IP国家分布变化次数时，所述IP国家分布变化次数为：

$\mathrm{IPCountryRatio}=\left\{R\left(c\right)\right|\∀c\∈\mathrm{Country}\}$

其中，R(c)为国家c的占比，

$R\left(c\right)=\frac{\left|\right\{{\mathrm{IP}}_{i,k}|\∀{\mathrm{IP}}_{i,k}\∈\mathrm{IPSet},\mathrm{CountryOfIP}\left({\mathrm{IP}}_{i,k}\right)=c\}|}{\left|\mathrm{IPSet}\right|},$

CountryOfIP(IP_i,k)为算子，提取IP_i,k所属国家；

其中，为第i次DNS请求的返回的第k个IP，IPSet为返回的IP的集合，用公式表示为IPSet{IP_1，1，IP_1，2，IP_2，1，…，IP_N，k}；

动态特征集合包含有权威DNS服务器主域名一致率时，权威DNS服务器主域名一致率为：权威服务器的主域域名的最高频度与权威服务器的主域域名总频度的比率。

进一步地，该装置还包括动态识别模型单元，包括过滤模块和动态识别建模模块；其中，

过滤模块，用于对动态特征集合进行动态特征的恶意域名高可信判断之前，根据预先设置的静态特征过滤黑名单；

动态识别建模模块，用于将白名单与过滤模块中过滤后的黑名单通过支持向量机SVM建立动态特征的恶意域名可信判断模型。

进一步地，过滤模块具体用于，预先设置静态特征数字比例小于0.5、和/或数字和字母切换比例大于0.3、和/或域名长度大于10对黑名单进行过滤。

进一步地，动态特征集合还包括：IP一致度、和/或IP变化次数、和/或查询失败的频度、和/或生存时间最小值TTL_MIN、和/或生存时间最大值TTL_MAX、和/或生存时间平均值TTL_AVG、和/或生存时间标准差TTL_STD、和/或别名个数。

进一步地，该装置还包括解析单元、静态判断单元；其中，

解析单元，用于解析防护目标网络的DNS域名，对解析的DNS域名进行黑名单和白名单过滤；

判断结果单元，还用于对解析单元的黑名单和白名单过滤结果为命中黑名单和白名单时，将确定的结果存到相应的黑名单、或白名单中；根据静态特征集合的恶意域名高可信判断结果，确定DNS域名是否为恶意域名，并将确定的是否为恶意域名的结果存到相应的黑名单、或白名单中；

静态判断单元，用于当解析单元发往判断结果单元的DNS域名过滤后未命中黑名单和白名单时，提取DNS域名的静态特征集合，进行静态特征集合的恶意域名高可信判断；当静态特征集合的恶意域名高可信判断为低时，将所述DNS域名发往动态判断单元。

进一步地，静态特征集合至少包含域名长度、和/或数字比例、和/或数字和字母切换比例、和/或站点名和主域名长度比例、和/或连接符的数量、和/或最大词长度、和/或国家顶级域名的类型、和/或国际顶级域名的类型、和/或二级国际顶级域名的类型。

进一步地，该装置还包括静态识别模型单元，用于在进行静态特征集合的恶意域名高可信判断之前，将白名单与黑名单通过支持向量机SVM建立静态特征集合的恶意域名可信判断模。型。

进一步地，判断结果单元包括白名单模块和黑名单模块；其中，

白名单模块，用于取Alexa列表中排名靠前的域名作为白名单；

黑名单模块，用于从挂马举报平台通过爬虫获取被挂过木马的域名；或利用公开的垃圾邮件数据库，提取其中的域名；

Alexa列表包括：从top.chinaz.com、或www.alexa.cn网站通过爬虫获取的列表。

进一步地，白名单模块具体用于，取Alexa列表中排名靠前2000的域名作为白名单。

本申请技术方案包括：提取域名系统（DNS）域名的动态特征集合，通过动态特征的恶意域名可信判断模型对动态特征集合进行动态特征的恶意域名高可信判断；根据动态特征集合的恶意域名高可信判断结果，确定DNS域名是否为恶意域名，并将是否为恶意域名确定的结果存到相应的黑名单、或白名单中；动态特征集合至少包含：与IP相关的特征、和/或权威DNS服务器主域名一致率。本申请的技术方案实现了根据动态特征集合进行恶意域名确定；通过静态特征高可信判断和动态特征高可信判断，提高了恶意域名的识别效率。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1为本发明实现恶意域名识别的方法的流程图；

图2为本发明实现恶意域名识别的装置的结构框图。

具体实施方式

图1为本发明实现恶意域名识别的方法的流程图，如图1所示，包括：

步骤100、提取域名系统（DNS）域名的动态特征集合，通过动态特征的恶意域名可信判断模型对动态特征集合进行动态特征的恶意域名高可信判断。

这里，动态特征集合至少包含：与IP相关的特征、和/或权威DNS服务器主域名一致率。

需要说明的是，恶意域名的高可信判断通过现有技术的SVM进行判断，

对于一个域名，其特征为一向量（或称数组），如[1:0.1,2:0.4,3:0.1,…,8:0.9]，将其作为支持向量机（SVM）的输入，其输出[MaliProbability:0.3,NormProbability:0.7]，此时根据SVM对高可信设置的概率，一般确定该域名被判断为‘正常’域名，同时加入白名单；若返回[MaliProbability:0.97,NormProbability:0.03]，则一般可判定该域名为‘恶意域名’，同时加入黑名单。

判断过程高可信的定义根据本领域技术人员根据实际情况设定。可以按照应用环境、安全要求等进行设定。

本步骤中，与IP相关的特征至少包含：IP信息熵、和/或IP国家分布变化次数。

进一步地，与IP相关的特征包含有IP信息熵时，IP信息熵为：

$\mathrm{EntropyOfIP}=-\underset{B=0}{\overset{254}{\mathrm{\Σ}}}P\left(B\right)\log P\left(B\right)$

其中， $P\left(B\right)=\frac{\left|\right\{B_{i,k}^m|\∀B_{i,k}^m\∈\mathrm{ByteOfIP}\left({\mathrm{IP}}_{i,k}\right),B_{i,k}^m=B\}|}{N\×4},$ B∈[0,254]，N为总共返回DNS恶意域名确定的结果的次数，|·|算子表示集合的基，即元素个数；

为算子从IP中以“.”分割，提取4个字节；

其中，为第i次DNS请求的返回的第k个IP，IPSet为返回的IP的集合，用公式表示为：IPSet＝{IP_1,1,IP_1,2,IP_2,1,…,IP_N,k}；

这里，IP信息熵为：把DNS恶意域名确定的结果中的IP分为4个字节，形成一个字节数组，以字节的频度为基础建立的评估返回IP的稳定性的熵；

与IP相关的特征包含有IP国家分布变化次数时，所述IP国家分布变化次数为：

查询DNS恶意域名确定的结果，并计算IP所属国家的比率，当相邻两次IP所属国家的比率相同，则IP国家分布变化次数不变；否则，计数加1。

IP国家分布变化次数为：

$\mathrm{IPCountryRatio}=\left\{R\left(c\right)\right|\∀c\∈\mathrm{Country}\}$

其中R(c)为国家c的占比，

$R\left(c\right)=\frac{\left|\right\{{\mathrm{IP}}_{i,k}|\∀{\mathrm{IP}}_{i,k}\∈\mathrm{IPSet},\mathrm{CountryOfIP}\left({\mathrm{IP}}_{i,k}\right)=c\}|}{\left|\mathrm{IPSet}\right|}$

CountryOfIP(IP_i,k)为算子，提取IP_i,k所属国家；

其中，为第i次DNS请求的返回的第k个IP，IPSet为返回的IP的集合，用公式表示为：IPSet＝{IP_1，1，IP_1，2，IP_2，1，…，IP_N，k}；

动态特征集合包含有权威DNS服务器主域名一致率时，权威DNS服务器主域名一致率为：权威服务器的主域域名的最高频度与权威服务器的主域域名总频度的比率。这里一个域名的所有权威服务器的主域域名是一致的，主域域名的数量远远小于权威服务器完整域名（FQDN）的数量。

步骤101、根据动态特征集合的恶意域名高可信判断结果，确定DNS域名是否为恶意域名，并将是否为恶意域名确定的结果存到相应的黑名单、或白名单中。

对动态特征集合进行动态特征的恶意域名高可信判断之前，本发明方法还包括：根据预先设置的静态特征过滤黑名单，将白名单与过滤后的黑名单通过支持向量机（SVM）建立动态特征的恶意域名可信判断模型。

需要说明的是IP信息熵和IP国家分布变化次数是本发明引入的新的动态特征，以下以简要示例，对于IP信息熵作用进行说明，对于一个DNS域名A，它的IPSet为[202.168.110.34]，IPSet为连续查询20次返回IP的集合（去重），而DNS域名B的IPSet为[202.168.110.34,134.156.120.134,139.128.210.24]，可见A的IPSet实际有4个数字且它们的出现频率都为0.25，而B的IPSet包含12个数字，频率都为为1/12，那么跟据IP信息熵定义，前者的IP信息熵为2，而后者为3.58，可见IPSet中属于不相同网段的IP越多（属于同一网段的情况，会使IP信息熵下降，如202.168.110.34与202.168.110.35的同时出现不会对IP信息熵产生过大影响，因为它们只有5个不同的数字），IP信息熵越大。而这正好与恶意域名的特点吻合，对于恶意域名，每次返回的IP是经常变化的（且很少同属一个网段），很少像DNS域名A那样，每次查询只返回一个IP。这个特征的信息，是黑、白名单、静态特征所无法提供的。

IP国家分布变化次数，这个特征也类似，一个正常的域名，每次返回的结果集中IP所属国的比例往往是固定的，比如：20%的IP为中国，80%为美国，但对于恶意域名，这一比例很难保持稳定，比如：第一次20%的IP为中国，80%为美国，第二次返回的结果集就变为30%的IP为中国，70%为美国。这种变化信息也是静态特征无法提供的。

进一步地，根据预先设置的静态特征过滤黑名单包括：预先设置静态特征数字比例小于0.5、和/或数字和字母切换比例大于0.3、和/或域名长度大于10对黑名单进行过滤。

需要说明的是，这里设置的比例大小是根据经验值获得，根据实际情况可以进行一定的调整。对黑名单进行过滤的预先设置的条件，主要根据黑名单数据量进行确定，过滤后的动态特征要满足SVM建立动态特征的恶意域名可信判断模型的要求。当黑名单数据量足够多时，可以选择最多的预先设置的过滤条件进行黑名单过滤。否者，只选择部分甚至一个条件进行过滤。

动态特征集合还包括：IP一致度、和/或IP变化次数、和/或查询失败的频度、和/或生存时间最小值（TTL_MIN）、和/或生存时间最大值（TTL_MAX）、和/或生存时间平均值(TTL_AVG)、和/或生存时间标准差（TTL_STD）、和/或别名个数。

这里，IP一致度为：IP去重总数*请求次数/IP不去重总数；一般的，正常的域名应该为1.0，而恶意域名往往大于1；

沿用正常的域名应该为1.0，而恶意域名往往大于1的假设，

$\mathrm{AccordOfIP}=\frac{\left|\right\{\mathrm{IP}|{\∃\mathrm{IP}}_{i,k}\∈\mathrm{IPSet},{\mathrm{IP}}_{i,k}=\mathrm{IP}\}|\×N}{\left|\mathrm{IPSet}\right|}$

若IP_i,k IP_i+1,k+1，只表示它们值相同，但仍为两个元素。

IP变化次数为：

统计每次DNS确定恶意域名的结果返回的一组IP集合发生变化的频度，若相邻两次查询的返回结果（两个IP集合），完全相同，则视为无变化，否则计数加1。

查询失败的频度为：当没有成功查询到域名时，DNS服务器会返回NxDomain状态，该特征为此状态出现的次数。

TTL_MIN为：每一个DNS查询结果都附带一个TTL属性，告知缓存服务器建议在TTL秒后更新该域名的缓存记录，最小TTL指N次查询返回结果中最小的TTL值。

TTL_MAX为：N次查询返回结果中最大的TTL值。

TTL_AVG为：N次查询返回结果中的TTL值的平均值。

TTL_STD为：N次查询返回结果中的TTL值的标准差。

别名个数为：一个域名有时会设置别名，正常域名的别名应该是固定的，该特征是N次查询返回结果中出现的别名个数。

本发明方法之前还包括：对静态特征集合的恶意域名进行高可信判断和处理，具体的包括：

解析防护目标网络的DNS域名，对解析的DNS域名进行黑名单和白名单过滤；

当黑名单和白名单过滤未命中时，提取DNS域名的静态特征集合，通过恶意域名可信判断模型对静态特征集合进行恶意域名高可信判断；

当根据静态特征集合进行恶意域名高可信判断的域名为高可信判断结果确定DNS域名是否为恶意域名，并将确定是否为恶意域名的结果存到相应的黑名单、或白名单中；

当根据静态特征集合进行恶意域名高可信判断的域名为低可信判断结果时，提取DNS域名的动态特征集合，通过动态特征的恶意域名可信判断模型对动态特征集合进行动态特征的恶意域名高可信判断。

静态特征集合至少包含：域名长度、和/或数字比例、和/或数字和字母切换比例、和/或站点名和主域名长度比例、和/或连接符的数量、和/或最大词长度、和/或国家顶级域名的类型、和/或国际顶级域名的类型、和/或二级国际顶级域名的类型。

这里，域名长度为：完整域名（FQDN）的总长度，如www.163.com的长度为11。

数字比例为：DigitRatio=DigitNum/length，其中DigitRatio为FQDN中数字的数量。

数字与字母切换比例（DigitCharRatio）为：

相邻两个字符称为一个“相邻字符对”，若一个相邻字符对中只存在一个数字，则为一个“数字与字母切换”，该特征为数字与字母切换总数与相邻字符对总数的比例。

站点名与主域名长度比例为：SiteRatio=SiteLength/MainDomainLength

其中SiteLength为FQDN中站点名称的长度，MainDomainLength为主域名的长度。如：www.163.com的站点名称为www，SiteLength，主域名为163，MainDomainLength。

连接符的数量（ConnectCharNum）为：FQDN中连接符“-”的个数。

最大词长度（MaxWordLength）为：以小数点“.”为分隔符，将FQDN分割为多个字符串，其中最长的字符串的长度。

国家顶级域名的类型（CountryCode）为：如“cn”，”jp”等域名中代表国家的域名后缀。

国际顶级域名的类型（InterCode），如“com”，”net”等。

二级国际顶级域名的类型（Inter2Code），如“edu”，“gov”等。

在现有方法与产品中，恶意域名识别仅采用基于静态特征的恶意域名识别方法和基于动态特征的恶意域名识别方法，没有将动态特征与静态特征进行有机的结合，并且，现有的动态特征的恶意域名识别方法仍然缺乏强关联度的动态特征；本发明既是针对上述问题，一方面提出黑白名单过滤，静态特征恶意代码识别和动态特征恶意代码识别相结合的三层结构、通过实时的黑白名单，对建立静态特征的恶意域名可信判断模型的黑名单根据预先设置的静态特征过滤；在动态特征的恶意域名可信判断模型时引入了IP信息熵等关联性较强的动态特征，使恶意域名的识别效率得到提高，同时基于三层结构的黑白名单实时恶意域名识别结果自动更新，其恶意域名的识别效果较现有的恶意域名识别方法有所提升。

在进行静态特征集合的恶意域名高可信判断之前，本发明方法还包括：将白名单与黑名单通过支持向量机SVM建立静态特征集合的恶意域名可信判断模型。

白名单包括：取Alexa列表中排名靠前的域名作为白名单；这里，取Alexa列表中排名靠前的域名包括：取Alexa列表中排名靠前2000的域名。

Alexa列表包括：从top.chinaz.com、或www.alexa.cn网站通过爬虫获取的列表。

黑名单包括：从挂马举报平台通过爬虫获取被挂过木马的域名；或利用公开的垃圾邮件数据库，提取其中的域名。

图2为本发明实现恶意域名识别的装置的结构框图，如图2所示，包括：动态判断单元和判断结果单元；其中，

动态判断单元，用于提取DNS域名的动态特征集合，通过动态特征的恶意域名可信判断模型对动态特征集合进行动态特征的恶意域名高可信判断。

动态特征集合至少包含：与IP相关的特征、和/或权威DNS服务器主域名一致率。

与IP相关的特征至少包含：IP信息熵、和/或IP国家分布变化次数。

与IP相关的特征包含有IP信息熵时，IP信息熵为：

$\mathrm{EntropyOfIP}=-\underset{B=0}{\overset{254}{\mathrm{\Σ}}}P\left(B\right)\log P\left(B\right)$

其中， $P\left(B\right)=\frac{\left|\right\{B_{i,k}^m|\∀B_{i,k}^m\∈\mathrm{ByteOfIP}\left({\mathrm{IP}}_{i,k}\right),B_{i,k}^m=B\}|}{N\×4},$ B∈[0,254]，N为总共返回DNS恶意域名确定的结果的次数，|· 算子表示集合的基，即元素个数；

为算子从IP中以“.”分割，提取4个字节。

与IP相关的特征包含有IP国家分布变化次数时，所述IP国家分布变化次数为：

查询DNS恶意域名确定的结果，并计算IP所属国家的比率，当相邻两次IP所属国家的比率相同，则IP国家分布变化次数不变；否则，计数加1；

其中，为第i次DNS请求的返回的第k个IP，IPSet为返回的IP的集合，用公式表示为：IPSet＝{IP_1,1,IP_1,2,IP_2,1,…,IP_N,k}；

IP国家分布变化次数为：

$\mathrm{IPCountryRatio}=\left\{R\left(c\right)\right|\∀c\∈\mathrm{Country}\}$

其中R(c)为国家c的占比，

$R\left(c\right)=\frac{\left|\right\{{\mathrm{IP}}_{i,k}|\∀{\mathrm{IP}}_{i,k}\∈\mathrm{IPSet},\mathrm{CountryOfIP}\left({\mathrm{IP}}_{i,k}\right)=c\}|}{\left|\mathrm{IPSet}\right|}$

CountryOfIP(IP_i,k)为算子，提取IP_i,k所属国家；

其中，为第i次DNS请求的返回的第k个IP，IPSet为返回的IP的集合，用公式表示为：IPSet＝{IP_1,1,IP_1,2,IP_2,1,…,IP_N,k}；

动态特征集合包含有权威DNS服务器主域名一致率时，权威DNS服务器主域名一致率为：权威服务器的主域域名的最高频度与权威服务器的主域域名总频度的比率。

判断结果单元，用于根据动态特征集合的恶意域名高可信判断结果，确定DNS域名是否为恶意域名，并将是否为恶意域名确定的结果存到相应的黑名单、或白名单中。

判断结果单元包括白名单模块和黑名单模块；其中，

白名单模块，用于取Alexa列表中排名靠前的域名作为白名单；

黑名单模块，用于从挂马举报平台通过爬虫获取被挂过木马的域名；或利用公开的垃圾邮件数据库，提取其中的域名；

Alexa列表包括：从top.chinaz.com、或www.alexa.cn网站通过爬虫获取的列表。

白名单模块具体用于，取Alexa列表中排名靠前2000的域名作为白名单。

本发明装置还包括动态识别模型单元，包括过滤模块和动态识别建模模块；其中，

过滤模块，用于对动态特征集合进行动态特征的恶意域名高可信判断之前，根据预先设置的静态特征过滤黑名单；

动态识别建模模块，用于将白名单与过滤模块中过滤后的黑名单通过支持向量机（SVM）建立动态特征的恶意域名可信判断模型。

过滤模块具体用于，预先设置静态特征数字比例小于0.5、和/或数字和字母切换比例大于0.3、和/或域名长度大于10对黑名单进行过滤。

动态特征集合还包括：IP一致度、和/或IP变化次数、和/或查询失败的频度、和/或生存时间最小值（TTL_MIN）、和/或生存时间最大值（TTL_MAX）、和/或生存时间平均值（TTL_AVG）、和/或生存时间标准差（TTL_STD）、和/或别名个数。

本发明装置还包括解析单元、静态判断单元；其中，

解析单元，用于解析防护目标网络的DNS域名，对解析的DNS域名进行黑名单和白名单过滤；

判断结果单元，还用于对解析单元的黑名单和白名单过滤结果为命中黑名单和白名单时，将确定的结果存到相应的黑名单、或白名单中；根据静态特征集合的恶意域名高可信判断结果，确定DNS域名是否为恶意域名，并将确定的是否为恶意域名的结果存到相应的黑名单、或白名单中；

静态判断单元，用于当解析单元发往判断结果单元的DNS域名过滤后未命中黑名单和白名单时，提取DNS域名的静态特征集合，进行静态特征集合的恶意域名高可信判断；当静态特征集合的恶意域名高可信判断为低时，将所述DNS域名发往动态判断单元。

静态特征集合至少包含：域名长度、和/或数字比例、和/或数字和字母切换比例、和/或站点名和主域名长度比例、和/或连接符的数量、和/或最大词长度、和/或国家顶级域名的类型、和/或国际顶级域名的类型、和/或二级国际顶级域名的类型。

本发明装置还包括动态识别模型单元，用于在进行静态特征集合的恶意域名高可信判断之前，将白名单与黑名单通过支持向量机（SVM）建立静态特征集合的恶意域名可信判断模型。

虽然本申请所揭露的实施方式如上，但所述的内容仅为便于理解本申请而采用的实施方式，并非用以限定本申请。任何本申请所属领域内的技术人员，在不脱离本申请所揭露的精神和范围的前提下，可以在实施的形式及细节上进行任何的修改与变化，但本申请的专利保护范围，仍须以所附的权利要求书所界定的范围为准。

Claims (22)

1.一种实现恶意域名识别的方法，其特征在于，包括： 

提取域名系统DNS域名的动态特征集合，通过动态特征的恶意域名可信判断模型对动态特征集合进行动态特征的恶意域名高可信判断； 

根据动态特征集合的恶意域名高可信判断结果，确定DNS域名是否为恶意域名，并将是否为恶意域名确定的结果存到相应的黑名单、或白名单中； 

所述动态特征集合至少包含：与IP相关的特征、和/或权威DNS服务器主域名一致率。 

2.根据权利要求1所述的方法，其特征在于，所述与IP相关的特征至少包含：IP信息熵、和/或IP国家分布变化次数。 

3.根据权利要求2所述的方法，其特征在于，所述与IP相关的特征包含有IP信息熵时，IP信息熵为： 

其中，B∈[0,254]，N为总共返回DNS恶意域名确定的结果的次数，|·|算子表示集合的基，即元素个数； 

为算子从IP中以“.”分割，提取4个字节； 

其中，为第i次DNS请求的返回的第k个IP，IPSet为返回的IP的集合，用公式表示为：IPSet={IP_1,1,IP_1,2,IP_2,1,…,IP_N,k}； 

所述与IP相关的特征包含有IP国家分布变化次数时，所述IP国家分布变化次数为： 

其中R(c)为国家c的占比， 

CountryOfIP(IP_i,k)为算子，提取IP_i,k所属国家； 

其中，为第i次DNS请求的返回的第k个IP，IPSet为返回的IP的集合，用公式表示为：IPSet={IP_1,1,IP_1,2,IP_2,1,…,IP_N,k}； 

所述动态特征集合包含有权威DNS服务器主域名一致率时，权威DNS服务器主域名一致率为：权威服务器的主域域名的最高频度与权威服务器的主域域名总频度的比率。 

4.根据权利要求1～3任一项所述的方法，其特征在于，所述对动态特征集合进行动态特征的恶意域名高可信判断之前，该方法还包括：根据预先设置的静态特征过滤黑名单，将白名单与过滤后的黑名单通过支持向量机SVM建立动态特征的恶意域名可信判断模型。 

5.根据权利要求4所述的方法，其特征在于，所述根据预先设置的静态特征过滤黑名单包括：预先设置静态特征数字比例小于0.5、和/或数字和字母切换比例大于0.3、和/或域名长度大于10对黑名单进行过滤。 

6.根据权利要求1所述的方法，其特征在于，所述动态特征集合还包括：IP一致度、和/或IP变化次数、和/或查询失败的频度、和/或生存时间最小值TTL_MIN、和/或生存时间最大值TTL_MAX、和/或生存时间平均值TTL_AVG、和/或生存时间标准差TTL_STD、和/或别名个数。 

7.根据权利要求1～6任一项所述的方法，其特征在于，该方法之前还包括：对静态特征集合的恶意域名进行高可信判断和处理，具体的包括： 

解析防护目标网络的DNS域名，对解析的DNS域名进行黑名单和白名单过滤； 

当黑名单和白名单过滤未命中时，提取DNS域名的静态特征集合，通过恶意域名可信判断模型对静态特征集合进行恶意域名高可信判断； 

当根据静态特征集合进行恶意域名高可信判断的域名为高可信判断结 果确定DNS域名是否为恶意域名，并将确定是否为恶意域名的结果存到相应的黑名单、或白名单中； 

当根据静态特征集合进行恶意域名高可信判断的域名为低可信判断结果时，提取DNS域名的动态特征集合，通过动态特征的恶意域名可信判断模型对动态特征集合进行动态特征的恶意域名高可信判断。 

8.根据权利要求7所述的方法，其特征在于，所述静态特征集合至少包含域名长度、和/或数字比例、和/或数字和字母切换比例、和/或站点名和主域名长度比例、和/或连接符的数量、和/或最大词长度、和/或国家顶级域名的类型、和/或国际顶级域名的类型、和/或二级国际顶级域名的类型。 

9.根据权利要求7所述的方法，其特征在于，在进行静态特征集合的恶意域名高可信判断之前，该方法还包括：将白名单与黑名单通过支持向量机SVM建立静态特征集合的恶意域名可信判断模型。 

10.根据权利要求1所述的方法，其特征在于， 

所述白名单包括：取Alexa列表中排名靠前的域名作为白名单； 

所述黑名单包括：从挂马举报平台通过爬虫获取被挂过木马的域名；或利用公开的垃圾邮件数据库，提取其中的域名； 

所述Alexa列表包括：从top.chinaz.com、或www.alexa.cn网站通过爬虫获取的列表。 

11.根据权利要求10所述的方法，其特征在于，所述取Alexa列表中排名靠前的域名包括：取Alexa列表中排名靠前2000的域名。 

12.一种实现恶意域名识别的装置，其特征在于，包括：动态判断单元和判断结果单元；其中， 

动态判断单元，用于提取域名系统DNS域名的动态特征集合，通过动态特征的恶意域名可信判断模型对动态特征集合进行动态特征的恶意域名高可信判断； 

判断结果单元，用于根据动态特征集合的恶意域名高可信判断结果，确定DNS域名是否为恶意域名，并将是否为恶意域名确定的结果存到相应的黑名单、或白名单中； 

所述动态特征集合至少包含：与IP相关的特征、和/或权威DNS服务器主域名一致率。 

13.根据权利要求12所述的装置，其特征在于，所述与IP相关的特征至少包含：IP信息熵、和/或IP国家分布变化次数。 

14.根据权利要求13所述的装置，其特征在于，所述与IP相关的特征包含有IP信息熵时，IP信息熵为： 

其中，B∈[0,254]，N为总共返回DNS恶意域名确定的结果的次数，|·|算子表示集合的基，即元素个数； 

为算子从IP中以“.”分割，提取4个字节； 

其中，为第i次DNS请求的返回的第k个IP，IPSet为返回的IP的集合，用公式表示为：IPSet={IP_1,1,IP_1,2,IP_2,1,…,IP_N,k}； 

所述与IP相关的特征包含有IP国家分布变化次数时，所述IP国家分布变化次数为： 

其中，R(c)为国家c的占比， 

CountryOfIP(IP_i,k)为算子，提取IP_i,k所属国家； 

其中，为第i次DNS请求的返回的第k个IP，IPSet为返回的IP的集合，用公式表示为：IPSet={IP_1,1,IP_1,2,IP_2,1,…,IP_N,k}； 

所述动态特征集合包含有权威DNS服务器主域名一致率时，权威DNS服务器主域名一致率为：权威服务器的主域域名的最高频度与权威服务器的主 域域名总频度的比率。 

15.根据权利要求12～14任一项所述的装置，其特征在于，该装置还包括动态识别模型单元，包括过滤模块和动态识别建模模块；其中， 

过滤模块，用于对动态特征集合进行动态特征的恶意域名高可信判断之前，根据预先设置的静态特征过滤黑名单； 

动态识别建模模块，用于将白名单与过滤模块中过滤后的黑名单通过支持向量机SVM建立动态特征的恶意域名可信判断模型。 

16.根据权利要求15所述的装置，其特征在于，所述过滤模块具体用于，预先设置静态特征数字比例小于0.5、和/或数字和字母切换比例大于0.3、和/或域名长度大于10对黑名单进行过滤。 

17.根据权利要求12所述的装置，其特征在于，所述动态特征集合还包括：IP一致度、和/或IP变化次数、和/或查询失败的频度、和/或生存时间最小值TTL_MIN、和/或生存时间最大值TTL_MAX、和/或生存时间平均值TTL_AVG、和/或生存时间标准差TTL_STD、和/或别名个数。 

18.根据权利要求12～17任一项所述的装置，其特征在于，该装置还包括解析单元、静态判断单元；其中， 

解析单元，用于解析防护目标网络的DNS域名，对解析的DNS域名进行黑名单和白名单过滤； 

所述判断结果单元，还用于对解析单元的黑名单和白名单过滤结果为命中黑名单和白名单时，将确定的结果存到相应的黑名单、或白名单中；根据静态特征集合的恶意域名高可信判断结果，确定DNS域名是否为恶意域名，并将确定的是否为恶意域名的结果存到相应的黑名单、或白名单中； 

静态判断单元，用于当解析单元发往判断结果单元的DNS域名过滤后未命中黑名单和白名单时，提取DNS域名的静态特征集合，进行静态特征集合的恶意域名高可信判断；当静态特征集合的恶意域名高可信判断为低时，将所述DNS域名发往动态判断单元。 

19.根据权利要求18所述的装置，其特征在于，所述静态特征集合至少包含域名长度、和/或数字比例、和/或数字和字母切换比例、和/或站点名和 主域名长度比例、和/或连接符的数量、和/或最大词长度、和/或国家顶级域名的类型、和/或国际顶级域名的类型、和/或二级国际顶级域名的类型。 

20.根据权利要求18所述的装置，其特征在于，该装置还包括静态识别模型单元，用于在进行静态特征集合的恶意域名高可信判断之前，将白名单与黑名单通过支持向量机SVM建立静态特征集合的恶意域名可信判断模型。 

21.根据权利要求12所述的装置，其特征在于，所述判断结果单元包括白名单模块和黑名单模块；其中， 

白名单模块，用于取Alexa列表中排名靠前的域名作为白名单； 

黑名单模块，用于从挂马举报平台通过爬虫获取被挂过木马的域名；或利用公开的垃圾邮件数据库，提取其中的域名； 

所述Alexa列表包括：从top.chinaz.com、或www.alexa.cn网站通过爬虫获取的列表。 

22.根据权利要求21所述的装置，其特征在于，所述白名单模块具体用于，取Alexa列表中排名靠前2000的域名作为白名单。