CN105024969A - 一种实现恶意域名识别的方法及装置 - Google Patents
一种实现恶意域名识别的方法及装置 Download PDFInfo
- Publication number
- CN105024969A CN105024969A CN201410155997.8A CN201410155997A CN105024969A CN 105024969 A CN105024969 A CN 105024969A CN 201410155997 A CN201410155997 A CN 201410155997A CN 105024969 A CN105024969 A CN 105024969A
- Authority
- CN
- China
- Prior art keywords
- domain name
- malice
- dns
- behavioral characteristics
- white list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 230000003068 static effect Effects 0.000 claims abstract description 80
- 230000003542 behavioural effect Effects 0.000 claims description 99
- 238000001914 filtration Methods 0.000 claims description 35
- 230000008859 change Effects 0.000 claims description 34
- 238000012706 support-vector machine Methods 0.000 claims description 20
- 241000270322 Lepidosauria Species 0.000 claims description 12
- 230000007123 defense Effects 0.000 claims description 6
- 230000008569 process Effects 0.000 claims description 6
- 230000019771 cognition Effects 0.000 claims description 2
- 238000005516 engineering process Methods 0.000 description 19
- 230000000694 effects Effects 0.000 description 5
- 241000287828 Gallus gallus Species 0.000 description 4
- 230000004888 barrier function Effects 0.000 description 3
- 239000003795 chemical substances by application Substances 0.000 description 2
- 230000004907 flux Effects 0.000 description 2
- 230000001681 protective effect Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
Landscapes
- Medicines Containing Plant Substances (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种实现恶意域名识别的方法及装置,包括:提取域名系统(DNS)域名的动态特征集合,通过动态特征的恶意域名可信判断模型对动态特征集合进行动态特征的恶意域名高可信判断;根据动态特征集合的恶意域名高可信判断结果,确定DNS域名是否为恶意域名,并将是否为恶意域名确定的结果存到相应的黑名单、或白名单中;动态特征集合至少包含:与IP相关的特征、和/或权威DNS服务器主域名一致率。本申请的技术方案实现了根据动态特征集合进行恶意域名确定;通过静态特征高可信判断和动态特征高可信判断,提高了恶意域名的识别效率。
Description
技术领域
本发明涉及信息安全领域,尤指一种实现恶意域名识别的方法及装置。
背景技术
域名系统(DNS)及其配套技术,DNS已成为互联网不可或缺的技术,是极大多数用户与应用系统的互联网入口,具有使IP与域名解耦的功能和可以灵活配置的特点,近年来随着Round-robin DNS、内容分发网络(CDN,Content Distribution Network)等技术逐渐普及,DNS技术在负载均衡、高可靠性网络架构设计等方面获得了广泛应用。
但随之而来的是,DNS技术的应用也受到了黑客的关注,DNS技术已经成为黑客的一种保护屏障。由于这道屏障建立成本很低,并且效果较好,当前流形的僵尸网络往往都会利用DNS技术将命令与控制(C&C)服务器进行隐藏,其中常用技术主要包括Domain Flux和IP Fast Flux(又称为FFSN,FastFlux Service Networks)两类。
带有恶意域名系统的僵尸网络大致包括多台C&C服务器(或称为mothership)、多台C&C代理服务器、以及多台被控主机(或称肉鸡)。一个恶意域名,指向多台C&C代理服务器,当一个肉鸡获取命令时,通过该域名获取到一个C&C代理服务器的IP。当某个C&C代理服务器被破坏时,某个肉鸡被“升级”为C&C代理服务器,填补空缺位置。在整个过程中,C&C服务器的IP都没有暴露,其IP只有C&C代理服务器知道,通过监听肉鸡和C&C代理服务器间的通信无法得知,因此黑客容易掌握FFSN的运作原理,通过使用C&C服务器隐藏自身IP,对于黑客而言,这种网络结构具备极高的可用性。
FFSN DNS在间断请求过程中,通常会体现出一些动态特征,这些特性可作为鉴别FFSN DNS的依据,比如域名不存在状态NX Domain返回频率,IP切换频率,生存时间(TTL)时间长度等。值得注意的是,这些特征并非非常明显,大量情况会使得恶意DNS与正常DNS的动态特征十分相似,如:一些国际性大站,往往采用了CDN技术;一些关闭的站点;无效的对等计算(P2P)资源服务器等,因此,FFSN DNS技术使恶意域名并不容易被发现。
另一种恶意域名相关的技术是Domain Flux,该技术一般利用泛域名解析等技术,将多个完整域名(FQDN,Full Qualified Domain Name)对应到一个恶意IP,该恶意IP对目标主机的危害行为被逻辑地分散到多个FQDN,或者结合FFSN技术,每个恶意代理被控主机一个FQDN,使得针对FQDN域名的统计值失效。另一种可能的作用是,结合FFSN技术,当FFSN的C&C服务器暴露时,黑客会建立新的C&C服务器,没死掉的代理服务器(agent)基于动态生成算法(DGA,Dynamic Generate Algorithm)技术主动连入新的C&C服务器,重新接管僵尸网络。
目前,基于静态特征的恶意域名识别方法具有性能高、实时响应的特点,这里静态特征一般指域名的构词特征(如特殊字符的占比,域名长度等)。但是,该方法存在准确率与召回率都不理想的问题。动态特征的恶意域名识别方法一般建立在、以主动探测DNS记录为途径的原始数据之上,虽然识别效果较好,但其无法实时响应,且应用条件苛刻。
DNS技术成为黑客的保护屏障,采用域名作为僵尸网络的通信基础,使僵尸网络的鲁棒性大为提升,且C&C服务器更加难以进行物理位置定位,仅采用动态恶意域名识别方法和仅采用静态恶意域名识别方法,无法对恶意域名进行有效的识别。
发明内容
为了解决上述技术问题,本发明提供一种实现恶意域名识别的方法及装置,能够对DNS域名进行有效识别时以区分恶意域名和正常域名,提高恶意域名的识别效率。
为了达到上述发明目的,本发明公开了一种实现恶意域名识别的方法,包括:
提取域名系统DNS域名的动态特征集合,通过动态特征的恶意域名可信判断模型对动态特征集合进行动态特征的恶意域名高可信判断;
根据动态特征集合的恶意域名高可信判断结果,确定DNS域名是否为恶意域名,并将是否为恶意域名确定的结果存到相应的黑名单、或白名单中;
所述动态特征集合至少包含:与IP相关的特征、和/或权威DNS服务器主域名一致率。
进一步地,与IP相关的特征至少包含:IP信息熵、和/或IP国家分布变化次数。
进一步地,与IP相关的特征包含有IP信息熵时,IP信息熵为:
其中, B∈>0,254,N为总共返回DNS恶意域名确定的结果的次数,|·|算子表示集合的基,即元素个数;
为算子从IP中以“.”分割,提取4个字节;
其中,为第i次DNS请求的返回的第k个IP,IPSet为返回的IP的集合,用公式表示为:IPSet={IP1,1,IP1,2,IP2,1,…,IPN,k};
与IP相关的特征包含有IP国家分布变化次数时,所述IP国家分布变化次数为:
其中R(c)为国家c的占比,
CountryOfIP(IPi,k)为算子,提取IPi,k所属国家;
其中,为第i次DNS请求的返回的第k个IP,IPSet为返回的IP的集合,用公式表示为:IPSet={IP1,1,IP1,2,IP2,1,…,IPN,k};
动态特征集合包含有权威DNS服务器主域名一致率时,权威DNS服务器主域名一致率为:权威服务器的主域域名的最高频度与权威服务器的主域域名总频度的比率。
进一步地,对动态特征集合进行动态特征的恶意域名高可信判断之前,该方法还包括:根据预先设置的静态特征过滤黑名单,将白名单与过滤后的黑名单通过支持向量机SVM建立动态特征的恶意域名可信判断模型。
进一步地,根据预先设置的静态特征过滤黑名单包括:预先设置静态特征数字比例小于0.5、和/或数字和字母切换比例大于0.3、和/或域名长度大于10对黑名单进行过滤。
进一步地,动态特征集合还包括:IP一致度、和/或IP变化次数、和/或查询失败的频度、和/或生存时间最小值TTL_MIN、和/或生存时间最大值TTL_MAX、和/或生存时间平均值TTL_AVG、和/或生存时间标准差TTL_STD、和/或别名个数。
进一步地,该方法之前还包括:对静态特征集合的恶意域名进行高可信判断和处理,具体的包括:
解析防护目标网络的DNS域名,对解析的DNS域名进行黑名单和白名单过滤;
当黑名单和白名单过滤未命中时,提取DNS域名的静态特征集合,通过恶意域名可信判断模型对静态特征集合进行恶意域名高可信判断;
当根据静态特征集合进行恶意域名高可信判断的域名为高可信判断结果确定DNS域名是否为恶意域名,并将确定是否为恶意域名的结果存到相应的黑名单、或白名单中;
当根据静态特征集合进行恶意域名高可信判断的域名为低可信判断结果时,提取DNS域名的动态特征集合,通过动态特征的恶意域名可信判断模型对动态特征集合进行动态特征的恶意域名高可信判断。
进一步地,静态特征集合至少包含域名长度、和/或数字比例、和/或数字和字母切换比例、和/或站点名和主域名长度比例、和/或连接符的数量、和/或最大词长度、和/或国家顶级域名的类型、和/或国际顶级域名的类型、和/或二级国际顶级域名的类型;
进一步地,在进行静态特征集合的恶意域名高可信判断之前,该方法还包括:将白名单与黑名单通过支持向量机SVM建立静态特征集合的恶意域名可信判断模型。
进一步地,白名单包括:取Alexa列表中排名靠前的域名作为白名单;
黑名单包括:从挂马举报平台通过爬虫获取被挂过木马的域名;或利用公开的垃圾邮件数据库,提取其中的域名;
Alexa列表包括:从top.chinaz.com、或www.alexa.cn网站通过爬虫获取的列表。
进一步地,取Alexa列表中排名靠前的域名包括:取Alexa列表中排名靠前2000的域名。
另一方面,本申请还提供一种实现恶意域名识别的装置,包括:动态判断单元和判断结果单元;其中,
动态判断单元,用于提取域名系统DNS域名的动态特征集合,通过动态特征的恶意域名可信判断模型对动态特征集合进行动态特征的恶意域名高可信判断;
判断结果单元,用于根据动态特征集合的恶意域名高可信判断结果,确定DNS域名是否为恶意域名,并将是否为恶意域名确定的结果存到相应的黑名单、或白名单中;
动态特征集合至少包含:与IP相关的特征、和/或权威DNS服务器主域名一致率。
进一步地,与IP相关的特征至少包含:IP信息熵、和/或IP国家分布变化次数。
进一步地,与IP相关的特征包含有IP信息熵时,IP信息熵为:
其中, B∈[0,254],N为总共返回DNS恶意域名确定的结果的次数,|·|算子表示集合的基,即元素个数;
为算子从IP中以“.”分割,提取4个字节;
其中,为第i次DNS请求的返回的第k个IP,IPSet为返回的IP的集合,用公式表示为:IPSet={IP1,1,IP1,2,IP2,1,…,IPN,k};
所述与IP相关的特征包含有IP国家分布变化次数时,所述IP国家分布变化次数为:
其中,R(c)为国家c的占比,
CountryOfIP(IPi,k)为算子,提取IPi,k所属国家;
其中,为第i次DNS请求的返回的第k个IP,IPSet为返回的IP的集合,用公式表示为IPSet{IP1,1,IP1,2,IP2,1,…,IPN,k};
动态特征集合包含有权威DNS服务器主域名一致率时,权威DNS服务器主域名一致率为:权威服务器的主域域名的最高频度与权威服务器的主域域名总频度的比率。
进一步地,该装置还包括动态识别模型单元,包括过滤模块和动态识别建模模块;其中,
过滤模块,用于对动态特征集合进行动态特征的恶意域名高可信判断之前,根据预先设置的静态特征过滤黑名单;
动态识别建模模块,用于将白名单与过滤模块中过滤后的黑名单通过支持向量机SVM建立动态特征的恶意域名可信判断模型。
进一步地,过滤模块具体用于,预先设置静态特征数字比例小于0.5、和/或数字和字母切换比例大于0.3、和/或域名长度大于10对黑名单进行过滤。
进一步地,动态特征集合还包括:IP一致度、和/或IP变化次数、和/或查询失败的频度、和/或生存时间最小值TTL_MIN、和/或生存时间最大值TTL_MAX、和/或生存时间平均值TTL_AVG、和/或生存时间标准差TTL_STD、和/或别名个数。
进一步地,该装置还包括解析单元、静态判断单元;其中,
解析单元,用于解析防护目标网络的DNS域名,对解析的DNS域名进行黑名单和白名单过滤;
判断结果单元,还用于对解析单元的黑名单和白名单过滤结果为命中黑名单和白名单时,将确定的结果存到相应的黑名单、或白名单中;根据静态特征集合的恶意域名高可信判断结果,确定DNS域名是否为恶意域名,并将确定的是否为恶意域名的结果存到相应的黑名单、或白名单中;
静态判断单元,用于当解析单元发往判断结果单元的DNS域名过滤后未命中黑名单和白名单时,提取DNS域名的静态特征集合,进行静态特征集合的恶意域名高可信判断;当静态特征集合的恶意域名高可信判断为低时,将所述DNS域名发往动态判断单元。
进一步地,静态特征集合至少包含域名长度、和/或数字比例、和/或数字和字母切换比例、和/或站点名和主域名长度比例、和/或连接符的数量、和/或最大词长度、和/或国家顶级域名的类型、和/或国际顶级域名的类型、和/或二级国际顶级域名的类型。
进一步地,该装置还包括静态识别模型单元,用于在进行静态特征集合的恶意域名高可信判断之前,将白名单与黑名单通过支持向量机SVM建立静态特征集合的恶意域名可信判断模。型。
进一步地,判断结果单元包括白名单模块和黑名单模块;其中,
白名单模块,用于取Alexa列表中排名靠前的域名作为白名单;
黑名单模块,用于从挂马举报平台通过爬虫获取被挂过木马的域名;或利用公开的垃圾邮件数据库,提取其中的域名;
Alexa列表包括:从top.chinaz.com、或www.alexa.cn网站通过爬虫获取的列表。
进一步地,白名单模块具体用于,取Alexa列表中排名靠前2000的域名作为白名单。
本申请技术方案包括:提取域名系统(DNS)域名的动态特征集合,通过动态特征的恶意域名可信判断模型对动态特征集合进行动态特征的恶意域名高可信判断;根据动态特征集合的恶意域名高可信判断结果,确定DNS域名是否为恶意域名,并将是否为恶意域名确定的结果存到相应的黑名单、或白名单中;动态特征集合至少包含:与IP相关的特征、和/或权威DNS服务器主域名一致率。本申请的技术方案实现了根据动态特征集合进行恶意域名确定;通过静态特征高可信判断和动态特征高可信判断,提高了恶意域名的识别效率。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明实现恶意域名识别的方法的流程图;
图2为本发明实现恶意域名识别的装置的结构框图。
具体实施方式
图1为本发明实现恶意域名识别的方法的流程图,如图1所示,包括:
步骤100、提取域名系统(DNS)域名的动态特征集合,通过动态特征的恶意域名可信判断模型对动态特征集合进行动态特征的恶意域名高可信判断。
这里,动态特征集合至少包含:与IP相关的特征、和/或权威DNS服务器主域名一致率。
需要说明的是,恶意域名的高可信判断通过现有技术的SVM进行判断,
对于一个域名,其特征为一向量(或称数组),如[1:0.1,2:0.4,3:0.1,…,8:0.9],将其作为支持向量机(SVM)的输入,其输出[MaliProbability:0.3,NormProbability:0.7],此时根据SVM对高可信设置的概率,一般确定该域名被判断为‘正常’域名,同时加入白名单;若返回[MaliProbability:0.97,NormProbability:0.03],则一般可判定该域名为‘恶意域名’,同时加入黑名单。
判断过程高可信的定义根据本领域技术人员根据实际情况设定。可以按照应用环境、安全要求等进行设定。
本步骤中,与IP相关的特征至少包含:IP信息熵、和/或IP国家分布变化次数。
进一步地,与IP相关的特征包含有IP信息熵时,IP信息熵为:
其中, B∈[0,254],N为总共返回DNS恶意域名确定的结果的次数,|·|算子表示集合的基,即元素个数;
为算子从IP中以“.”分割,提取4个字节;
其中,为第i次DNS请求的返回的第k个IP,IPSet为返回的IP的集合,用公式表示为:IPSet={IP1,1,IP1,2,IP2,1,…,IPN,k};
这里,IP信息熵为:把DNS恶意域名确定的结果中的IP分为4个字节,形成一个字节数组,以字节的频度为基础建立的评估返回IP的稳定性的熵;
与IP相关的特征包含有IP国家分布变化次数时,所述IP国家分布变化次数为:
查询DNS恶意域名确定的结果,并计算IP所属国家的比率,当相邻两次IP所属国家的比率相同,则IP国家分布变化次数不变;否则,计数加1。
IP国家分布变化次数为:
其中R(c)为国家c的占比,
CountryOfIP(IPi,k)为算子,提取IPi,k所属国家;
其中,为第i次DNS请求的返回的第k个IP,IPSet为返回的IP的集合,用公式表示为:IPSet={IP1,1,IP1,2,IP2,1,…,IPN,k};
动态特征集合包含有权威DNS服务器主域名一致率时,权威DNS服务器主域名一致率为:权威服务器的主域域名的最高频度与权威服务器的主域域名总频度的比率。这里一个域名的所有权威服务器的主域域名是一致的,主域域名的数量远远小于权威服务器完整域名(FQDN)的数量。
步骤101、根据动态特征集合的恶意域名高可信判断结果,确定DNS域名是否为恶意域名,并将是否为恶意域名确定的结果存到相应的黑名单、或白名单中。
对动态特征集合进行动态特征的恶意域名高可信判断之前,本发明方法还包括:根据预先设置的静态特征过滤黑名单,将白名单与过滤后的黑名单通过支持向量机(SVM)建立动态特征的恶意域名可信判断模型。
需要说明的是IP信息熵和IP国家分布变化次数是本发明引入的新的动态特征,以下以简要示例,对于IP信息熵作用进行说明,对于一个DNS域名A,它的IPSet为[202.168.110.34],IPSet为连续查询20次返回IP的集合(去重),而DNS域名B的IPSet为[202.168.110.34,134.156.120.134,139.128.210.24],可见A的IPSet实际有4个数字且它们的出现频率都为0.25,而B的IPSet包含12个数字,频率都为为1/12,那么跟据IP信息熵定义,前者的IP信息熵为2,而后者为3.58,可见IPSet中属于不相同网段的IP越多(属于同一网段的情况,会使IP信息熵下降,如202.168.110.34与202.168.110.35的同时出现不会对IP信息熵产生过大影响,因为它们只有5个不同的数字),IP信息熵越大。而这正好与恶意域名的特点吻合,对于恶意域名,每次返回的IP是经常变化的(且很少同属一个网段),很少像DNS域名A那样,每次查询只返回一个IP。这个特征的信息,是黑、白名单、静态特征所无法提供的。
IP国家分布变化次数,这个特征也类似,一个正常的域名,每次返回的结果集中IP所属国的比例往往是固定的,比如:20%的IP为中国,80%为美国,但对于恶意域名,这一比例很难保持稳定,比如:第一次20%的IP为中国,80%为美国,第二次返回的结果集就变为30%的IP为中国,70%为美国。这种变化信息也是静态特征无法提供的。
进一步地,根据预先设置的静态特征过滤黑名单包括:预先设置静态特征数字比例小于0.5、和/或数字和字母切换比例大于0.3、和/或域名长度大于10对黑名单进行过滤。
需要说明的是,这里设置的比例大小是根据经验值获得,根据实际情况可以进行一定的调整。对黑名单进行过滤的预先设置的条件,主要根据黑名单数据量进行确定,过滤后的动态特征要满足SVM建立动态特征的恶意域名可信判断模型的要求。当黑名单数据量足够多时,可以选择最多的预先设置的过滤条件进行黑名单过滤。否者,只选择部分甚至一个条件进行过滤。
动态特征集合还包括:IP一致度、和/或IP变化次数、和/或查询失败的频度、和/或生存时间最小值(TTL_MIN)、和/或生存时间最大值(TTL_MAX)、和/或生存时间平均值(TTL_AVG)、和/或生存时间标准差(TTL_STD)、和/或别名个数。
这里,IP一致度为:IP去重总数*请求次数/IP不去重总数;一般的,正常的域名应该为1.0,而恶意域名往往大于1;
沿用正常的域名应该为1.0,而恶意域名往往大于1的假设,
若IPi,k IPi+1,k+1,只表示它们值相同,但仍为两个元素。
IP变化次数为:
统计每次DNS确定恶意域名的结果返回的一组IP集合发生变化的频度,若相邻两次查询的返回结果(两个IP集合),完全相同,则视为无变化,否则计数加1。
查询失败的频度为:当没有成功查询到域名时,DNS服务器会返回NxDomain状态,该特征为此状态出现的次数。
TTL_MIN为:每一个DNS查询结果都附带一个TTL属性,告知缓存服务器建议在TTL秒后更新该域名的缓存记录,最小TTL指N次查询返回结果中最小的TTL值。
TTL_MAX为:N次查询返回结果中最大的TTL值。
TTL_AVG为:N次查询返回结果中的TTL值的平均值。
TTL_STD为:N次查询返回结果中的TTL值的标准差。
别名个数为:一个域名有时会设置别名,正常域名的别名应该是固定的,该特征是N次查询返回结果中出现的别名个数。
本发明方法之前还包括:对静态特征集合的恶意域名进行高可信判断和处理,具体的包括:
解析防护目标网络的DNS域名,对解析的DNS域名进行黑名单和白名单过滤;
当黑名单和白名单过滤未命中时,提取DNS域名的静态特征集合,通过恶意域名可信判断模型对静态特征集合进行恶意域名高可信判断;
当根据静态特征集合进行恶意域名高可信判断的域名为高可信判断结果确定DNS域名是否为恶意域名,并将确定是否为恶意域名的结果存到相应的黑名单、或白名单中;
当根据静态特征集合进行恶意域名高可信判断的域名为低可信判断结果时,提取DNS域名的动态特征集合,通过动态特征的恶意域名可信判断模型对动态特征集合进行动态特征的恶意域名高可信判断。
静态特征集合至少包含:域名长度、和/或数字比例、和/或数字和字母切换比例、和/或站点名和主域名长度比例、和/或连接符的数量、和/或最大词长度、和/或国家顶级域名的类型、和/或国际顶级域名的类型、和/或二级国际顶级域名的类型。
这里,域名长度为:完整域名(FQDN)的总长度,如www.163.com的长度为11。
数字比例为:DigitRatio=DigitNum/length,其中DigitRatio为FQDN中数字的数量。
数字与字母切换比例(DigitCharRatio)为:
相邻两个字符称为一个“相邻字符对”,若一个相邻字符对中只存在一个数字,则为一个“数字与字母切换”,该特征为数字与字母切换总数与相邻字符对总数的比例。
站点名与主域名长度比例为:SiteRatio=SiteLength/MainDomainLength
其中SiteLength为FQDN中站点名称的长度,MainDomainLength为主域名的长度。如:www.163.com的站点名称为www,SiteLength,主域名为163,MainDomainLength。
连接符的数量(ConnectCharNum)为:FQDN中连接符“-”的个数。
最大词长度(MaxWordLength)为:以小数点“.”为分隔符,将FQDN分割为多个字符串,其中最长的字符串的长度。
国家顶级域名的类型(CountryCode)为:如“cn”,”jp”等域名中代表国家的域名后缀。
国际顶级域名的类型(InterCode),如“com”,”net”等。
二级国际顶级域名的类型(Inter2Code),如“edu”,“gov”等。
在现有方法与产品中,恶意域名识别仅采用基于静态特征的恶意域名识别方法和基于动态特征的恶意域名识别方法,没有将动态特征与静态特征进行有机的结合,并且,现有的动态特征的恶意域名识别方法仍然缺乏强关联度的动态特征;本发明既是针对上述问题,一方面提出黑白名单过滤,静态特征恶意代码识别和动态特征恶意代码识别相结合的三层结构、通过实时的黑白名单,对建立静态特征的恶意域名可信判断模型的黑名单根据预先设置的静态特征过滤;在动态特征的恶意域名可信判断模型时引入了IP信息熵等关联性较强的动态特征,使恶意域名的识别效率得到提高,同时基于三层结构的黑白名单实时恶意域名识别结果自动更新,其恶意域名的识别效果较现有的恶意域名识别方法有所提升。
在进行静态特征集合的恶意域名高可信判断之前,本发明方法还包括:将白名单与黑名单通过支持向量机SVM建立静态特征集合的恶意域名可信判断模型。
白名单包括:取Alexa列表中排名靠前的域名作为白名单;这里,取Alexa列表中排名靠前的域名包括:取Alexa列表中排名靠前2000的域名。
Alexa列表包括:从top.chinaz.com、或www.alexa.cn网站通过爬虫获取的列表。
黑名单包括:从挂马举报平台通过爬虫获取被挂过木马的域名;或利用公开的垃圾邮件数据库,提取其中的域名。
图2为本发明实现恶意域名识别的装置的结构框图,如图2所示,包括:动态判断单元和判断结果单元;其中,
动态判断单元,用于提取DNS域名的动态特征集合,通过动态特征的恶意域名可信判断模型对动态特征集合进行动态特征的恶意域名高可信判断。
动态特征集合至少包含:与IP相关的特征、和/或权威DNS服务器主域名一致率。
与IP相关的特征至少包含:IP信息熵、和/或IP国家分布变化次数。
与IP相关的特征包含有IP信息熵时,IP信息熵为:
其中, B∈[0,254],N为总共返回DNS恶意域名确定的结果的次数,|· 算子表示集合的基,即元素个数;
为算子从IP中以“.”分割,提取4个字节。
与IP相关的特征包含有IP国家分布变化次数时,所述IP国家分布变化次数为:
查询DNS恶意域名确定的结果,并计算IP所属国家的比率,当相邻两次IP所属国家的比率相同,则IP国家分布变化次数不变;否则,计数加1;
其中,为第i次DNS请求的返回的第k个IP,IPSet为返回的IP的集合,用公式表示为:IPSet={IP1,1,IP1,2,IP2,1,…,IPN,k};
IP国家分布变化次数为:
其中R(c)为国家c的占比,
CountryOfIP(IPi,k)为算子,提取IPi,k所属国家;
其中,为第i次DNS请求的返回的第k个IP,IPSet为返回的IP的集合,用公式表示为:IPSet={IP1,1,IP1,2,IP2,1,…,IPN,k};
动态特征集合包含有权威DNS服务器主域名一致率时,权威DNS服务器主域名一致率为:权威服务器的主域域名的最高频度与权威服务器的主域域名总频度的比率。
判断结果单元,用于根据动态特征集合的恶意域名高可信判断结果,确定DNS域名是否为恶意域名,并将是否为恶意域名确定的结果存到相应的黑名单、或白名单中。
判断结果单元包括白名单模块和黑名单模块;其中,
白名单模块,用于取Alexa列表中排名靠前的域名作为白名单;
黑名单模块,用于从挂马举报平台通过爬虫获取被挂过木马的域名;或利用公开的垃圾邮件数据库,提取其中的域名;
Alexa列表包括:从top.chinaz.com、或www.alexa.cn网站通过爬虫获取的列表。
白名单模块具体用于,取Alexa列表中排名靠前2000的域名作为白名单。
本发明装置还包括动态识别模型单元,包括过滤模块和动态识别建模模块;其中,
过滤模块,用于对动态特征集合进行动态特征的恶意域名高可信判断之前,根据预先设置的静态特征过滤黑名单;
动态识别建模模块,用于将白名单与过滤模块中过滤后的黑名单通过支持向量机(SVM)建立动态特征的恶意域名可信判断模型。
过滤模块具体用于,预先设置静态特征数字比例小于0.5、和/或数字和字母切换比例大于0.3、和/或域名长度大于10对黑名单进行过滤。
动态特征集合还包括:IP一致度、和/或IP变化次数、和/或查询失败的频度、和/或生存时间最小值(TTL_MIN)、和/或生存时间最大值(TTL_MAX)、和/或生存时间平均值(TTL_AVG)、和/或生存时间标准差(TTL_STD)、和/或别名个数。
本发明装置还包括解析单元、静态判断单元;其中,
解析单元,用于解析防护目标网络的DNS域名,对解析的DNS域名进行黑名单和白名单过滤;
判断结果单元,还用于对解析单元的黑名单和白名单过滤结果为命中黑名单和白名单时,将确定的结果存到相应的黑名单、或白名单中;根据静态特征集合的恶意域名高可信判断结果,确定DNS域名是否为恶意域名,并将确定的是否为恶意域名的结果存到相应的黑名单、或白名单中;
静态判断单元,用于当解析单元发往判断结果单元的DNS域名过滤后未命中黑名单和白名单时,提取DNS域名的静态特征集合,进行静态特征集合的恶意域名高可信判断;当静态特征集合的恶意域名高可信判断为低时,将所述DNS域名发往动态判断单元。
静态特征集合至少包含:域名长度、和/或数字比例、和/或数字和字母切换比例、和/或站点名和主域名长度比例、和/或连接符的数量、和/或最大词长度、和/或国家顶级域名的类型、和/或国际顶级域名的类型、和/或二级国际顶级域名的类型。
本发明装置还包括动态识别模型单元,用于在进行静态特征集合的恶意域名高可信判断之前,将白名单与黑名单通过支持向量机(SVM)建立静态特征集合的恶意域名可信判断模型。
虽然本申请所揭露的实施方式如上,但所述的内容仅为便于理解本申请而采用的实施方式,并非用以限定本申请。任何本申请所属领域内的技术人员,在不脱离本申请所揭露的精神和范围的前提下,可以在实施的形式及细节上进行任何的修改与变化,但本申请的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
Claims (22)
1.一种实现恶意域名识别的方法,其特征在于,包括:
提取域名系统DNS域名的动态特征集合,通过动态特征的恶意域名可信判断模型对动态特征集合进行动态特征的恶意域名高可信判断;
根据动态特征集合的恶意域名高可信判断结果,确定DNS域名是否为恶意域名,并将是否为恶意域名确定的结果存到相应的黑名单、或白名单中;
所述动态特征集合至少包含:与IP相关的特征、和/或权威DNS服务器主域名一致率。
2.根据权利要求1所述的方法,其特征在于,所述与IP相关的特征至少包含:IP信息熵、和/或IP国家分布变化次数。
3.根据权利要求2所述的方法,其特征在于,所述与IP相关的特征包含有IP信息熵时,IP信息熵为:
其中,B∈[0,254],N为总共返回DNS恶意域名确定的结果的次数,|·|算子表示集合的基,即元素个数;
为算子从IP中以“.”分割,提取4个字节;
其中,为第i次DNS请求的返回的第k个IP,IPSet为返回的IP的集合,用公式表示为:IPSet={IP1,1,IP1,2,IP2,1,…,IPN,k};
所述与IP相关的特征包含有IP国家分布变化次数时,所述IP国家分布变化次数为:
其中R(c)为国家c的占比,
CountryOfIP(IPi,k)为算子,提取IPi,k所属国家;
其中,为第i次DNS请求的返回的第k个IP,IPSet为返回的IP的集合,用公式表示为:IPSet={IP1,1,IP1,2,IP2,1,…,IPN,k};
所述动态特征集合包含有权威DNS服务器主域名一致率时,权威DNS服务器主域名一致率为:权威服务器的主域域名的最高频度与权威服务器的主域域名总频度的比率。
4.根据权利要求1~3任一项所述的方法,其特征在于,所述对动态特征集合进行动态特征的恶意域名高可信判断之前,该方法还包括:根据预先设置的静态特征过滤黑名单,将白名单与过滤后的黑名单通过支持向量机SVM建立动态特征的恶意域名可信判断模型。
5.根据权利要求4所述的方法,其特征在于,所述根据预先设置的静态特征过滤黑名单包括:预先设置静态特征数字比例小于0.5、和/或数字和字母切换比例大于0.3、和/或域名长度大于10对黑名单进行过滤。
6.根据权利要求1所述的方法,其特征在于,所述动态特征集合还包括:IP一致度、和/或IP变化次数、和/或查询失败的频度、和/或生存时间最小值TTL_MIN、和/或生存时间最大值TTL_MAX、和/或生存时间平均值TTL_AVG、和/或生存时间标准差TTL_STD、和/或别名个数。
7.根据权利要求1~6任一项所述的方法,其特征在于,该方法之前还包括:对静态特征集合的恶意域名进行高可信判断和处理,具体的包括:
解析防护目标网络的DNS域名,对解析的DNS域名进行黑名单和白名单过滤;
当黑名单和白名单过滤未命中时,提取DNS域名的静态特征集合,通过恶意域名可信判断模型对静态特征集合进行恶意域名高可信判断;
当根据静态特征集合进行恶意域名高可信判断的域名为高可信判断结 果确定DNS域名是否为恶意域名,并将确定是否为恶意域名的结果存到相应的黑名单、或白名单中;
当根据静态特征集合进行恶意域名高可信判断的域名为低可信判断结果时,提取DNS域名的动态特征集合,通过动态特征的恶意域名可信判断模型对动态特征集合进行动态特征的恶意域名高可信判断。
8.根据权利要求7所述的方法,其特征在于,所述静态特征集合至少包含域名长度、和/或数字比例、和/或数字和字母切换比例、和/或站点名和主域名长度比例、和/或连接符的数量、和/或最大词长度、和/或国家顶级域名的类型、和/或国际顶级域名的类型、和/或二级国际顶级域名的类型。
9.根据权利要求7所述的方法,其特征在于,在进行静态特征集合的恶意域名高可信判断之前,该方法还包括:将白名单与黑名单通过支持向量机SVM建立静态特征集合的恶意域名可信判断模型。
10.根据权利要求1所述的方法,其特征在于,
所述白名单包括:取Alexa列表中排名靠前的域名作为白名单;
所述黑名单包括:从挂马举报平台通过爬虫获取被挂过木马的域名;或利用公开的垃圾邮件数据库,提取其中的域名;
所述Alexa列表包括:从top.chinaz.com、或www.alexa.cn网站通过爬虫获取的列表。
11.根据权利要求10所述的方法,其特征在于,所述取Alexa列表中排名靠前的域名包括:取Alexa列表中排名靠前2000的域名。
12.一种实现恶意域名识别的装置,其特征在于,包括:动态判断单元和判断结果单元;其中,
动态判断单元,用于提取域名系统DNS域名的动态特征集合,通过动态特征的恶意域名可信判断模型对动态特征集合进行动态特征的恶意域名高可信判断;
判断结果单元,用于根据动态特征集合的恶意域名高可信判断结果,确定DNS域名是否为恶意域名,并将是否为恶意域名确定的结果存到相应的黑名单、或白名单中;
所述动态特征集合至少包含:与IP相关的特征、和/或权威DNS服务器主域名一致率。
13.根据权利要求12所述的装置,其特征在于,所述与IP相关的特征至少包含:IP信息熵、和/或IP国家分布变化次数。
14.根据权利要求13所述的装置,其特征在于,所述与IP相关的特征包含有IP信息熵时,IP信息熵为:
其中,B∈[0,254],N为总共返回DNS恶意域名确定的结果的次数,|·|算子表示集合的基,即元素个数;
为算子从IP中以“.”分割,提取4个字节;
其中,为第i次DNS请求的返回的第k个IP,IPSet为返回的IP的集合,用公式表示为:IPSet={IP1,1,IP1,2,IP2,1,…,IPN,k};
所述与IP相关的特征包含有IP国家分布变化次数时,所述IP国家分布变化次数为:
其中,R(c)为国家c的占比,
CountryOfIP(IPi,k)为算子,提取IPi,k所属国家;
其中,为第i次DNS请求的返回的第k个IP,IPSet为返回的IP的集合,用公式表示为:IPSet={IP1,1,IP1,2,IP2,1,…,IPN,k};
所述动态特征集合包含有权威DNS服务器主域名一致率时,权威DNS服务器主域名一致率为:权威服务器的主域域名的最高频度与权威服务器的主 域域名总频度的比率。
15.根据权利要求12~14任一项所述的装置,其特征在于,该装置还包括动态识别模型单元,包括过滤模块和动态识别建模模块;其中,
过滤模块,用于对动态特征集合进行动态特征的恶意域名高可信判断之前,根据预先设置的静态特征过滤黑名单;
动态识别建模模块,用于将白名单与过滤模块中过滤后的黑名单通过支持向量机SVM建立动态特征的恶意域名可信判断模型。
16.根据权利要求15所述的装置,其特征在于,所述过滤模块具体用于,预先设置静态特征数字比例小于0.5、和/或数字和字母切换比例大于0.3、和/或域名长度大于10对黑名单进行过滤。
17.根据权利要求12所述的装置,其特征在于,所述动态特征集合还包括:IP一致度、和/或IP变化次数、和/或查询失败的频度、和/或生存时间最小值TTL_MIN、和/或生存时间最大值TTL_MAX、和/或生存时间平均值TTL_AVG、和/或生存时间标准差TTL_STD、和/或别名个数。
18.根据权利要求12~17任一项所述的装置,其特征在于,该装置还包括解析单元、静态判断单元;其中,
解析单元,用于解析防护目标网络的DNS域名,对解析的DNS域名进行黑名单和白名单过滤;
所述判断结果单元,还用于对解析单元的黑名单和白名单过滤结果为命中黑名单和白名单时,将确定的结果存到相应的黑名单、或白名单中;根据静态特征集合的恶意域名高可信判断结果,确定DNS域名是否为恶意域名,并将确定的是否为恶意域名的结果存到相应的黑名单、或白名单中;
静态判断单元,用于当解析单元发往判断结果单元的DNS域名过滤后未命中黑名单和白名单时,提取DNS域名的静态特征集合,进行静态特征集合的恶意域名高可信判断;当静态特征集合的恶意域名高可信判断为低时,将所述DNS域名发往动态判断单元。
19.根据权利要求18所述的装置,其特征在于,所述静态特征集合至少包含域名长度、和/或数字比例、和/或数字和字母切换比例、和/或站点名和 主域名长度比例、和/或连接符的数量、和/或最大词长度、和/或国家顶级域名的类型、和/或国际顶级域名的类型、和/或二级国际顶级域名的类型。
20.根据权利要求18所述的装置,其特征在于,该装置还包括静态识别模型单元,用于在进行静态特征集合的恶意域名高可信判断之前,将白名单与黑名单通过支持向量机SVM建立静态特征集合的恶意域名可信判断模型。
21.根据权利要求12所述的装置,其特征在于,所述判断结果单元包括白名单模块和黑名单模块;其中,
白名单模块,用于取Alexa列表中排名靠前的域名作为白名单;
黑名单模块,用于从挂马举报平台通过爬虫获取被挂过木马的域名;或利用公开的垃圾邮件数据库,提取其中的域名;
所述Alexa列表包括:从top.chinaz.com、或www.alexa.cn网站通过爬虫获取的列表。
22.根据权利要求21所述的装置,其特征在于,所述白名单模块具体用于,取Alexa列表中排名靠前2000的域名作为白名单。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410155997.8A CN105024969B (zh) | 2014-04-17 | 2014-04-17 | 一种实现恶意域名识别的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410155997.8A CN105024969B (zh) | 2014-04-17 | 2014-04-17 | 一种实现恶意域名识别的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105024969A true CN105024969A (zh) | 2015-11-04 |
CN105024969B CN105024969B (zh) | 2018-04-03 |
Family
ID=54414685
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410155997.8A Expired - Fee Related CN105024969B (zh) | 2014-04-17 | 2014-04-17 | 一种实现恶意域名识别的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105024969B (zh) |
Cited By (37)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105763334A (zh) * | 2016-03-31 | 2016-07-13 | 北京匡恩网络科技有限责任公司 | 一种动态生成和部署签名的方法 |
CN105827594A (zh) * | 2016-03-08 | 2016-08-03 | 北京航空航天大学 | 一种基于域名可读性及域名解析行为的可疑性检测方法 |
CN105939340A (zh) * | 2016-01-22 | 2016-09-14 | 北京匡恩网络科技有限责任公司 | 一种发现隐藏的蠕虫病毒的方法及系统 |
CN105959294A (zh) * | 2016-06-17 | 2016-09-21 | 北京网康科技有限公司 | 一种恶意域名鉴别方法及装置 |
CN106095753A (zh) * | 2016-06-07 | 2016-11-09 | 大连理工大学 | 一种基于信息熵和术语可信度的金融领域术语识别方法 |
CN106230867A (zh) * | 2016-09-29 | 2016-12-14 | 北京知道创宇信息技术有限公司 | 预测域名是否恶意的方法、系统及其模型训练方法、系统 |
CN106375351A (zh) * | 2016-11-29 | 2017-02-01 | 神州网云(北京)信息技术有限公司 | 一种异常域名检测的方法及装置 |
CN106657025A (zh) * | 2016-11-29 | 2017-05-10 | 神州网云(北京)信息技术有限公司 | 网络攻击行为检测方法及装置 |
CN106713371A (zh) * | 2016-12-08 | 2017-05-24 | 中国电子科技网络信息安全有限公司 | 一种基于DNS异常挖掘的Fast Flux僵尸网络检测方法 |
CN106713303A (zh) * | 2016-12-19 | 2017-05-24 | 北京启明星辰信息安全技术有限公司 | 一种恶意域名检测方法及系统 |
CN107645503A (zh) * | 2017-09-20 | 2018-01-30 | 杭州安恒信息技术有限公司 | 一种基于规则的恶意域名所属dga家族的检测方法 |
CN107770132A (zh) * | 2016-08-18 | 2018-03-06 | 中兴通讯股份有限公司 | 一种对算法生成域名进行检测的方法及装置 |
CN107786539A (zh) * | 2017-09-20 | 2018-03-09 | 杭州安恒信息技术有限公司 | 一种基于dns进行防cc攻击的方法 |
CN107979654A (zh) * | 2016-10-21 | 2018-05-01 | 中国移动通信有限公司研究院 | 查询域名的带外信息的方法和系统 |
CN108270761A (zh) * | 2017-01-03 | 2018-07-10 | 中国移动通信有限公司研究院 | 一种域名合法性检测方法及装置 |
CN108449444A (zh) * | 2018-03-29 | 2018-08-24 | 江苏省未来网络创新研究院 | 区域数据传输方法、自循环域名解析系统及方法 |
CN108449349A (zh) * | 2018-03-23 | 2018-08-24 | 新华三大数据技术有限公司 | 防止恶意域名攻击的方法及装置 |
CN108632227A (zh) * | 2017-03-23 | 2018-10-09 | 中国移动通信集团广东有限公司 | 一种恶意域名检测处理方法及装置 |
CN108737439A (zh) * | 2018-06-04 | 2018-11-02 | 上海交通大学 | 一种基于自反馈学习的大规模恶意域名检测系统及方法 |
CN108737385A (zh) * | 2018-04-24 | 2018-11-02 | 杭州安恒信息技术股份有限公司 | 一种基于dns映射ip的恶意域名匹配方法 |
CN108769034A (zh) * | 2018-06-01 | 2018-11-06 | 杭州安恒信息技术股份有限公司 | 一种实时在线监测远控木马控制端ip地址的方法及装置 |
CN109120733A (zh) * | 2018-07-20 | 2019-01-01 | 杭州安恒信息技术股份有限公司 | 一种利用dns进行通信的检测方法 |
CN109474575A (zh) * | 2018-09-11 | 2019-03-15 | 北京奇安信科技有限公司 | 一种dns隧道的检测方法及装置 |
CN110324339A (zh) * | 2019-07-02 | 2019-10-11 | 光通天下网络科技股份有限公司 | 基于信息熵的DDoS攻击检测方法、装置和电子设备 |
CN110431817A (zh) * | 2017-03-10 | 2019-11-08 | 维萨国际服务协会 | 识别恶意网络设备 |
US10880319B2 (en) | 2018-04-26 | 2020-12-29 | Micro Focus Llc | Determining potentially malware generated domain names |
US10911481B2 (en) | 2018-01-31 | 2021-02-02 | Micro Focus Llc | Malware-infected device identifications |
US10965697B2 (en) | 2018-01-31 | 2021-03-30 | Micro Focus Llc | Indicating malware generated domain names using digits |
CN112883072A (zh) * | 2021-03-10 | 2021-06-01 | 哈尔滨工业大学(威海) | 基于网络服务商国别标注的域名国家可控性评估方法 |
CN112910925A (zh) * | 2021-03-08 | 2021-06-04 | 鹏城实验室 | 域名检测方法、模型训练方法及装置、设备、存储介质 |
CN113141370A (zh) * | 2021-04-30 | 2021-07-20 | 国家计算机网络与信息安全管理中心山西分中心 | 一种内部网络流量的恶意dns隧道识别方法 |
US11108794B2 (en) | 2018-01-31 | 2021-08-31 | Micro Focus Llc | Indicating malware generated domain names using n-grams |
US11212302B2 (en) | 2015-12-30 | 2021-12-28 | Verint Systems Ltd. | System and method for monitoring security of a computer network |
CN114006709A (zh) * | 2020-07-16 | 2022-02-01 | 四川大学 | 一种基于主动和被动探测的恶意域名服务器检测方法 |
US11245720B2 (en) | 2019-06-06 | 2022-02-08 | Micro Focus Llc | Determining whether domain is benign or malicious |
US11271963B2 (en) | 2018-12-20 | 2022-03-08 | Micro Focus Llc | Defending against domain name system based attacks |
CN114866966A (zh) * | 2022-07-08 | 2022-08-05 | 安徽创瑞信息技术有限公司 | 一种基于大数据的短信用户管理方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8160069B2 (en) * | 2009-01-30 | 2012-04-17 | Palo Alto Research Center Incorporated | System for forwarding a packet with a hierarchically structured variable-length identifier |
CN102469117A (zh) * | 2010-11-08 | 2012-05-23 | 中国移动通信集团广东有限公司 | 一种异常访问行为的识别方法及装置 |
CN102882881A (zh) * | 2012-10-10 | 2013-01-16 | 常州大学 | 针对dns服务的拒绝服务攻击的数据过滤方法 |
-
2014
- 2014-04-17 CN CN201410155997.8A patent/CN105024969B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8160069B2 (en) * | 2009-01-30 | 2012-04-17 | Palo Alto Research Center Incorporated | System for forwarding a packet with a hierarchically structured variable-length identifier |
CN102469117A (zh) * | 2010-11-08 | 2012-05-23 | 中国移动通信集团广东有限公司 | 一种异常访问行为的识别方法及装置 |
CN102882881A (zh) * | 2012-10-10 | 2013-01-16 | 常州大学 | 针对dns服务的拒绝服务攻击的数据过滤方法 |
Cited By (54)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11212302B2 (en) | 2015-12-30 | 2021-12-28 | Verint Systems Ltd. | System and method for monitoring security of a computer network |
US11888879B2 (en) | 2015-12-30 | 2024-01-30 | Cognyte Technologies Israel Ltd. | System and method for monitoring security of a computer network |
IL243418B (en) * | 2015-12-30 | 2022-07-01 | Cognyte Tech Israel Ltd | System and method for monitoring computer network security |
CN105939340A (zh) * | 2016-01-22 | 2016-09-14 | 北京匡恩网络科技有限责任公司 | 一种发现隐藏的蠕虫病毒的方法及系统 |
CN105827594B (zh) * | 2016-03-08 | 2018-11-27 | 北京航空航天大学 | 一种基于域名可读性及域名解析行为的可疑性检测方法 |
CN105827594A (zh) * | 2016-03-08 | 2016-08-03 | 北京航空航天大学 | 一种基于域名可读性及域名解析行为的可疑性检测方法 |
CN105763334A (zh) * | 2016-03-31 | 2016-07-13 | 北京匡恩网络科技有限责任公司 | 一种动态生成和部署签名的方法 |
CN106095753A (zh) * | 2016-06-07 | 2016-11-09 | 大连理工大学 | 一种基于信息熵和术语可信度的金融领域术语识别方法 |
CN106095753B (zh) * | 2016-06-07 | 2018-11-06 | 大连理工大学 | 一种基于信息熵和术语可信度的金融领域术语识别方法 |
CN105959294B (zh) * | 2016-06-17 | 2019-06-14 | 北京网康科技有限公司 | 一种恶意域名鉴别方法及装置 |
CN105959294A (zh) * | 2016-06-17 | 2016-09-21 | 北京网康科技有限公司 | 一种恶意域名鉴别方法及装置 |
CN107770132B (zh) * | 2016-08-18 | 2021-11-05 | 中兴通讯股份有限公司 | 一种对算法生成域名进行检测的方法及装置 |
CN107770132A (zh) * | 2016-08-18 | 2018-03-06 | 中兴通讯股份有限公司 | 一种对算法生成域名进行检测的方法及装置 |
CN106230867A (zh) * | 2016-09-29 | 2016-12-14 | 北京知道创宇信息技术有限公司 | 预测域名是否恶意的方法、系统及其模型训练方法、系统 |
CN107979654A (zh) * | 2016-10-21 | 2018-05-01 | 中国移动通信有限公司研究院 | 查询域名的带外信息的方法和系统 |
CN106657025A (zh) * | 2016-11-29 | 2017-05-10 | 神州网云(北京)信息技术有限公司 | 网络攻击行为检测方法及装置 |
CN106375351A (zh) * | 2016-11-29 | 2017-02-01 | 神州网云(北京)信息技术有限公司 | 一种异常域名检测的方法及装置 |
CN106713371A (zh) * | 2016-12-08 | 2017-05-24 | 中国电子科技网络信息安全有限公司 | 一种基于DNS异常挖掘的Fast Flux僵尸网络检测方法 |
CN106713371B (zh) * | 2016-12-08 | 2020-04-21 | 中国电子科技网络信息安全有限公司 | 一种基于DNS异常挖掘的Fast Flux僵尸网络检测方法 |
CN106713303A (zh) * | 2016-12-19 | 2017-05-24 | 北京启明星辰信息安全技术有限公司 | 一种恶意域名检测方法及系统 |
CN108270761A (zh) * | 2017-01-03 | 2018-07-10 | 中国移动通信有限公司研究院 | 一种域名合法性检测方法及装置 |
CN110431817A (zh) * | 2017-03-10 | 2019-11-08 | 维萨国际服务协会 | 识别恶意网络设备 |
US11425148B2 (en) | 2017-03-10 | 2022-08-23 | Visa International Service Association | Identifying malicious network devices |
CN108632227A (zh) * | 2017-03-23 | 2018-10-09 | 中国移动通信集团广东有限公司 | 一种恶意域名检测处理方法及装置 |
CN108632227B (zh) * | 2017-03-23 | 2020-12-18 | 中国移动通信集团广东有限公司 | 一种恶意域名检测处理方法及装置 |
CN107786539A (zh) * | 2017-09-20 | 2018-03-09 | 杭州安恒信息技术有限公司 | 一种基于dns进行防cc攻击的方法 |
CN107645503A (zh) * | 2017-09-20 | 2018-01-30 | 杭州安恒信息技术有限公司 | 一种基于规则的恶意域名所属dga家族的检测方法 |
CN107645503B (zh) * | 2017-09-20 | 2020-01-24 | 杭州安恒信息技术股份有限公司 | 一种基于规则的恶意域名所属dga家族的检测方法 |
US10911481B2 (en) | 2018-01-31 | 2021-02-02 | Micro Focus Llc | Malware-infected device identifications |
US11108794B2 (en) | 2018-01-31 | 2021-08-31 | Micro Focus Llc | Indicating malware generated domain names using n-grams |
US10965697B2 (en) | 2018-01-31 | 2021-03-30 | Micro Focus Llc | Indicating malware generated domain names using digits |
CN108449349B (zh) * | 2018-03-23 | 2021-01-26 | 新华三大数据技术有限公司 | 防止恶意域名攻击的方法及装置 |
CN108449349A (zh) * | 2018-03-23 | 2018-08-24 | 新华三大数据技术有限公司 | 防止恶意域名攻击的方法及装置 |
CN108449444A (zh) * | 2018-03-29 | 2018-08-24 | 江苏省未来网络创新研究院 | 区域数据传输方法、自循环域名解析系统及方法 |
CN108449444B (zh) * | 2018-03-29 | 2021-06-18 | 江苏省未来网络创新研究院 | 区域数据传输方法、自循环域名解析系统及方法 |
CN108737385A (zh) * | 2018-04-24 | 2018-11-02 | 杭州安恒信息技术股份有限公司 | 一种基于dns映射ip的恶意域名匹配方法 |
US10880319B2 (en) | 2018-04-26 | 2020-12-29 | Micro Focus Llc | Determining potentially malware generated domain names |
CN108769034A (zh) * | 2018-06-01 | 2018-11-06 | 杭州安恒信息技术股份有限公司 | 一种实时在线监测远控木马控制端ip地址的方法及装置 |
CN108737439B (zh) * | 2018-06-04 | 2021-02-09 | 上海交通大学 | 一种基于自反馈学习的大规模恶意域名检测系统及方法 |
CN108737439A (zh) * | 2018-06-04 | 2018-11-02 | 上海交通大学 | 一种基于自反馈学习的大规模恶意域名检测系统及方法 |
CN109120733A (zh) * | 2018-07-20 | 2019-01-01 | 杭州安恒信息技术股份有限公司 | 一种利用dns进行通信的检测方法 |
CN109120733B (zh) * | 2018-07-20 | 2021-06-01 | 杭州安恒信息技术股份有限公司 | 一种利用dns进行通信的检测方法 |
CN109474575B (zh) * | 2018-09-11 | 2022-04-12 | 奇安信科技集团股份有限公司 | 一种dns隧道的检测方法及装置 |
CN109474575A (zh) * | 2018-09-11 | 2019-03-15 | 北京奇安信科技有限公司 | 一种dns隧道的检测方法及装置 |
US11271963B2 (en) | 2018-12-20 | 2022-03-08 | Micro Focus Llc | Defending against domain name system based attacks |
US11245720B2 (en) | 2019-06-06 | 2022-02-08 | Micro Focus Llc | Determining whether domain is benign or malicious |
CN110324339B (zh) * | 2019-07-02 | 2021-10-08 | 光通天下网络科技股份有限公司 | 基于信息熵的DDoS攻击检测方法、装置和电子设备 |
CN110324339A (zh) * | 2019-07-02 | 2019-10-11 | 光通天下网络科技股份有限公司 | 基于信息熵的DDoS攻击检测方法、装置和电子设备 |
CN114006709A (zh) * | 2020-07-16 | 2022-02-01 | 四川大学 | 一种基于主动和被动探测的恶意域名服务器检测方法 |
CN112910925A (zh) * | 2021-03-08 | 2021-06-04 | 鹏城实验室 | 域名检测方法、模型训练方法及装置、设备、存储介质 |
CN112883072A (zh) * | 2021-03-10 | 2021-06-01 | 哈尔滨工业大学(威海) | 基于网络服务商国别标注的域名国家可控性评估方法 |
CN113141370A (zh) * | 2021-04-30 | 2021-07-20 | 国家计算机网络与信息安全管理中心山西分中心 | 一种内部网络流量的恶意dns隧道识别方法 |
CN114866966A (zh) * | 2022-07-08 | 2022-08-05 | 安徽创瑞信息技术有限公司 | 一种基于大数据的短信用户管理方法 |
CN114866966B (zh) * | 2022-07-08 | 2022-09-06 | 安徽创瑞信息技术有限公司 | 一种基于大数据的短信用户管理方法 |
Also Published As
Publication number | Publication date |
---|---|
CN105024969B (zh) | 2018-04-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105024969A (zh) | 一种实现恶意域名识别的方法及装置 | |
US10652265B2 (en) | Method and apparatus for network forensics compression and storage | |
CN102801697B (zh) | 基于多url的恶意代码检测方法和系统 | |
US9258289B2 (en) | Authentication of IP source addresses | |
CN109474575B (zh) | 一种dns隧道的检测方法及装置 | |
CN102694696B (zh) | Dns服务器异常检测的方法及装置 | |
CN101267313B (zh) | 泛洪攻击检测方法及检测装置 | |
CN105262722B (zh) | 终端恶意流量规则更新方法、云端服务器和安全网关 | |
CN106101104A (zh) | 一种基于域名解析的恶意域名检测方法及系统 | |
JP6408395B2 (ja) | ブラックリストの管理方法 | |
JP5415390B2 (ja) | フィルタリング方法、フィルタリングシステム及びフィルタリングプログラム | |
CN102110132A (zh) | 统一资源定位符匹配查找方法、装置和网络侧设备 | |
CN112600868B (zh) | 域名解析方法、域名解析装置及电子设备 | |
CN107528817B (zh) | 域名劫持的探测方法和装置 | |
CN111740868B (zh) | 告警数据的处理方法和装置及存储介质 | |
CN104951480A (zh) | 一种cdn系统中资源存储的索引装置及方法 | |
CN106789849B (zh) | Cc攻击识别方法、节点及系统 | |
CN107342913B (zh) | 一种cdn节点的探测方法和装置 | |
CN111010405B (zh) | 一种SaaS化的网站安全监控系统 | |
CN106844389B (zh) | 网络资源地址url的处理方法和装置 | |
CN106067879B (zh) | 信息的检测方法及装置 | |
JP2011193343A (ja) | 通信ネットワーク監視システム | |
CN109510800B (zh) | 一种网络请求处理方法、装置、电子设备及存储介质 | |
CN109803030A (zh) | 一种匿名中间代理服务器及其通信方法 | |
US20180183799A1 (en) | Method and system for defending against malicious website |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180403 |