本發明公開了一種自動生成的域名的檢測方法及系統。本方法為：1)建立一正常域名樣；對于每一樣本域名：統計該樣本域名的各層域名的長度分布，計算各層域名的長度異常度；統計該樣本域名的各層域名內字符間的跳轉概率，計算對應層域名的字符跳轉異常度；統計并計算該樣本域名中各字符在各層域名中的熵異常度值，并計算各層域名中的字符熵異常度；根據上述計算結果計算得到該樣本域名的總異常度；2)根據所有樣本域名的總異常度設定一異常度閾值；3)檢測模塊計算待檢測域名的總異常度，如果該值大于設定異常度閾值，則認為該待檢測域名為自動生成的域名。本發明訓練和檢測過程更加簡單快捷，能夠滿足在線檢測的需要。

技術領域

本發明屬于網絡安全檢測領域，具體涉及到一種通過算法自動生成的域名的檢測方法及系統。

背景技術

域名通常為人為制定，且一個站點的對應的域名通常不做頻繁改動。而算法自動生成的域名是指通過計算機根據域名生成算法，并結合當前時間自動產生的。當前，部分攻擊者采用了算法自動生成域名技術來提高僵尸網絡或者fast flux網絡的生存性。由于新域名隨機生成，且可每天變換，因而傳統的黑名單機制無法防御，大大增加了檢測與處置的難度。

當前對算法自動生成的檢測方法主要通過機器學習的策略進行，通過訓練出來的檢測模型進行檢測。該方法的不足在于需要有足夠多，且需要各類生成算法的惡意域名樣本(即，算法自動生成的域名樣本)。該類樣本不易獲得，且不易覆蓋各類生成情況。

發明內容

針對現有技術中存在的技術問題，本發明的目的在于提供一種算法自動生成域名的檢測方法，本發明只需要正常域名作為樣本，樣本較易獲得。與已有的基于機器學習的方法相比，訓練和檢測過程更加簡單快捷，能夠滿足在線檢測的需要。

本發明的技術方案為：

一種自動生成的域名的檢測方法，其步驟為：

1)建立一樣本集合，其中，樣本集合中的樣本域名均為正常域名；對于樣本集合中的每一樣本域名：

11)層域名長度異常訓練子模塊統計該樣本域名的各層域名的長度分布，然后根據所述異常分布計算各層域名的長度異常度；

12)字符跳轉異常訓練子模塊統計該樣本域名的各層域名內字符間的跳轉概率，然后根據所述跳轉概率計算對應層域名的字符跳轉異常度；

13)熵異常訓練子模塊統計并計算該樣本域名中各字符在各層域名中的熵異常度值，并計算各層域名中的字符熵異常度；

14)域名異常度綜合訓練子模塊根據上述計算得到的長度異常度、字符跳轉異常度和字符熵異常度計算得到該樣本域名的總異常度；

2)域名異常度綜合訓練子模塊根據所有樣本域名的總異常度設定一異常度閾值；

3)檢測模塊計算待檢測域名的總異常度，如果該值大于設定異常度閾值，則認為該待檢測域名為自動生成的域名。

進一步的，所述層域名熵異常度的計算方法：設第j層域名的熵異常度為D_entropy，則其中，M為該樣本域名第j層域名中的不同字符數，p_i為字符i的統計概率。

進一步的，所述字符跳轉異常度的計算方法為：設第j層域名的字符跳轉異常度為D_bigram，則其中，N是指該樣本域名第j層域名中的字符數量，第k個字符對的跳轉異常度MAX_Cnt是第j層域名中所有字符的跳轉次數最大值，Cnt_ij是第j層域名中第k個字符對從第i個字符到第j字符的跳轉次數。

進一步的，長度為i的層域名長度異常度Cnt_i為該樣本域名中長度為i的層域名的數量，相同長度的層域名的數量最大值為Cnt_MAX。