[發明專利]基于DNS請求周期的惡意域名檢測算法有效
| 申請號: | 201710092340.5 | 申請日: | 2017-02-21 |
| 公開(公告)號: | CN106850647B | 公開(公告)日: | 2020-05-26 |
| 發明(設計)人: | 鄒福泰;丁偉莉;裴蓓;潘理;李建華 | 申請(專利權)人: | 上海交通大學;公安部第三研究所 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L29/12 |
| 代理公司: | 上海旭誠知識產權代理有限公司 31220 | 代理人: | 鄭立 |
| 地址: | 200240 *** | 國省代碼: | 上海;31 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 基于 dns 請求 周期 惡意 域名 檢測 算法 | ||
1.一種基于DNS請求周期的惡意域名檢測算法,其特征在于,包括以下步驟:
步驟1、采集DNS流量數據;
步驟2、判斷每個域名的請求周期性,篩選出周期性較強的域名列表;
步驟3、判斷上述域名列表中的域名是否為惡意域名;
在步驟2中,判斷每個域名的請求周期性包括以下步驟:
步驟2.1、使用spark針對步驟1中的DNS流量數據,進行數據統計,獲得請求IP和域名對的時間序列;
步驟2.2、利用動態矩形比較法進行周期性匹配;
步驟2.3、結合匹配特征值Jeffrey散度來衡量概率分布間的距離;
步驟2.4、設定一個閾值,低于該閾值認為訪問行為具有周期性;
所述步驟1中,采集一個月內的DNS流量數據,包括不同客戶端請求不同DNS的IP地址,請求時間,被請求的第一域名集,被請求的IP地址;
所述步驟1中,將采集到的第一域名集通過與Alexa網站排名前10萬的域名進行匹配,去除有名域名數據,留下經過預處理的第二域名集;
所述步驟2中,將所有IP與第二域名集組對的訪問情況通過變換為一個個桶進行分類;計算出所有請求之間的時間間隔,通過排序,將一個時間間隔作為第一個桶,只要在一定的寬度下的時間間隔我們都放入同一個桶,直到超過寬度上限,然后再次建立一個桶,重新計數;采用Jeffrey散度計算兩個柱狀圖之間的距離。
2.如權利要求1所述的基于DNS請求周期的惡意域名檢測算法,其特征在于,所述步驟2中請求周期性的判斷算法利用Python實現。
3.如權利要求1所述的基于DNS請求周期的惡意域名檢測算法,其特征在于,所述第二域名集中低于閾值的第三域名集具有可疑性。
4.如權利要求3所述的基于DNS請求周期的惡意域名檢測算法,其特征在于,所述第三域名集里的域名通過公網搜索引擎,獲取不同結果中的匹配,如果發現大量virus或者malicious字樣,則可以認為這些域名與惡意行為有比較大的相關性,因而判定為惡意域名。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于上海交通大學;公安部第三研究所,未經上海交通大學;公安部第三研究所許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201710092340.5/1.html,轉載請聲明來源鉆瓜專利網。
