本發明公開了基于集成學習的Fast?flux域名檢測方法，對DNS日志或DNS流量進行過濾，將非法記錄刪除，為后續特征提取減少數據處理量；對過濾后DNS日志或流量記錄進行字段提取操作，進行特征提取，提取的特征包括：A記錄數、國家數、ASN數、查詢響應時間、查詢響應包的大小；根據樣本的類型，對正常域名和Fast?flux域名進行標記；使用已標記的數據樣本進行訓練，通過集成思想生成最終強分類器；對檢測數據進行預處理，得到最終的樣本，并使用最終強分類器進行檢測，生成分類結果。通過對DNS日志和流量進行分析，提取查詢響應時間、響應包大小新特征，減低了對CDN域名的誤報，提高了對Fast?flux域名的檢測效率。

技術領域

本發明涉及域名檢測技術領域，具體為基于集成學習的Fast-flux域名檢測方法。

背景技術

僵尸網絡是由一群被惡意軟件感染的主機和控制它們的CC(命令與控制)信道組成的網絡，其可以被用于DDoS攻擊、垃圾郵件、點擊欺詐和比特幣采集等。這些攻擊對網絡、商業、能源都可能造成威脅。近些年年我國有大量主機感染僵尸程序成為僵尸主機，受國內外的僵尸服務器支配。根據國家互聯網應急中心統計，2015年我國境內被僵尸程序感染主機數量為1978萬臺，控制它們的僵尸服務器在境外逐漸增多，境內因為打擊而減少。所以僵尸主機的發現，僵尸服務器與僵尸主機聯系的切斷，僵尸程序的清理，僵尸程序傳播的抑制是我國一個需要解決的問題。

在早期的僵尸網絡中，控制者通常會把CC服務器的域名或者IP地址硬編碼到惡意程序中，僵尸主機通過這些信息定時訪問CC主機獲取命令。但同時安全人員也能夠通過逆向惡意程序，得到CC服務器的域名或者IP，利用這些信息定位CC主機，安全人員就可以隔斷CC主機從而破壞僵尸網絡。不少控制者為了保護CC主機，使用Fast-flux技術和Domain-flux技術來提高CC服務器的健壯性。

Fast-flux技術是指一個域名擁有一個不斷變化的IP地址列表，這個列表可能會有幾百到上千條。為了實現頻繁的變化IP地址，控制者提供最底層域名服務器，這個服務器會返回頻繁變化的CC服務器IP地址。由于域名不斷地變化，安全人員很難根據追蹤得到CC主機的IP地址，無法破壞僵尸網絡主機。

目前從方法角度分類，僵尸網絡檢測使用的方法可分為閾值法和基于機器學習的方法。使用閾值的方法，一般是在所用特征可以將樣本投射到人類可以分析的空間范圍內的時候，這種情況對特征要求較高，且維度不宜過大。機器學習的方法可以處理更加復雜的情況，適用性也比較廣，所以得到了更多的應用。

現有文獻《基于DNS記錄特征和CART的Fast-flux惡意域名識別研究和實現》提出了從DNS日志中記錄特征利用CART算法構建決策樹的檢測方法，下面結合圖1，對方法流程進行描述。

本方法步驟如下圖1所示：

步驟1：接收DNS日志數據。

步驟2：對DNS日志數據進行預處理操作，刪除非法DNS日志記錄。

步驟3：將預處理之后的數據與現有的正常域名、CDN域名、Fast＝Flux域名進行比照，判斷是否有相同的部分。

步驟4：對預處理之后的數據進行特征提取，提取的特征包括：域名對應的IP數、IP所在地理位置的經緯度、TTl、域名長度、域名對應的IP數、IP所在地理位置的經緯度、響應時間波動率，后三個特征用來檢測CDN域名。提取完特征后，形成樣本。

步驟5：利用訓練樣本使用CART算法生成決策樹，使用CART算法生成決策樹過程如下：5-1、設結點的訓練數據集為D，計算現有特征對該數據集的Gini系數。此時，對每一個特征A，對其可能取的每個值a，根據樣本點對A＝a的測試為“是”或“否”將D分割成D1和D2兩部分，計算A＝a時的Gini系數。