本發(fā)明公開了一種基于聚類和關聯(lián)情報的DGA域名檢測分析方法和系統(tǒng)，方法包括：獲取DNS的統(tǒng)計數(shù)據(jù)，并在統(tǒng)計數(shù)據(jù)范圍內獲取疑似DGA域名，抽取疑似DGA域名的行為和文本特征，并生成疑似DGA域名的聚類標簽，并基于所述聚類標簽劃分疑似DGA域名的DGA家族，并使用解析IP數(shù)量過濾刪減所述DGA家族，以獲得所述DGA家族中保留下來的DGA域名；從而在DGA家族中保留下來的DGA域名范圍內，使用域名創(chuàng)建時間和威脅情報信息過濾疑似DGA域名。這樣，該方法和系統(tǒng)能夠準確對DGA域名進行檢測和研判，通過聚類分析和情報檢測，可以檢測出活躍且價值較高的DGA域名，實現(xiàn)對DGA域名的有效檢測和研判，具有較高的檢測準確性。

技術領域

本發(fā)明涉及網(wǎng)絡安全技術領域，具體涉及一種基于聚類和關聯(lián)情報的DGA域名檢測分析方法和系統(tǒng)。

背景技術

動態(tài)域名生成算法能夠有效地生成偽隨機域名，惡意軟件使用該域名連接其所用的命令控制服務器(Command and Control server，C2)，不僅可有效地繞過黑名單檢測，而且可以在命令控制服務器地址變更或部分失效時仍然可以連接服務器，提高了惡意軟件通信連接的可靠性。該算法是實現(xiàn)惡意軟件的關鍵技術，破解該技術可有效地檢測惡意軟件，對于提升信息安全防護水平有著重要意義。

目前，工業(yè)和學術界對DGA(Domain Generation Algorithm，DGA)域名的檢測方法進行了深入研究，盡管模型在實驗測試中表現(xiàn)出來良好的效果，但在工程應用中，即使很小的誤報率在海量的數(shù)據(jù)中也會產(chǎn)生大量的結果，對誤報進行有效的篩出是一項具有挑戰(zhàn)性的工作；另外，一般的檢測方法只是檢測域名是否是DGA域名，即使采用多分類的方法對域名進行分類，準確性也不高，特別是在出現(xiàn)新DGA域名時會出現(xiàn)誤判，因此，對DGA域名進行家族聚類是一項在工程應用中亟待解決的問題；最后，DGA域名絕大部分是無解析IP的域名，分析海量的DGA域名將會產(chǎn)生大量的工作量，如果有效過濾出活躍的DGA域名是工程應用中最重要的問題。

因此，提供一種基于聚類和關聯(lián)情報的DGA域名檢測分析方法和系統(tǒng)，以期實現(xiàn)DGA域名的清洗、家族聚類和DGA域名自動篩選，從而提高惡意軟件的檢測準確性，就成為本領域技術人員亟待解決的問題。

發(fā)明內容

為此，本發(fā)明提供一種基于聚類和關聯(lián)情報的DGA域名檢測分析方法和系統(tǒng)，以便能夠實現(xiàn)DGA域名的清洗、家族聚類和DGA域名自動篩選，從而提高惡意軟件的檢測準確性。

為了實現(xiàn)上述目的，本發(fā)明提供一種基于聚類和關聯(lián)情報的DGA域名檢測分析方法，所述方法包括：

獲取DNS的統(tǒng)計數(shù)據(jù)，并在統(tǒng)計數(shù)據(jù)范圍內獲取疑似DGA域名；

抽取疑似DGA域名的行為和文本特征，并生成疑似DGA域名的聚類標簽；

基于所述聚類標簽劃分疑似DGA域名的DGA家族，并使用解析IP數(shù)量過濾刪減所述DGA家族，以獲得所述DGA家族中保留下來的DGA域名；

在DGA家族中保留下來的DGA域名范圍內，使用域名創(chuàng)建時間和威脅情報信息過濾疑似DGA域名。

進一步地，所述獲取DNS的統(tǒng)計數(shù)據(jù)，并在統(tǒng)計數(shù)據(jù)范圍內獲取疑似DGA域名，具體包括：

在預先設定的DNS流量出入口獲取DNS流量數(shù)據(jù)，并對預設時間段內的DNS流量數(shù)據(jù)進行統(tǒng)計計算，以獲取DNS統(tǒng)計數(shù)據(jù)；

基于獲取的DNS統(tǒng)計數(shù)據(jù)，使用深度學習或機器學習算法檢測出疑似DGA域名。

進一步地，所述抽取疑似DGA域名的行為和文本特征，具體包括：

基于檢測出的疑似DGA域名，利用DNS統(tǒng)計數(shù)據(jù)中DNS全域名抽取出疑似DGA域名的文件特征；

抽取DNS統(tǒng)計數(shù)據(jù)中的域名訪問量和/或訪問終端數(shù)作為行為特征。