基于多元属性特征的恶意域名检测

发布时间：2020-03-04 05:56

【摘要】：域名系统主要提供域名解析功能,完成域名到IP的转换,而恶意域名检测主要用来发现以域名系统为屏障的非法行为,来保障域名服务器的正常运行。总结了恶意域名检测的相关工作,并采用基于机器学习的方法,提出一种基于多元属性特征的恶意域名检测方法。在域名词法特征方面,提取更加细粒度的特征,比如数字字母的转换频率、连续字母的最大长度等;在网络属性特征方面,更加关注名称服务器,比如其个数、分散度等。实验结果表明,该方法的准确率、召回率、F1值均达到了99.8%,具有较好的检测效果。
【图文】：

过程图,域名解析,过程,域名

com”服务器。4)“xxx．com”服务器中存在“taobao．xxx．com”域名，则返回其IP地址。5)用户连接到假冒的网站“taobao．xxx．com”，该网站可能是一个钓鱼网站。图1恶意域名解析过程通过图1可以看到，恶意域名的解析是其他非法活动的重要一环。倘若能够在解析阶段发现可疑的恶意域名，便能将威胁限制在极小的范围之内。1．2相关研究近年来，已经有一些学者、企业、机构等对恶意域名进行了相关研究。Bilge等［3］把“涉及恶意活动的域名滥用行为”定义为恶意域名。CNCEＲT/CC在报告［2］中重点关注涉及网络钓鱼、网页挂马、僵尸网络的恶意域名。目前，针对恶意域名的检测方法可以分为主动分析、被动分析两种。主动分析方法一般包括DNS探测、网页内容分析、人工判断。文献［4］提出一种基于DNS探测的检测方法，需要事先对每一个统一资源定位符(UniformＲesoureLocator，UＲL)进行探测;文献［5］通过对网页内容进行分析来判断是否为恶意域名;人工判断则通过人力来对域名进行分析，进而作出判断。由此可见，主动分析的方法通常需要较高的分析代价，分析效率相对较低。为此，，Weimer［6］在2005年提出了基于被动分析的恶意域名检测方法。目前，学术界对于恶意域名检测方法的研究主要基于被动分析方法，如图2所示。图2恶意域名检测方法分类基于被动分析的恶意域名检测方法可以分为基于匹配、基于机器学习和基于图的方法。本文分析了已有的基于机器学习的检测方法，并将通常选择的特征进行了分类和比较，如表1所示。基于匹配的方法，需要事先维护一个黑名单，通过恶意域名黑名单来匹配恶意域名;基于机器学习的方法是目前研究的热点［3，7］，通过提取特征、建立分类模型来来检测恶意域名;基于图的方法可以挖掘

域名,检测方法

治觥⒈欢犰治隽街帧Ｖ鞫犰治?方法一般包括DNS探测、网页内容分析、人工判断。文献［4］提出一种基于DNS探测的检测方法，需要事先对每一个统一资源定位符(UniformＲesoureLocator，UＲL)进行探测;文献［5］通过对网页内容进行分析来判断是否为恶意域名;人工判断则通过人力来对域名进行分析，进而作出判断。由此可见，主动分析的方法通常需要较高的分析代价，分析效率相对较低。为此，Weimer［6］在2005年提出了基于被动分析的恶意域名检测方法。目前，学术界对于恶意域名检测方法的研究主要基于被动分析方法，如图2所示。图2恶意域名检测方法分类基于被动分析的恶意域名检测方法可以分为基于匹配、基于机器学习和基于图的方法。本文分析了已有的基于机器学习的检测方法，并将通常选择的特征进行了分类和比较，如表1所示。基于匹配的方法，需要事先维护一个黑名单，通过恶意域名黑名单来匹配恶意域名;基于机器学习的方法是目前研究的热点［3，7］，通过提取特征、建立分类模型来来检测恶意域名;基于图的方法可以挖掘新的恶意域名，但是相关研究较少［13－14］。表1相关论文的特征选取类型方法所来自的文献序号［3］［7］［8］［9］［10］［11］［12］UＲL√√——√——whois—√———√—TTL√—√√—√√A记录√—√√—√√AS———√—√√生存时间————√√—注:“√”表示文献方法使用了对应的类型特征“—”表示文献方法未使用对应的类型特征。AS为自治系统(Autonomoussystem)。而基于机器学习的方法无需人工过多干预，大大降低了分析成本，并且该方法无需维护黑名单，可以检测黑名单以外的恶意域名。恶意域名通常具有域名伪装、页面内容伪装、生命周期短、域名频繁跳变、A记录频繁跳?

【相似文献】