基于域名关联的恶意移动应用检测研究
发布时间:2021-02-23 00:17
为实现对恶意移动应用的准确检测以保障移动设备安全,提出一种基于域名关联的恶意移动应用检测方法。以DNS域名为检测分析对象识别网络流量中的恶意域名,利用DNS请求流量的时间特征寻找恶意域名的相关联域名,并将关联域名与文本分类样本库进行比对,确定恶意移动应用名称。实验结果表明,该方法可有效用于移动设备的安全防护,其在公开测试数据集中的检测率达到97.1%,在实际网络的部署运行中共检测出13款恶意移动应用,且误报数量为0。
【文章来源】:计算机工程. 2020,46(05)北大核心
【文章页数】:7 页
【部分图文】:
本文检测方法整体流程
关于DNS恶意域名的判别,研究者已提出多种有效方法,如基于知识、基于机器学习等方法[24]。本文在现有工作基础上,采用一种本地与远程相结合的方法进行恶意域名的判别。首先将DNS域名与本地黑名单库进行比对,若存在,则判断为恶意域名。本地黑名单库可简单存储为文本文件,易于部署实现,其示例如图2所示。若域名不存在于本地黑名单库中,则继续查询远程服务器,如Virustotal(https://www.virustotal.com/)等。Virustotal集成了70多种安全扫描引擎,且特征库实时更新,可以准确有效地检测出恶意域名。由于Virustotal同时给出多个扫描引擎的检测结果,需要对检测结果进行综合分析处理。在本文工作中,对于待检测域名U,若有一项及以上检测结果标注为恶意,则判断U为恶意域名;否则,判断U为合法域名。如图3所示,对于域名ytfkch.com,67个检测引擎中只有CyRadar的检测结果为恶意。本文仍将其判别为恶意域名,从而减少漏报。
若域名不存在于本地黑名单库中,则继续查询远程服务器,如Virustotal(https://www.virustotal.com/)等。Virustotal集成了70多种安全扫描引擎,且特征库实时更新,可以准确有效地检测出恶意域名。由于Virustotal同时给出多个扫描引擎的检测结果,需要对检测结果进行综合分析处理。在本文工作中,对于待检测域名U,若有一项及以上检测结果标注为恶意,则判断U为恶意域名;否则,判断U为合法域名。如图3所示,对于域名ytfkch.com,67个检测引擎中只有CyRadar的检测结果为恶意。本文仍将其判别为恶意域名,从而减少漏报。2.3 域名关联
本文编号:3046752
【文章来源】:计算机工程. 2020,46(05)北大核心
【文章页数】:7 页
【部分图文】:
本文检测方法整体流程
关于DNS恶意域名的判别,研究者已提出多种有效方法,如基于知识、基于机器学习等方法[24]。本文在现有工作基础上,采用一种本地与远程相结合的方法进行恶意域名的判别。首先将DNS域名与本地黑名单库进行比对,若存在,则判断为恶意域名。本地黑名单库可简单存储为文本文件,易于部署实现,其示例如图2所示。若域名不存在于本地黑名单库中,则继续查询远程服务器,如Virustotal(https://www.virustotal.com/)等。Virustotal集成了70多种安全扫描引擎,且特征库实时更新,可以准确有效地检测出恶意域名。由于Virustotal同时给出多个扫描引擎的检测结果,需要对检测结果进行综合分析处理。在本文工作中,对于待检测域名U,若有一项及以上检测结果标注为恶意,则判断U为恶意域名;否则,判断U为合法域名。如图3所示,对于域名ytfkch.com,67个检测引擎中只有CyRadar的检测结果为恶意。本文仍将其判别为恶意域名,从而减少漏报。
若域名不存在于本地黑名单库中,则继续查询远程服务器,如Virustotal(https://www.virustotal.com/)等。Virustotal集成了70多种安全扫描引擎,且特征库实时更新,可以准确有效地检测出恶意域名。由于Virustotal同时给出多个扫描引擎的检测结果,需要对检测结果进行综合分析处理。在本文工作中,对于待检测域名U,若有一项及以上检测结果标注为恶意,则判断U为恶意域名;否则,判断U为合法域名。如图3所示,对于域名ytfkch.com,67个检测引擎中只有CyRadar的检测结果为恶意。本文仍将其判别为恶意域名,从而减少漏报。2.3 域名关联
本文编号:3046752
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3046752.html
