[发明专利]一种基于类自然语言特征的算法生成域名检测方法

说明书

本发明公开了一种基于类自然语言特征的算法生成域名检测方法，包括以下步骤：步骤1：选取域名语料库，并针对域名语料库使用特征提取模块进行特征提取；步骤2：针对域名语料库进行参数学习，得到各项特征的系统参数，获得基于语料库的检测模型；步骤3：通过数据包嗅探模块获取DNS服务器的请求域名信息；步骤4：根据请求域名信息使用特征提取模块进行特征提取；步骤5：在真实环境中根据检测模型对域名进行检测。本发明可以检测出层出不穷的新型算法生成域名，对域名进行分级分别对每级域名进行特征提取，提高了检测的精确度。

技术领域

本发明涉及算法生成域名检测领域，特别是一种基于类自然语言特征的算法生成域名检测方法。

背景技术

域名系统是互联网中连接用户与互联网的桥梁，但由于其本身协议设计的脆弱性，大量的恶意行为通过域名系统进行控制和攻击，例如僵尸网络、木马病毒及高级持续威胁(Advanced Persistent Threat，APT)攻击等。同时，在网络攻击中大量使用了DNS定位技术、快速域名变换技术等域名生成技术，因此对生成域名进行检测显得尤为重要。目前，针对算法生成域名的检测主要可以分为以下两类：1)基于DNS交互报文进行实时或准实时的深度报文检测(Deep Packet Inspection，DPI)检测方法；2)基于域名字符串本身的特征进行检测。

基于DNS交互报文进行实时或准实时的DPI检测方法主要基于DNS的通信行为、活动特征等进行检测，从而达到对算法生成域名的检测。比如，通过挖掘恶意域名有别于合法域名的通信特征以发现恶意域名；通过观察域名的字符组成及其查询请求者的相似性来聚类和检测僵尸网络使用的域名；通过统计域名查询请求的时间分布、域名映射IP地址的空间分布、生存时间值(Time To Live，TTL)时间长短以及域名字面特征，发现恶意域名等。

基于域名字符串词法特征进行检测的方法主要是指通过提取域名的词法特征使用机器学习的方法实现算法生成域名的检测。比如：通过统计URL长度、主机名长度、点的数目来检测钓鱼网站和邮件广告使用的恶意URL；通过字频分布特征以及二元组的频率分布特征借助Kullback-Leibler差异(Kullback-Leibler Divergence，KL距离)等距离测度算法进行检测；通过扩展语言学特征识别算法生成域名等。

当前针对算法生成域名的检测方法，根据实时或准实时的DPI检测方法，大部分针对特定攻击或特定环境其通用性较差；根据域名字符串词法特征进行检测的方法，部分是针对特定域名生成算法，其检测精度较低，部分检测方法需要依赖于庞大的语料库，具有较高的空间开销和计算复杂度。然而随着网络及应用环境日趋复杂，原有策略难以适应现有海量数据环境下层出不穷的恶意域名生成算法，因此提高生成域名检测方法的通用性和准确度以满足现有环境要求是亟待解决的问题。

发明内容

本发明所要解决的技术问题是提供一种基于类自然语言特征的算法生成域名检测方法，解决针对特定攻击或特定环境其通用性较差的问题，可以检测出层出不穷的新型算法生成域名，对域名进行分级分别对每级域名进行特征提取，提高检测的精确度。

为解决上述技术问题，本发明采用的技术方案是：

一种基于类自然语言特征的算法生成域名检测方法，包括以下步骤：

步骤1：选取域名语料库，并针对域名语料库使用特征提取模块进行特征提取；

步骤2：针对域名语料库进行参数学习，得到各项特征的系统参数，获得基于语料库的检测模型；

步骤3：通过数据包嗅探模块获取DNS服务器的请求域名信息；

步骤4：根据请求域名信息使用特征提取模块进行特征提取；

步骤5：在真实环境中根据检测模型对域名进行检测。

进一步的，所述特征提取模块计算过程为：