[发明专利]一种僵尸主机检测方法

权利要求书

1.一种僵尸主机检测方法，其特征在于，包括：

捕获域名系统DNS流量，从所述DNS流量中提取被动DNS数据，并获取主机从DNS服务器查询域名的DNS协议元数据；

对于提取的被动DNS数据，过滤掉合法域名及所述合法域名的被动DNS数据；将过滤后剩余的被动DNS数据作为僵尸主机待检测数据；

对所述待检测数据中的目标域名进行编码，利用预设检测模型对编码后的所述目标域名进行检测，输出最高概率的僵尸网络家族名称作为所述目标域名的分类结果；

在指定的时间窗口内，通过僵尸网络家族的域名检测僵尸网络受控主机和僵尸网络命令控制服务器；

所述方法之前还包括：

获取训练数据，所述训练数据包括僵尸网络家族域名集合和合法域名集合；

建立学习网络模型，并设置所述学习网络模型的网络结构参数和训练参数；

对于所述僵尸网络家族域名集合和合法域名集合进行编码；

利用编码后的所述僵尸网络家族域名集合和合法域名集合训练学习网络模型；

并对所述学习网络模型进行交叉验证评估，获取预设检测模型；

其中，建立学习网络模型，并设置所述学习网络模型的网络结构参数和训练参数包括：

从自然语言处理领域的深度学习模型中，通过预测试选择域名分析的学习网络模型；

设置所述学习网络模型的网络结构参数和训练权重；

构造所述学习网络模型的输入层，设置输入层参数；

构造所述学习网络模型的嵌入层，设置嵌入层参数；

构造所述学习网络模型的卷积层，所述卷积层设置卷积滤波器集合，所述卷积滤波器集合用于获取僵尸网络CC通信的DGA特征；

构造所述学习网络模型的递归神经元网络层，设置递归神经元网络层参数；

构造所述学习网络模型的丢弃层，设置丢弃层参数；

构造所述学习网络模型的密集全连接层，设置全连接层参数；

构造所述学习网络模型的输出层，设置输出层参数；

所述对于所述僵尸网络家族域名集合和合法域名集合进行编码包括：

用随机数初始化所述学习网络模型的递归神经元网络层所有的参数/权重；

在所述学习网络模型的输入层，读取合法域名列表和多个僵尸网络家族列表，获取所述僵尸网络家族和合法域名的域名信息和标注信息；

在所述学习网络模型的嵌入层，对于所述僵尸网络家族域名和合法域名，根据域名集合最大长度l_max，以及域名集合中出现的字符集合Z进行编码；

所述对所述待检测数据中的目标域名进行编码包括：根据域名集合最大长度，以及域名集合中出现的字符集合对所述待检测数据中的目标域名进行编码，将所述目标域名转换为具有固定大小的向量。

2.如权利要求1所述的检测方法，其特征在于：预设检测模型为：

通过迭代深度学习获得的分类模型，用于僵尸受控主机检测和/或命令控制服务器检测和/或僵尸恶意代码家族检测。

3.如权利要求1所述的检测方法，其特征在于：获取训练数据包括：

通过对僵尸网络样本库的样本进行家族分类，获取各僵尸网络家族的样本集合；

对各僵尸网络家族的样本进行逆向，获取DGA域名生成算法；

对于无法逆向的僵尸网络恶意代码样本，使用沙箱捕获用于命令控制CC通讯的DGA域名；

使用分布式爬虫获取DGA域名和僵尸网络家族的标注；

基于生成式对抗网络GAN，利用沙箱获取的DGA域名和爬取的DGA域名训练CC通信域名生成模型；

通过所述CC通信域名生成模型生成僵尸网络恶意代码家族域名；

获取合法域名集合。

4.如权利要求1所述的检测方法，其特征在于：利用编码后的所述僵尸网络家族域名集合和合法域名集合训练学习网络模型包括：

将递归神经元网络层将嵌入层的输出张量作为输入，该所述递归神经元网络层选择使用门限机制，通过防止梯度消失原则使得递归神经元网络层具有学习长程依赖；

对于密集全连接层，使用激励函数作为输出层的多层感知机，所述全连接层用嵌入层和递归神经元网络层的输出的特征进行分类；

对于输出层，输出待检测域名被判定为僵尸网络家族CC通信和合法域名的概率，通过编码映射方法和排序方法，获取检测结果。