[发明专利]恶意域名检测设备、系统和方法

说明书

本发明涉及恶意域名的检测，特别是由域名生成算法生成的恶意域名的检测。因此，本发明提供了一种设备、系统和方法。所述设备用于接收完全限定域名(Fully‑Qualified Domain Name，FQDN)和公共后缀索引作为输入。所述设备可以根据所述公共后缀索引确定所述FQDN中的公共后缀序列和域字符序列。然后，所述设备用于对所述公共后缀序列进行处理，以得到指示所述FQDN是否恶意的第一结果；对所述域字符序列进行处理，以得到指示所述FQDN是否恶意的第二结果；以及对所述第一结果和所述第二结果进行合并，并根据所述合并的结果判断所述FQDN是否恶意。

技术领域

本发明大体上涉及恶意软件检测，尤其涉及恶意域名的检测。本发明尤其关于识别由域名生成算法（Domain Generation Algorithm，DGA）生成的恶意域名。为此，本发明提出一种恶意域名检测设备、系统和方法。

背景技术

许多僵尸网络、木马以及其他新的恶意软件家族使用DGA生成大量域名以连接到指挥与控制（command and control，CC）服务器。较老的恶意软件家族依赖于静态的域列表或IP地址列表，这些静态列表被硬编码在运行在感染主机上的恶意软件代码中。一旦发现给定的恶意软件，就可以通过阻止到这些网络地址的连接来使所述恶意软件无效，从而阻止所述感染主机和所述CC服务器之间的进一步通信。然而，从Kraken僵尸网络（2008年发布）开始，较新的恶意软件家族开始使用DGA来规避此类下架尝试。这些恶意软件不依赖于固定的域列表或IP地址列表，而是执行一种用于生成大量（每天多达数万个）可能的域名的算法，并尝试连接到这些生成的域中的一部分，直到找到工作服务器。

检测和阻止这些较新的使用DGA的恶意软件家族存在以下几个挑战：

·每个DGA算法使用其不同的语法和不同的散播机制（时间、货币汇率等）。

·某些DGA使用已知（例如，英语）词语（abobehaven.net、actionfight.net等）的组合。

·某些DGA故意与良性域（wdmlmofa.net、yahoo.com、finlwx.com）碰撞。

·域名系统（DNS）查找查询的频率可能会有很大差异。

有若干种可能的技术以识别恶意域：

·将域加入黑名单：这是一个完全被动的方法，误报率几乎为零。

·启发式方法：通过将DGA的词汇结构或查询点建模到一个不存在的域来识别所述DGA。这些启发式方法需要在大时间窗内积累数据，并不能真正有利于对恶意软件的实时检测。

·基于浅层机器学习的方法，如聚类算法和分类算法的组合。这些方法使用大量的良性域和恶意域的集合，以建立域分类器。

·基于深度神经网络（Deep Neural Network，DNN）的算法。这些算法表现出最佳的性能和准确性：

n DGA检测的基于递归神经网络（RNN）的第一种实现方式提出了一种基于单热的、仅使用域信息的单向RNN。

n然后，通过实现双向RNN、添加密集前馈层以及预测DGA的类型（例如，Suppobox）来扩展该实现方式。

n也比较了基于DNN的RNN和卷积神经网络（Convolutional Neural Network，CNN）模型与浅层学习随机森林模型。

然而，所有这些技术（包括DNN）都没有普遍地推广到未被发现的DGA，而且基本上只能识别先前发现的攻击。有几种类型的DGA即使存在于训练集中，这些技术也无法识别。

总之，所有技术都有局限性，即，对于先前无法检测和未被发现的DGA，它们的检测率非常低。

发明内容