亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種自動生成的域名的檢測方法及系統(tǒng)的制作方法

文檔序號:9399239閱讀:390來源:國知局
一種自動生成的域名的檢測方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于網(wǎng)絡(luò)安全檢測領(lǐng)域,具體涉及到一種通過算法自動生成的域名的檢測 方法及系統(tǒng)。
【背景技術(shù)】
[0002] 域名通常為人為制定,且一個站點的對應(yīng)的域名通常不做頻繁改動。而算法自動 生成的域名是指通過計算機根據(jù)域名生成算法,并結(jié)合當前時間自動產(chǎn)生的。當前,部分攻 擊者采用了算法自動生成域名技術(shù)來提高僵尸網(wǎng)絡(luò)或者fast flux網(wǎng)絡(luò)的生存性。由于新 域名隨機生成,且可每天變換,因而傳統(tǒng)的黑名單機制無法防御,大大增加了檢測與處置的 難度。
[0003] 當前對算法自動生成的檢測方法主要通過機器學(xué)習(xí)的策略進行,通過訓(xùn)練出來的 檢測模型進行檢測。該方法的不足在于需要有足夠多,且需要各類生成算法的惡意域名樣 本(即,算法自動生成的域名樣本)。該類樣本不易獲得,且不易覆蓋各類生成情況。

【發(fā)明內(nèi)容】

[0004] 針對現(xiàn)有技術(shù)中存在的技術(shù)問題,本發(fā)明的目的在于提供一種算法自動生成域名 的檢測方法,本發(fā)明只需要正常域名作為樣本,樣本較易獲得。與已有的基于機器學(xué)習(xí)的方 法相比,訓(xùn)練和檢測過程更加簡單快捷,能夠滿足在線檢測的需要。
[0005] 本發(fā)明的技術(shù)方案為:
[0006] -種自動生成的域名的檢測方法,其步驟為:
[0007] 1)建立一樣本集合,其中,樣本集合中的樣本域名均為正常域名;對于樣本集合 中的每一樣本域名:
[0008] 11)層域名長度異常訓(xùn)練子模塊統(tǒng)計該樣本域名的各層域名的長度分布,然后根 據(jù)所述異常分布計算各層域名的長度異常度;
[0009] 12)字符跳轉(zhuǎn)異常訓(xùn)練子模塊統(tǒng)計該樣本域名的各層域名內(nèi)字符間的跳轉(zhuǎn)概率, 然后根據(jù)所述跳轉(zhuǎn)概率計算對應(yīng)層域名的字符跳轉(zhuǎn)異常度;
[0010] 13)熵異常訓(xùn)練子模塊統(tǒng)計并計算該樣本域名中各字符在各層域名中的熵異常度 值,并計算各層域名中的字符熵異常度;
[0011] 14)域名異常度綜合訓(xùn)練子模塊根據(jù)上述計算得到的長度異常度、字符跳轉(zhuǎn)異常 度和字符熵異常度計算得到該樣本域名的總異常度;
[0012] 2)域名異常度綜合訓(xùn)練子模塊根據(jù)所有樣本域名的總異常度設(shè)定一異常度閾 值;
[0013] 3)檢測模塊計算待檢測域名的總異常度,如果該值大于設(shè)定異常度閾值,則認為 該待檢測域名為自動生成的域名。
[0014] 進一步的,所述層域名熵異常度的計算方法:設(shè)第j層域名的熵異常度為DOTtropy, CN 105119876 A 說明書 2/5 頁 則
其中,M為該樣本域名第j層域名中的不同字符數(shù),P1為字符 i的統(tǒng)計概率。
[0015] 進一步的,所述字符跳轉(zhuǎn)異常度的計算方法為:設(shè)第j層域名的字符跳轉(zhuǎn)異常度 為】
·,其中,N是指該樣本域名第j層域名中的字符數(shù)量,第k個 字符對的跳轉(zhuǎn)異常度
MXent是第j層域名中所有字符的跳轉(zhuǎn)次數(shù)最大 值,Cntu是第j層域名中第k個字符對從第i個字符到第j字符的跳轉(zhuǎn)次數(shù)。
[0016] 進一步的,長度為i的層域名長度異常度
Cnt1S該樣本域名中 長度為i的層域名的數(shù)量,相同長度的層域名的數(shù)量最大值為CntMAX。
[0017] 進一步的,該樣本域名中第1層域名的異常度為 α +β + γ = 1〇
[0018] 進一步的,該樣本域名的總體異常度Z
L為該樣本域名的層域名數(shù)。
[0019] -種自動生成的域名的檢測系統(tǒng),其特征在于,包括訓(xùn)練模塊和檢測模塊;其中, 訓(xùn)練模塊包括層域名長度異常訓(xùn)練子模塊、字符跳轉(zhuǎn)異常訓(xùn)練子模塊、熵異常訓(xùn)練子模塊 和域名異常度綜合訓(xùn)練子模塊;
[0020] 層域名長度異常訓(xùn)練子模塊,用于統(tǒng)計每一樣本域名的各層域名的長度分布,然 后根據(jù)所述異常分布計算各層域名的長度異常度;
[0021] 字符跳轉(zhuǎn)異常訓(xùn)練子模塊,用于統(tǒng)計每一樣本域名的各層域名內(nèi)字符間的跳轉(zhuǎn)概 率,然后根據(jù)所述跳轉(zhuǎn)概率計算對應(yīng)層域名的字符跳轉(zhuǎn)異常度;
[0022] 熵異常訓(xùn)練子模塊,用于統(tǒng)計并計算每一樣本域名中各字符在各層域名中的熵異 常度值,并計算各層域名中的字符熵異常度;
[0023] 域名異常度綜合訓(xùn)練子模塊,用于根據(jù)上述計算得到的長度異常度、字符跳轉(zhuǎn)異 常度和字符熵異常度計算得到每一樣本域名的總異常度,然后根據(jù)所有樣本域名的總異常 度設(shè)定一異常度閾值;
[0024] 所述檢測模塊用于計算待檢測域名的總異常度,如果該值大于設(shè)定異常度閾值, 則認為該待檢測域名為自動生成的域名。
[0025] 與現(xiàn)有技術(shù)相比,本發(fā)明的積極效果為:
[0026] 本發(fā)明中的技術(shù)及系統(tǒng)能夠滿足在線實時處理的需求,訓(xùn)練簡單,檢測快捷,精度 較高,具有較好的實用性,如表1。
[0027] 表1為本發(fā)明檢測結(jié)果表
[0028] υ?Ν 丄 uuiidOiO λ J o/ o

【附圖說明】
[0029] 圖1為本發(fā)明的系統(tǒng)流程圖;
[0030] 圖2為本發(fā)明系統(tǒng)結(jié)構(gòu)圖;
[0031] 圖3為本發(fā)明檢測實例流程圖;
[0032] 圖4為本發(fā)明部署方式一結(jié)構(gòu)圖;
[0033] 圖5為本發(fā)明部署方式二結(jié)構(gòu)圖。
【具體實施方式】
[0034] 以下結(jié)合附圖對本發(fā)明的原理和特征進行描述,所舉實例只用于解釋本發(fā)明,并 非用于限定本發(fā)明的范圍。
[0035] 本發(fā)明公開了一種算法自動生成的檢測方法及系統(tǒng)。該系統(tǒng)基于已有正常域名, 訓(xùn)練得到合法域名的行為輪廓,通過對可疑域名的異常度進行計算,能夠有效發(fā)現(xiàn)算法自 動生成的域名。
[0036] (1)該系統(tǒng)流程圖如圖1所示:系統(tǒng)包括兩個主要的處理流程:訓(xùn)練過程和檢測過 程。通過對合法域名的訓(xùn)練,得到合法域名的異常度閾值;計算待檢測域名的域名可疑度, 如果該值大于異常度閾值,則認為是算法自動生成的域名。
[0037] (2)該系統(tǒng)模塊如圖2所示。該系統(tǒng)包括訓(xùn)練模塊和檢測模塊。訓(xùn)練模塊包括: 層域名長度異常訓(xùn)練子模塊、字符跳轉(zhuǎn)異常訓(xùn)練子模塊、熵異常訓(xùn)練子模塊和域名異常度 綜合訓(xùn)練子模塊。檢測模塊包括:層域名長度異常檢測子模塊、字符跳轉(zhuǎn)異常檢測子模塊、 熵異常檢測子模塊和域名異常度綜合檢測子模塊。
[0038] 具體各子模塊功能如下:
[0039] (1)層域名長度異常訓(xùn)練子模塊:統(tǒng)計每一樣本域名的各層域名的長度分布,并 計算正常域名的各層長度異常度。我們所有的樣本均是正常域名。
[0040] (2)字符跳轉(zhuǎn)異常訓(xùn)練子模塊:統(tǒng)計得到各字符間的跳轉(zhuǎn)概率,并計算各層正常 域名中的字符跳轉(zhuǎn)異常度。比如對www. sina. com. cn而言,cn是第一層,com是第二層,sina 是它的第三層域名。我們關(guān)注第三層域名,假設(shè)在統(tǒng)計了樣本的第三層域名字符跳轉(zhuǎn)后,S 后面跟著i的次數(shù)是NI,s后面跟著所有字符的次數(shù)(包括跟著i)是N,則s后跟i的跳 轉(zhuǎn)概率是N1/N。對于其他的熵異常或者長度異常,也都是指在統(tǒng)計某層域名中的概率。
[0041] (3)熵異常訓(xùn)練子模塊:統(tǒng)計并計算各字符在各層域名中的熵異常度值,并計算 各層正常域名中的字符熵的異常度。
[0042] (4)域名異常度綜合訓(xùn)練子模塊:基于字符跳轉(zhuǎn)異常訓(xùn)練子模塊、熵異常訓(xùn)練子 模塊和域名異常度綜合訓(xùn)練子模塊的異常度計算結(jié)果,計算得到正常域名的各層域名的異 常度,進而計算得到正常域名的總異常度。最終設(shè)定域名的異常度閾值。
[0043] (5)層域名長度異常檢測子模塊:根據(jù)層域名長度異常訓(xùn)練模塊訓(xùn)練得到的各層 域名的長度分布,計算可疑域名的各層長度異常度。
[0044] (6)字符跳轉(zhuǎn)異常檢測子模塊:根據(jù)字符跳轉(zhuǎn)異常訓(xùn)練子模塊統(tǒng)計得到各字
當前第1頁1 2 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1