若IPiikIPi+1,k+1,只表不它們值相同,但仍為兩個(gè)兀素。
[0111] IP變化次數(shù)為:
[0112] 統(tǒng)計(jì)每次DNS確定惡意域名的結(jié)果返回的一組IP集合發(fā)生變化的頻度,若相鄰兩 次查詢的返回結(jié)果(兩個(gè)IP集合),完全相同,則視為無(wú)變化,否則計(jì)數(shù)加1。
[0113] 查詢失敗的頻度為:當(dāng)沒有成功查詢到域名時(shí),DNS服務(wù)器會(huì)返回NxDomain狀態(tài), 該特征為此狀態(tài)出現(xiàn)的次數(shù)。
[0114] TTL_MIN為:每一個(gè)DNS查詢結(jié)果都附帶一個(gè)TTL屬性,告知緩存服務(wù)器建議在 TTL秒后更新該域名的緩存記錄,最小TTL指N次查詢返回結(jié)果中最小的TTL值。
[0115] TTL_MAX為:N次查詢返回結(jié)果中最大的TTL值。
[0116] TTL_AVG為:N次查詢返回結(jié)果中的TTL值的平均值。
[0117] TTL_STD為:N次查詢返回結(jié)果中的TTL值的標(biāo)準(zhǔn)差。
[0118] 別名個(gè)數(shù)為:一個(gè)域名有時(shí)會(huì)設(shè)置別名,正常域名的別名應(yīng)該是固定的,該特征是 N次查詢返回結(jié)果中出現(xiàn)的別名個(gè)數(shù)。
[0119] 本發(fā)明方法之前還包括:對(duì)靜態(tài)特征集合的惡意域名進(jìn)行高可信判斷和處理,具 體的包括:
[0120] 解析防護(hù)目標(biāo)網(wǎng)絡(luò)的DNS域名,對(duì)解析的DNS域名進(jìn)行黑名單和白名單過(guò)濾;
[0121] 當(dāng)黑名單和白名單過(guò)濾未命中時(shí),提取DNS域名的靜態(tài)特征集合,通過(guò)惡意域名 可信判斷模型對(duì)靜態(tài)特征集合進(jìn)行惡意域名高可信判斷;
[0122] 當(dāng)根據(jù)靜態(tài)特征集合進(jìn)行惡意域名高可信判斷的域名為高可信判斷結(jié)果確定DNS 域名是否為惡意域名,并將確定是否為惡意域名的結(jié)果存到相應(yīng)的黑名單、或白名單中;
[0123] 當(dāng)根據(jù)靜態(tài)特征集合進(jìn)行惡意域名高可信判斷的域名為低可信判斷結(jié)果時(shí),提取 DNS域名的動(dòng)態(tài)特征集合,通過(guò)動(dòng)態(tài)特征的惡意域名可信判斷模型對(duì)動(dòng)態(tài)特征集合進(jìn)行動(dòng) 態(tài)特征的惡意域名高可信判斷。
[0124] 靜態(tài)特征集合至少包含:域名長(zhǎng)度、和/或數(shù)字比例、和/或數(shù)字和字母切換比例、 和/或站點(diǎn)名和主域名長(zhǎng)度比例、和/或連接符的數(shù)量、和/或最大詞長(zhǎng)度、和/或國(guó)家頂 級(jí)域名的類型、和/或國(guó)際頂級(jí)域名的類型、和/或二級(jí)國(guó)際頂級(jí)域名的類型。
[0125] 這里,域名長(zhǎng)度為:完整域名(FQDN)的總長(zhǎng)度,如163.com的長(zhǎng)度為11。
[0126] 數(shù)字比例為:DigitRatio=DigitNum/length,其中DigitRatio為FQDN中數(shù)字的數(shù) 量。
[0127] 數(shù)字與字母切換比例(DigitCharRatio)為:
[0128] 相鄰兩個(gè)字符稱為一個(gè)"相鄰字符對(duì)",若一個(gè)相鄰字符對(duì)中只存在一個(gè)數(shù)字,則 為一個(gè)"數(shù)字與字母切換",該特征為數(shù)字與字母切換總數(shù)與相鄰字符對(duì)總數(shù)的比例。
[0129] 站點(diǎn)名與主域名長(zhǎng)度比例為:SiteRatio=SiteLength/MainDomainLength
[0130] 其中SiteLength為FQDN中站點(diǎn)名稱的長(zhǎng)度,MainDomainLength為主域名的長(zhǎng)度。 如:www. 163.com的站點(diǎn)名稱為www,SiteLength,主域名為 163,MainDomainLength。
[0131] 連接符的數(shù)量(ConnectCharNum)為:FQDN中連接符的個(gè)數(shù)。
[0132] 最大詞長(zhǎng)度(MaxWordLength)為:以小數(shù)點(diǎn)"為分隔符,將FQDN分割為多個(gè)字 符串,其中最長(zhǎng)的字符串的長(zhǎng)度。
[0133] 國(guó)家頂級(jí)域名的類型(CountryCode)為:如"cn","jp"等域名中代表國(guó)家的域名 后綴。
[0134] 國(guó)際頂級(jí)域名的類型(InterCode),如"com","net"等。
[0135] 二級(jí)國(guó)際頂級(jí)域名的類型(Inter2Code),如"edu","gov"等。
[0136] 在現(xiàn)有方法與產(chǎn)品中,惡意域名識(shí)別僅采用基于靜態(tài)特征的惡意域名識(shí)別方法和 基于動(dòng)態(tài)特征的惡意域名識(shí)別方法,沒有將動(dòng)態(tài)特征與靜態(tài)特征進(jìn)行有機(jī)的結(jié)合,并且,現(xiàn) 有的動(dòng)態(tài)特征的惡意域名識(shí)別方法仍然缺乏強(qiáng)關(guān)聯(lián)度的動(dòng)態(tài)特征;本發(fā)明既是針對(duì)上述問(wèn) 題,一方面提出黑白名單過(guò)濾,靜態(tài)特征惡意代碼識(shí)別和動(dòng)態(tài)特征惡意代碼識(shí)別相結(jié)合的 三層結(jié)構(gòu)、通過(guò)實(shí)時(shí)的黑白名單,對(duì)建立靜態(tài)特征的惡意域名可信判斷模型的黑名單根據(jù) 預(yù)先設(shè)置的靜態(tài)特征過(guò)濾;在動(dòng)態(tài)特征的惡意域名可信判斷模型時(shí)引入了IP信息熵等關(guān) 聯(lián)性較強(qiáng)的動(dòng)態(tài)特征,使惡意域名的識(shí)別效率得到提高,同時(shí)基于三層結(jié)構(gòu)的黑白名單實(shí) 時(shí)惡意域名識(shí)別結(jié)果自動(dòng)更新,其惡意域名的識(shí)別效果較現(xiàn)有的惡意域名識(shí)別方法有所提 升。
[0137] 在進(jìn)行靜態(tài)特征集合的惡意域名高可信判斷之前,本發(fā)明方法還包括:將白名單 與黑名單通過(guò)支持向量機(jī)SVM建立靜態(tài)特征集合的惡意域名可信判斷模型。
[0138] 白名單包括:取Alexa列表中排名靠前的域名作為白名單;這里,取Alexa列表中 排名靠前的域名包括:取Alexa列表中排名靠前2000的域名。
[0139] Alexa列表包括:從top.chinaz.com、或www.alexa.cn網(wǎng)站通過(guò)爬蟲獲取的列表。
[0140] 黑名單包括:從掛馬舉報(bào)平臺(tái)通過(guò)爬蟲獲取被掛過(guò)木馬的域名;或利用公開的垃 圾郵件數(shù)據(jù)庫(kù),提取其中的域名。
[0141] 圖2為本發(fā)明實(shí)現(xiàn)惡意域名識(shí)別的裝置的結(jié)構(gòu)框圖,如圖2所示,包括:動(dòng)態(tài)判斷 單元和判斷結(jié)果單元;其中,
[0142] 動(dòng)態(tài)判斷單元,用于提取DNS域名的動(dòng)態(tài)特征集合,通過(guò)動(dòng)態(tài)特征的惡意域名可 信判斷模型對(duì)動(dòng)態(tài)特征集合進(jìn)行動(dòng)態(tài)特征的惡意域名高可信判斷。
[0143] 動(dòng)態(tài)特征集合至少包含:與IP相關(guān)的特征、和/或權(quán)威DNS服務(wù)器主域名一致率。
[0144] 與IP相關(guān)的特征至少包含:IP信息熵、和/或IP國(guó)家分布變化次數(shù)。
[0145] 與IP相關(guān)的特征包含有IP信息熵時(shí),IP信息熵為:
DNS惡意域名確定的結(jié)果的次數(shù),I?算子表示集合的基,即元素個(gè)數(shù);
[0148] 辦MC仲,(//; ,;) =[尤,圮.尤尤
[0149] 與IP相關(guān)的特征包含有IP國(guó)家分布變化次數(shù)時(shí),所述IP國(guó)家分布變化次數(shù)為:
[0150] 查詢DNS惡意域名確定的結(jié)果,并計(jì)算IP所屬國(guó)家的比率,當(dāng)相鄰兩次IP所屬國(guó) 家的比率相同,則IP國(guó)家分布變化次數(shù)不變;否則,計(jì)數(shù)加1 ;
[0151] 其中,/if為第i次DNS請(qǐng)求的返回的第k個(gè)IP,IPSet為返回的IP的集合,用公 式表示為:IPSet=UPlil,IPli2,IP2il,…,IPN,k};
[0152] IP國(guó)家分布變化次數(shù)為:
[0153] IPCo麗巧說(shuō)油'〇.=IVe'e:Co?仍句/}
[0154] 其中R(c)為國(guó)家c的占比,
[0156] CountryOfIP(IPiik)為算子,提取IPiik 所屬國(guó)家;
[0157] 其中,i?f為第i次DNS請(qǐng)求的返回的第k個(gè)IP,IPSet為返回的IP的集合,用公 式表示為:IPSet=UPlil,IPli2,IP2il,…,IPN,k};
[0158] 動(dòng)態(tài)特征集合包含有權(quán)威DNS服務(wù)器主域名一致率時(shí),權(quán)威DNS服務(wù)器主域名一 致率為:權(quán)威服務(wù)器的主域域名的最高頻度與權(quán)威服務(wù)器的主域域名總頻度的比率。
[0159] 判斷結(jié)果單元,用于根據(jù)動(dòng)態(tài)特征集合的惡意域名高可信判斷結(jié)果,確定DNS域 名是否為惡意域名,并將是否為惡意域名確定的結(jié)果存到相應(yīng)的黑名單、或白名單中。
[0160] 判斷結(jié)果單元包括白名單模塊和黑名單模塊;其中,
[0161] 白名單模塊,用于取Alexa列表中排名靠前的域名作為白名單;
[0162] 黑名單模塊,用于從掛馬舉報(bào)平臺(tái)通過(guò)爬蟲獲取被掛過(guò)木馬的域名;或利用公開 的垃圾郵件數(shù)據(jù)庫(kù),提取其中的域名;
[0163] Alexa列表包括:從top.chinaz.com、或www.alexa.cn網(wǎng)站通過(guò)爬蟲獲取的列表。
[0164] 白名單模塊具體用于,取Alexa列表中排名靠前2000的域名作為白名單。
[0165] 本發(fā)明裝置還包括動(dòng)態(tài)識(shí)別模型單元,包括過(guò)濾模塊和動(dòng)態(tài)識(shí)別建模模塊;其中,
[0166] 過(guò)濾模塊,用于對(duì)動(dòng)態(tài)特征集合進(jìn)行動(dòng)態(tài)特征的惡意域名高可信判斷之前,根據(jù) 預(yù)先設(shè)置的靜態(tài)特征過(guò)濾黑名單;
[0167] 動(dòng)態(tài)識(shí)別建模模塊,用于將白名單與過(guò)濾模塊中過(guò)濾后的黑名單通過(guò)支持向量機(jī) (SVM)建立動(dòng)態(tài)特征的惡意域名可信判斷模型。
[0168] 過(guò)濾模塊具體用于,預(yù)先設(shè)置靜態(tài)特征數(shù)字比例小于0. 5、和/或數(shù)字和字母切換 比例大于0. 3、和/或域名長(zhǎng)度大于10對(duì)黑名單進(jìn)行過(guò)濾。
[0169] 動(dòng)態(tài)特征集合還包括:IP-致度、和/或IP變化次數(shù)、和/或查詢失敗的頻度、和 /或生存時(shí)間最小值(TTL_MIN)、和/或生存時(shí)間最大值(TTL_MAX)、和/或生存時(shí)間平均值 (TTL_AVG)、和/或生存時(shí)間標(biāo)準(zhǔn)差(TTL_STD)、和/或別名個(gè)數(shù)。
[0170] 本發(fā)明裝置還包括解析單元、靜態(tài)判斷單元;其中,
[0171] 解析單元,用于解析防護(hù)目標(biāo)網(wǎng)絡(luò)的DNS域名,對(duì)解析的DNS域名進(jìn)行黑名單和白 名單過(guò)濾;
[0172] 判斷結(jié)果單元,還用于對(duì)解析單元的黑名單和白名單過(guò)濾結(jié)果為命中黑名單和白 名單時(shí),將確定的結(jié)果存到相應(yīng)的黑名單、或白名單中;根據(jù)靜態(tài)特征集合的惡意域名高可 信判斷結(jié)果,確定DNS域名是否為惡意域名,并將確定的是否為惡意域名的結(jié)果存到相應(yīng) 的黑名單、或白名單中;
[0173] 靜態(tài)判斷單元,用于當(dāng)解析單元發(fā)往判斷結(jié)果單元的DNS域名過(guò)濾后未命中黑名 單和白名單時(shí),提取DNS域名的靜態(tài)特征集合,進(jìn)行靜態(tài)特征集合的惡意域名高可信判斷; 當(dāng)靜態(tài)特征集合的惡意域名高可信判斷為低時(shí),將所述DNS域名發(fā)往動(dòng)態(tài)判斷單元。
[0174] 靜態(tài)特征集合至少包含:域名長(zhǎng)度、和/或數(shù)字比例、和/或數(shù)字和字母切換比例、 和/或站點(diǎn)名和主域名長(zhǎng)度比例、和/或連接符的數(shù)量、和/或最大詞長(zhǎng)度、和/或國(guó)家頂 級(jí)域名的類型、和/或國(guó)際頂級(jí)域名的類型、和/或二級(jí)國(guó)際頂級(jí)域名的類型。
[0175] 本發(fā)明裝置還包括動(dòng)態(tài)識(shí)別模型單元,用于在進(jìn)行靜態(tài)特征集合的惡意域名高可 信判斷之前,將白名單與黑