發(fā)布時(shí)間：2020-03-04 05:56

【摘要】：域名系統(tǒng)主要提供域名解析功能,完成域名到IP的轉(zhuǎn)換,而惡意域名檢測(cè)主要用來(lái)發(fā)現(xiàn)以域名系統(tǒng)為屏障的非法行為,來(lái)保障域名服務(wù)器的正常運(yùn)行�？偨Y(jié)了惡意域名檢測(cè)的相關(guān)工作,并采用基于機(jī)器學(xué)習(xí)的方法,提出一種基于多元屬性特征的惡意域名檢測(cè)方法。在域名詞法特征方面,提取更加細(xì)粒度的特征,比如數(shù)字字母的轉(zhuǎn)換頻率、連續(xù)字母的最大長(zhǎng)度等;在網(wǎng)絡(luò)屬性特征方面,更加關(guān)注名稱服務(wù)器,比如其個(gè)數(shù)、分散度等。實(shí)驗(yàn)結(jié)果表明,該方法的準(zhǔn)確率、召回率、F1值均達(dá)到了99.8%,具有較好的檢測(cè)效果。
【圖文】：

com”服務(wù)器。4)“xxx．com”服務(wù)器中存在“taobao．xxx．com”域名，則返回其IP地址。5)用戶連接到假冒的網(wǎng)站“taobao．xxx．com”，該網(wǎng)站可能是一個(gè)釣魚(yú)網(wǎng)站。圖1惡意域名解析過(guò)程通過(guò)圖1可以看到，惡意域名的解析是其他非法活動(dòng)的重要一環(huán)。倘若能夠在解析階段發(fā)現(xiàn)可疑的惡意域名，便能將威脅限制在極小的范圍之內(nèi)。1．2相關(guān)研究近年來(lái)，已經(jīng)有一些學(xué)者、企業(yè)、機(jī)構(gòu)等對(duì)惡意域名進(jìn)行了相關(guān)研究。Bilge等［3］把“涉及惡意活動(dòng)的域名濫用行為”定義為惡意域名。CNCEＲT/CC在報(bào)告［2］中重點(diǎn)關(guān)注涉及網(wǎng)絡(luò)釣魚(yú)、網(wǎng)頁(yè)掛馬、僵尸網(wǎng)絡(luò)的惡意域名。目前，針對(duì)惡意域名的檢測(cè)方法可以分為主動(dòng)分析、被動(dòng)分析兩種。主動(dòng)分析方法一般包括DNS探測(cè)、網(wǎng)頁(yè)內(nèi)容分析、人工判斷。文獻(xiàn)［4］提出一種基于DNS探測(cè)的檢測(cè)方法，需要事先對(duì)每一個(gè)統(tǒng)一資源定位符(UniformＲesoureLocator，UＲL)進(jìn)行探測(cè);文獻(xiàn)［5］通過(guò)對(duì)網(wǎng)頁(yè)內(nèi)容進(jìn)行分析來(lái)判斷是否為惡意域名;人工判斷則通過(guò)人力來(lái)對(duì)域名進(jìn)行分析，進(jìn)而作出判斷。由此可見(jiàn)，主動(dòng)分析的方法通常需要較高的分析代價(jià)，分析效率相對(duì)較低。為此，，Weimer［6］在2005年提出了基于被動(dòng)分析的惡意域名檢測(cè)方法。目前，學(xué)術(shù)界對(duì)于惡意域名檢測(cè)方法的研究主要基于被動(dòng)分析方法，如圖2所示。圖2惡意域名檢測(cè)方法分類基于被動(dòng)分析的惡意域名檢測(cè)方法可以分為基于匹配、基于機(jī)器學(xué)習(xí)和基于圖的方法。本文分析了已有的基于機(jī)器學(xué)習(xí)的檢測(cè)方法，并將通常選擇的特征進(jìn)行了分類和比較，如表1所示�；谄ヅ涞姆椒�，需要事先維護(hù)一個(gè)黑名單，通過(guò)惡意域名黑名單來(lái)匹配惡意域名;基于機(jī)器學(xué)習(xí)的方法是目前研究的熱點(diǎn)［3，7］，通過(guò)提取特征、建立分類模型來(lái)來(lái)檢測(cè)惡意域名;基于圖的方法可以挖掘

治�、睔g犰治雋街幀Ｖ鞫犰治?方法一般包括DNS探測(cè)、網(wǎng)頁(yè)內(nèi)容分析、人工判斷。文獻(xiàn)［4］提出一種基于DNS探測(cè)的檢測(cè)方法，需要事先對(duì)每一個(gè)統(tǒng)一資源定位符(UniformＲesoureLocator，UＲL)進(jìn)行探測(cè);文獻(xiàn)［5］通過(guò)對(duì)網(wǎng)頁(yè)內(nèi)容進(jìn)行分析來(lái)判斷是否為惡意域名;人工判斷則通過(guò)人力來(lái)對(duì)域名進(jìn)行分析，進(jìn)而作出判斷。由此可見(jiàn)，主動(dòng)分析的方法通常需要較高的分析代價(jià)，分析效率相對(duì)較低。為此，Weimer［6］在2005年提出了基于被動(dòng)分析的惡意域名檢測(cè)方法。目前，學(xué)術(shù)界對(duì)于惡意域名檢測(cè)方法的研究主要基于被動(dòng)分析方法，如圖2所示。圖2惡意域名檢測(cè)方法分類基于被動(dòng)分析的惡意域名檢測(cè)方法可以分為基于匹配、基于機(jī)器學(xué)習(xí)和基于圖的方法。本文分析了已有的基于機(jī)器學(xué)習(xí)的檢測(cè)方法，并將通常選擇的特征進(jìn)行了分類和比較，如表1所示�；谄ヅ涞姆椒�，需要事先維護(hù)一個(gè)黑名單，通過(guò)惡意域名黑名單來(lái)匹配惡意域名;基于機(jī)器學(xué)習(xí)的方法是目前研究的熱點(diǎn)［3，7］，通過(guò)提取特征、建立分類模型來(lái)來(lái)檢測(cè)惡意域名;基于圖的方法可以挖掘新的惡意域名，但是相關(guān)研究較少［13－14］。表1相關(guān)論文的特征選取類型方法所來(lái)自的文獻(xiàn)序號(hào)［3］［7］［8］［9］［10］［11］［12］UＲL√√——√——whois—√———√—TTL√—√√—√√A記錄√—√√—√√AS———√—√√生存時(shí)間————√√—注:“√”表示文獻(xiàn)方法使用了對(duì)應(yīng)的類型特征“—”表示文獻(xiàn)方法未使用對(duì)應(yīng)的類型特征。AS為自治系統(tǒng)(Autonomoussystem)。而基于機(jī)器學(xué)習(xí)的方法無(wú)需人工過(guò)多干預(yù)，大大降低了分析成本，并且該方法無(wú)需維護(hù)黑名單，可以檢測(cè)黑名單以外的惡意域名。惡意域名通常具有域名偽裝、頁(yè)面內(nèi)容偽裝、生命周期短、域名頻繁跳變、A記錄頻繁跳?

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 ;中國(guó)域名系統(tǒng)明年啟用[J];每周電腦報(bào);2008年23期

2 何元慶;;域名系統(tǒng)和域名過(guò)濾研究[J];綏化學(xué)院學(xué)報(bào);2010年03期

3 可彥玲;域名系統(tǒng)設(shè)置中的誤區(qū)分析和性能改善對(duì)策[J];信息系統(tǒng)工程;1998年01期

4 ;IPv6啟用[J];每周電腦報(bào);1999年28期

5 江健;梁錦津;段海新;;刪不掉的“鬼”域名[J];中國(guó)教育網(wǎng)絡(luò);2012年04期

6 紅狐;利用泛解析實(shí)現(xiàn)二級(jí)域名[J];電腦;2003年03期

7 蘇青忠;因特網(wǎng)將新增7種域名[J];江蘇通信技術(shù);2000年06期

8 朱宇峰,王宏,李秉智;域名系統(tǒng)的安全機(jī)制[J];現(xiàn)代計(jì)算機(jī);2000年11期

9 顏挺進(jìn),李淑英;域名系統(tǒng)的應(yīng)用[J];計(jì)算機(jī)系統(tǒng)應(yīng)用;2001年10期

10 尚春紅;.CC域名為互聯(lián)網(wǎng)撐起一把大傘[J];電腦知識(shí)與技術(shù);2001年11期

相關(guān)會(huì)議論文 前6條

1 張江莉;;域名保護(hù)的法律與經(jīng)濟(jì)分析[A];經(jīng)濟(jì)學(xué)（季刊）第1卷第4期（總第4期）[C];2002年

2 楊海軍;姚欽鋒;戴沁蕓;;域名系統(tǒng)安全防護(hù)問(wèn)題分析[A];2010年全國(guó)通信安全學(xué)術(shù)會(huì)議論文集[C];2010年

3 劉興麗;龐松江;;DNS服務(wù)器設(shè)置和測(cè)試[A];黑龍江省氣象計(jì)算機(jī)應(yīng)用與通信交流會(huì)論文集[C];2006年

4 謝娟英;;基于樹(shù)結(jié)構(gòu)的域名搜索算法及其實(shí)現(xiàn)[A];2008年計(jì)算機(jī)應(yīng)用技術(shù)交流會(huì)論文集[C];2008年

5 王永強(qiáng);;論域名權(quán)的必要性[A];入世后知識(shí)產(chǎn)權(quán)法律服務(wù)實(shí)務(wù)研討會(huì)暨全國(guó)律協(xié)知識(shí)產(chǎn)權(quán)專業(yè)委員會(huì)2002年年會(huì)論文匯編[C];2002年

6 危婷;冷峰;張躍冬;黃向陽(yáng);王偉;何崢;趙琦;于俊峰;;DNS服務(wù)器緩存失效過(guò)程的研究[A];2013年中國(guó)通信學(xué)會(huì)信息通信網(wǎng)絡(luò)技術(shù)委員會(huì)年會(huì)論文集[C];2013年

相關(guān)重要報(bào)紙文章 前10條

1 ;域名并不神秘[N];中國(guó)電腦教育報(bào);2002年

2 中國(guó)萬(wàn)網(wǎng)副總裁 朱長(zhǎng)勇;域名保護(hù)策略面面觀[N];中國(guó)計(jì)算機(jī)報(bào);2002年

3 ;我國(guó)引進(jìn)域名根服務(wù)器[N];人民日?qǐng)?bào)海外版;2004年

4 ;數(shù)字域名披掛上陣[N];中國(guó)礦業(yè)報(bào);2000年

5 中國(guó)社會(huì)科學(xué)院知識(shí)產(chǎn)權(quán)中心 唐廣良;域名與域名系統(tǒng)[N];國(guó)際經(jīng)貿(mào)消息;2000年

6 喬木;因特網(wǎng)將新增七種域名[N];國(guó)際經(jīng)貿(mào)消息;2000年

7 ;域名系統(tǒng)有望消除語(yǔ)言障礙[N];計(jì)算機(jī)世界;2000年

8 阿來(lái);多語(yǔ)種域名受到攻擊[N];網(wǎng)絡(luò)世界;2000年

9 本報(bào)實(shí)習(xí)生 張?zhí)煊睢∫τ⑤?國(guó)際化域名時(shí)代 準(zhǔn)備好了嗎?[N];文匯報(bào);2010年

10 實(shí)習(xí)生 拉巴次仁;域名糾紛路在何方？[N];科技日?qǐng)?bào);2000年

相關(guān)博士學(xué)位論文 前1條

1 王W

本文編號(hào)：2584677