為實(shí)現(xiàn)對惡意移動(dòng)應(yīng)用的準(zhǔn)確檢測以保障移動(dòng)設(shè)備安全,提出一種基于域名關(guān)聯(lián)的惡意移動(dòng)應(yīng)用檢測方法。以DNS域名為檢測分析對象識別網(wǎng)絡(luò)流量中的惡意域名,利用DNS請求流量的時(shí)間特征尋找惡意域名的相關(guān)聯(lián)域名,并將關(guān)聯(lián)域名與文本分類樣本庫進(jìn)行比對,確定惡意移動(dòng)應(yīng)用名稱。實(shí)驗(yàn)結(jié)果表明,該方法可有效用于移動(dòng)設(shè)備的安全防護(hù),其在公開測試數(shù)據(jù)集中的檢測率達(dá)到97.1%,在實(shí)際網(wǎng)絡(luò)的部署運(yùn)行中共檢測出13款惡意移動(dòng)應(yīng)用,且誤報(bào)數(shù)量為0。 

【文章來源】：計(jì)算機(jī)工程. 2020,46(05)北大核心

【文章頁數(shù)】：7 頁

【部分圖文】：

本文檢測方法整體流程

關(guān)于DNS惡意域名的判別,研究者已提出多種有效方法,如基于知識、基于機(jī)器學(xué)習(xí)等方法[24]。本文在現(xiàn)有工作基礎(chǔ)上,采用一種本地與遠(yuǎn)程相結(jié)合的方法進(jìn)行惡意域名的判別。首先將DNS域名與本地黑名單庫進(jìn)行比對,若存在,則判斷為惡意域名。本地黑名單庫可簡單存儲為文本文件,易于部署實(shí)現(xiàn),其示例如圖2所示。若域名不存在于本地黑名單庫中,則繼續(xù)查詢遠(yuǎn)程服務(wù)器,如Virustotal(https://www.virustotal.com/)等。Virustotal集成了70多種安全掃描引擎,且特征庫實(shí)時(shí)更新,可以準(zhǔn)確有效地檢測出惡意域名。由于Virustotal同時(shí)給出多個(gè)掃描引擎的檢測結(jié)果,需要對檢測結(jié)果進(jìn)行綜合分析處理。在本文工作中,對于待檢測域名U,若有一項(xiàng)及以上檢測結(jié)果標(biāo)注為惡意,則判斷U為惡意域名;否則,判斷U為合法域名。如圖3所示,對于域名ytfkch.com,67個(gè)檢測引擎中只有CyRadar的檢測結(jié)果為惡意。本文仍將其判別為惡意域名,從而減少漏報(bào)。

若域名不存在于本地黑名單庫中,則繼續(xù)查詢遠(yuǎn)程服務(wù)器,如Virustotal(https://www.virustotal.com/)等。Virustotal集成了70多種安全掃描引擎,且特征庫實(shí)時(shí)更新,可以準(zhǔn)確有效地檢測出惡意域名。由于Virustotal同時(shí)給出多個(gè)掃描引擎的檢測結(jié)果,需要對檢測結(jié)果進(jìn)行綜合分析處理。在本文工作中,對于待檢測域名U,若有一項(xiàng)及以上檢測結(jié)果標(biāo)注為惡意,則判斷U為惡意域名;否則,判斷U為合法域名。如圖3所示,對于域名ytfkch.com,67個(gè)檢測引擎中只有CyRadar的檢測結(jié)果為惡意。本文仍將其判別為惡意域名,從而減少漏報(bào)。2.3 域名關(guān)聯(lián)


本文編號：3046752