現(xiàn)有的Fast-flux域名檢測方法在穩(wěn)定性、針對性和流量普適性方面存在一些不足,為此提出一種基于DNS流量的檢測方法 Fast-flucos。首先,采用流量異常過濾和關(guān)聯(lián)匹配算法,以提高檢測的穩(wěn)定性;然后,引入量化的地理廣度、國家向量表和時間向量表特征,以加強對Fast-flux域名檢測的針對性;最后,采用更合理的正負(fù)樣本和包括深度學(xué)習(xí)在內(nèi)的多種機器學(xué)習(xí)方法確定最佳分類器和最優(yōu)特征組合,以盡量確保對真實DNS流量的普適性�；谡鎸岲NS流量的實驗表明,Fast-flucos的召回率、精確率和ROC_AUC分別達到了0.998 6、0.976 7和0.992 9,均優(yōu)于當(dāng)前主流的EXPOSURE、GRADE和AAGD等檢測方法。

【文章頁數(shù)】：11 頁

【部分圖文】：

圖8步驟3過程

?骯亓?ヅ洹彼惴ǖ牟街樅縵隆?步驟1將P中同時包含字母和數(shù)字字符的每個域名中的數(shù)字字符都變成0，成為集合P0；除頂級域名外的字母字符都變成z，成為集合P1。對字符串的這種操作稱為“0-z”化，如圖6所示。圖6步驟1過程步驟2將C和S中所有同時帶有字母和數(shù)字字符的域名連接成一個長字....

圖1Single-flux原理示意

第5期韓春雨等：Fast-flucos：基于DNS流量的Fast-flux惡意域名檢測方法·39·圖1Single-flux原理示意圖2Double-flux原理示意

圖2Double-flux原理示意

第5期韓春雨等：Fast-flucos：基于DNS流量的Fast-flux惡意域名檢測方法·39·圖1Single-flux原理示意圖2Double-flux原理示意

圖3Fast-flucos結(jié)構(gòu)

植繼匭怨?順齪芏嗖豢贍芪?Fast-flux域名的請求記錄，從而得到有效的DNS流量。特征提取模塊根據(jù)我國廣東省一段時間內(nèi)DNS流量的相應(yīng)字段并結(jié)合已制作的國家或地區(qū)距離表計算出所有域名樣本的7組特征。通過已知標(biāo)簽樣本集和計算好的相關(guān)特征，分別使用各種可能的特征組合，并結(jié)合多種機....

本文編號：3962933