【摘要】：域名系統(tǒng)主要提供域名解析功能,完成域名到IP的轉(zhuǎn)換,而惡意域名檢測主要用來發(fā)現(xiàn)以域名系統(tǒng)為屏障的非法行為,來保障域名服務(wù)器的正常運行�？偨Y(jié)了惡意域名檢測的相關(guān)工作,并采用基于機器學習的方法,提出一種基于多元屬性特征的惡意域名檢測方法。在域名詞法特征方面,提取更加細粒度的特征,比如數(shù)字字母的轉(zhuǎn)換頻率、連續(xù)字母的最大長度等;在網(wǎng)絡(luò)屬性特征方面,更加關(guān)注名稱服務(wù)器,比如其個數(shù)、分散度等。實驗結(jié)果表明,該方法的準確率、召回率、F1值均達到了99.8%,具有較好的檢測效果。
【圖文】：

com”服務(wù)器。4)“xxx．com”服務(wù)器中存在“taobao．xxx．com”域名，則返回其IP地址。5)用戶連接到假冒的網(wǎng)站“taobao．xxx．com”，該網(wǎng)站可能是一個釣魚網(wǎng)站。圖1惡意域名解析過程通過圖1可以看到，惡意域名的解析是其他非法活動的重要一環(huán)。倘若能夠在解析階段發(fā)現(xiàn)可疑的惡意域名，便能將威脅限制在極小的范圍之內(nèi)。1．2相關(guān)研究近年來，已經(jīng)有一些學者、企業(yè)、機構(gòu)等對惡意域名進行了相關(guān)研究。Bilge等［3］把“涉及惡意活動的域名濫用行為”定義為惡意域名。CNCEＲT/CC在報告［2］中重點關(guān)注涉及網(wǎng)絡(luò)釣魚、網(wǎng)頁掛馬、僵尸網(wǎng)絡(luò)的惡意域名。目前，針對惡意域名的檢測方法可以分為主動分析、被動分析兩種。主動分析方法一般包括DNS探測、網(wǎng)頁內(nèi)容分析、人工判斷。文獻［4］提出一種基于DNS探測的檢測方法，需要事先對每一個統(tǒng)一資源定位符(UniformＲesoureLocator，UＲL)進行探測;文獻［5］通過對網(wǎng)頁內(nèi)容進行分析來判斷是否為惡意域名;人工判斷則通過人力來對域名進行分析，進而作出判斷。由此可見，主動分析的方法通常需要較高的分析代價，分析效率相對較低。為此，，Weimer［6］在2005年提出了基于被動分析的惡意域名檢測方法。目前，學術(shù)界對于惡意域名檢測方法的研究主要基于被動分析方法，如圖2所示。圖2惡意域名檢測方法分類基于被動分析的惡意域名檢測方法可以分為基于匹配、基于機器學習和基于圖的方法。本文分析了已有的基于機器學習的檢測方法，并將通常選擇的特征進行了分類和比較，如表1所示�；谄ヅ涞姆椒�，需要事先維護一個黑名單，通過惡意域名黑名單來匹配惡意域名;基于機器學習的方法是目前研究的熱點［3，7］，通過提取特征、建立分類模型來來檢測惡意域名;基于圖的方法可以挖掘

治�、睔g犰治雋街幀Ｖ鞫犰治?方法一般包括DNS探測、網(wǎng)頁內(nèi)容分析、人工判斷。文獻［4］提出一種基于DNS探測的檢測方法，需要事先對每一個統(tǒng)一資源定位符(UniformＲesoureLocator，UＲL)進行探測;文獻［5］通過對網(wǎng)頁內(nèi)容進行分析來判斷是否為惡意域名;人工判斷則通過人力來對域名進行分析，進而作出判斷。由此可見，主動分析的方法通常需要較高的分析代價，分析效率相對較低。為此，Weimer［6］在2005年提出了基于被動分析的惡意域名檢測方法。目前，學術(shù)界對于惡意域名檢測方法的研究主要基于被動分析方法，如圖2所示。圖2惡意域名檢測方法分類基于被動分析的惡意域名檢測方法可以分為基于匹配、基于機器學習和基于圖的方法。本文分析了已有的基于機器學習的檢測方法，并將通常選擇的特征進行了分類和比較，如表1所示�；谄ヅ涞姆椒�，需要事先維護一個黑名單，通過惡意域名黑名單來匹配惡意域名;基于機器學習的方法是目前研究的熱點［3，7］，通過提取特征、建立分類模型來來檢測惡意域名;基于圖的方法可以挖掘新的惡意域名，但是相關(guān)研究較少［13－14］。表1相關(guān)論文的特征選取類型方法所來自的文獻序號［3］［7］［8］［9］［10］［11］［12］UＲL√√——√——whois—√———√—TTL√—√√—√√A記錄√—√√—√√AS———√—√√生存時間————√√—注:“√”表示文獻方法使用了對應(yīng)的類型特征“—”表示文獻方法未使用對應(yīng)的類型特征。AS為自治系統(tǒng)(Autonomoussystem)。而基于機器學習的方法無需人工過多干預(yù)，大大降低了分析成本，并且該方法無需維護黑名單，可以檢測黑名單以外的惡意域名。惡意域名通常具有域名偽裝、頁面內(nèi)容偽裝、生命周期短、域名頻繁跳變、A記錄頻繁跳?

【相似文獻】

相關(guān)期刊論文 前10條

1 ;中國域名系統(tǒng)明年啟用[J];每周電腦報;2008年23期

2 何元慶;;域名系統(tǒng)和域名過濾研究[J];綏化學院學報;2010年03期

3 可彥玲;域名系統(tǒng)設(shè)置中的誤區(qū)分析和性能改善對策[J];信息系統(tǒng)工程;1998年01期

4 ;IPv6啟用[J];每周電腦報;1999年28期

5 江健;梁錦津;段海新;;刪不掉的“鬼”域名[J];中國教育網(wǎng)絡(luò);2012年04期

6 紅狐;利用泛解析實現(xiàn)二級域名[J];電腦;2003年03期

7 蘇青忠;因特網(wǎng)將新增7種域名[J];江蘇通信技術(shù);2000年06期

8 朱宇峰,王宏,李秉智;域名系統(tǒng)的安全機制[J];現(xiàn)代計算機;2000年11期

9 顏挺進,李淑英;域名系統(tǒng)的應(yīng)用[J];計算機系統(tǒng)應(yīng)用;2001年10期

10 尚春紅;.CC域名為互聯(lián)網(wǎng)撐起一把大傘[J];電腦知識與技術(shù);2001年11期

相關(guān)會議論文 前6條

1 張江莉;;域名保護的法律與經(jīng)濟分析[A];經(jīng)濟學（季刊）第1卷第4期（總第4期）[C];2002年

2 楊海軍;姚欽鋒;戴沁蕓;;域名系統(tǒng)安全防護問題分析[A];2010年全國通信安全學術(shù)會議論文集[C];2010年

3 劉興麗;龐松江;;DNS服務(wù)器設(shè)置和測試[A];黑龍江省氣象計算機應(yīng)用與通信交流會論文集[C];2006年

4 謝娟英;;基于樹結(jié)構(gòu)的域名搜索算法及其實現(xiàn)[A];2008年計算機應(yīng)用技術(shù)交流會論文集[C];2008年

5 王永強;;論域名權(quán)的必要性[A];入世后知識產(chǎn)權(quán)法律服務(wù)實務(wù)研討會暨全國律協(xié)知識產(chǎn)權(quán)專業(yè)委員會2002年年會論文匯編[C];2002年

6 危婷;冷峰;張躍冬;黃向陽;王偉;何崢;趙琦;于俊峰;;DNS服務(wù)器緩存失效過程的研究[A];2013年中國通信學會信息通信網(wǎng)絡(luò)技術(shù)委員會年會論文集[C];2013年

相關(guān)重要報紙文章 前10條

1 ;域名并不神秘[N];中國電腦教育報;2002年

2 中國萬網(wǎng)副總裁 朱長勇;域名保護策略面面觀[N];中國計算機報;2002年

3 ;我國引進域名根服務(wù)器[N];人民日報海外版;2004年

4 ;數(shù)字域名披掛上陣[N];中國礦業(yè)報;2000年

5 中國社會科學院知識產(chǎn)權(quán)中心 唐廣良;域名與域名系統(tǒng)[N];國際經(jīng)貿(mào)消息;2000年

6 喬木;因特網(wǎng)將新增七種域名[N];國際經(jīng)貿(mào)消息;2000年

7 ;域名系統(tǒng)有望消除語言障礙[N];計算機世界;2000年

8 阿來;多語種域名受到攻擊[N];網(wǎng)絡(luò)世界;2000年

9 本報實習生 張?zhí)煊睢∫τ⑤?國際化域名時代 準備好了嗎?[N];文匯報;2010年

10 實習生 拉巴次仁;域名糾紛路在何方？[N];科技日報;2000年

相關(guān)博士學位論文 前1條

1 王W

本文編號：2584677