發(fā)布時(shí)間：2021-02-23 00:17

　　為實(shí)現(xiàn)對(duì)惡意移動(dòng)應(yīng)用的準(zhǔn)確檢測(cè)以保障移動(dòng)設(shè)備安全,提出一種基于域名關(guān)聯(lián)的惡意移動(dòng)應(yīng)用檢測(cè)方法。以DNS域名為檢測(cè)分析對(duì)象識(shí)別網(wǎng)絡(luò)流量中的惡意域名,利用DNS請(qǐng)求流量的時(shí)間特征尋找惡意域名的相關(guān)聯(lián)域名,并將關(guān)聯(lián)域名與文本分類(lèi)樣本庫(kù)進(jìn)行比對(duì),確定惡意移動(dòng)應(yīng)用名稱(chēng)。實(shí)驗(yàn)結(jié)果表明,該方法可有效用于移動(dòng)設(shè)備的安全防護(hù),其在公開(kāi)測(cè)試數(shù)據(jù)集中的檢測(cè)率達(dá)到97.1%,在實(shí)際網(wǎng)絡(luò)的部署運(yùn)行中共檢測(cè)出13款?lèi)阂庖苿?dòng)應(yīng)用,且誤報(bào)數(shù)量為0。 

【文章來(lái)源】：計(jì)算機(jī)工程. 2020,46(05)北大核心

【文章頁(yè)數(shù)】：7 頁(yè)

【部分圖文】：

本文檢測(cè)方法整體流程

關(guān)于DNS惡意域名的判別,研究者已提出多種有效方法,如基于知識(shí)、基于機(jī)器學(xué)習(xí)等方法[24]。本文在現(xiàn)有工作基礎(chǔ)上,采用一種本地與遠(yuǎn)程相結(jié)合的方法進(jìn)行惡意域名的判別。首先將DNS域名與本地黑名單庫(kù)進(jìn)行比對(duì),若存在,則判斷為惡意域名。本地黑名單庫(kù)可簡(jiǎn)單存儲(chǔ)為文本文件,易于部署實(shí)現(xiàn),其示例如圖2所示。若域名不存在于本地黑名單庫(kù)中,則繼續(xù)查詢(xún)遠(yuǎn)程服務(wù)器,如Virustotal(https://www.virustotal.com/)等。Virustotal集成了70多種安全掃描引擎,且特征庫(kù)實(shí)時(shí)更新,可以準(zhǔn)確有效地檢測(cè)出惡意域名。由于Virustotal同時(shí)給出多個(gè)掃描引擎的檢測(cè)結(jié)果,需要對(duì)檢測(cè)結(jié)果進(jìn)行綜合分析處理。在本文工作中,對(duì)于待檢測(cè)域名U,若有一項(xiàng)及以上檢測(cè)結(jié)果標(biāo)注為惡意,則判斷U為惡意域名;否則,判斷U為合法域名。如圖3所示,對(duì)于域名ytfkch.com,67個(gè)檢測(cè)引擎中只有CyRadar的檢測(cè)結(jié)果為惡意。本文仍將其判別為惡意域名,從而減少漏報(bào)。

若域名不存在于本地黑名單庫(kù)中,則繼續(xù)查詢(xún)遠(yuǎn)程服務(wù)器,如Virustotal(https://www.virustotal.com/)等。Virustotal集成了70多種安全掃描引擎,且特征庫(kù)實(shí)時(shí)更新,可以準(zhǔn)確有效地檢測(cè)出惡意域名。由于Virustotal同時(shí)給出多個(gè)掃描引擎的檢測(cè)結(jié)果,需要對(duì)檢測(cè)結(jié)果進(jìn)行綜合分析處理。在本文工作中,對(duì)于待檢測(cè)域名U,若有一項(xiàng)及以上檢測(cè)結(jié)果標(biāo)注為惡意,則判斷U為惡意域名;否則,判斷U為合法域名。如圖3所示,對(duì)于域名ytfkch.com,67個(gè)檢測(cè)引擎中只有CyRadar的檢測(cè)結(jié)果為惡意。本文仍將其判別為惡意域名,從而減少漏報(bào)。2.3 域名關(guān)聯(lián)


本文編號(hào)：3046752