基于多元属性特征的恶意域名检测.docVIP

基于多元属性特征的恶意域名检测 　　摘要：域名系统主要提供域名解析功能，完成域名到IP的转换，而恶意域名检测主要用来发现以域名系统为屏障的非法行为，来保障域名服务器的正常运行。总结了恶意域名检测的相关工作，并采用基于机器学习的方法，提出一种基于多元属性特征的恶意域名检测方法。在域名词法特征方面，提取更加细粒度的特征，比如数字字母的转换频率、连续字母的最大长度等；在网络属性特征方面，更加关注名称服务器，比如其个数、分散度等。实验结果表明，该方法的准确率、召回率、F1值均达到了99.8%，具有较好的检测效果。 　　关键词：恶意域名；域名系统；网络钓鱼；随机森林 　　中图分类号： TP309 文献标志码：A 　　0引言 　　域名系统（Domain Name System， DNS）作为互联网最重要的核心基础设施之一，主要提供域名解析功能，完成域名到IP地址的转换。几乎所有的互联网应用都离不开DNS的域名解析功能。因而，很多网络安全设施都会允许DNS协议类型的数据包通过。正是由于这一原因，DNS受到了攻击者的广泛关注，利用DNS域名进行网络钓鱼、僵尸网络的命令控制（Command and Control， CC）通信、隐蔽传输敏感信息等威胁行为[1]，恶意域名数量在迅速增长[1-2]。因此，恶意域名的检测迫在眉睫。 　　为了应对日益严重的网络威胁，2013年美国国土安全部发布了爱因斯坦3促进计划（EINSTEIN 3Accelerated，E3A）和网络安全增强服务计划（Enhanced Cybersecurity Services，ECS），两个计划都提出了将DNS Sinkholing作为应对网络空间威胁的两大手段之一。2014年，在国际安全顶级会议BlackHat上的“APT Attribution and DNS Profiling”报告将DNS域名分析作为应对APT威胁的重要技术手段。 　　与此同时，OpenDNS、奇虎360等众多安全公司纷纷投入大量的人力物力进行相关研究。例如，OpenDNS提供反钓鱼服务和输入纠正，当用户访问恶意网站时，OpenDNS将封锁这些恶意网站。 　　综上所述，研究恶意域名检测在对抗网络空间威胁、维护国家稳定和社会经济正常运行等方面具有重大的现实意义和应用价值。 　　1相关工作 　　1.1恶意域名解析 　　本节以访问恶意域名“”为例，说明恶意域名的解析过程。当本地没有该域名的缓存时，恶意域名的解析过程如图1所示。 　　1） 首先请求提供互联网接入的运营商DNS服务器，如果不存在该域名，则请求根域名服务器。 　　2） 如果根域名服务器中也不存在该域名，则请求“.com”服务器。 　　3） “.com”服务器中存在“”域名，则请求“”服务器。 　　4） “”服务器中存在“”域名，则返回其IP地址。 　　5） 用户连接到假冒的网站“”，该网站可能是一个钓鱼网站。 　　通过图1可以看到，恶意域名的解析是其他非法活动的重要一环。倘若能够在解析阶段发现可疑的恶意域名，便能将威胁限制在极小的范围之内。 　　1.2相关研究 　　近年来，已经有一些学者、企业、机构等对恶意域名进行了相关研究。Bilge等[3]把“涉及恶意活动的域名滥用行为”定义为恶意域名。CNCERT/CC在报告[2]中重点关注涉及网络钓鱼、网页挂马、僵尸网络的恶意域名。目前，针对恶意域名的检测方法可以分为主动分析、被动分析两种。主动分析方法一般包括DNS探测、网页内容分析、人工判断。 　　文献[4]提出一种基于DNS探测的检测方法，需要事先对每一个统一资源定位符（Uniform Resoure Locator，URL）进行探测；文献[5]通过对网页内容进行分析来判断是否为恶意域名；人工判断则通过人力来对域名进行分析，进而作出判断。 　　由此可见，主动分析的方法通常需要较高的分析代价，分析效率相对较低。为此，Weimer[6]在2005年提出了基于被动分析的恶意域名检测方法。 　　目前，学术界对于恶意域名检测方法的研究主要基于被动分析方法，如图2所示。 　　基于被动分析的恶意域名检测方法可以分为基于匹配、基于机器学习和基于图的方法。本文分析了已有的基于机器学习的检测方法，并将通常选择的特征进行了分类和比较，如表1所示。 　　基于匹配的方法，需要事先维护一个黑名单，通过恶意域名黑名单来匹配恶意域名；基于机器学习的方法是目前研究的热点[3，7]，通过提取特征、建立分类模型来来检测恶意域名；基于图的方法可以挖掘新的恶意域名，但是相关研究较少[13-14]。 　　而基于机器学习的方法无需人工过多干预，大大降低了分析成本，并且该方法无需维护黑名单，可以检测黑名单以外的恶意域名。 　　恶意域名通常具