基于组合分类器的恶意域名检测技术

doi:10.11959/j.issn.1000-0801.2020150

电信科学 ›› 2020, Vol. 36 ›› Issue (5): 47-55.doi: 10.11959/j.issn.1000-0801.2020150

• 专题：网络安全的智能化和高对抗性发展 • 上一篇下一篇

基于组合分类器的恶意域名检测技术

盛剑涛,陈茂飞,刘东鑫,汪来富,史国水,金华敏

中国电信股份有限公司研究院，广东广州 510630

修回日期:2020-04-22 出版日期:2020-05-20 发布日期:2020-05-18
作者简介:盛剑涛（1994- ），男，中国电信股份有限公司研究院工程师，主要研究方向为网络安全、机器学习|陈茂飞（1986- ），男，中国电信股份有限公司研究院工程师，主要研究方向为网络安全、恶意程序分析|刘东鑫（1985- ），男，中国电信股份有限公司研究院工程师，主要研究方向为网络安全、大数据安全|汪来富（1976- ），男，中国电信股份有限公司研究院高级工程师，主要研究方向为大数据安全、云计算安全、网络安全|史国水（1972- ），男，中国电信股份有限公司研究院工程师，主要研究方向为网络安全|金华敏（1972- ），男，中国电信股份有限公司研究院高级工程师，主要研究方向为IP网、云计算、大数据安全以及网络安全

Detection of malicious domain name based on a classifier combination

Jiantao SHENG,Maofei CHEN,Dongxin LIU,Laifu WANG,Guoshui SHI,Huamin JIN

Research Institute of China Telecom Co.,Ltd.,Guangzhou 510630,China

Revised:2020-04-22 Online:2020-05-20 Published:2020-05-18

摘要/Abstract

摘要：

域名系统是互联网中不可或缺的关键基础服务，难以避免遭到不法分子的滥用。在研究僵尸网络和DGA恶意域名应用的基础上，比较了当前主流的恶意域名检测技术，提出了基于组合分类器的恶意域名检测技术框架。该技术框架以支持向量机为主分类器，融合了朴素贝叶斯分类器模型和其他统计特征。实验数据表明，该技术框架在离线训练时长、对未知DGA恶意域名家族的检测能力方面表现优秀，可以较好地满足运营商大网环境下对恶意域名的检测分析要求。

关键词: 恶意域名, 僵尸网络, 机器学习, 深度学习, 组合分类器

Abstract:

As a fundamental service on the internet,domain name system (DNS) can inevitably be abused by malicious activities.Based on the studies of Botnets and other malwares which made use of the domain generation algorithm (DGA),and researches on current major techniques of malicious domain detection,a malicious domain detection framework based on a classifier combination was proposed.The framework applied the support vector machine (SVM) as its main classifier and combined the naive Bayes classifier (NBC) supportively with some statistical characteristics.Experiment result demonstrates that the framework outperformes current techniques in the offline-training time and the capability of detecting unknow malicious domain families,which satisfies the requirement of internet service provider (ISP) to detect and analyze malicious domainson the internet.

Key words: malicious domain name, Botnet, machine learning, deep learning, classifier combination

中图分类号:

TP393

盛剑涛,陈茂飞,刘东鑫,汪来富,史国水,金华敏. 基于组合分类器的恶意域名检测技术[J]. 电信科学, 2020, 36(5): 47-55.

Jiantao SHENG,Maofei CHEN,Dongxin LIU,Laifu WANG,Guoshui SHI,Huamin JIN. Detection of malicious domain name based on a classifier combination[J]. Telecommunications Science, 2020, 36(5): 47-55.

图/表 16

图1

图2

表1

表2

表3

表4

图3

图4

表5

表6

表7

图5

图6

图7

图8

图9

参考文献 8

[1]	安天安全研究与应急处理中心. 安天针对勒索蠕虫“魔窟”(WANNACRY) 的深度分析报告[R]. 2017.
	Antiy CERT. An in-depth analysis report on the blackmail worm WANNACRY[R]. 2017.
[2]	SkyEye 天眼实验室. APT OceanLotus 数字海洋的游猎[R]. 2015.
	SkyEye Laboratory. APT OceanLotus digital ocean safari[R]. 2015.
[3]	臧小东, 龚俭, 胡晓艳 . 基于AGD的恶意域名检测[J]. 通信学报, 2018,39(7): 15-25.
	ZANG X D , GONG J , HU X Y . Detecting malicious domain names based on AGD[J]. Journal on Communications, 2018,39(7): 15-25.
[4]	蒋鸿玲, 戴俊伟 . DGA恶意域名检测方法[J]. 北京信息科技大学学报(自然科学版), 2019,34(5): 45-50.
	JIANG H L , DAI J W . DGA malicious domain name detection method[J]. Journal of Beijing Information Science ＆ Technology University, 2019,34(5): 45-50.
[5]	王震 . 基于SVM的DGA域名检测方法研究[D]. 山东:济南大学, 2018.
	WANG Z . Research on DGA domain name detection method based on SVM[D]. Shandong:Jinan University, 2018.
[6]	王志宏, 杨震 . 人工智能技术的哲学及系统性思考[J]. 电信科学, 2018,34(4): 12-21.
	WANG Z H , YANG Z . Philosophy and systematic thinking of artificial intelligence technology[J]. Telecommunications Science, 2018,34(4): 12-21.
[7]	YU B , GRAY D L , PAN J ,et al. Inline DGA Detection with Deep Networks[C]// Proceedings of IEEE International Conference on Data Mining Workshops (ICDMW). Piscataway:IEEE Press, 2017: 683-692.
[8]	绿盟科技. 2019年BOTNET趋势报告[R]. 2020.
	NSFOCUS. BOTNET trends report 2019[R]. 2020.

Alex Top5 000	Alex Top50 000	Alex Top100 000
‘CO’：3 488	‘CO’:31 963	‘CO’:63 208
‘.C’：3 484	‘.C’:31 802	‘.C’:62 016
‘OM’：3 232	‘OM’:29 387	‘OM’:57 576
‘E.’,：641	‘IN’:7 326	‘IN’:15 535
‘IN’：628	‘NE’:6 428	‘NE’:13 260
‘NE’:609	‘S.’:6 408	‘S.’:13 179
‘S.’:571	‘OR’:5 940	‘OR’:12 685
‘AN’:559	‘E.’:5 920	‘ER’:12 132
‘ER’:499	‘ER’:5 600	‘E.’:11 902
‘OR’:489	‘AN’:5 449	‘AN’:11 324

Alex Top5 000	Alex Top50 000	Alex Top100 000
‘.CO’:3280	‘.CO’:29 517	‘.CO’:57 807
‘COM’:3134	‘COM’:28 210	‘COM’:55 008
‘E.C’:440	‘S.C’:4 202	‘S.C’:8 561
‘S.C’:399	‘E.C’:3 683	‘E.C’:7 243
‘OM.’:284	‘NET’:3 010	‘NET’:6 103
‘NET’:280	‘.NE’:2 506	‘.NE’:5 048
‘A.C’:244	‘OM.’:2 474	‘OM.’:4 643
‘R.C’:239	‘T.C’:2 273	‘T.C’:4 555
‘T.C’:238	‘R.C’:2 076	‘A.C’:4 081
‘.NE’:226	‘A.C’:2 054	‘.OR’:4 068

DGA家族域名5万	DGA家族域名 10万
‘.C’:12 677	‘OR’:14 454
‘CO’:11 544	‘.C’:14 066’
‘IN’:10 134	IN’:12 280
‘CC’:9 154	‘.I’:11 926
‘OM’:9 090	‘RG’:1 0857:
‘.I’:9 052	‘RU’:10 708
‘OR’:6 509	‘BI’:10 527
‘NF’:6 395	‘NF’:10 520
‘RG’:6 265	‘FO’:10 078
‘FO’:6 257	‘CO’:9 875

DGA家族域名5万	DGA家族域名 10万
‘NET’:12 412	‘ORG:29 491
‘.NE’:12 388	‘.OR’:29 395
‘ORG’:12 029	‘NET’:23 212
‘.OR’:12 022	‘.NE’:23 158
‘NS.’:10 116	‘X.O’:20 133
‘DDN’:10 100	‘S.N’:20 117
‘DNS’:10 095	‘DNS’:20 062
‘WW.’,10 037	‘WWW’:20 054
‘X.O’:10 030	‘WW.’:20 047
‘KHC’:10 024	‘NS.’:20 039

数据集编号	正负样本比例	训练集规模	测试集规模
1	1:1	10 000	2 000
2	1:1	20 000	4 000
3	1:1	40 000	8 000
4	1:1	60 000	12 000
5	1:1	100 000	20 000

基于组合分类器的恶意域名检测技术

Detection of malicious domain name based on a classifier combination

在线阅读

PDF下载

可视化

摘要/Abstract

引用本文

使用本文

图/表 16

参考文献 8

相关文章 15

Metrics

推荐阅读 0

类别	环境设置
操作系统	Ubuntu18.0.4 LTS
开发语言	Python3.6
开发工具	PyCharm 企业版v2019.1
机器学习库	Sklearn,TensorFlow
CPU	Intel Core i7-6700HQ @2.60 GHz
内存	16 GB
硬盘	1 TB

	预测为正例	预测为负例
真实类别为正例	真正(TP)	假负（FN）
真实类别为负例	假正(FP)	真负（TN）

[1]	郭泽华, 朱昊文, 徐同文. 面向分布式机器学习的网络模态创新[J]. 电信科学, 2023, 39(6): 44-51.
[2]	卢敏, 胡娟, 张先超, 丁伟健, 乐光学. 基于用户多特征融合的个性化推荐模型[J]. 电信科学, 2023, 39(5): 101-115.
[3]	刘雅琼, 吕哲, 赵亚飞, 寿国础. AI技术在卫星通信/互联网领域的应用综述[J]. 电信科学, 2023, 39(2): 10-24.
[4]	章坚武, 安彦军, 邓黄燕. DNS攻击检测与安全防护研究综述[J]. 电信科学, 2022, 38(9): 1-17.
[5]	诸葛斌, 尹正虎, 斯文学, 颜蕾, 董黎刚, 蒋献. 基于学生知识追踪的多指标习题推荐算法[J]. 电信科学, 2022, 38(9): 129-143.
[6]	周杰, Esono Mikue Bernardo Esono, 王学英, 周惠婷, 罗宏. 基于SLM-PTS算法融合的NC-OFDM峰均比优化[J]. 电信科学, 2022, 38(7): 63-74.
[7]	李攀攀, 谢正霞, 乐光学, 刘鑫. 基于深度学习的无线通信接收方法研究进展与趋势[J]. 电信科学, 2022, 38(2): 1-17.
[8]	申情, 郭文宾, 楼俊钢, 余强国. 考虑多层次潜在特征的个性化推荐模型[J]. 电信科学, 2022, 38(2): 71-83.
[9]	周志超, 冯毅, 夏小涵, 冯瑜瑶, 蔡超, 邱佳慧, 杨立辉, 乌云霄. 基于移动蜂窝网的机器学习室外指纹定位方案[J]. 电信科学, 2021, 37(8): 85-95.
[10]	陈志宏, 王明晓. 计算机视觉在智慧安防中的应用[J]. 电信科学, 2021, 37(8): 142-147.
[11]	唐博恒, 柴鑫刚. 基于云边协同的计算机视觉推理机制[J]. 电信科学, 2021, 37(5): 72-81.
[12]	孙姝君, 彭盛亮, 姚育东, 杨喜. 基于深度学习的调制识别综述[J]. 电信科学, 2021, 37(5): 82-90.
[13]	彭双, 王晓东, 彭宗举, 陈芬. 基于深度学习的快速QTMT划分[J]. 电信科学, 2021, 37(4): 73-81.
[14]	胡道允, 齐进, 陆钱春, 李锋, 房红强. 基于深度学习的流量工程算法研究与应用[J]. 电信科学, 2021, 37(2): 107-114.
[15]	张捷, 杨丽花, 王增浩, 呼博, 聂倩. 一种新型的基于深度学习的时变信道预测方法[J]. 电信科学, 2021, 37(1): 39-47.