基于历史数据的异常域名检测算法

袁福祥; 刘粉林; 芦斌; 巩道福

doi:10.11959/j.issn.1000-436x.2016208

您当前的位置：

首页 >

文章列表页 >

基于历史数据的异常域名检测算法

学术通信 | 更新时间：2024-06-05

- 基于历史数据的异常域名检测算法
- Anomaly domains detection algorithm based on historical data
- 通信学报 2016年37卷第10期页码：172-180
- 作者机构：
  
  1. 解放军信息工程大学网络空间安全学院，河南郑州 450001
  2. 数学工程与先进计算国家重点实验室，河南郑州 450001
- 作者简介：
  
  [ "袁福祥（1991-），男，山东济宁人，解放军信息工程大学硕士生，主要研究方向为网络信息处理。" ]
  [ "刘粉林（1964-），男，江苏溧阳人，解放军信息工程大学教授、博士生导师，主要研究方向为网络信息安全、信息隐藏与检测。" ]
  [ "芦斌（1982-），男，山西灵石人，解放军信息工程大学讲师，主要研究方向为数字水印、软件工程。" ]
  [ "巩道福（1984-），男，山东淄博人，解放军信息工程大学讲师，主要研究方向为数字水印、网络信息安全。" ]
- 基金信息：
  
  国家自然科学基金资助项目(61379151);国家自然科学基金资助项目(61272489);国家自然科学基金资助项目(61302159);国家自然科学基金资助项目(61401512);河南省杰出青年基金资助项目(144100510001)
- DOI：10.11959/j.issn.1000-436x.2016208
  中图分类号： TP309
- 网络出版日期：2016-10，
  
  纸质出版日期：2016-10-25
- 稿件说明：
移动端阅览
袁福祥, 刘粉林, 芦斌, 等. 基于历史数据的异常域名检测算法[J]. 通信学报, 2016,37(10):172-180.

Fu-xiang YUAN, Fen-lin LIU, Bin LU, et al. Anomaly domains detection algorithm based on historical data[J]. Journal on communications, 2016, 37(10): 172-180.
袁福祥, 刘粉林, 芦斌, 等. 基于历史数据的异常域名检测算法[J]. 通信学报, 2016,37(10):172-180. DOI： 10.11959/j.issn.1000-436x.2016208.

Fu-xiang YUAN, Fen-lin LIU, Bin LU, et al. Anomaly domains detection algorithm based on historical data[J]. Journal on communications, 2016, 37(10): 172-180. DOI： 10.11959/j.issn.1000-436x.2016208.

摘要

提出一种基于域名历史数据的异常域名检测算法。该算法基于合法域名与恶意域名历史数据的统计差异，将域名已生存时间、whois信息变更、whois信息完整度、域名IP变更、同IP地址域名和域名TTL值等作为主要参量，给出了具体的分类特征表示；在此基础上，构建了用于异常域名检测的 SVM 分类器。特征分析和实验结果表明，算法对未知域名具有较高的检测正确率，尤其适合对生存时间较长的恶意域名进行检测。

Abstract

An anomaly domains detection algorithm was proposed based on domains’ historical data.Based on statistical differences in historical data of legitimate domains and malicious domains

the proposed algorithm used domains’ lifetime

changes of whois information

whois information integrity

IP changes

domains that share same IP

TTL value

etc

as main parameters and concrete representations of features for classification were given.And on this basis the proposed algorithm constructed SVM classifier for detecting anomaly domains.Features analysis and experimental results show that the algorithm obtains high detection accuracy to unknown domains

especially suitable for detecting long lived malicious domains.

关键词

Keywords

references

ROSSOW C , DIETRICH C , BOS H . Detection of intrusions and malware,and vulnerability assessment [M ] . Berlin : SpringerPress , 2013 .

MAHMOUD M , NIR M , MATRAWY A . A survey on botnet architectures,detection and defences [J ] . International Journal of Network Security , 2015 , 17 ( 3 ): 272 - 289 .

PU Y , CHEN X , CUI X , et al . Data stolen trojan detection based on network behaviors [J ] . Procedia Computer Science , 2013 , 17 : 828 - 835 .

NIRMAL K , JANET B , KUMAR R . Phishing-the threat that still exists [C ] // International Conference on Computing and Communications Technologies(ICCCT) . IEEE , 2015 : 139 - 143 .

CHEN C M , CHENG S T , CHOU J H . Detection of fast-flux domains [J ] . Journal of Advances in Computer Networks , 2013 , 1 ( 2 ): 148 - 152 .

VANIA J , MENIYA A , JETHVA H B . A review on botnet and detection technique [J ] . International Journal of Computer Trends and Technology , 2013 , 4 ( 1 ): 23 - 29 .

KHATTAK S , RAMAY N R , KHAN K R , et al . A taxonomy of botnet behavior,detection and defense [J ] . Communications Surveys ＆ Tutorials,IEEE , 2014 , 16 ( 2 ): 898 - 924 .

GARCÍA S , UHLÍŘ V , REHAK M . Identifying and modeling botnet C＆C behaviors [C ] // The 1st International Workshop on Agents and CyberSecurity . ACM , 2014 .

YADAV S , REDDY A K K , REDDY A L , et al . Detecting algorithmically generated malicious domain names [C ] // The 10th ACM SIGCOMM Conference on Internet Measurement . Melbourne,Australia , 2010 : 48 - 61 .

FELEGYHAZI M , KREIBICH C , PAXSON V . On the potential of proactive domain blacklisting [C ] // The 3rd USENIX Conference on Large-Scale Exploits and Emergent Threats:Botnets,Spyware,Worms,and More . San Jose,CA,USA , 2010 .

刘爱江 , 黄长慧 , 胡光俊 . 基于改进神经网络算法的木马控制域名检测方法 [J ] . 电信科学 , 2014 , 30 ( 7 ): 39 - 42 .

LIU A J , HUANG C H , HU G J . Detection method of trojan's control domain based on improved neural network algorithm [J ] . Telecommunications Science , 2014 , 30 ( 7 ): 39 - 42 .

ANTONAKAKIS M , PERDISCI R , DAGON D , et al . Building a dynamic reputation system for DNS [C ] // USENIX Security Symposium . Washington,DC,USA , 2010 : 273 - 290 .

ANTONAKAKIS M , PERDISCI R , LEE W , et al . Detecting malware domains at the upper DNS hierarchy [C ] // USENIX Security Symposium . San Francisco,CA,USA , 2011 : 23 - 46 .

BILGE L , SEN S , BALZAROTTI D , et al . Exposure:a passive DNS analysis service to detect and report malicious domains [J ] . ACM Transactions on Information and System Security (TISSEC) , 2014 , 16 ( 4 ): 14 - 41 .

周勇林 , 由林麟 , 张永铮 . 基于命名及解析行为特征的异常域名检测方法 [J ] . 计算机工程与应用 , 2011 , 47 ( 20 ): 50 - 52 .

ZHOU Y L , YOU L L , ZHANG Y Z . Anomaly domain name detection method based on characteristics of name and resolution behavior [J ] . Computer Engineering and Applications , 2011 , 47 ( 20 ): 50 - 52 .

LENG Y , XU X , QI G . Combining active learning and semi-supervised learning to construct SVM classifier [J ] . Knowledge-Based Systems , 2013 , 44 : 121 - 131 .

YU B , SMITH L , THREEFOOT M . Machine learning and data mining in pattern recognition [M ] . Berlin : SpringerPress , 2014 .

浏览量

1273

下载量

CSCD

文章被引用时，请邮件提醒。

提交

工具集

关联资源

BotCatcher：基于深度学习的僵尸网络检测系统

物联网安全研究综述：威胁、检测与防御

基于词相关性特征的多归属谱聚类突发事件检测

基于混合特征的恶意PDF文档检测

基于ACK序号步长的LDoS攻击检测方法