摘要
在钓鱼网站、远控木马等网络攻击中常使用大量的非常规域名.面对海量域名,已有非常规域名检测方法准确性有待提高.基于对使用非常规域名的网络攻击特征,以及对已有非常规域名检测方法的研究,提出了域名伪装特征,分隔特征域名标签被数字分割的最大单元数,DNS查询特征:单次DNS查询返回的IP个数和DNS查询返回IP集合的平均杰卡德距离;改进了发音特征域名元音字母占比.此外,提出一种基于文本特征和DNS查询特征的非常规域名检测方法,其中选取了新定义的特征,以及若干其他域名基本特征、发音特征和分隔特征,并基于机器学习方法区分常规域名和非常规域名.实验结果表明,提出的非常规域名检测方法与部分已有方法相比准确率有较大提高,可用于检测使用了非常规域名的恶意网络攻击.
基金项目
计算机网络和信息集成教育部重点实验室资助项目(K93-9-2014-04B)
国家自然科学基金(61170322)
国家科技期刊平台
NSTL
维普
万方数据