公开(公告)号：CN107786575B

公开(公告)日：2020-07-10

申请号：CN201711108716.3

申请日：2017-11-11

Applicant: 北京信息科技大学

Inventor： 孟坤 ,  徐硕 ,  李淑琴 ,  丁濛 ,  罗江

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明公开了一种基于DNS流量的自适应恶意域名检测方法，搜集第三方平台提供的黑白名单样本集，并依照域名结构特征列表，使用黑白名单样本集作为训练集基线，选择随机森林分类器训练域名结构检测模型；对判定为恶意的域名进行Whois查询及追踪验证；训练流量检测模型；将待检测的域名与DNS的流量数据经数据预处理后，分别作为加载的域名结构检测引擎和流量检测引擎的输入，得到预测结果；将流量检测引擎判定为恶意域名的数据集，定时更新域名结构检测引擎的训练集黑名单，形成自适应恶意域名检测模式。本发明能够快速地检测出可疑域名，并保持较低延时和可接受的准确率；能够海量数据面前检测出多种类型恶意域名，并保持较高准确率和较低误报率。

公开(公告)号：CN107786575A

公开(公告)日：2018-03-09

申请号：CN201711108716.3

申请日：2017-11-11

Applicant: 北京信息科技大学

Inventor： 孟坤 ,  徐硕 ,  李淑琴 ,  丁濛 ,  罗江

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明公开了一种基于DNS流量的自适应恶意域名检测方法，搜集第三方平台提供的黑白名单样本集，并依照域名结构特征列表，使用黑白名单样本集作为训练集基线，选择随机森林分类器训练域名结构检测模型；对判定为恶意的域名进行Whois查询及追踪验证；训练流量检测模型；将待检测的域名与DNS的流量数据经数据预处理后，分别作为加载的域名结构检测引擎和流量检测引擎的输入，得到预测结果；将流量检测引擎判定为恶意域名的数据集，定时更新域名结构检测引擎的训练集黑名单，形成自适应恶意域名检测模式。本发明能够快速地检测出可疑域名，并保持较低延时和可接受的准确率；能够海量数据面前检测出多种类型恶意域名，并保持较高准确率和较低误报率。