(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111390679.6 (22)申请日 2021.11.22 (71)申请人 中原工学院 地址 450007 河南省郑州市中原中路41号 (72)发明人 杨要科　张书钦　李枫　 (74)专利代理 机构 西安合创非凡知识产权代理 事务所(普通 合伙) 61248 代理人 支思迪 (51)Int.Cl. H04L 61/4511(2022.01) H04L 9/40(2022.01) G06F 16/906(2019.01) G06F 16/903(2019.01) G06F 16/955(2019.01) (54)发明名称 一种网络空间中恶意 域名自动化检测方法 (57)摘要 本发明公开了一种网络空间中恶意域名自 动化检测方法， 包括： 数据采集； 分类特征提取算 法。 本发明提出基于DNS的僵尸网络域名检测特 征， 即二级域名的双字母分布特征、 域名字符长 度特征、 顶级域名特征、 拼音词法特征与数字字 母分布特征， 并采用组分析方式， 加入域名动态 特征TTL， K‑L散度分析以及域名访问活跃度等动 态特征， 设计开发恶意域名自动化检测系统， 通 过动态设定阈值对待测域名进行筛选， 根据我校 真实的网络DNS数据内容对这五条特征进行测 试， 对测试结果及各条特征的特性进行分析总 结， 进而改进恶意域名特征库， 从而提升恶意域 名检测效率， 最终保障网络的安全访问。 权利要求书1页 说明书4页 附图1页 CN 114124892 A 2022.03.01 CN 114124892 A 1.一种网络空间中恶意域名自动化检测方法， 其特征在于， 包括： 数据采集， 用于网络 空间中恶意域名的数据采集； 分类特征提取算法， 用于针对英文和中文的词法特征的不同， 分析并创新 性地提出了对于中文域名特有的特 征。 2.根据权利要求1所述的网络空间中恶意域名自动化检测方法， 其特征在于， 所述分类 特征提取算法包括： 通过数据预 处理得到最初的待检测域名集合， 并分别提取每个域名的5 个静态特征； 将域名集的特征向量送入训练好的SVM分类器中， 通过分类器的分类， 可以得 到一个可疑的域名集； 计算每个域名的访问峰值活跃度， 若峰值活跃度小于某阈值， 则判断 该域名为 非恶意域名， 得到非恶意域名集合 1， 若活跃度大于阈值 1， 则转入第4步计算； 设置 子域名个数阈值为50； 计算二级域名下子域名集合K ‑L散度， 得到可疑域名集和非恶意域名 集合2， 将可疑域名集送入第6步计算； 计算所有子域名的TTL值并判断TTL是否大于某阈值， 若大于某阈值则将域名加入非恶意域名集合2， 若小于某阈值则得到最 终的恶意域名集合； 六个步骤结束后得到最 终恶意域名集合里的域名被判断为恶意域名， 得到的非恶意域名集 合1和非恶意 域名集合2里的域名被判断为非恶意 域名。权　利　要　求　书 1/1 页 2 CN 114124892 A 2一种网络空间中恶 意域名自动化检测方 法 技术领域 [0001]本发明涉及恶意域名检测技术， 具体涉及 一种网络空间中恶意域名自动化检测方 法。 背景技术 [0002]目前， 随着信息网络的蓬勃发展， 互联网规模不断扩大， 互联 网应用深入到生活的 方方面面， 互联网成为了推动社会进步和经济发展的巨大动力。 尤其是近年来， 智能手机的 广泛普及， 让人类的生活与互联网紧密相连。 但互联网在带给广大公众跨越时空、 快速便捷 和互动交流的同时， 也给网络攻击、 网络犯罪、 信息泄漏、 窥探隐私提供了可能。 近年来网络 犯罪活动猖獗， 犯罪手段多样化， 僵尸网络以他传播最广， 效率最高， 隐蔽性最 强的优势， 已 经成为网络犯罪最常见 的手段。 因此时下恶意域名检测成为了网络安全研究的热点， 其对 保障网络安全， 净化网络环境具有重要意 义。 [0003]恶意域名也叫恶意网站， 是指该网站利用浏览器或者应用软件的漏洞， 嵌入恶意 代码， 在用户不知情的情况下， 对用户的机器进 行篡改或破坏的网站。 对于弹出插件或提示 用户是否将其设为首页的网站， 因为需要用户确认， 则不被定义为恶意域名。 对于内容不合 法、 不健康的网站， 如果它并未对用户的机器进行篡改或破坏， 也不被定义为恶意域名。 但 是对于仿冒其他网站比如银行网站、 电子商务网站的， 虽然未对用户的机器进行篡改或破 坏， 但是也被定义 为恶意域名。 [0004]目前对恶意域名检测的研究， 首先前人只是提出了几种检测方法， 没有形成自动 化的系统， 检测效果不佳。 其次 目前研究大部 分针对国外域名， 没有完整的针对中 国区的方 法。 然而核心主干网络的监控不够导致恶意域名泛滥， 网络环境受到污染。 因此， 如何快速 准确的分析并检测出恶意 域名已经成为了一个亟 待解决的问题。 [0005]域名解析服务(D NS)是互联网体系结构中重要的基础服务之一， 通过D NS将抽象的 IP地址映射为易于记忆的域名， 可使互联网用户更加方便地访问各种网络资源。 由于DNS自 身缺少恶意行为检测能力， 所以常常被利用进行各种恶意活动。 目前很多流行的僵尸网络， 如Conficker、 Kraken和Torpig等采用了 “domain flux”的域名解析技术来增强其命令控制 服务器的稳定性和隐蔽性。 [0006]现行的恶意域名检测技术大体上可以分为三类， 分别是基于终端程序样本检测， 基于网络流量内容检测， 以及基于DNS流量特征检测。 基于DNS流量特征检测又可以归纳为 两个方面： 第一方面的研究是基于一组机器进行静态分析来判断它们 是否受到感染； 另一 方面的研究是基于恶意 域名的动态检测， 判断是否有 恶意的行为。 发明内容 [0007]本发明的主 要目的在于提供一种网络空间中恶意 域名自动化检测方法。 [0008]本发明采用的技术方案是： 一种网络空间中恶意域名自动化检测方法， 包括： 数据 采集， 用于网络空间中恶意域名的数据采集； 分类特征提取算法， 用于针对英文和中文的词说　明　书 1/4 页 3 CN 114124892 A 3