基于加权支持向量机的Domain Flux僵尸网络域名检测方法研究

doi:10.3969/j.issn.1671-1122.2018.12.009

信息网络安全 ›› 2018, Vol. 18 ›› Issue (12): 66-71.doi: 10.3969/j.issn.1671-1122.2018.12.009

基于加权支持向量机的Domain Flux僵尸网络域名检测方法研究

宋金伟, 杨进(), 李涛

四川大学计算机学院,四川成都 610065

收稿日期:2018-06-14 出版日期:2018-12-20 发布日期:2020-05-11
作者简介:
作者简介：宋金伟（1992—）,男,河南,硕士研究生,主要研究方向为网络信息安全;杨进（1980—）,男,四川,副研究员,博士,主要研究方向为计算机网络安全、人工智能;李涛（1965—）,男,四川,教授,博士,主要研究方向为计算机免疫学、云和大数据安全、网络安全保护技术。
基金资助:
国家重点研发计划[2016yfb0800604,2016yfb0800605];国家自然科学基金[61572334,U1736212];四川省重点研发项目[2018GZ0183]

Research on Domain Flux Botnet Domain Name Detection Method Based on Weighted Support Vector Machine

Jinwei SONG, Jin YANG(), Tao LI

College of Computer Science, Sichuan University, Chengdu Sichuan 610065, China

Received:2018-06-14 Online:2018-12-20 Published:2020-05-11

摘要/Abstract

摘要：

Domain Flux僵尸网络域名多用于僵尸网络的命令控制信道中,因此检测Domain Flux僵尸网络域名对僵尸网络的检测有重要意义。目前Domain Flux僵尸网络域名的检测方法存在较多的问题,如资源消耗多、检测精确率不高等。针对这些问题,文章提出了一种基于加权支持向量机的Domain Flux僵尸网络域名检测方法。通过分析Domain Flux僵尸网络域名和正常域名的区别,提取出数十种域名特征用于区分正常域名和Domain Flux僵尸网络域名;为了使每种特征发挥最大的区分效果,通过信息增益比来计算每种特征的权重值并对特征进行加权;使用支持向量机算法对加权后的特征数据集进行训练,获得检测模型。实验表明,该方法有效地提高了Domain Flux僵尸网络域名的检测准确率,可以较好的识别Domain Flux僵尸网络域名。

关键词: Domain Flux僵尸网络, 信息增益比, 特征加权, 支持向量机

Abstract:

Domain Flux botnet domain names are mostly used in botnet command control channels, so detection of Domain Flux botnet domain names is very important for botnet detection. There are many problems in the detection methods of Domain Flux botnet domain names at present. For example, resource consumption is high and detection accuracy is not high. To solve these problems, this paper proposes a Domain Flux botnet domain name detection method based on weighted support vector machine. By analyzing the difference between Domain Flux botnet domain name and traditional domain name, dozens of domain name features are extracted to distinguish normal domain name and Domain Flux botnet domain name. In order to maximize the distinguishing effect of each feature, the weights of each feature are calculated by the information gain ratio and weighted by the feature. The SVM algorithm is trained on the weighted feature data set to obtain the detection model. Experiments show that this method effectively improves the detection accuracy of Domain Flux botnet domain names, and can better identify Domain Flux botnet domain names.

Key words: Domain Flux botnet, information gain ratio, feature weighting, support vector machine

中图分类号:

TP309

宋金伟, 杨进, 李涛. 基于加权支持向量机的Domain Flux僵尸网络域名检测方法研究[J]. 信息网络安全, 2018, 18(12): 66-71.

Jinwei SONG, Jin YANG, Tao LI. Research on Domain Flux Botnet Domain Name Detection Method Based on Weighted Support Vector Machine[J]. Netinfo Security, 2018, 18(12): 66-71.

图/表 7

图1

表1

图2

图3

图4

图5

图6

参考文献 12

[1]	FANG Binxing, CUI Xiang, WANG Wei.Survey of Botnet[J]. Journal of Computer Research and Development, 2011, 48(8): 1315-1331.
	方滨兴, 崔翔, 王威. 僵尸网络综述[J]. 计算机研究与发展, 2011,48(8):1315-1331
[2]	ZHUGE Jianwei, HAN Xinhui, Zhou Yonglin, et al.Research and Development of Botnets[J]. Journal of Software, 2008, 19(3): 702-715.
	诸葛建伟, 韩心慧, 周勇林, 等. 僵尸网络研究[J]. 软件学报, 2008, 19(3): 702-715.
[3]	LI Qingshan, CHEN Zhong.Detection of Domain-flux Botnet Domain Names[J]. Computer Engineering and Design, 2012, 33(8): 2915-2919.
	李青山, 陈钟. Domain-flux僵尸网络域名检测[J]. 计算机工程与设计, 2012, 33(8):2915-2919.
[4]	XU Guotian.Generation Algorithm Crack Based on DGA Name of Malicious Program[J]. Netinfo Security, 2017,17(9): 26-29.
	徐国天. 基于DGA的恶意程序域名生成算法破解[J]. 信息网络安全, 2017,17(9):26-29.
[5]	YADAV E, REDDY A K K ， REDDY A L N , et al. Detecting Algorithmically Generated Malicious Domain Names[C]// ACM. IMC ’10 Proceedings of the 10th ACM SIGCOMM conference on Internet Measurement,November 1 - 30, 2010,Melbourne, Australia. New York:ACM, 2010:48-61.
[6]	JIANG Jian, ZHUGE Jianwei, DUAN Haixin, et al.Research on Botnet Mechanisms and Defenses[J]. Journal of Software, 2012, 23(1): 82-96.
	江健, 诸葛建伟, 段海新, 等. 僵尸网络机理与防御技术[J]. 软件学报, 2012, 23(1): 82-96.
[7]	DAVUTH N, KIM S R.Classification of Malicious Domain Names Using Support Vector Machine and Bi-gram Method[J]. International Journal of Security & Its Applications, 2013,7(1):51-58.
[8]	STONEGROSS, BRETT, Y, et al. Your Botnet is My Botnet: Analysis of a Botnet Takeover[C]// ACM. 16th ACM conference on Computer and Communications Security,November 9-13, 2009, Chicago, Illinois, USA. New York:ACM, 2009:635-647.
[9]	YADAV S, D, et al. Detecting Algorithmically Generated Malicious Domain Names[C]// ACM. 10th ACM SIGCOMM Internet Measurement Conference, November 1-3, 2010, Melbourne, Australia. New York:ACM, 2010:48-61.
[10]	POMOROVA O, SAVENKO O, LYSENKO S, et al.A Technique for the Botnet Detection Based on DNS-Traffic Analysis[C]// Computer Networks. 22nd International Conference, June 16-19, 2015, Brunow, Poland. Berlin:Springer, 2015:127-138.
[11]	LIN H T, LIN C J, WENG R C.A Note on Plat tps Probabilistic Outputs for Support Vector Machines[J]. Machine Learning, 2007,68(3):267-276
[12]	ZHANG Haoran, HAN Zhengzhi, LI Changgang.Support Vector Machine[J]. Computer Science, 2002, 29(12): 135-137.
	张浩然, 韩正之, 李昌刚. 支持向量机[J]. 计算机科学,2002, 29(12):135-137.

类别	数据规模	标注
Alexa数据集	1000000	正常域名
OSINT数据集	860000	恶意域名

基于加权支持向量机的Domain Flux僵尸网络域名检测方法研究

Research on Domain Flux Botnet Domain Name Detection Method Based on Weighted Support Vector Machine

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 7

参考文献 12

相关文章 12

编辑推荐

Metrics

本文评价

[1]	胡建伟, 赵伟, 闫峥, 章芮. 基于机器学习的SQL注入漏洞挖掘技术的分析与实现[J]. 信息网络安全, 2019, 19(11): 36-42.
[2]	和湘, 刘晟, 姜吉国. 基于机器学习的入侵检测方法对比研究[J]. 信息网络安全, 2018, 0(5): 1-11.
[3]	苏静, 路文玲, 赵毅强, 史艳翠. 基于支持向量机的硬件木马检测建模与优化[J]. 信息网络安全, 2017, 17(8): 33-38.
[4]	张谦, 高章敏, 刘嘉勇. 基于Word2vec的微博短文本分类研究[J]. 信息网络安全, 2017, 17(1): 57-62.
[5]	宋伟, 杨培, 于京, 姜薇. 基于视觉语义概念的暴恐视频检测[J]. 信息网络安全, 2016, 16(9): 12-17.
[6]	张晓惠, 林柏钢. 基于平衡二叉决策树SVM算法的物联网安全研究[J]. 信息网络安全, 2015, 15(8): 20-25.
[7]	戚名钰, 刘铭, 傅彦铭. 基于PCA的SVM网络入侵检测研究[J]. 信息网络安全, 2015, 15(2): 15-18.
[8]	. 基于区域性构建支持向量机模型的空域水印算法[J]. , 2014, 14(2): 32-.
[9]	晁沛;周亚建. 基于区域性构建支持向量机模型的空域水印算法[J]. , 2014, 14(2): 0-0.
[10]	宋健豪;赵刚;宋君易. 基于离线检测的SVMNIDS模式研究[J]. , 2012, 12(9): 0-0.
[11]	黄华军;钱亮;王耀钧. 基于异常特征的钓鱼网站URL检测技术[J]. , 2012, 12(1): 0-0.
[12]	郑辉. 基于KPCA组合核函数SVM的网络危险因素识别[J]. , 2010, (2): 0-0.