CN117596066A

CN117596066A - 一种基于二级域名的轻量级物联网僵尸主机检测方法

Info

Publication number: CN117596066A
Application number: CN202311668792.5A
Authority: CN
Inventors: 殷丽华; 罗熙; 孙皓; 段紫桐; 于城; 王智明
Original assignee: Guangzhou University
Current assignee: Guangzhou University
Priority date: 2023-12-06
Filing date: 2023-12-06
Publication date: 2024-02-23

Abstract

本发明属于网络安全领域，公开了一种基于二级域名的轻量级物联网僵尸主机检测方法，包括S1，获取待检测的主机的dns查询数据，对dns查询数据进行过滤，获取响应代码为NXDOMAIN的查询记录；S2，对响应代码为NXDOMAIN的查询记录进行划分，得到查询序列；S3，通过预设的神经网络模型分别计算每个查询序列的恶意分数；S4，判断是否存在至少一个大于预设的恶意分数阈值的恶意分数，若是，则表示待检测的主机为僵尸主机，若否，则表示待检测的主机不属于僵尸主机。本发明实现了僵尸主机的准确检测。

Description

一种基于二级域名的轻量级物联网僵尸主机检测方法

技术领域

本发明涉及网络安全领域，尤其涉及一种基于二级域名的轻量级物联网僵尸主机检测方法。

背景技术

物联网(IoT)是通过互联网将日常生活中的设备、传感器、工具等物理对象连接在一起形成的巨大网络。这些物理对象是智能手机、家用电器、车辆、工业设备、健康监测器等。它们与互联网连接时，能够收集、传输和交换数据，实现智能化、自动化和远程控制等功能。

随着物联网技术的发展，大量的物联网设备已在许多领域落地。如今，网络攻击已渗透到物联网***中。网络犯罪分子利用不安全的物联网设备并对其进行攻击以实施恶意活动。其中，造成惨重损失的是物联网僵尸网络。物联网僵尸网络是有控制者与被感染物联网设备之间形成的一个可一对多控制的网络，其中，被感染的物联网设备称为“僵尸主机”。当设备被感染成为僵尸主机后，它们会与C&C服务器建立通信连接。C&C(Command andControl)服务器是位于远程位置的中央服务器，由控制者用来控制和指挥僵尸主机执行各种恶意活动比如DDoS攻击。为了防止C&C服务器被追踪，僵尸主机进行反链C&C服务器。在特定的时间间隔内，攻击者使用种子运行DGA算法生成大量的域名，随机选择少量域名注册并指向C&C服务器。僵尸主机使用同样的种子运行DGA算法确保在相同的时间间隔内生成同样的域名，逐次查询生成的域名。若当前域名未注册，则查询其他域名；若当前域名注册，僵尸主机会通过DNS查询向DNS服务器发出请求，尝试解析这些域名的IP地址与C&C服务器建立通信连接。

因此，如何检测僵尸主机便成为需要解决的技术问题。

发明内容

本发明的目的在于公开一种基于二级域名的轻量级物联网僵尸主机检测方法，解决如何检测僵尸主机的问题。

为了达到上述目的，本发明提供如下技术方案：

本发明提供了一种基于二级域名的轻量级物联网僵尸主机检测方法，包括：

S1，获取待检测的主机的dns查询数据，对dns查询数据进行过滤，获取响应代码为NXDOMAIN的查询记录；

S2，对响应代码为NXDOMAIN的查询记录进行划分，得到查询序列；

S3，通过预设的神经网络模型分别计算每个查询序列的恶意分数；

S4，判断是否存在至少一个大于预设的恶意分数阈值的恶意分数，若是，则表示待检测的主机为僵尸主机，若否，则表示待检测的主机不属于僵尸主机。

可选的，查询记录包括时间戳、主机、二级域名这三个字段。

可选的，S2包括：

S21，对于时间戳相邻的两条响应代码为NXDOMAIN的查询记录a和b，若a和b对应的两个时间戳t_a和t_b之间的时间间隔大于预设的时间长度，则将查询记录a和b划分到两个不同的查询序列中；若a和b对应的两个时间戳t_a和t_b之间的时间间隔小于等于预设的时间长度，则将查询记录a和b划分到同一个查询序列中；

S22，对于已经划分好的查询序列，若时间戳相邻的两条响应代码为NXDOMAIN的查询记录中的二级域名相同，则保留时间戳较早的查询记录。

可选的，预设的神经网络模型包括输入层、嵌入层、LSTM层和输出层；

输入层用于获取查询序列中的二级域名的字符串；

嵌入层用于将二级域名的字符串转换为矩阵；

LSTM层用于对矩阵进行处理，得到包含了域名字符串字符间的上下文关系的长度为k的向量；

输出层用于计算查询序列的恶意分数，将长度为k的向量输入至输出层中得到查询序列的恶意分数。

可选的，将二级域名的字符串转换为矩阵，包括：

使用独热编码将二级域名转换为矩阵。

可选的，使用独热编码将二级域名转换为矩阵，包括：

使用长为39的向量表示二级域名中的一个字符，其中，这个长度为39的向量含义为：第1-26位代表字符“a”-“z”，第27-36位代表数字0-9，第37位代表“-”，第38位代表“.”，第39位代表其他的特殊字符；

用n表示二级域名的长度，则二级域名被转换为n×39的矩阵。

可选的，对矩阵进行处理，得到包含了域名字符串字符间的上下文关系的长度为k的向量，包括：

分别将矩阵中的每一个字符的向量作为一个时间步输入到LSTM中，处理过程如下列公式：

f_n＝σ(W_f[h_n-1,x_n]+b_f)

i_n＝σ(W_i[h_n-1,x_n]+b_i)

o_n＝σ(W_o[h_n-1,x_n]+b_o)

h_n＝o_n·tanh(C_n)

其中f_n是遗忘门，i_n是输入门，o_n是输出门，是候选记忆单元状态，C_n是记忆单元状态，h_n是第n个时间步隐藏状态，σ是sigmoid激活函数，W_f是遗忘门权重，h_n-1是第n-1个时间步的隐藏状态，x_n是第n个时间步的输入，b_f是遗忘门的偏置向量，W_i是输入门权重，b_i是输入门的偏置向量，W_o是输出门权重，b_o是输出门的偏置向量，W_c是计算候选记忆单元状态时的权重，b_c是计算候选记忆单元状态时的偏置向量，C_n-1是第n-1个时间步的记忆单元状态。；经过LSTM层后，对每个长度为n的二级域名，生成一个长度为k的向量，该向量包含了域名字符串字符间的上下文关系。

可选的，计算查询序列的恶意分数，包括：

使用如下函数计算查询序列的恶意分数S_seq：

Pr(nd_j|H₁)表示待检测的主机可疑时，查询二级域名nd_j的概率，m表示查询序列中包含的二级域名的总数，Pr(nd_j|H₀)表示主机正常时，查询二级域名nd_j的概率。

有益效果：

本发明引入了一种新的域名检测模型，使用编码层和LSTM结构进行数据类别预测。该模型能以99％以上的精度准确检测域名类别，能够深入研究域名特征——集体分析目标IP、域名、DNS服务器之间的关系，从而实现了僵尸主机的准确检测。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的一种基于二级域名的轻量级物联网僵尸主机检测方法的一种示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

如图1所示的一种实施例，本发明提供了一种基于二级域名的轻量级物联网僵尸主机检测方法，包括：

S1主要是用来过滤掉无用的域名查询数据，只关注响应代码为NXDOMAIN的查询记录。

具体的，查询序列可以通过如下方式进行表示：

Q_i＝[(nd₁,t₁),(nd₂,t₂),...,(nd_m,t_m)]。

其中，(nd_m,t_m)表示主机i在事件戳t_m查询NXDOMAIN域名nd_m。

可选的，S2包括：

具体的，预设的时间长度可以是10分钟。

可选的，预设的神经网络模型包括输入层、嵌入层、LSTM层和输出层。

输入层用于获取查询序列中的二级域名的字符串。

例如，对于完整域名“www.***.com”“www.apple.cn”，本发明使用“***.com”和“apple.cn”作为输入。

嵌入层用于将二级域名的字符串转换为矩阵。

可选的，将二级域名的字符串转换为矩阵，包括：

使用独热编码将二级域名转换为矩阵。

可选的，使用独热编码将二级域名转换为矩阵，包括：

用n表示二级域名的长度，则二级域名被转换为n×39的矩阵。

具体的，其他特殊字符包括“/”、“？”、“％”等用于域名表示的符号。

LSTM层用于对矩阵进行处理，得到包含了域名字符串字符间的上下文关系的长度为k的向量。将长度为k的向量输入至输出层中得到查询序列的恶意分数。

f_n＝σ(W_f[h_n-1,x_n]+b_f)

i_n＝σ(W_i[h_n-1,x_n]+b_i)

o_n＝σ(W_o[h_n-1,x_n]+b_o)

h_n＝o_n·tanh(C_n)

输出层用于计算查询序列的恶意分数。

经过以上步骤，对于每个长度为n的NXDOMAIN会生成长度为k的向量。在该方法中，将计算域名恶意分数问题看做二分类问题。具体而言，本方法将每个长度为k的向量作为输入，使用全连接层得到域名的恶意概率与良性概率，并使用交叉熵损失函数最小化真实标签与预测值的问题。

可选的，计算查询序列的恶意分数，包括：

使用如下函数计算查询序列的恶意分数S_seq：

恶意分数S_seq越大，待检测的主机恶意的可能性越大。根据TRW，有两个手动设置的阈值μ和ν，它们分别代表假阳性率和假阴性率，则预设的恶意分数阈值表示为ν和μ可以设为0.01。

如果查询序列被认为是恶意的。只要一个查询序列被认为是恶意的，则表示该待检测的主机在大量访问不存在的域名，意味着它可能在访问使用DGA算法生成的域名来尝试与C&C服务器进行连接，那么该主机就是恶意主机。

本发明的优点如下：

1、实现大规模的数据处理

数据在GPU上进行计算，因而能够充分发挥数据并行处理的优势。采用分布式消息队列实现消息的智能分发，使得我们能充分利用集群的潜力，从而能有效地进行大规模数据处理，极大地提升了处理效率和速度。这种技术组合不仅加速了计算过程，也为更复杂、更庞大的数据问题的解决铺平了道路。

2、不需要人为标记数据

所涉及的模型分类任务被明确定义为二分类，着眼于对数据进行良性和恶意两大类的划分。针对恶意数据样本，运用特定的恶意域名生成算法，能够高效地生成批量的恶意数据集。而对于良性数据样本，选择从已有的互联网通用域名中构建良性数据集，这种方法避免了繁琐的人工标注过程。这一综合策略不仅明显简化了数据集准备工作，也为模型训练提供了有力支持。

3、计算速度快，占用资源小。

利用深度学习模型进行预测，赋予了我们使用GPU进行高效并行数据运算的能力。所选取的神经网络结构不仅保持了高预测准确率，还具有简洁的特点，从而减少了所需的计算工作量。在模型构建方面，我们选择了PyTorch框架，该框架不仅易于操作，更因其出色的模型编译功能，进一步提升了模型的计算速度。这一综合策略不仅加速了预测过程，也为高效而精准的预测结果奠定了坚实基础。

4、基于LSTM算法，对未响应的二级域名进行打分

使用LSTM提取域名字符串的特征。对每个长度为n的二级域名，模型会生成一个长为k的向量，该向量包含了域名字符串字符间的上下文关系。使用全连接层得到域名的恶意概率与良性概率。根据恶意概率与良性概率得到二级域名的恶意分数。

5、基于TRW算法发现潜在的僵尸主机

基于TRW算法，通过对主机请求解析但未响应的二级域名进行打分，根据该主机的所有域名得分总和是否超过阈值来判断其是否为僵尸主机。

以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节，也不限制该发明仅为所述的具体实施方式。显然，根据本说明书的内容，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本发明的原理和实际应用，从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。

Claims

1.一种基于二级域名的轻量级物联网僵尸主机检测方法，其特征在于，包括：

2.根据权利要求1所述的一种基于二级域名的轻量级物联网僵尸主机检测方法，其特征在于，查询记录包括时间戳、主机、二级域名这三个字段。

3.根据权利要求2所述的一种基于二级域名的轻量级物联网僵尸主机检测方法，其特征在于，S2包括：

4.根据权利要求2所述的一种基于二级域名的轻量级物联网僵尸主机检测方法，其特征在于，预设的神经网络模型包括输入层、嵌入层、LSTM层和输出层；

输入层用于获取查询序列中的二级域名的字符串；

嵌入层用于将二级域名的字符串转换为矩阵；

5.根据权利要求4所述的一种基于二级域名的轻量级物联网僵尸主机检测方法，其特征在于，将二级域名的字符串转换为矩阵，包括：

使用独热编码将二级域名转换为矩阵。

6.根据权利要求5所述的一种基于二级域名的轻量级物联网僵尸主机检测方法，其特征在于，使用独热编码将二级域名转换为矩阵，包括：

用n表示二级域名的长度，则二级域名被转换为n×39的矩阵。

7.根据权利要求6所述的一种基于二级域名的轻量级物联网僵尸主机检测方法，其特征在于，对矩阵进行处理，得到包含了域名字符串字符间的上下文关系的长度为k的向量，包括：

f_n＝σ(W_f[h_n-1,x_n]+b_f)

i_n＝σ(W_i[h_n-1,x_n]+b_i)

o_n＝σ(W_o[h_n-1,x_n]+b_o)

h_n＝o_n·tanh(C_n)

8.根据权利要求7所述的一种基于二级域名的轻量级物联网僵尸主机检测方法，其特征在于，计算查询序列的恶意分数，包括：

使用如下函数计算查询序列的恶意分数S_seq：