论文部分内容阅读
恶意软件目前仍是互联网的主要威胁之一,基于DNS流量检测恶意软件是一个与控制通信协议无关且高效的解决途径。本文研究并提出一套基于DNS流量全面检测各种类型恶意软件的方法,并在校园网真实流量上进行实验评估。本文基于DNS图挖掘的检测算法,将DNS数据中域名与主机的关系构建成图模型,应用置信传播算法进行节点声望推断,据此进行恶意软件域名、控制服务器和受害主机的检测。本文评估了利用客户端请求流量构建的DNS查询响应图,以及基于被动DNS数据构建的被动DNS图,其中,基于被动DNS图的检测取得80.63%的检出率,而误报仅为0.023%,作为声望系统时则可在1.20%的误报率下达到95.66%的检出率。本文通过对DNS失效流量的测量,分析了产生DNS失效查询的主要原因并作统计。基于DNS失效流量,本文设计了DGA域名聚类检测算法,在人工验证的数据集上取得了99.82%的检出率和0.39%的误报率,校园网7天流量中则共计检出197,026个DGA域名,查准率达98.3%。失效C&C域名检测算法,针对恶意软件C&C失效后反复尝试和固定的重试间隔这两个关键特征,在校园网流量中成功检出影响了249台主机的3,027个恶意软件域名,查准率达92.0%。本文工作相较于过往的研究,具有适用范围广、高效的特点,为基于DNS的恶意软件检测提供了一个全面的解决方案。