文献类型：期刊文章

作　　者：臧小东[1,2,3] 龚俭[1,2,3] 胡晓艳[1,2,3]

ZANG Xiaodong;GONG Jian;HU Xiaoyan(School of Cyber Science and Engineering,Southeast University,Nanjing 211189,China;Jiangsu Provincial Key Laboratory of Computer Network Technology,Southeast University,Nanjing 211189,China;Key Laboratory of Computer Network and Information Integration of Ministry of Education,Southeast University,Nanjing 211189,China)

机构地区：[1]东南大学网络空间安全学院,江苏南京211189 [2]东南大学江苏省计算机网络重点实验室,江苏南京211189 [3]东南大学教育部计算机网络和信息集成重点实验室,江苏南京211189

出　　处：《通信学报》

基　　金：国家自然科学基金资助项目(No.61602114)~~

年　　份：2018

卷　　号：39

期　　号：7

起止页码：15-25

语　　种：中文

收录情况：BDHX、BDHX2017、CSA、CSA-PROQEUST、CSCD、CSCD2017_2018、EI、IC、INSPEC、JST、RCCSE、SCOPUS、ZGKJHX、核心刊

摘　　要：提出了一种聚类和分类算法相结合的恶意域名检测思路,首先通过聚类关联,辨识出同一域名生成算法(DGA,domain generation algorithm)或其变体生成的域名,然后分别提取每一个聚类集合中算法生成域名(AGD,algorithmically generated domain)的TTL、解析IP分布、归属、whois的更新、完整性及域名的活动历史特征等,利用SVM分类器过滤出其中的恶意域名。实验表明,该算法在不需要客户端查询记录信息的情况下即可实现准确率为98.4%、假阳性为0.9%的恶意域名检测。

关 键 词：网络安全监测  域名生成算法  命令与控制服务器  算法生成域名  

分 类 号：TP393]