基于时间序列聚类的恶意域名时间特征分析方法

# 基于时间序列聚类的恶意域名时间特征分析方法 ## 1. 引言 随着互联网的发展，恶意攻击手段不断演变。僵尸网络作为严重的网络安全威胁之一，常被用于发起分布式拒绝服务（DDoS）攻击。早期僵尸网络将命令与控制（C&C）服务器的域名或 IP 写入恶意代码，但固定地址易被发现。随后，域名生成算法（DGA）和快速流量服务网络（FFSN）出现，攻击者利用它们不断改变域名与 IP 地址的匹配关系，使域名在短时间内解析为不同 IP，以逃避黑名单拦截。因此，检测恶意域名对发现和防范 DGA 域名发起的网络攻击具有重要意义。 目前，恶意域名检测方法主要基于域名的文字特征或 DNS 流量。研究人员常结合这两类特征进行多特征融合检测。许多研究应用了随时间变化的 DNS 流量特征，如请求数量、请求时间戳和重复模式等。时间特征能描述恶意活动的规律性，且攻击者难以规避。以往工作通常采用固定间隔将时间线分割成时间序列，提取各间隔的特征值并计算统计值，但这种方法忽略了特征的时间规律性，导致特征提取不准确。 本文提出一种基于时间序列聚类分析恶意域名时间特征的方法，主要贡献如下： 1. 提出基于时间序列聚类分析域名时间特征的方法，使用密度聚类分割时间间隔，有助于保留恶意域名连续请求的完整性。 2. 提取多个域名的时间特征来描述恶意活动的规律性，这些特征来自校园网络的 DNS 日志系统，无需依赖第三方数据，适用性更强。 3. 运用三种主流聚类算法对时间序列进行聚类，结果表明层次聚类更适合分析时间特征。 ## 2. 相关工作 DGA 域名的请求由恶意软件批量发起，可能导致时间特征值突变。早期有研究将时间特征应用于恶意域名检测，如 Exposure 按小时提取不同域名的 DNS 请求数量形成时间序列，用欧几里得距离测量不同日期时间序列的相似度；Fast - flucos 将 DNS 流量按 5 分钟间隔划分，为每个域名生成 288 维向量作为特征。 Li 等人分析主机请求的 DNS 序列及其时间相关特征来识别受感染主机，提取固定间隔内的请求总数、请求域名和频繁请求等特征，经 K - means 聚类后筛选出受感染主机列表。IMDoC 用每日聚合的 DNS 请求数量构成时间序列，通过计算候选域名与恶意域名系列的 Spearman 等级相关系数来判断是否与恶意软件活动有关。Niu 等人观察到恶意软件的 C&C 请求流量具有时间周期性，提取域名 DNS 请求间隔序列并转换为字母向量，用 5 种周期性检测算法计算周期性置信度作为随机森林分类器的特征。 然而，这些方法存在以下不足： 1. 采用固定间隔分割时间序列，无法保留跨越间隔的恶意域名连续请求的完整性。 2. 所选时间特征通常为请求数量或时间间隔，不足以描述恶意域名的规律性，可能需要综合应用其他非时间特征，或无法检测在单一特征上无规律的恶意域名。 3. 获取时间序列后，计算统计值作为特征值，忽略了序列中每个元素的值，导致特征提取不准确。 ## 3. 方法 为解决上述问题，提出基于时间序列聚类的分析方法。时间序列本质上是动态数据，其特征值随时间变化。时间序列聚类旨在探索序列的规律模式，典型组件包括特征提取、相似度测量和聚类。 ### 3.1 特征提取 特征提取包括降维和特征表示两个步骤： - **降维**：DNS 日志中记录的原始请求以秒为单位，一天的原始时间序列有 86,400 维，直接对原始数据进行聚类计算成本高。因此，使用密度聚类算法 DBSCAN 对 DNS 请求时间戳进行聚类。DBSCAN 使用邻域半径 ε 和邻域密度阈值 MinPts 两个参数，将距离不大于 ε 的时间戳聚类。与固定间隔划分时间序列的方法相比，密度聚类保留了域名批量请求的完整性，避免同一批恶意请求被分割到不同间隔。即使不同批次的恶意请求因良性域名的持续请求而聚类在一起，也只会导致部分批次统计数据的叠加，不影响恶意域名序列的一致性或恶意与良性域名序列的差异。 - **特征表示**：使用 DNS 日志中原始请求的三个字段（时间戳、源 IP 和域名）提取特征。对于每个源 IP，收集其每日查询的所有域名，并为降维序列的每个时间间隔内的每个域名计算五个特征值，形成一组包含 N 个元素的时间序列，每个元素是一个五维特征向量。这些特征的含义