(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN106576058A(43)申请公布日2017.04.19(21)申请号201580040345.2(74)专利代理机构上海专利商标事务所有限公司31(22)申请日2015.06.23100代理人何焜(30)优先权数据14/466,8062014.08.22US(51)Int.Cl.H04L12/26(2006.01)(85)PCT国际申请进入国家阶段日H04L12/22(2006.01)2017.01.22H04L9/00(2006.01)(86)PCT国际申请的申请数据H04L29/06(2006.01)PCT/US2015/0371372015.06.23(87)PCT国际申请的公布数据WO2016/028382EN2016.02.25(71)申请人迈克菲股份有限公司地址美国加利福尼亚州(72)发明人N·塔卡尔P·K·阿姆里塔鲁鲁V·塔内加权利要求书3页说明书7页附图7页(54)发明名称用于检测域生成算法恶意软件和被此类恶意软件感染的系统的系统和方法(57)摘要公开了用于对域生成算法(DGA)及其命令和控制(C&C)服务器的检测的系统和方法。在一个实施例中，此类方法包括检查DNS查询以检查DNS解析失败，以及监测每个失败的域的某组参数，例如级数、域名的长度、词法复杂度等等。然后可将这些参数与某些阈值比较以确定域名是否可能是DGA恶意软件的一部分。然后可将被标识为DGA恶意软件的一部分的域名组合在一起。一旦DGA域名被标识，可监测来自该域名的活动以检测来自同一源的成功的解析从而观察成功的域解析的任一个是否匹配这些参数。如果它们匹配特定阈值，则确定域是DGA恶意软件的C&C服务器并且由此将其标识。CN106576058ACN106576058A权利要求书1/3页1.至少一种计算机可读介质，指令存储在所述计算机可读介质上，包括被执行时使可编程设备进行以下操作的指令：通过监测网络活动来标识域名；将所述域名的一部分标识为名称；为所述名称计算词法复杂度分数；以及至少基于所述词法复杂度分数确定所述域名是否是域生成算法(DGA)生成的。2.如权利要求1所述的计算机可读介质，其特征在于，用于将所述域名的一部分标识为所述名称的所述指令进一步使所述可编程设备：标识和移除顶级域(TLD)；响应于确定所述FLD的长度小于指定的阈值，移除第一级域(FLD)；以及如果确定所述域名以藉词开始，则移除所述藉词；以及将所述域名的剩余部分标识为所述名称。3.如权利要求1-2中的任一项所述的计算机可读介质，其特征在于，所述藉词包括字符www。4.如权利要求2所述的计算机可读介质，其特征在于，用于将所述域名的一部分标识为所述名称的所述指令进一步使所述可编程设备：如果确定所述FLD的长度等于或小于所述指定的阈值，则移除所述FLD。5.如权利要求1-2中的任一项所述的计算机可读介质，其特征在于，用于为所述名称计算词法复杂度分数的所述指令进一步包括使所述可编程设备进行以下操作的指令：解析所述名称以标识有效的词；创建有效的词的组合；计算被标识的有效的词的总长度；从所述名称的长度中减去所述总长度以确定剩余部分的长度；以及通过将所述剩余部分的长度除以所述名称的长度来计算所述词法复杂度分数。6.如权利要求5所述的计算机可读介质，其特征在于，用于确定所述域名是否是DGA生成的所述指令进一步包括使所述可编程设备进行以下操作的指令：确定所述域名的域名服务器(DNS)响应是否指示失败的解析；如果确定所述词法复杂度分数小于词法复杂度阈值，则将所述域名添加至不存在的域的列表；计算当在所述不存在的域的列表中建立第一条目时和当建立当前条目时之间的时间差；确定所述不存在的域的列表中的条目的数量；以及如果所述时间差小于指定的时间阈值并且所述条目的数量大于指定的计数阈值，则将所述域名标识为DGA生成的。7.如权利要求6所述的计算机可读介质，其特征在于，用于确定所述域名是否是DGA生成的所述指令进一步包括使所述可编程设备进行以下操作的指令：如果所述域名被标识为在白名单上，则不将所述域名标识为DGA生成的。8.如权利要求6所述的计算机可读介质，其特征在于，用于确定所述域名是否是DGA生成的所述指令进一步包括使所述可编程设备进行以下操作的指令：如果所述域名的长度大2CN106576058A权利要求书2/3页于指定的阈值，则不将所述域名标识为DGA生成的。9.如权利要求6所述的计算机可读介质，其特征在于，用于确定所述域名是否是DGA生成的所述指令进一步包括使所述可编程设备进行以下操作的指令：如果确定先前未观察到所述域名的计算的级数，则创建新的不存在的域列表。10.一种网络设备，配置为执行对多媒体文件的分析，包括：处理器；存储器，