基于流量分析的算法生成域名检测方法

本发明首先采集已知分类标签的算法生成域名(DGA域名)和良性域名的流量信息，包括域名的解析IP地址和Flow数据；对采集到的流量数据进行初步处理，统计域名各解析IP的出现次数，从Flow数据中筛选出源地址、目的地址、时间等信息；根据这些流量信息计算出域名的8个特征值，包括用户IP访问数目、活跃频率、各解析IP出现次数标准方差均值比等；将特征数据放入C4.5有监督分类模型进行训练，得到具有分类能力的分类模型；最后，采集待分类域名的流量信息，计算特征数据，放入训练好的分类模型进行分类。本发明利用了算法生成域名进行恶意活动时在流量行为的表现上与良性域名的差异，有效区分出了两类域名且抵御了对抗性攻击，维护了网络的安全。