CN105610830A - 域名的检测方法及装置 - Google Patents
域名的检测方法及装置 Download PDFInfo
- Publication number
- CN105610830A CN105610830A CN201511019166.9A CN201511019166A CN105610830A CN 105610830 A CN105610830 A CN 105610830A CN 201511019166 A CN201511019166 A CN 201511019166A CN 105610830 A CN105610830 A CN 105610830A
- Authority
- CN
- China
- Prior art keywords
- domain name
- domain
- static nature
- behavioral characteristics
- feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种域名的检测方法及装置。其中,该方法包括:获取至少一个域名;将每个域名进行特征提取处理,生成每个域名的静态特征以及动态特征,其中,静态特征为域名的字符串特征,动态特征为域名在域名注册数据库中的注册特征;根据预设的检测算法对每个域名的静态特征以及动态特征进行检测处理,生成每个域名的检测结果,本发明解决了现有技术检测域名的方法简单导致恶意域名的检测结果不准确的技术问题。
Description
技术领域
本发明涉及计算机软件领域,具体而言,涉及一种域名的检测方法及装置。
背景技术
黑客会采用域名生成工具生成恶意域名,内网主机通过上述恶意域名接入僵尸网络时,内网主机则变为受控主机,进而黑客控制整个僵尸网络,因为固定域名的C&C服务器很容易被安全人员控制接管,因此黑客往往采用DGA(DomainGenerationAlgorithm)动态域名生成算法来生成随机的动态恶意域名。
由于动态恶意域名对互联网的危害性,安全人员很有必要对内网主机访问过的域名进行检测,即检测其为安全域名或恶意域名。
现有的域名检测方法往往有如下:通过设置黑名单检测域名、通过获取DGA的核心算法来检测域名等方案。
需要说明的是,上述现有的域名检测方案会出现如下缺点:
(1)检测的成本高,速度慢,且滞后性高。
(2)分析方法简单,生成的域名检测结果不全面。
针对上述现有技术检测域名的方法简单导致恶意域名的检测结果不准确的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种域名的检测方法及装置,以至少解决现有技术检测域名的方法简单导致恶意域名的检测结果不准确的技术问题。
根据本发明实施例的一个方面,提供了一种域名的检测方法,包括:获取至少一个域名;将每个域名进行特征提取处理,生成每个域名的静态特征以及动态特征,其中,静态特征为域名的字符串特征,动态特征为域名在域名注册数据库中的注册特征;根据预设的检测算法对每个域名的静态特征以及动态特征进行检测处理,生成每个域名的检测结果。
根据本发明实施例的另一方面,还提供了一种域名的检测装置,包括:第一获取单元,用于获取至少一个域名;第一处理单元,用于将每个域名进行特征提取处理,生成每个域名的静态特征以及动态特征,其中,静态特征为域名的字符串特征,动态特征为域名在域名注册数据库中的注册特征;第二处理单元,根据预设的检测算法对每个域名的静态特征以及动态特征进行检测处理,生成每个域名的检测结果。
在本发明实施例中,采用获取至少一个域名;将每个域名进行特征提取处理,生成每个域名的静态特征以及动态特征,其中,静态特征为域名的字符串特征,动态特征为域名在域名注册数据库中的注册特征;根据预设的检测算法对每个域名的静态特征以及动态特征进行检测处理,生成每个域名的检测结果,解决了现有技术检测域名的方法简单导致恶意域名的检测结果不准确的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的一种域名的检测方法的流程图;以及
图2是根据本发明实施例的一种域名的检测装置的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
根据本发明实施例,提供了一种域名的检测方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例的域名的检测方法的流程图,如图1所示,该方法包括如下步骤:
步骤S12,获取至少一个域名。
具体地,在本方案中,可以采用域名检测终端获取多个域名,域名检测终端额可以从内网主机、DNS服务器或者企业的网关设备获取上述多个域名,需要说明的是,上述多个域名中可以同时包含着正常域名以及恶意域名。
需要说明的是,本方案可以在企业网络的边界可以看见域名查询流量的地方部署上述域名检测终端。
步骤S14,将每个域名进行特征提取处理,生成每个域名的静态特征以及动态特征,其中,静态特征为域名的字符串特征,动态特征为域名在域名注册数据库中的注册特征。
具体地,在本方案中,域名检测终端可以从上述多个域名进行提取,以提取出每个域名的静态特征以及动态特征,需要说明的是,静态特征就是基于域名字符串本身的特征,每个域名在whois数据库中都有其注册属性,结合whois查询,可以找到域名的动态特征。
步骤S16,根据预设的检测算法对每个域名的静态特征以及动态特征进行检测处理,生成每个域名的检测结果。
具体地,在本方案中,域名检测终端可以根据预设的检测算法(例如机器学习算法)来对每个域名的两个特征维度信息(静态特征以及动态特征)进行分析检测,以生成每个域名的检测结果,需要说明的是,每个域名的检测结果可以包括,域名为正常域名以及域名为恶意域名,需要说明的是,上述恶意域名为通过DGA算法(DomainGenerationAlgorithm)生成的恶意域名。
本方案通过获取至少一个域名;将每个域名进行特征提取处理,生成每个域名的静态特征以及动态特征,其中,静态特征为域名的字符串特征,动态特征为域名在数据库中的注册特征;根据预设的检测算法对每个域名的静态特征以及动态特征进行检测处理,生成每个域名的检测结果。容易注意到,本方案通过提取域名动态特征与静态特征来检测域名,识别的精度大大提升,因此,本方案解决了上述现有技术检测域名的方法简单导致恶意域名的检测结果不准确的问题。
可选地,步骤S14,生成每个域名的静态特征的步骤可以包括:
步骤S141,提取每个域名的域名长度、核心域名长度以及顶级域名的分类。
具体地,在上述步骤S141中,域名检测终端可以从每个域名的字符串中提取每个域名的长度、核心域名长度以及顶级域名的分类,例如,google.com的核心域名是google,而www.sina.com.cn的核心域名是sina,顶级域名分类可以为.com,.org,.gov,.net,.info等。需要说明的是,不同的顶级域名类申请难度不同,比如.com需要审核而且较贵,作为C&C域名的概率比较小,.info以及.biz等更容易被攻击者申请做C&C域名。
步骤S142,提取每个域名中第一类型的字符,并计算生成第一类型的字符在每个域名中的第一占比。
具体地,在上述步骤S142中,域名检测终端还可以体验每个域名的第一类型的字符,需要说明的是,上述第一类型的字符可以为数字、特殊字符、词根、元音字母以及辅音字母。需要说明的是,许多正常域名通常包含一些好的词根。比如facebook.com就有face和book两个常用词根。而DGA随机生成的域名通常不包含词根。DGA随机生成的域名中元音词根可能相对较少。需要说明的是,上述第一占比可以为数字及特殊字符在域名中的占比、词根占比、元音以及辅音字母的各自占比,以及相对占比。
可选地,本方案还可以获取通过马尔科夫模型得到的所述每个域名中相邻字符出现的概率。
具体地,修正的马尔可夫链可以学习相邻n(2,3)个字符在正常域名和DGA域名各自出现的概率,本方案可以通过相邻字符出现概率的积累来计算正常域名以及DGA域名的可能概率。
步骤S143,将每个域名的域名长度、核心域名长度、顶级域名的分类以及第一占比确定为每个域名的静态特征。
具体地,在本方案中,域名检测终端可以将每个域名的域名长度、核心域名长度、顶级域名的分类、第一占比(数字及特殊字符在域名中的占比、词根占比、元音以及辅音字母的各自占比,以及相对占比)以及域名中相邻字符出现概率确定为每个域名的静态特征,并根据机器学习算法处理上述每个域名的静态特征。
可选地,步骤S14,生成每个域名的动态特征的步骤可以包括:
步骤S144,在数据库中获取每个域名的存活时长。
具体地,在上述步骤S144中,域名检测终端可以从whois中来获取每个域名的存活时长,需要说明的是,许多正常域名都存活了比较长时间,而攻击者申请的恶意域名往往比较新。因此,在本方案中,可以以域名存活的日、周或月来进行统计学习,一般说来,近半年的新域名作为恶意域名的概率较大。
步骤S145,在数据库中获取每个域名的私人保护状态信息。
具体地,在上述步骤S145中,域名检测终端可以从上述whois数据库中获取每个域名的私人保护状态信息,该私人保护状态信息可以用于表征每个域名的注册私有性,需要说明的是,有的攻击者利用域名注册机构提供的私人信息保护功能来保护个人信息。很多正常公司往往并不需要这层保护。因此,需要私人信息保护的域名作为恶意域名的概率较大。
步骤S146,将每个域名的存活时长以及每个域名的私人保护状态信息确定为动态特征。
具体地,在本方案中,域名检测终端可以将每个域名的存活时长以及每个域名的私人保护状态信息确定为每个域名的静态特征,并根据机器学习算法处理上述每个域名的静态特征。
步骤S16,根据预设的检测算法对每个域名的静态特征以及动态特征进行检测处理,生成每个域名的检测结果的步骤可以包括:
步骤S161,将每个域名的静态特征以及动态特征转换成浮点数据。
具体地,在上述步骤S161中,本方案可以将提取到的每个域名的静态特征以及动态特征转换成对应的浮点数,然后生成机器学习算法的输入矩阵。
步骤S162,通过有监督学习算法对浮点数据进行处理,生成每个域名的检测结果,其中,检测结果至少包括:正常域名或者恶意域名。
具体地,本方案可以根据有监督学习算法(supervisedlearning)来处理上述浮点数据,以检测出域名为正常域名或恶意域名。
可选地,在步骤S162,在通过有监督学习算法对浮点数据进行处理,生成每个域名的检测结果之后,本实施例提供的方法还可以包括:
步骤S163,获取访问过恶意域名的主机,并将主机确定为受控主机。
具体地,在上述步骤S163中,本方案可以根据将访问过恶意域名的内网主机确定为受控主机,然后对该受控主机进行处理。
可选地,在本方案中,上述有监督学习算法为随机森林算法。
综上,本发明通过提取域名的静态、动态信息,转换成域名特征维度,再与人工智能算法结合,不仅具有很高的识别精度与识别度,而且对未知的DGA域名也非常有效。
本申请还提供了一种域名的检测装置,该装置可以用于执行上述域名的检测方法,如图2所示,该装置可以包括:第一获取单元22,用于获取至少一个域名;第一处理单元24,用于将每个域名进行特征提取处理,生成每个域名的静态特征以及动态特征,其中,静态特征为域名的字符串特征,动态特征为域名在域名注册数据库中的注册特征;第二处理单元26,根据预设的检测算法对每个域名的静态特征以及动态特征进行检测处理,生成每个域名的检测结果。
本方案通过获取至少一个域名;将每个域名进行特征提取处理,生成每个域名的静态特征以及动态特征,其中,静态特征为域名的字符串特征,动态特征为域名在数据库中的注册特征;根据预设的检测算法对每个域名的静态特征以及动态特征进行检测处理,生成每个域名的检测结果。容易注意到,本方案通过提取域名动态特征与静态特征来检测域名,识别的精度大大提升,因此,本方案解决了上述现有技术检测域名的方法简单导致恶意域名的检测结果不准确的问题。
可选地,第一处理单元包括:第一提取模块,用于提取每个域名的域名长度、核心域名长度以及顶级域名的分类;第二提取模块,用于提取每个域名中第一类型的字符,并计算生成第一类型的字符在每个域名中的第一占比;第一获取模块,用于获取通过马尔科夫模型得到的每个域名中相邻字符出现的概率;第一确定模块,用于将每个域名的域名长度、核心域名长度、顶级域名的分类、第一占比以及每个域名中相邻字符出现的概率确定为每个域名的静态特征。
可选地,第一处理单元还可以包括:第二获取模块,用于在域名注册数据库中获取每个域名的存活时长;第三获取模块,在域名注册数据库中获取每个域名的私人保护状态信息;第二确定模块,将每个域名的存活时长以及每个域名的私人保护状态信息确定为动态特征。
可选地,第二处理单元可以包括:转换模块,用于将每个域名的静态特征以及动态特征转换成浮点数据;处理模块,用于通过有监督学习算法对浮点数据进行处理,生成每个域名的检测结果,其中,检测结果至少包括:正常域名或者恶意域名。
可选地,本实施例提供的装置还可以包括:第二获取单元,用于获取访问过恶意域名的主机,并将主机确定为受控主机。
可选地,有监督学习算法为随机森林算法。
本实施例还可以提供一种域名检测终端,该终端可以包括上述任意一项的域名检测装置。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,RandomAccessMemory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (12)
1.一种域名的检测方法,其特征在于,包括:
获取至少一个域名;
将每个域名进行特征提取处理,生成所述每个域名的静态特征以及动态特征,其中,所述静态特征为所述域名的字符串特征,所述动态特征为所述域名在域名注册数据库中的注册特征;
根据预设的检测算法对所述每个域名的静态特征以及动态特征进行检测处理,生成所述每个域名的检测结果。
2.根据权利要求1所述的方法,其特征在于,生成所述每个域名的静态特征的步骤包括:
提取所述每个域名的域名长度、核心域名长度以及顶级域名的分类;
提取所述每个域名中第一类型的字符,并计算生成所述第一类型的字符在所述每个域名中的第一占比;
获取通过马尔科夫模型得到的所述每个域名中相邻字符出现的概率;
将所述每个域名的域名长度、核心域名长度、所述顶级域名的分类、所述第一占比以及所述每个域名中相邻字符出现的概率确定为所述每个域名的静态特征。
3.根据权利要求1所述的方法,生成所述每个域名的动态特征的步骤包括:
在所述域名注册数据库中获取所述每个域名的存活时长;
在所述域名注册数据库中获取所述每个域名的私人保护状态信息;
将所述每个域名的存活时长以及所述每个域名的私人保护状态信息确定为所述动态特征。
4.根据权利要求2或3所述的方法,其特征在于,根据预设的检测算法对所述每个域名的静态特征以及动态特征进行检测处理,生成所述每个域名的检测结果的步骤包括:
将所述每个域名的静态特征以及所述动态特征转换成浮点数据;
通过有监督学习算法对所述浮点数据进行处理,生成所述每个域名的检测结果,其中,所述检测结果至少包括:正常域名或者恶意域名。
5.根据权利要求4述的方法,其特征在于,在通过有监督学习算法对所述浮点数据进行处理,生成所述每个域名的检测结果之后,所述方法还包括:
获取访问过所述恶意域名的主机,并将所述主机确定为受控主机。
6.根据权利要求5的方法,其特征在于,所述有监督学习算法为随机森林算法。
7.一种域名的检测装置,其特征在于,包括:
第一获取单元,用于获取至少一个域名;
第一处理单元,用于将每个域名进行特征提取处理,生成所述每个域名的静态特征以及动态特征,其中,所述静态特征为所述域名的字符串特征,所述动态特征为所述域名在域名数据库中的注册特征;
第二处理单元,根据预设的检测算法对所述每个域名的静态特征以及动态特征进行检测处理,生成所述每个域名的检测结果。
8.根据权利要求7所述的装置,其特征在于,所述第一处理单元包括:
第一提取模块,用于提取所述每个域名的域名长度、核心域名长度以及顶级域名的分类;
第二提取模块,用于提取所述每个域名中第一类型的字符,并计算生成所述第一类型的字符在所述每个域名中的第一占比;
第一获取模块,用于获取通过马尔科夫模型得到的所述每个域名中相邻字符出现的概率;
第一确定模块,用于将所述每个域名的域名长度、核心域名长度、所述顶级域名的分类、所述第一占比以及所述每个域名中相邻字符出现的概率确定为所述每个域名的静态特征。
9.根据权利要求7所述的装置,所述第一处理单元还包括:
第一获取模块,用于在域名注册数据库中获取所述每个域名的存活时长;
第二获取模块,在所述域名注册数据库中获取所述每个域名的私人保护状态信息;
第三确定模块,将所述每个域名的存活时长以及所述每个域名的私人保护状态信息确定为所述动态特征。
10.根据权利要求8或9所述的装置,其特征在于,所述第二处理单元包括:
转换模块,用于将所述每个域名的静态特征以及所述动态特征转换成浮点数据;
处理模块,用于通过有监督学习算法对所述浮点数据进行处理,生成所述每个域名的检测结果,其中,所述检测结果至少包括:正常域名或者恶意域名。
11.根据权利要求10述的装置,其特征在于,所述装置还包括:
第二获取单元,用于获取访问过所述恶意域名的主机,并将所述主机确定为受控主机。
12.根据权利要求11的装置,其特征在于,所述有监督学习算法为随机森林算法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201511019166.9A CN105610830A (zh) | 2015-12-30 | 2015-12-30 | 域名的检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201511019166.9A CN105610830A (zh) | 2015-12-30 | 2015-12-30 | 域名的检测方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105610830A true CN105610830A (zh) | 2016-05-25 |
Family
ID=55990368
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201511019166.9A Pending CN105610830A (zh) | 2015-12-30 | 2015-12-30 | 域名的检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105610830A (zh) |
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106911717A (zh) * | 2017-04-13 | 2017-06-30 | 成都亚信网络安全产业技术研究院有限公司 | 一种域名检测方法及装置 |
CN106992969A (zh) * | 2017-03-03 | 2017-07-28 | 南京理工大学 | 基于域名字符串统计特征的dga生成域名的检测方法 |
CN107046586A (zh) * | 2017-04-14 | 2017-08-15 | 四川大学 | 一种基于类自然语言特征的算法生成域名检测方法 |
CN107645503A (zh) * | 2017-09-20 | 2018-01-30 | 杭州安恒信息技术有限公司 | 一种基于规则的恶意域名所属dga家族的检测方法 |
CN107682348A (zh) * | 2017-10-19 | 2018-02-09 | 杭州安恒信息技术有限公司 | 基于机器学习的dga域名快速判别方法及装置 |
CN107770132A (zh) * | 2016-08-18 | 2018-03-06 | 中兴通讯股份有限公司 | 一种对算法生成域名进行检测的方法及装置 |
CN108632227A (zh) * | 2017-03-23 | 2018-10-09 | 中国移动通信集团广东有限公司 | 一种恶意域名检测处理方法及装置 |
CN109246083A (zh) * | 2018-08-09 | 2019-01-18 | 北京奇安信科技有限公司 | 一种dga域名的检测方法及装置 |
CN109714356A (zh) * | 2019-01-08 | 2019-05-03 | 北京奇艺世纪科技有限公司 | 一种异常域名的识别方法、装置及电子设备 |
WO2019096099A1 (zh) * | 2017-11-15 | 2019-05-23 | 瀚思安信(北京)软件技术有限公司 | Dga域名实时检测方法和装置 |
CN109889616A (zh) * | 2018-05-21 | 2019-06-14 | 新华三信息安全技术有限公司 | 一种识别域名的方法及装置 |
CN110495152A (zh) * | 2017-03-30 | 2019-11-22 | 爱维士软件有限责任公司 | 基于存在的计算机生成的字符串的应用中的恶意软件检测 |
CN111181937A (zh) * | 2019-12-20 | 2020-05-19 | 北京丁牛科技有限公司 | 一种域名检测方法、装置、设备和系统 |
CN111181756A (zh) * | 2019-07-11 | 2020-05-19 | 腾讯科技(深圳)有限公司 | 一种域名安全性判定方法、装置、设备及介质 |
CN112929370A (zh) * | 2021-02-08 | 2021-06-08 | 丁牛信息安全科技(江苏)有限公司 | 域名系统隐蔽信道检测方法及装置 |
CN113157997A (zh) * | 2020-01-23 | 2021-07-23 | 华为技术有限公司 | 域名特征的提取方法和特征提取装置 |
CN113660275A (zh) * | 2021-08-18 | 2021-11-16 | 中国电信股份有限公司 | 域名系统请求的处理方法、装置、电子设备和存储介质 |
CN113691489A (zh) * | 2020-05-19 | 2021-11-23 | 北京观成科技有限公司 | 一种恶意域名检测特征处理方法、装置和电子设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102685145A (zh) * | 2012-05-28 | 2012-09-19 | 西安交通大学 | 一种基于dns数据包的僵尸网络域名发现方法 |
KR101223931B1 (ko) * | 2011-01-28 | 2013-02-05 | 주식회사 코닉글로리 | Dns 패킷을 이용한 실시간 비정상 행위 탐지 방법 |
CN103944757A (zh) * | 2014-04-11 | 2014-07-23 | 珠海市君天电子科技有限公司 | 网络异常检测的方法和装置 |
CN104994117A (zh) * | 2015-08-07 | 2015-10-21 | 国家计算机网络与信息安全管理中心江苏分中心 | 一种基于dns解析数据的恶意域名检测方法及系统 |
-
2015
- 2015-12-30 CN CN201511019166.9A patent/CN105610830A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101223931B1 (ko) * | 2011-01-28 | 2013-02-05 | 주식회사 코닉글로리 | Dns 패킷을 이용한 실시간 비정상 행위 탐지 방법 |
CN102685145A (zh) * | 2012-05-28 | 2012-09-19 | 西安交通大学 | 一种基于dns数据包的僵尸网络域名发现方法 |
CN103944757A (zh) * | 2014-04-11 | 2014-07-23 | 珠海市君天电子科技有限公司 | 网络异常检测的方法和装置 |
CN104994117A (zh) * | 2015-08-07 | 2015-10-21 | 国家计算机网络与信息安全管理中心江苏分中心 | 一种基于dns解析数据的恶意域名检测方法及系统 |
Cited By (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107770132A (zh) * | 2016-08-18 | 2018-03-06 | 中兴通讯股份有限公司 | 一种对算法生成域名进行检测的方法及装置 |
CN107770132B (zh) * | 2016-08-18 | 2021-11-05 | 中兴通讯股份有限公司 | 一种对算法生成域名进行检测的方法及装置 |
CN106992969A (zh) * | 2017-03-03 | 2017-07-28 | 南京理工大学 | 基于域名字符串统计特征的dga生成域名的检测方法 |
CN108632227B (zh) * | 2017-03-23 | 2020-12-18 | 中国移动通信集团广东有限公司 | 一种恶意域名检测处理方法及装置 |
CN108632227A (zh) * | 2017-03-23 | 2018-10-09 | 中国移动通信集团广东有限公司 | 一种恶意域名检测处理方法及装置 |
CN110495152A (zh) * | 2017-03-30 | 2019-11-22 | 爱维士软件有限责任公司 | 基于存在的计算机生成的字符串的应用中的恶意软件检测 |
CN106911717A (zh) * | 2017-04-13 | 2017-06-30 | 成都亚信网络安全产业技术研究院有限公司 | 一种域名检测方法及装置 |
CN107046586B (zh) * | 2017-04-14 | 2019-07-23 | 四川大学 | 一种基于类自然语言特征的算法生成域名检测方法 |
CN107046586A (zh) * | 2017-04-14 | 2017-08-15 | 四川大学 | 一种基于类自然语言特征的算法生成域名检测方法 |
CN107645503A (zh) * | 2017-09-20 | 2018-01-30 | 杭州安恒信息技术有限公司 | 一种基于规则的恶意域名所属dga家族的检测方法 |
CN107645503B (zh) * | 2017-09-20 | 2020-01-24 | 杭州安恒信息技术股份有限公司 | 一种基于规则的恶意域名所属dga家族的检测方法 |
CN107682348A (zh) * | 2017-10-19 | 2018-02-09 | 杭州安恒信息技术有限公司 | 基于机器学习的dga域名快速判别方法及装置 |
WO2019096099A1 (zh) * | 2017-11-15 | 2019-05-23 | 瀚思安信(北京)软件技术有限公司 | Dga域名实时检测方法和装置 |
US11334764B2 (en) | 2017-11-15 | 2022-05-17 | Han Si An Xin (Beijing) Software Technology Co., Ltd | Real-time detection method and apparatus for DGA domain name |
CN109889616A (zh) * | 2018-05-21 | 2019-06-14 | 新华三信息安全技术有限公司 | 一种识别域名的方法及装置 |
CN109246083B (zh) * | 2018-08-09 | 2021-08-03 | 奇安信科技集团股份有限公司 | 一种dga域名的检测方法及装置 |
CN109246083A (zh) * | 2018-08-09 | 2019-01-18 | 北京奇安信科技有限公司 | 一种dga域名的检测方法及装置 |
CN109714356A (zh) * | 2019-01-08 | 2019-05-03 | 北京奇艺世纪科技有限公司 | 一种异常域名的识别方法、装置及电子设备 |
CN111181756B (zh) * | 2019-07-11 | 2021-12-14 | 腾讯科技(深圳)有限公司 | 一种域名安全性判定方法、装置、设备及介质 |
CN111181756A (zh) * | 2019-07-11 | 2020-05-19 | 腾讯科技(深圳)有限公司 | 一种域名安全性判定方法、装置、设备及介质 |
CN111181937A (zh) * | 2019-12-20 | 2020-05-19 | 北京丁牛科技有限公司 | 一种域名检测方法、装置、设备和系统 |
CN113157997A (zh) * | 2020-01-23 | 2021-07-23 | 华为技术有限公司 | 域名特征的提取方法和特征提取装置 |
CN113691489A (zh) * | 2020-05-19 | 2021-11-23 | 北京观成科技有限公司 | 一种恶意域名检测特征处理方法、装置和电子设备 |
CN112929370A (zh) * | 2021-02-08 | 2021-06-08 | 丁牛信息安全科技(江苏)有限公司 | 域名系统隐蔽信道检测方法及装置 |
CN112929370B (zh) * | 2021-02-08 | 2022-10-18 | 丁牛信息安全科技(江苏)有限公司 | 域名系统隐蔽信道检测方法及装置 |
CN113660275A (zh) * | 2021-08-18 | 2021-11-16 | 中国电信股份有限公司 | 域名系统请求的处理方法、装置、电子设备和存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105610830A (zh) | 域名的检测方法及装置 | |
US20220078207A1 (en) | Domain name processing systems and methods | |
CN110826059B (zh) | 面向恶意软件图像格式检测模型的黑盒攻击的防御方法及其装置 | |
CN105577660B (zh) | 基于随机森林的dga域名检测方法 | |
CN106778241B (zh) | 恶意文件的识别方法及装置 | |
CN107566376B (zh) | 一种威胁情报生成方法、装置及系统 | |
US10178107B2 (en) | Detection of malicious domains using recurring patterns in domain names | |
US20230169783A1 (en) | Visual domain detection systems and methods | |
CN105956180B (zh) | 一种敏感词过滤方法 | |
CN104899508B (zh) | 一种多阶段钓鱼网站检测方法与系统 | |
CN112771523A (zh) | 用于检测生成域的系统和方法 | |
CN112866023B (zh) | 网络检测、模型训练方法、装置、设备及存储介质 | |
CN107666490A (zh) | 一种可疑域名检测方法及装置 | |
CN106992969A (zh) | 基于域名字符串统计特征的dga生成域名的检测方法 | |
Zhou et al. | Automatic identification of indicators of compromise using neural-based sequence labelling | |
US11201850B2 (en) | Domain name processing systems and methods | |
CN110557382A (zh) | 一种利用域名共现关系的恶意域名检测方法及系统 | |
CN103164698A (zh) | 指纹库生成方法及装置、待测文本指纹匹配方法及装置 | |
CN105303449B (zh) | 基于相机指纹特征的社交网络用户的识别方法和系统 | |
US20160283853A1 (en) | Fingerprinting and matching log streams | |
US10489715B2 (en) | Fingerprinting and matching log streams | |
Der et al. | Knock it off: profiling the online storefronts of counterfeit merchandise | |
Luo et al. | Dgasensor: Fast detection for dga-based malwares | |
Anand et al. | An ensemble approach for algorithmically generated domain name detection using statistical and lexical analysis | |
He et al. | Malicious domain detection via domain relationship and graph models |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: 215163 No. 181 Jingrun Road, Suzhou High-tech Zone, Jiangsu Province Applicant after: SHANSHI NETWORK COMMUNICATION TECHNOLOGY CO., LTD. Address before: 215163 3rd Floor, 7th Floor, Keling Road, Suzhou Science and Technology City, Jiangsu Province Applicant before: HILLSTONE NETWORKS |
|
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160525 |