CN108632227B - 一种恶意域名检测处理方法及装置 - Google Patents

一种恶意域名检测处理方法及装置 Download PDF

Info

Publication number
CN108632227B
CN108632227B CN201710179313.1A CN201710179313A CN108632227B CN 108632227 B CN108632227 B CN 108632227B CN 201710179313 A CN201710179313 A CN 201710179313A CN 108632227 B CN108632227 B CN 108632227B
Authority
CN
China
Prior art keywords
domain name
detected
characteristic value
domain
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710179313.1A
Other languages
English (en)
Other versions
CN108632227A (zh
Inventor
陈桂文
钟雪慧
李彬
郝建忠
郑浩彬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Group Guangdong Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Group Guangdong Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Group Guangdong Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN201710179313.1A priority Critical patent/CN108632227B/zh
Publication of CN108632227A publication Critical patent/CN108632227A/zh
Application granted granted Critical
Publication of CN108632227B publication Critical patent/CN108632227B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例提供一种恶意域名检测处理方法及装置。所述方法包括:获取预设时间段内的待检测域名的域名信息;根据所述域名信息,按照预设规则计算所述待检测域名至少一个维度的特征值;根据所述特征值通过预设分类器模型对所述待检测域名进行恶意域名检测处理;其中,所述预设分类器模型为通过训练样本进行机器分类学习获得的。所述装置用于执行上述方法。本发明提供的方法及装置通过根据获取到的待检测域名的域名信息,按照预设规则计算待检测域名的特征值,并根据所述特征值通过预设分类器模型进行恶意域名检测处理,提高了恶意域名检测的效率和准确率。

Description

一种恶意域名检测处理方法及装置
技术领域
本发明实施例涉及通信技术领域,尤其涉及一种恶意域名检测处理方法及装置。
背景技术
随着移动互联网的迅猛发展,互联网流量不断创新高,由于互联网的开放性、业务的多样性、网络的复杂性而使得互联网面临一定的安全威胁。域名系统(Domain NameSystem,DNS)作为互联网的基础设施,将域名与IP地址进行映射,方便用户访问互联网各项业务。然而,松散的域名注册管理制度、国际化域名注册模式、短域名兴起等作用下,构造恶意域名进行攻击成为当前威胁互联网安全的主要威胁,导致恶意域名的威胁愈发严重。
现有技术条件下,恶意域名检测主要通过域名的字符串长度、域名可读性、域名元音/辅音/数字/连接符比率等域名的静态特征数据,进行恶意域名检测;或者,通过将上述静态特征数据与生存时间最小值(TTL_MIN)、生存时间最大值(TTL_MAX)、NXDOMIAIN请求频率、域名IP变化特征等动态特征数据相结合的检测方式进行恶意域名检测。但是,通过静态特征数据进行恶意域名检测的方法,未考虑请求数据及响应包数据的动态行为特征,并且对于人工生成而刻意规避DGA算法的域名识别准确率较低;而通过静态特征数据和动态特征数据相结合的检测方式,需要根据经验设置较多参数,且选择的动态特征维度不够全面,严重影响恶意域名的检测效率和准确率。综上所述,现有技术条件下的恶意域名检测方法的检测效率和准确率均较低。
因此,如何提供一种提高恶意域名检测效率和准确率的方法的问题是目前业界亟待解决的需要课题。
发明内容
针对现有技术中的缺陷,本发明实施例提供一种恶意域名检测处理方法及装置。
一方面,本发明实施例提供一种恶意域名检测处理方法,包括:
获取预设时间段内的待检测域名的域名信息;
根据所述域名信息,按照预设规则计算所述待检测域名至少一个维度的特征值;
根据所述特征值通过预设分类器模型对所述待检测域名进行恶意域名检测处理;其中,所述预设分类器模型为通过训练样本进行机器分类学习获得的。
另一方面,本发明实施例提供一种恶意域名检测处理装置,包括:
获取单元,用于获取预设时间段内的待检测域名的域名信息;
计算单元,用于根据所述域名信息,按照预设规则计算所述待检测域名至少一个维度的特征值;
检测单元,用于根据所述特征值通过预设分类器模型对所述待检测域名进行恶意域名检测处理;其中,所述预设分类器模型为通过训练样本进行机器分类学习获得的。
本发明实施例提供的恶意域名检测处理方法及装置,通过根据获取到的待检测域名的域名信息,按照预设规则计算待检测域名的特征值,并根据所述特征值通过预设分类器模型进行恶意域名检测处理,提高了恶意域名检测的效率和准确率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的恶意域名检测处理方法的流程示意图;
图2为本发明实施例提供的获取待检测域名的流程示意图;
图3为本发明实施例提供的恶意域名检测处理方法的整体流程示意图;
图4为本发明实施例提供的恶意域名检测处理装置的结构示意图;
图5为本发明实施例提供的电子设备的实体装置结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例提供的恶意域名检测处理方法的流程示意图,如图1所示,本实施例提供一种恶意域名检测处理方法,包括:
S101、获取预设时间段内的待检测域名的域名信息;
具体地,恶意域名检测处理装置接收DNS应答数据包,对所述DNS数据包进行解析后获得所述DNS数据包包括的多个域名,通过黑白名单过滤对所述多个域名进行恶意域名检测,并将未被所述黑白名单过滤识别的域名作为所述待检测域名,储存在待检测域名数据库中;然后,获取在预设时间段内获得的多个待检测域名的域名信息。
S102、根据所述域名信息,按照预设规则计算所述待检测域名的至少一个维度的特征值;
具体地,所述装置根据获取到的多个所述待检测域名的域名信息,按照预设规则计算所述待检测域名在至少一个维度上的特征值。应当说明的是,所述域名信息可以包括所述待检测域名与IP之间的映射关系、所述待检测域名对应的字符串、TTL值、NXDOMAIN请求信息、MX请求信息和子域空间信息,还可以包括其他域名信息;所述特征值可以是IP-域名特征值、域名-IP特征值、域名名称特征值、TTL特征值、动态特征值或特殊特征值,还可以是其他维度上的特征值,可以根据实际情况进行调整,此处不做具体限定。
S103、根据所述特征值通过预设分类器模型对所述待检测域名进行恶意域名检测处理;其中,所述预设分类器模型为通过训练样本进行机器分类学习获得的。
具体地,所述装置获取正常域名数据库包括的各个正常域名对应的预设维度上的特征值,以及恶意域名数据库包括的各个恶意域名对应的预设维度上的特征值,将获取到的所述各个正常域名对应的预设维度上的特征值和所述各个恶意域名对应的预设维度上的特征值作为训练样本,输入支持向量机(SVM)模型,对所述训练样本进行机器分类学习,获得所述预设分类器模型;将计算获得的所述待检测域名的特征值输入所述预设分类器模型,则可以检测识别出所述待检测域名为正常域名或恶意域名的分类结果,进一步地,还可以获得所述待检测域名的恶意域名可疑几率,并对所述恶意域名可疑几率大于预设可疑几率阈值的所述待检测域名进行告警,提示通过人工进行恶意域名检测确认。应当说明的是,所述预设维度包括至少一个维度,且所述预设维度与所述待检测域名的特征值对应的维度一致;还可以采用其他分类器模型进行训练样本的机器分类学习,获得所述预设分类器模型,具体可以根据实际情况进行调整,此处不做具体限定;所述待检测域名中被判定为恶意域名的域名将作为新增的训练样本自动添加至恶意域名数据库中,通过机器分类学习动态改进所述预设分类器模型。
本发明实施例提供的恶意域名检测处理方法,通过根据获取到的待检测域名的域名信息,按照预设规则计算待检测域名的特征值,并根据所述特征值通过预设分类器模型进行恶意域名检测处理,提高了恶意域名检测的效率和准确率。
在上述实施例的基础上,进一步地,所述获取预设时间段内的待检测域名的域名信息,包括:
接收DNS应答数据包,并对所述DNS应答数据包进行解析,获取所述DNS应答数据包中包括的域名及其对应的IP;
根据所述域名及其对应的IP,通过黑白名单过滤进行恶意域名检测处理,并获取所述待检测域名;所述待检测域名为未被所述黑白名单过滤识别的所述域名;
获取所述待检测域名的域名信息。
具体地,图2为本发明实施例提供的获取待检测域名的流程示意图,如图2所示,所述装置获取预设时间段内的待检测域名的域名信息的过程具体包括以下步骤:
S201、接收DNS应答数据包;所述DNS应答数据包可以是DNS应答UDP(UserDatagram Protocol,用户数据报协议)数据包;然后,执行步骤S202;
S202、DNS应答数据包解析;所述装置将所述DNS应答数据包按照DNS协议数据响应包格式进行解析,获取所述DNS应答数据包中包括的域名及其对应的IP;然后,执行步骤S203;应当说明的是,所述域名包括全域名和二级域名,所述域名对应的IP为所述域名对应的IP层中的目的IP地址;所述将所述DNS应答数据包按照DNS协议数据响应包格式进行解析包括:若判断获知所述DNS应答数据包返回的结果值为成功,则使用Answer节解析所述DNS应答数据包;否则使用Question节解析所述DNS应答数据包;
S203、判断全域名是否在黑名单中;根据解析所述DNS应答数据包获得的所述域名判断所述域名对应的全域名是否在黑名单中,若是,则判定所述域名为恶意域名,否则,执行步骤S204;
S204、判断二级域名是否在黑名单中;根据解析所述DNS应答数据包获得的所述域名判断所述域名对应的二级域名是否在黑名单中,若是,则判定所述域名为恶意域名,否则,执行步骤S205;
S205、判断域名对应IP是否在黑名单中;根据解析所述DNS应答数据包获得的所述域名判断所述域名对应的IP是否在黑名单中,若是,则判定所述域名为恶意域名,否则,执行步骤S206;
S206、判断全域名是否在白名单中;根据解析所述DNS应答数据包获得的所述域名判断所述域名对应的全域名是否在白名单中,若是,则判定所述域名为正常域名,否则,执行步骤S207;
S207、判断二级域名是否在白名单中;根据解析所述DNS应答数据包获得的所述域名判断所述域名对应的二级域名是否在白名单中,若是,则判定所述域名为正常域名,否则,执行步骤S208;
S208、判定为待检测域名;将未被所述黑白名单过滤识别的所述域名判定为待检测域名,并将所述待检测域名储存在所述待检测域名数据库中;
S209、获取预设时间段内的待检测域名的域名信息;每隔预设时间段获取所述待检测域名数据库中包括的待检测域名的域名信息。
其中,所述白名单可以包括Alexa列表中排名前100W的域名、top.chinaz.com中排名前100W的域名以及中国互联网信息中心备案库中的域名或IP;所述黑名单可以包括从挂马举报平台上通过爬虫获取被挂马的域名;当然,所述黑名单和所述白名单还可以包括其他域名和IP,具体可以根据实际情况进行调整,此处不做具体限定。
在上述实施例的基础上,进一步地,所述特征值包括以下任意一项或其组合:
IP-域名特征值、域名-IP特征值、域名名称特征值、TTL特征值、动态特征值和特殊特征值;其中,所述动态特征值是至少包括第一动态特征值和第二动态特征值,所述特殊特征值至少包括第一特殊特征值和第二特殊特征值。
在上述实施例的基础上,进一步地,所述域名信息包括所述待检测域名与IP之间的映射关系;相应地,所述根据所述域名信息,按照预设规则计算所述待检测域名至少一个维度的特征值,包括:
根据所述待检测域名与IP之间的映射关系,统计每一个所述IP对应的所述待检测域名的个数;
根据所述待检测域名与IP之间的映射关系,计算每一个所述IP对应的多个所述待检测域名的相似度值;所述相似度是根据所述待检测域名按照预设字符匹配算法计算获得的;
根据每一个所述IP对应的所述待检测域名的个数和所述相似度值计算所述待检测域名的IP-域名特征值。
具体地,所述装置获取预设时间段内的所述待检测域名的所述域名信息包括所述待检测域名与IP之间的映射关系,根据所述映射关系统计每一个所述IP对应的所述待检测域名的个数;获取每一个所述IP对应的多个所述待检测域名,并通过的字符匹配算法计算所述IP对应的每一个所述待检测域名与所述IP对应的其余域名的相似度值,取所述相似度值的平均数作为所述IP对应的多个所述待检测域名的相似度值。对每一个所述IP对应的所述待检测域名的个数和所述相似度值进行加权计算,获得每一个所述待检测域名的IP-域名特征值。
例如,根据所述待检测域名与IP之间的映射关系,获取到其中一个所述IP为IPi,所述IPi对应的所述待检测域名分别为L1、L2
Figure GDA0002642441050000071
则所述IPi对应的待检测域名的个数为Ni,通过字符匹配算法分别计算L1与L2的相似度值记为r1,2、L1与L3的相似度值记为r1,3、L2与L3的相似度值记为r2,3,依次律推,直到计算
Figure GDA0002642441050000072
Figure GDA0002642441050000073
的相似度值记为
Figure GDA0002642441050000074
并且计算所述r1,2、r1,3
Figure GDA0002642441050000075
的平均值作为所述IPi对应的多个所述待检测域名的相似度值,即:
Figure GDA0002642441050000076
其中,Ri为所述IPi对应的多个所述待检测域名的相似度值,r1,2、r1,3
Figure GDA0002642441050000077
分别为所述IPi对应的每一个所述待检测域名与所述IPi对应的其余域名的相似度值,Ni为所述IPi对应的待检测域名的个数。然后,根据公式:
Figure GDA0002642441050000078
计算所述IPi对应的IP-域名特征值,其中,
Figure GDA0002642441050000079
为所述IPi对应的IP-域名特征值,也就是所述待检测域名的第i个IP-域名特征值,Ni为所述IPi对应的待检测域名的个数,Nmax为各IP对应的待检测域名的个数的最大值,p为所述待检测域名的个数所占的权重,q为相似度值所占的权重,且p+q=1;所述权重均为可变参数,初期可取平均权重,然后不断进行优化调整,此处不做具体限定。按照上述方法计算其他各IP对应的IP-域名特征值,获得所述待检测域名的IP-域名特征值。
在上述实施例的基础上,进一步地,所述域名信息包括所述待检测域名与IP之间的映射关系;相应地,所述根据所述域名信息,按照预设规则计算所述待检测域名至少一个维度的特征值,包括:
根据所述待检测域名与IP之间的映射关系,统计每一个所述待检测域名对应的所述IP的个数;
根据所述待检测域名与IP之间的映射关系,统计每一个所述待检测域名对应的各所述IP的ANS分布率;
根据所述待检测域名与IP之间的映射关系,统计每一个所述待检测域名对应的各所述IP的国家码分布率;
根据每一个所述待检测域名对应的所述IP的个数、各所述IP的ANS分布率、各所述IP的国家码分布率计算所述待检测域名的域名-IP特征值。
具体地,所述装置获取预设时间段内的所述待检测域名的所述域名信息包括所述待检测域名与IP之间的映射关系,根据所述映射关系统计每一个所述IP对应的所述待检测域名的个数;获取每一个所述待检测域名对应的所述IP的个数,统计每一个所述待检测域名对应的各所述IP的自治系统号(ANS)分布率,以及每一个所述待检测域名对应的各所述IP的国家码分布率,然后,将每一个所述待检测域名对应的所述IP的个数、各所述IP的ANS分布率、各所述IP的国家码分布率进行加权计算获得所述待检测域名的域名-IP特征值。
例如,根据所述待检测域名与IP之间的映射关系,获取到其中一个待检测域名为Lj,获取待检测域名Lj对应的IP的个数,以及各IP的ANS分布率和国家码分布率,所述根据公式:
Figure GDA0002642441050000091
计算所述待检测域名Lj对应的域名-IP特征值,其中,
Figure GDA0002642441050000092
为所述待检测域名Lj对应的域名-IP特征值,Mi为所述待检测域名对应的所述IP的个数,Mmax为各所述待检测域名对应的IP个数的最大值,P1 j为所述待检测域名Lj对应的各IP的ANS分布率,
Figure GDA0002642441050000093
为所述待检测域名Lj对应的各IP的国家码分布率,e为所述IP个数所占的权重,f为所述各IP的ANS分布率所占的权重,g为所述各IP的国家码分布率所占的权重,且e+f+g=1,所述各个权重均为可变参数,具体可以根据实际情况进行调整,此处不做具体限定。按照上述方法计算其他各所述待检测域名对应的IP-域名特征值,此处不再赘述。
在上述实施例的基础上,进一步地,所述域名信息包括所述待检测域名对应的字符串;相应地,所述根据所述域名信息,按照预设规则计算所述待检测域名至少一个维度的特征值,包括:
根据所述待检测域名对应的字符串,计算所述待检测域名的字符串长度;
根据所述待检测域名对应的字符串,获取所述字符串包括的字符以及各所述字符出现的次数,并根据所述字符和各所述字符出现的次数计算所述待检测域名的域名字符熵值;
根据所述待检测域名的字符串长度和所述域名字符熵值,计算所述待检测域名的域名名称特征值。
具体地,所述装置获取预设时间段内的所述待检测域名的所述域名信息包括所述待检测域名对应的字符串,根据所述待检测域名对应的字符串,计算所述待检测域名的字符串长度,并且获取所述待检测域对应的字符串中包括的字符以及各所述字符出现次数,计算所述待检测域名的域名字符熵值,然后,根据所述待检测域名的字符串长度和所述域名字符熵值,以及黑名单中包括的恶意域名的平均字符串长度和平均域名字符熵值,计算所述待检测域名的域名名称特征值。
例如,所述装置获取待检测域名为Lj对应的字符串,根据所述字符串计算所述待检测域名为Lj的字符串长度为Sj,所述待检测域名为Lj包括的字符的集合为{a1,a2....an-1,an},则按照公式:
Figure GDA0002642441050000101
计算所述待检测域名为Lj的域名字符熵值,其中,Entropy(Lj)为所述所述待检测域名为Lj的域名字符熵值,count(aj)为字符aj出现的次数,Sj为所述待检测域名为Lj的字符串长度。然后,获取黑名单包括的各恶意域名对应的字符串,计算所述各恶意域名的字符串长度、包括的字符以及各字符的出现次数,从而计算所述各恶意域名的域名字符熵值,并计算所述各恶意域名的字符串长度的平均值和平均域名字符熵值,根据公式:
Figure GDA0002642441050000102
计算所述待检测域名为Lj的域名名称特征值,其中,
Figure GDA0002642441050000103
为所述待检测域名为Lj的域名名称特征值,Sj为所述待检测域名为Lj的字符串长度,Savg为所述黑名单包括的所述各恶意域名的字符串长度的平均值,Entropy(Lj)为所述待检测域名为Lj的域名字符熵值,Entropyavg为所述黑名单包括的所述各恶意域名的平均域名字符熵值。
在上述实施例的基础上,进一步地,所述域名信息包括所述待检测域名对应的多个TTL值;相应地,所述根据所述域名信息,按照预设规则计算所述待检测域名至少一个维度的特征值,包括:
根据所述待检测域名对应的多个TTL值,获取所述TTL值的最大值和最小值;
根据所述待检测域名对应的所述预设时间段内的多个TTL值,计算所述多个TTL值的平均值和标准差值;
根据所述最大值、最小值、平均值和标准差值计算所述待检测域名的TTL特征值。
具体地,所述装置获取预设时间段内的所述待检测域名的所述域名信息包括所述待检测域名对应的多个生存时间(TTL)值,所述待检测域名对应的多个TTL值为每个所述待检测域名的多次DNS请求的TTL值,获取每个所述待检测域名对应的所述多个TTL值的最大值和最小值,计算所述多个TTL值的平均值和标准差,根据所述最大值、最小值、平均值和标准差值计算所述待检测域名的TTL特征值。
例如,所述装置获取待检测域名为Lj对应的多个TTL值分别为TTL1,TTL2,TTL3…TTLm,获取待检测域名Lj对应的多个TTL值的最大值为TTLmax=max(TTL1,TTL2,TTL3…TTLm),最小值为TTLmin=min(TTL1,TTL2,TTL3…TTLm),根据TTL1,TTL2,TTL3…TTLm计算所述待检测域名Lj对应的多个TTL值的平均值为TTLavg,标准差值为TTLstd。根据公式:
Figure GDA0002642441050000111
计算所述待检测域名为Lj的TTL特征值,其中,
Figure GDA0002642441050000112
为所述待检测域名Lj的TTL特征值,TTLmax为所述待检测域名Lj对应的多个TTL值的最大值,TTLmax-thd为最大值的预设标准值,u为所述最大值所占的权重,TTLmin为所述待检测域名Lj对应的多个TTL值的最小值,TTLmin-thd为最小值的预设标准值,v为所述最小值所占的权重,TTLavg所述待检测域名为Lj对应的多个TTL值的平均值,TTLavg-thd为平均值的预设标准值,w所述平均值所占的权重,TTLstd所述待检测域名Lj对应的多个TTL值的标准差值,TTLstd-thd为标准差值的预设标准值,s为所述标准差值所占的权重,且u+v+w+s=1。
在上述实施例的基础上,进一步地,所述域名信息包括所述待检测域名的NXDOMAIN请求信息和MX请求信息,以及所述待检测域名与IP之间的映射关系;相应地,所述根据所述域名信息,按照预设规则计算所述待检测域名至少一个维度的特征值,包括:
根据所述待检测域名的NXDOMAIN请求信息和所述待检测域名与IP之间的映射关系,统计每一个所述待检测域名对应的NXDOMAIN请求的个数和每一个所述IP对应的NXDOMAIN请求的个数;
根据所述待检测域名的MX请求信息和所述待检测域名与IP之间的映射关系,统计每一个所述待检测域名对应的MX请求的个数和每一个所述IP对应的MX请求的个数;
根据所述每一个所述待检测域名对应的NXDOMAIN请求的个数和每一个所述IP对应的NXDOMAIN请求的个数,计算所述待检测域名的第一动态特征值;并且根据所述每一个所述待检测域名对应的MX请求的个数和每一个所述IP对应的MX请求的个数,计算所述待检测域名的第二动态特征值。
具体地,所述装置获取预设时间段内的所述待检测域名的所述域名信息包括所述待检测域名的域名不存在(NXDOMAIN)请求信息和邮件交换(MX)请求信息,以及所述待检测域名与IP之间的映射关系。所述装置根据所述待检测域名对应的NXDOMAIN请求信息获取各NXDOMAIN请求对应的所述待检测域名,根据所述各NXDOMAIN请求对应的所述待检测域名,获取各所述待检测域名对应的NXDOMAIN请求的个数,然后根据所述待检测域名与IP之间的映射关系,获取各所述IP对应的NXDOMAIN请求的个数,根据所述每一个所述待检测域名对应的NXDOMAIN请求的个数和每一个所述IP对应的NXDOMAIN请求的个数,计算所述待检测域名的第一动态特征值;同样,所述装置根据所述待检测域名对应的MX请求信息获取各MX请求对应的所述待检测域名,根据所述各MX请求对应的所述待检测域名,获取各所述待检测域名对应的MX请求的个数,然后根据所述待检测域名与IP之间的映射关系,获取各所述IP对应的MX请求的个数,根据所述每一个所述待检测域名对应的MX请求的个数和每一个所述IP对应的MX请求的个数,计算所述待检测域名的第二动态特征值。应当说明的是,所述第一动态特征值和所述第二动态特征值均为所述动态特征值,所述动态特征值还可以包括其他动态特征值,此处不做具体限定。
例如,所述装置根据所述待检测域名的NXDOMAIN请求信息和MX请求信息,获取待检测域名为Lj的对应的NXDOMAIN请求的个数为CNX,对应的MX请求的个数为CMX,获取IPi的对应的NXDOMAIN请求的个数为DNX,对应的MX请求的个数为DMX,根据公式:
Figure GDA0002642441050000131
计算所述待检测域名Lj的NXDOMAIN请求特征值,其中,
Figure GDA0002642441050000132
为所述待检测域名的NXDOMAIN请求特征值,也就是所述待检测域名的第j个第一动态特征值,CNX为待检测域名Lj的对应的NXDOMAIN请求的个数,CNX-max为所述各待检测域名对应的NXDOMAIN请求的个数的最大值,k为所述待检测域名对应的NXDOMAIN请求的个数的权重,DNX为IPi的对应的NXDOMAIN请求的个数,DNX-max所述各IP对应的NXDOMAIN请求的个数的最大值,l为所述IP对应的NXDOMAIN请求的个数的权重,k+l=1。所述权重的值可以根据实际情况进行调整,此处不作具体限定。
根据公式:
Figure GDA0002642441050000133
计算所述待检测域名Lj的MX请求特征值,其中,
Figure GDA0002642441050000134
为所述待检测域名的MX请求特征值,也就是所述待检测域名的第j个第二动态特征值,CMX为待检测域名Lj的对应的MX请求的个数,CMX-max为所述各待检测域名对应的MX请求的个数的最大值,k′为所述待检测域名对应的MX请求的个数的权重,DMX为IPi的对应的MX请求的个数,DMX-max所述各IP对应的MX请求的个数的最大值,l′为所述IP对应的MX请求的个数的权重,k′+l′=1。所述权重的值可以根据实际情况进行调整,此处不作具体限定。
在上述实施例的基础上,进一步地,所述域名信息包括所述待检测域名的子域空间信息,以及所述待检测域名与IP之间的映射关系;相应地,所述根据所述域名信息,按照预设规则计算所述待检测域名的至少一个维度的特征值,包括:
根据所述待检测域名的子域空间信息,若判断获知所述子域空间大于预设阈值,则判定所述待检测域名的第一特殊特征值为1,否则,判定所述待检测域名的第一特殊特征值为0;
根据所述待检测域名与IP之间的映射关系,若判断获知所述待检测域名对应的所述IP为预设IP,则判定所述待检测域名的第二特殊特征值为1,否则,判定所述待检测域名的第二特殊特征值为0。
具体地,所述装置获取预设时间段内的所述待检测域名的所述域名信息包括所述待检测域名的子域空间信息,以及所述待检测域名与IP之间的映射关系,所述装置根据所述待检测域名的子域空间信息若判断获知所述子域空间大于预设阈值,则判定所述待检测域名的第一特殊特征值为1,否则,判定所述待检测域名的第一特殊特征值为0;根据所述待检测域名与IP之间的映射关系,若判断获知所述待检测域名对应的所述IP为预设IP,则判定所述待检测域名的第二特殊特征值为1,否则,判定所述待检测域名的第二特殊特征值为0。应当说明的是,所述预设阈值为根据训练样本学习获得的,并且可以根据实际情况进行调整,此处不作具体限定;所述预设IP可以是tcp/ip协议中专门保留的私有地址或者广播地址,也可以是其他IP,此处不做具体限定;所述第一特殊特征值和所述第二特殊特征值均为特殊特征值,所述特殊特征值还可以包括其他特殊特征值,此处不做具体限定。
本发明实施例提供的恶意域名检测处理方法,通过根据获取到的待检测域名的域名信息,按照预设规则计算待检测域名的特征值,并根据所述特征值通过预设分类器模型进行恶意域名检测处理,提高了恶意域名检测的效率和准确率。
图3为本发明实施例提供的恶意域名检测处理方法的整体流程示意图,如图3所示,本发明实施例提供的恶意域名检测处理方法具体包括如下步骤:
S301、接收DNS应答数据包;然后,执行步骤S302;
S302、解析DNS应答数据包;所述恶意域名检测处理装置将所述DNS应答数据包按照DNS协议数据响应包格式进行解析,获取所述DNS应答数据包中包括的域名及其对应的IP;然后,执行步骤S303;
S303、是否与黑名单匹配;所述装置判断所述域名及其对应的IP是否与所述黑名单匹配,若匹配,则将所述域名判定为恶意域名,否则,执行步骤S304;
S304、是否与白名单匹配;所述装置判断所述域名及其对应的IP是否与所述白名单匹配,若匹配,则将所述域名判定为正常域名,否则,执行步骤S305;
S305、判定为待检测域名;将未被所述黑白名单过滤识别的所述域名判定为待检测域名,并将所述待检测域名储存在所述待检测域名数据库中;然后,执行步骤S306;
S306、获取所述待检测域名的域名信息;每隔预设时间段获取所述待检测域名数据库中包括的待检测域名的域名信息;然后,执行步骤S307;
S307、根据所述域名信息计算待检测域名的IP-域名特征值;所述装置根据所述待检测域名与IP之间的映射关系计算每一个所述IP对应的所述待检测域名的个数和所述相似度值,并根据所述每一个所述IP对应的所述待检测域名的个数和所述相似度值计算所述待检测域名的IP-域名特征值;然后,执行步骤S308;
S308、根据所述域名信息计算待检测域名的域名-IP特征值;所述装置根据所述待检测域名与IP之间的映射关系,计算每一个所述待检测域名对应的所述IP的个数、各所述IP的ANS分布率、各所述IP的国家码分布率,并根据所述每一个所述待检测域名对应的所述IP的个数、各所述IP的ANS分布率、各所述IP的国家码分布率计算所述待检测域名的域名-IP特征值然后,执行步骤S309;
S309、根据所述域名信息计算待检测域名的域名名称特征值;所述装置根据所述待检测域名对应的字符串,计算所述待检测域名的字符串长度和域名字符熵值,并根据所述字符串长度和所述域名字符熵值计算所述待检测域名的域名名称特征值,然后,执行步骤S310;
S310、根据所述域名信息计算待检测域名的TTL特征值;所述装置根据所述待检测域名对应的多个TTL值,获取所述TTL值的最大值和最小值,计算所述多个TTL值的平均值和标准差值,并根据所述最大值、最小值、平均值和标准差值计算所述待检测域名的TTL特征值;然后,执行步骤S311;
S311、根据所述域名信息计算待检测域名的动态特征值;所述装置根据所述待检测域名的NXDOMAIN请求信息和所述待检测域名与IP之间的映射关系,统计每一个所述待检测域名对应的NXDOMAIN请求的个数和每一个所述IP对应的NXDOMAIN请求的个数,以及每一个所述待检测域名对应的MX请求的个数和每一个所述IP对应的MX请求的个数,并根据所述每一个所述待检测域名对应的NXDOMAIN请求的个数和每一个所述IP对应的NXDOMAIN请求的个数,计算所述待检测域名的第一动态特征值,且根据所述每一个所述待检测域名对应的MX请求的个数和每一个所述IP对应的MX请求的个数,计算所述待检测域名的第二动态特征值;然后,执行步骤S312;
S312、根据所述域名信息计算待检测域名的特殊特征值;根据所述待检测域名的子域空间信息,获取所述待检测域名的第一特殊特征值,并且根据所述待检测域名与IP之间的映射关系,获取所述待检测域名的第二特殊特征值;然后,执行步骤S313;
S313、根据所述IP-域名特征值、域名-IP特征值、域名名称特征值、TTL特征值、动态特征值和特殊特征值通过预设分类器模型进行恶意域名检测处理;所述装置将所述IP-域名特征值、域名-IP特征值、域名名称特征值、TTL特征值、动态特征值和特殊特征值作为输入量输入通过训练样本进行机器分类学习获得的预设分类模型中,检测识别出所述待检测域名为正常域名或恶意域名的分类结果。其中,所述动态特征值是包括第一动态特征值和第二动态特征值,所述特殊特征值包括第一特殊特征值和第二特殊特征值。
图4为本发明实施例提供的恶意域名检测处理装置的结构示意图,如图4所示,本发明实施例提供一种恶意域名检测处理装置,包括:获取单元401、计算单元402和检测单元403,其中:
获取单元401用于获取预设时间段内的待检测域名的域名信息;
计算单元402用于根据所述域名信息,按照预设规则计算所述待检测域名的至少一个维度上的特征值;
检测单元403用于根据所述特征值通过预设分类器模型对所述待检测域名进行恶意域名检测处理;其中,所述预设分类器模型为通过训练样本进行机器分类学习获得的。
具体地,获取单元401接收DNS应答数据包,对所述DNS数据包进行解析后获得所述DNS数据包包括的多个域名,获取单元401通过黑白名单过滤对所述多个域名进行恶意域名检测,并将未被所述黑白名单过滤识别的域名作为待检测域名,储存在待检测域名数据库中;然后,获取单元401获取在预设时间段内获得的多个待检测域名的域名信息。计算单元402根据多个所述待检测域名的域名信息,按照预设规则计算所述待检测域名在至少一个维度上的特征值。应当说明的是,所述域名信息可以包括所述待检测域名与IP之间的映射关系、所述待检测域名对应的字符串、TTL值、NXDOMAIN请求信息、MX请求信息和子域空间信息,还可以包括其他域名信息;所述特征值可以是IP-域名特征值、域名-IP特征值、域名名称特征值、TTL特征值、动态特征值或特殊特征值,还可以是其他维度上的特征值,可以根据实际情况进行调整,此处不做具体限定。
检测单元403获取正常域名数据库包括的各个正常域名对应的预设维度上的特征值,以及恶意域名数据库包括的各个恶意域名对应的预设维度上的特征值,并将获取到的所述各个正常域名对应的预设维度上的特征值和所述各个恶意域名对应的预设维度上的特征值作为训练样本,输入支持向量机(SVM)模型,对所述训练样本进行机器分类学习,获得所述预设分类器模型;检测单元403将计算获得的所述待检测域名的特征值输入所述预设分类器模型,则可以检测识别出所述待检测域名为正常域名或恶意域名的分类结果,进一步地,还可以获得所述待检测域名的恶意域名可疑几率,并对所述恶意域名可疑几率大于预设可疑几率阈值的所述待检测域名进行告警,提示通过人工进行恶意域名检测确认。应当说明的是,所述预设维度包括至少一个维度,且所述预设维度与所述待检测域名的特征值对应的维度一致;还可以采用其他分类器模型进行训练样本的机器分类学习,获得所述预设分类器模型,具体可以根据实际情况进行调整,此处不做具体限定;所述待检测域名中被判定为恶意域名的域名将作为新增的训练样本自动添加至恶意域名数据库中,通过机器分类学习动态改进所述预设分类器模型。
本发明实施例提供的恶意域名检测处理装置,通过根据获取到的待检测域名的域名信息,按照预设规则计算待检测域名的特征值,并根据所述特征值通过预设分类器模型进行恶意域名检测处理,提高了恶意域名检测的效率和准确率。
本发明提供的装置的实施例具体可以用于执行上述各方法实施例的处理流程,其功能在此不再赘述,可以参照上述方法实施例的详细描述。
图5为本发明实施例提供的电子设备的实体装置结构示意图,如图5所示,该电子设备可以包括:处理器(processor)501、存储器(memory)502和总线503,其中,处理器501,存储器502通过总线503完成相互间的通信。处理器501可以调用存储器502中的逻辑指令,以执行如下方法:获取预设时间段内的待检测域名的域名信息;根据所述域名信息,按照预设规则计算所述待检测域名的至少一个维度的特征值;根据所述特征值通过预设分类器模型对所述待检测域名进行恶意域名检测处理;其中,所述预设分类器模型为通过训练样本进行机器分类学习获得的。
本发明实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:获取预设时间段内的待检测域名的域名信息;根据所述域名信息,按照预设规则计算所述待检测域名的至少一个维度的特征值;根据所述特征值通过预设分类器模型对所述待检测域名进行恶意域名检测处理;其中,所述预设分类器模型为通过训练样本进行机器分类学习获得的。
本发明实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:获取预设时间段内的待检测域名的域名信息;根据所述域名信息,按照预设规则计算所述待检测域名的至少一个维度的特征值;根据所述特征值通过预设分类器模型对所述待检测域名进行恶意域名检测处理;其中,所述预设分类器模型为通过训练样本进行机器分类学习获得的。
此外,上述的存储器503中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (2)

1.一种恶意域名检测处理方法,其特征在于,包括:
获取预设时间段内的待检测域名的域名信息;
根据所述域名信息,按照预设规则计算所述待检测域名至少一个维度的特征值;
根据所述特征值通过预设分类器模型对所述待检测域名进行恶意域名检测处理;其中,所述预设分类器模型为通过训练样本进行机器分类学习获得的;
所述获取预设时间段内的待检测域名的域名信息,包括:
接收DNS应答数据包,并对所述DNS应答数据包进行解析,获取所述DNS应答数据包中包括的域名及其对应的IP;其中,所述域名包括全域名和二级域名;
根据所述域名及其对应的IP,通过黑白名单过滤进行恶意域名检测处理,并获取所述待检测域名;所述待检测域名为未被所述黑白名单过滤识别的所述域名;获取所述待检测域名的域名信息;
其中,所述根据所述域名及其对应的IP,通过黑白名单过滤进行恶意域名检测处理,并获取所述待检测域名;所述待检测域名为未被所述黑白名单过滤识别的所述域名,包括:
S203、判断全域名是否在黑名单中;根据解析所述DNS应答数据包获得的所述域名判断所述域名对应的全域名是否在黑名单中,若是,则判定所述域名为恶意域名,否则,执行步骤S204;
S204、判断二级域名是否在黑名单中;根据解析所述DNS应答数据包获得的所述域名判断所述域名对应的二级域名是否在黑名单中,若是,则判定所述域名为恶意域名,否则,执行步骤S205;
S205、判断域名对应IP是否在黑名单中;根据解析所述DNS应答数据包获得的所述域名判断所述域名对应的IP是否在黑名单中,若是,则判定所述域名为恶意域名,否则,执行步骤S206;
S206、判断全域名是否在白名单中;根据解析所述DNS应答数据包获得的所述域名判断所述域名对应的全域名是否在白名单中,若是,则判定所述域名为正常域名,否则,执行步骤S207;
S207、判断二级域名是否在白名单中;根据解析所述DNS应答数据包获得的所述域名判断所述域名对应的二级域名是否在白名单中,若是,则判定所述域名为正常域名,否则,执行步骤S208;
S208、判定为待检测域名;将未被所述黑白名单过滤识别的所述域名判定为待检测域名,并将所述待检测域名储存在所述待检测域名数据库中;
其中,所述根据所述特征值通过预设分类器模型对所述待检测域名进行恶意域名检测处理;其中,所述预设分类器模型为通过训练样本进行机器分类学习获得的,包括:
获取正常域名数据库包括的各个正常域名对应的预设维度上的特征值,以及恶意域名数据库包括的各个恶意域名对应的预设维度上的特征值,将获取到的所述各个正常域名对应的预设维度上的特征值和所述各个恶意域名对应的预设维度上的特征值作为训练样本,输入支持向量机(SVM)模型,对所述训练样本进行机器分类学习,获得所述预设分类器模型;将计算获得的所述待检测域名的特征值输入所述预设分类器模型,则可以检测识别出所述待检测域名为正常域名或恶意域名的分类结果;
所述待检测域名的所述特征值包括以下任意一项或其组合:
IP-域名特征值、域名-IP特征值、域名名称特征值、TTL特征值、动态特征值和特殊特征值;其中,所述动态特征值至少包括第一动态特征值和第二动态特征值,所述特殊特征值至少包括第一特殊特征值和第二特殊特征值;
所述域名信息包括所述待检测域名与IP之间的映射关系;相应地,所述根据所述域名信息,按照预设规则计算所述待检测域名至少一个维度的特征值,包括:
根据所述待检测域名与IP之间的映射关系,统计每一个所述IP对应的所述待检测域名的个数;
根据所述待检测域名与IP之间的映射关系,计算每一个所述IP对应的多个所述待检测域名的相似度值;所述相似度是根据所述待检测域名按照预设字符匹配算法计算获得的;
根据每一个所述IP对应的所述待检测域名的个数和所述相似度值计算所述待检测域名的IP-域名特征值;
所述域名信息包括所述待检测域名与IP之间的映射关系;相应地,所述根据所述域名信息,按照预设规则计算所述待检测域名至少一个维度的特征值,包括:
根据所述待检测域名与IP之间的映射关系,统计每一个所述待检测域名对应的所述IP的个数;
根据所述待检测域名与IP之间的映射关系,统计每一个所述待检测域名对应的各所述IP的ANS分布率;
根据所述待检测域名与IP之间的映射关系,统计每一个所述待检测域名对应的各所述IP的国家码分布率;
根据每一个所述待检测域名对应的所述IP的个数、各所述IP的ANS分布率、各所述IP的国家码分布率计算所述待检测域名的域名-IP特征值;
所述域名信息包括所述待检测域名对应的字符串;相应地,所述根据所述域名信息,按照预设规则计算所述待检测域名至少一个维度的特征值,包括:
根据所述待检测域名对应的字符串,计算所述待检测域名的字符串长度;
根据所述待检测域名对应的字符串,获取所述字符串包括的字符以及各所述字符出现的次数,并根据所述字符和各所述字符出现的次数计算所述待检测域名的域名字符熵值;
根据所述待检测域名的字符串长度和所述域名字符熵值,计算所述待检测域名的域名名称特征值;
所述域名信息包括所述待检测域名对应的多个TTL值;相应地,所述根据所述域名信息,按照预设规则计算所述待检测域名至少一个维度的特征值,包括:
根据所述待检测域名对应的多个TTL值,获取所述TTL值的最大值和最小值;
根据所述待检测域名对应的多个TTL值,计算所述多个TTL值的平均值和标准差值;
根据所述最大值、最小值、平均值和标准差值计算所述待检测域名的TTL特征值;
所述域名信息包括所述待检测域名的NXDOMAIN请求信息和MX请求信息,以及所述待检测域名与IP之间的映射关系;相应地,所述根据所述域名信息,按照预设规则计算所述待检测域名至少一个维度的特征值,包括:
根据所述待检测域名的NXDOMAIN请求信息和所述待检测域名与IP之间的映射关系,统计每一个所述待检测域名对应的NXDOMAIN请求的个数和每一个所述IP对应的NXDOMAIN请求的个数;
根据所述待检测域名的MX请求信息和所述待检测域名与IP之间的映射关系,统计每一个所述待检测域名对应的MX请求的个数和每一个所述IP对应的MX请求的个数;
根据所述每一个所述待检测域名对应的NXDOMAIN请求的个数和每一个所述IP对应的NXDOMAIN请求的个数,计算所述待检测域名的第一动态特征值;并且根据所述每一个所述待检测域名对应的MX请求的个数和每一个所述IP对应的MX请求的个数,计算所述待检测域名的第二动态特征值;
所述域名信息包括所述待检测域名的子域空间信息,以及所述待检测域名与IP之间的映射关系;相应地,所述根据所述域名信息,按照预设规则计算所述待检测域名的至少一个维度的特征值,包括:
根据所述待检测域名的子域空间信息,若判断获知所述子域空间大于预设阈值,则判定所述待检测域名的第一特殊特征值为1,否则,判定所述待检测域名的第一特殊特征值为0;
根据所述待检测域名与IP之间的映射关系,若判断获知所述待检测域名对应的所述IP为预设IP,则判定所述待检测域名的第二特殊特征值为1,否则,判定所述待检测域名的第二特殊特征值为0。
2.一种恶意域名检测处理装置,其特征在于,包括:
获取单元,用于获取预设时间段内的待检测域名的域名信息;
计算单元,用于根据所述域名信息,按照预设规则计算所述待检测域名至少一个维度的特征值;
检测单元,用于根据所述特征值通过预设分类器模型对所述待检测域名进行恶意域名检测处理;其中,所述预设分类器模型为通过训练样本进行机器分类学习获得的;
所述获取预设时间段内的待检测域名的域名信息,包括:
接收DNS应答数据包,并对所述DNS应答数据包进行解析,获取所述DNS应答数据包中包括的域名及其对应的IP;其中,所述域名包括全域名和二级域名;
根据所述域名及其对应的IP,通过黑白名单过滤进行恶意域名检测处理,并获取所述待检测域名;所述待检测域名为未被所述黑白名单过滤识别的所述域名;获取所述待检测域名的域名信息;
其中,所述根据所述域名及其对应的IP,通过黑白名单过滤进行恶意域名检测处理,并获取所述待检测域名;所述待检测域名为未被所述黑白名单过滤识别的所述域名,包括:
S203、判断全域名是否在黑名单中;根据解析所述DNS应答数据包获得的所述域名判断所述域名对应的全域名是否在黑名单中,若是,则判定所述域名为恶意域名,否则,执行步骤S204;
S204、判断二级域名是否在黑名单中;根据解析所述DNS应答数据包获得的所述域名判断所述域名对应的二级域名是否在黑名单中,若是,则判定所述域名为恶意域名,否则,执行步骤S205;
S205、判断域名对应IP是否在黑名单中;根据解析所述DNS应答数据包获得的所述域名判断所述域名对应的IP是否在黑名单中,若是,则判定所述域名为恶意域名,否则,执行步骤S206;
S206、判断全域名是否在白名单中;根据解析所述DNS应答数据包获得的所述域名判断所述域名对应的全域名是否在白名单中,若是,则判定所述域名为正常域名,否则,执行步骤S207;
S207、判断二级域名是否在白名单中;根据解析所述DNS应答数据包获得的所述域名判断所述域名对应的二级域名是否在白名单中,若是,则判定所述域名为正常域名,否则,执行步骤S208;
S208、判定为待检测域名;将未被所述黑白名单过滤识别的所述域名判定为待检测域名,并将所述待检测域名储存在所述待检测域名数据库中;
其中,所述根据所述特征值通过预设分类器模型对所述待检测域名进行恶意域名检测处理;其中,所述预设分类器模型为通过训练样本进行机器分类学习获得的,包括:
获取正常域名数据库包括的各个正常域名对应的预设维度上的特征值,以及恶意域名数据库包括的各个恶意域名对应的预设维度上的特征值,将获取到的所述各个正常域名对应的预设维度上的特征值和所述各个恶意域名对应的预设维度上的特征值作为训练样本,输入支持向量机(SVM)模型,对所述训练样本进行机器分类学习,获得所述预设分类器模型;将计算获得的所述待检测域名的特征值输入所述预设分类器模型,则可以检测识别出所述待检测域名为正常域名或恶意域名的分类结果;
所述待检测域名的所述特征值包括以下任意一项或其组合:
IP-域名特征值、域名-IP特征值、域名名称特征值、TTL特征值、动态特征值和特殊特征值;其中,所述动态特征值至少包括第一动态特征值和第二动态特征值,所述特殊特征值至少包括第一特殊特征值和第二特殊特征值;
所述域名信息包括所述待检测域名与IP之间的映射关系;相应地,所述根据所述域名信息,按照预设规则计算所述待检测域名至少一个维度的特征值,包括:
根据所述待检测域名与IP之间的映射关系,统计每一个所述IP对应的所述待检测域名的个数;
根据所述待检测域名与IP之间的映射关系,计算每一个所述IP对应的多个所述待检测域名的相似度值;所述相似度是根据所述待检测域名按照预设字符匹配算法计算获得的;
根据每一个所述IP对应的所述待检测域名的个数和所述相似度值计算所述待检测域名的IP-域名特征值;
所述域名信息包括所述待检测域名与IP之间的映射关系;相应地,所述根据所述域名信息,按照预设规则计算所述待检测域名至少一个维度的特征值,包括:
根据所述待检测域名与IP之间的映射关系,统计每一个所述待检测域名对应的所述IP的个数;
根据所述待检测域名与IP之间的映射关系,统计每一个所述待检测域名对应的各所述IP的ANS分布率;
根据所述待检测域名与IP之间的映射关系,统计每一个所述待检测域名对应的各所述IP的国家码分布率;
根据每一个所述待检测域名对应的所述IP的个数、各所述IP的ANS分布率、各所述IP的国家码分布率计算所述待检测域名的域名-IP特征值;
所述域名信息包括所述待检测域名对应的字符串;相应地,所述根据所述域名信息,按照预设规则计算所述待检测域名至少一个维度的特征值,包括:
根据所述待检测域名对应的字符串,计算所述待检测域名的字符串长度;
根据所述待检测域名对应的字符串,获取所述字符串包括的字符以及各所述字符出现的次数,并根据所述字符和各所述字符出现的次数计算所述待检测域名的域名字符熵值;
根据所述待检测域名的字符串长度和所述域名字符熵值,计算所述待检测域名的域名名称特征值;
所述域名信息包括所述待检测域名对应的多个TTL值;相应地,所述根据所述域名信息,按照预设规则计算所述待检测域名至少一个维度的特征值,包括:
根据所述待检测域名对应的多个TTL值,获取所述TTL值的最大值和最小值;
根据所述待检测域名对应的多个TTL值,计算所述多个TTL值的平均值和标准差值;
根据所述最大值、最小值、平均值和标准差值计算所述待检测域名的TTL特征值;
所述域名信息包括所述待检测域名的NXDOMAIN请求信息和MX请求信息,以及所述待检测域名与IP之间的映射关系;相应地,所述根据所述域名信息,按照预设规则计算所述待检测域名至少一个维度的特征值,包括:
根据所述待检测域名的NXDOMAIN请求信息和所述待检测域名与IP之间的映射关系,统计每一个所述待检测域名对应的NXDOMAIN请求的个数和每一个所述IP对应的NXDOMAIN请求的个数;
根据所述待检测域名的MX请求信息和所述待检测域名与IP之间的映射关系,统计每一个所述待检测域名对应的MX请求的个数和每一个所述IP对应的MX请求的个数;
根据所述每一个所述待检测域名对应的NXDOMAIN请求的个数和每一个所述IP对应的NXDOMAIN请求的个数,计算所述待检测域名的第一动态特征值;并且根据所述每一个所述待检测域名对应的MX请求的个数和每一个所述IP对应的MX请求的个数,计算所述待检测域名的第二动态特征值;
所述域名信息包括所述待检测域名的子域空间信息,以及所述待检测域名与IP之间的映射关系;相应地,所述根据所述域名信息,按照预设规则计算所述待检测域名的至少一个维度的特征值,包括:
根据所述待检测域名的子域空间信息,若判断获知所述子域空间大于预设阈值,则判定所述待检测域名的第一特殊特征值为1,否则,判定所述待检测域名的第一特殊特征值为0;
根据所述待检测域名与IP之间的映射关系,若判断获知所述待检测域名对应的所述IP为预设IP,则判定所述待检测域名的第二特殊特征值为1,否则,判定所述待检测域名的第二特殊特征值为0。
CN201710179313.1A 2017-03-23 2017-03-23 一种恶意域名检测处理方法及装置 Active CN108632227B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710179313.1A CN108632227B (zh) 2017-03-23 2017-03-23 一种恶意域名检测处理方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710179313.1A CN108632227B (zh) 2017-03-23 2017-03-23 一种恶意域名检测处理方法及装置

Publications (2)

Publication Number Publication Date
CN108632227A CN108632227A (zh) 2018-10-09
CN108632227B true CN108632227B (zh) 2020-12-18

Family

ID=63707541

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710179313.1A Active CN108632227B (zh) 2017-03-23 2017-03-23 一种恶意域名检测处理方法及装置

Country Status (1)

Country Link
CN (1) CN108632227B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI816441B (zh) * 2022-06-20 2023-09-21 中華電信股份有限公司 域名偵測系統及方法

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109450886A (zh) * 2018-10-30 2019-03-08 杭州安恒信息技术股份有限公司 一种域名识别方法、系统及电子设备和存储介质
CN109495475B (zh) * 2018-11-19 2022-03-18 中国联合网络通信集团有限公司 域名检测方法及装置
CN109784049B (zh) * 2018-12-21 2021-04-09 奇安信科技集团股份有限公司 威胁数据处理的方法、设备、系统和介质
CN109714335A (zh) * 2018-12-26 2019-05-03 北京天融信网络安全技术有限公司 一种信息检测方法及信息检测装置
CN109981596B (zh) * 2019-03-05 2020-09-04 腾讯科技(深圳)有限公司 一种主机外联检测方法及装置
CN112311723A (zh) * 2019-07-26 2021-02-02 国网河北省电力有限公司信息通信分公司 一种基于国家电网信息系统特点的域名服务防护方法
CN110392064B (zh) * 2019-09-04 2022-03-15 中国工商银行股份有限公司 风险识别方法、装置、计算设备以及计算机可读存储介质
CN111181937A (zh) * 2019-12-20 2020-05-19 北京丁牛科技有限公司 一种域名检测方法、装置、设备和系统
CN113542202B (zh) * 2020-04-21 2022-09-30 深信服科技股份有限公司 一种域名识别方法、装置、设备及计算机可读存储介质
TWI811545B (zh) * 2020-05-18 2023-08-11 安碁資訊股份有限公司 域名系統中惡意域名的偵測方法與偵測裝置
CN114499906B (zh) * 2020-11-12 2023-04-25 清华大学 一种dga域名检测方法及系统
CN112822223B (zh) * 2021-04-19 2021-08-31 北京智源人工智能研究院 一种dns隐蔽隧道事件自动化检测方法、装置和电子设备
CN113098896A (zh) * 2021-04-26 2021-07-09 中国移动通信集团陕西有限公司 域名检测方法、装置、设备及介质
CN113328994B (zh) * 2021-04-30 2022-07-12 新华三信息安全技术有限公司 一种恶意域名处理方法、装置、设备及机器可读存储介质
CN112995360B (zh) * 2021-04-30 2021-07-30 新华三技术有限公司 一种域名检测方法、装置、dga服务设备及存储介质
CN113792291B (zh) * 2021-09-10 2023-08-18 全球能源互联网研究院有限公司 一种受域生成算法恶意软件感染的主机识别方法及装置
US11856005B2 (en) * 2021-09-16 2023-12-26 Centripetal Networks, Llc Malicious homoglyphic domain name generation and associated cyber security applications
CN114050912B (zh) * 2021-09-30 2023-04-07 中国科学院信息工程研究所 一种基于深度强化学习的恶意域名检测方法和装置
CN114363025A (zh) * 2021-12-27 2022-04-15 中国电信股份有限公司 域名检测方法、装置、设备及存储介质
CN116760645B (zh) * 2023-08-22 2023-11-14 北京长亭科技有限公司 一种恶意域名检测方法以及装置

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8521667B2 (en) * 2010-12-15 2013-08-27 Microsoft Corporation Detection and categorization of malicious URLs
CN105024969A (zh) * 2014-04-17 2015-11-04 北京启明星辰信息安全技术有限公司 一种实现恶意域名识别的方法及装置
CN105610830A (zh) * 2015-12-30 2016-05-25 山石网科通信技术有限公司 域名的检测方法及装置
CN105897714A (zh) * 2016-04-11 2016-08-24 天津大学 基于dns流量特征的僵尸网络检测方法
CN106230867A (zh) * 2016-09-29 2016-12-14 北京知道创宇信息技术有限公司 预测域名是否恶意的方法、系统及其模型训练方法、系统
US9558497B2 (en) * 2014-03-17 2017-01-31 Emailage Corp. System and method for internet domain name fraud risk assessment
CN106375351A (zh) * 2016-11-29 2017-02-01 神州网云(北京)信息技术有限公司 一种异常域名检测的方法及装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8521667B2 (en) * 2010-12-15 2013-08-27 Microsoft Corporation Detection and categorization of malicious URLs
US9558497B2 (en) * 2014-03-17 2017-01-31 Emailage Corp. System and method for internet domain name fraud risk assessment
CN105024969A (zh) * 2014-04-17 2015-11-04 北京启明星辰信息安全技术有限公司 一种实现恶意域名识别的方法及装置
CN105610830A (zh) * 2015-12-30 2016-05-25 山石网科通信技术有限公司 域名的检测方法及装置
CN105897714A (zh) * 2016-04-11 2016-08-24 天津大学 基于dns流量特征的僵尸网络检测方法
CN106230867A (zh) * 2016-09-29 2016-12-14 北京知道创宇信息技术有限公司 预测域名是否恶意的方法、系统及其模型训练方法、系统
CN106375351A (zh) * 2016-11-29 2017-02-01 神州网云(北京)信息技术有限公司 一种异常域名检测的方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"基于DNS的恶意域名识别系统的设计与开发";赵雷;《中国优秀硕士学位论文全文数据库工程科技辑》;20131030;全文 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI816441B (zh) * 2022-06-20 2023-09-21 中華電信股份有限公司 域名偵測系統及方法

Also Published As

Publication number Publication date
CN108632227A (zh) 2018-10-09

Similar Documents

Publication Publication Date Title
CN108632227B (zh) 一种恶意域名检测处理方法及装置
CN108200054B (zh) 一种基于dns解析的恶意域名检测方法及装置
US11030311B1 (en) Detecting and protecting against computing breaches based on lateral movement of a computer file within an enterprise
CN107872772B (zh) 诈骗短信的检测方法及装置
CN103198123B (zh) 用于基于用户信誉过滤垃圾邮件消息的系统和方法
US7953852B2 (en) Method and system for detecting and reducing botnet activity
CN109274632B (zh) 一种网站的识别方法及装置
CN109495467B (zh) 拦截规则的更新方法、设备及计算机可读存储介质
CN107295116B (zh) 一种域名解析方法、装置及系统
CN113162953B (zh) 网络威胁报文检测及溯源取证方法和装置
CN109831459B (zh) 安全访问的方法、装置、存储介质和终端设备
KR20170024777A (ko) 스미싱 메시지 판별장치 및 스미싱 메시지 판별방법
CN113507455B (zh) 基于大数据的网络安全检测方法及系统
CN110365636B (zh) 工控蜜罐攻击数据来源的判别方法及装置
CN114666162A (zh) 一种流量检测方法、装置、设备及存储介质
CN110855716B (zh) 一种面向仿冒域名的自适应安全威胁分析方法及系统
CN110532485B (zh) 基于多源数据融合的用户行为检测方法及装置
CN113132316A (zh) 一种Web攻击检测方法、装置、电子设备及存储介质
WO2021050990A1 (en) Data analytics tool
CN109922444B (zh) 一种垃圾短信识别方法及装置
CN112261004B (zh) 一种Domain Flux数据流的检测方法及装置
CN109992960A (zh) 一种伪造参数检测方法、装置、电子设备及存储介质
US20220210189A1 (en) Mitigation of phishing risk
CN114285628A (zh) 一种蜜罐部署方法、装置、系统及计算机可读存储介质
CN110471975B (zh) 一种物联网态势感知调用方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant