CN110740117B - 仿冒域名检测方法、装置、电子设备及存储介质 - Google Patents
仿冒域名检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN110740117B CN110740117B CN201811293567.7A CN201811293567A CN110740117B CN 110740117 B CN110740117 B CN 110740117B CN 201811293567 A CN201811293567 A CN 201811293567A CN 110740117 B CN110740117 B CN 110740117B
- Authority
- CN
- China
- Prior art keywords
- domain name
- counterfeit
- generation
- detected
- counterfeit domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Abstract
本发明的实施例公开了一种仿冒域名检测方法、装置、电子设备及存储介质,涉及网络安全检测技术领域。所述仿冒域名检测方法包括:获取待检测域名;使用布隆过滤器判断所述待检测域名是否存在于仿冒域名集中,其中所述仿冒域名集是根据仿冒域名的生成模式在域名白名单的基础上生成得到;若所述待检测域名存在于仿冒域名集中,则判定所述待检测域名为仿冒域名。本发明实施例具有预防新的仿冒域名攻击的能力,提升了检测能力;并且通过使用布隆过滤器,大大提升了检测效率。
Description
技术领域
本发明涉及网络安全检测技术领域,尤其涉及一种仿冒域名检测方法、装置、电子设备及存储介质。
背景技术
随着科技的普及化,网络通讯技术以不可取代的地位深入各个领域,而网络安全问题也日益严峻,其中以网络钓鱼问题尤为突出。
网络钓鱼,是指通过发送垃圾电子邮件等方式,将收信用户引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息的网络犯罪行为。由于电子商务和互联网应用的普及和发展,网络钓鱼造成的损失日益严重。
由于域名是网站面向终端用户的入口,网络钓鱼行为常常要采用和目标域名相似的域名,来使得用户误以为钓鱼网站为正规的目标网站。因此,域名仿冒行为是钓鱼攻击的一个重要特征,所以在进行钓鱼网站和邮件的检测时,需要进行URL(Uniform ResourceLocator,统一资源定位符)的域名部分的相似性分析,即仿冒域名检测。
传统仿冒域名检测方法,都是先发现仿冒域名,然后再针对该仿冒域名进行防御,这样的方案不能提前预防新的仿冒域名攻击;并且,传统检测方法需要一个庞大的黑名单去与主机访问的域名进行匹配,在时间效率上非常低。
发明内容
有鉴于此,本发明实施例提供一种能够预防新的仿冒域名、检测效果高的仿冒域名检测方法、装置、电子设备及存储介质。
第一方面,本发明实施例提供一种仿冒域名检测方法,包括:
获取待检测域名;
使用布隆过滤器判断所述待检测域名是否存在于仿冒域名集中,其中所述仿冒域名集是根据仿冒域名的生成模式在域名白名单的基础上生成得到;
若所述待检测域名存在于仿冒域名集中,则判定所述待检测域名为仿冒域名。
结合第一方面,在第一方面的一种实施方式中,所述仿冒域名的生成模式是将仿冒域名与仿冒原型域名进行对照,总结仿冒域名的生成方式得出,所述仿冒域名的生成模式包括:字符替换、字符重复、字符缺失、插入随机字符、替换后缀、词义伪装或复合模式。
结合第一方面,在第一方面的另一种实施方式中,所述若所述待检测域名存在于仿冒域名集中,则判定所述待检测域名为仿冒域名之后,包括:
获取所述待检测域名的生成特点;
将所述待检测域名的生成特点与APT组织的仿冒域名生成偏好进行比对,找出相符合的APT组织;
判定所述待检测域名归属于所述相符合的APT组织。
结合第一方面,在第一方面的再一种实施方式中,所述仿冒域名生成偏好包括:某一字符替换为特定字符、特定字符重复、删除特定字符、插入特定字符、替换特定后缀或增加特定词语。
结合第一方面,在第一方面的又一种实施方式中,如果某APT组织使用具有某一生成特点的仿冒域名生成模式超过预设阈值,则将所述具有某一生成特点的仿冒域名生成模式作为所述APT组织的仿冒域名生成偏好;
和/或,如果具有某一生成特点的仿冒域名生成模式只有一个APT组织使用过,则将所述具有某一生成特点的仿冒域名生成模式作为所述APT组织的仿冒域名生成偏好。
第二方面,本发明实施例提供一种仿冒域名检测装置,包括:
第一获取模块,用于获取待检测域名;
判断模块,用于使用布隆过滤器判断所述待检测域名是否存在于仿冒域名集中,其中所述仿冒域名集是根据仿冒域名的生成模式在域名白名单的基础上生成得到;
第一认定模块,用于若所述待检测域名存在于仿冒域名集中,则判定所述待检测域名为仿冒域名。
结合第二方面,在第二方面的一种实施方式中,所述仿冒域名的生成模式是将仿冒域名与仿冒原型域名进行对照,总结仿冒域名的生成方式得出,所述仿冒域名的生成模式包括:字符替换、字符重复、字符缺失、插入随机字符、替换后缀、词义伪装或复合模式。
结合第二方面,在第二方面的另一种实施方式中,所述仿冒域名检测装置还包括:
第二获取模块,用于获取所述待检测域名的生成特点;
比对查找模块,用于将所述待检测域名的生成特点与APT组织的仿冒域名生成偏好进行比对,找出相符合的APT组织;
第二认定模块,用于判定所述待检测域名归属于所述相符合的APT组织。
结合第二方面,在第二方面的再一种实施方式中,所述仿冒域名生成偏好包括:某一字符替换为特定字符、特定字符重复、删除特定字符、插入特定字符、替换特定后缀或增加特定词语。
结合第二方面,在第二方面的又一种实施方式中,如果某APT组织使用具有某一生成特点的仿冒域名生成模式超过预设阈值,则将所述具有某一生成特点的仿冒域名生成模式作为所述APT组织的仿冒域名生成偏好;
和/或,如果具有某一生成特点的仿冒域名生成模式只有一个APT组织使用过,则将所述具有某一生成特点的仿冒域名生成模式作为所述APT组织的仿冒域名生成偏好。
第三方面,本发明实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一所述的方法。
第四方面,本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一所述的方法。
本发明实施例中,首先获取待检测域名,然后使用布隆过滤器判断所述待检测域名是否存在于仿冒域名集中,其中所述仿冒域名集是根据仿冒域名的生成模式在域名白名单的基础上生成得到,最后若所述待检测域名存在于仿冒域名集中,则判定所述待检测域名为仿冒域名。本发明实施例通过总结多种仿冒域名生成的方式,再以此为依据生成大量的仿冒域名,结果集足够丰富,能够涵盖新的仿冒域名,因此本发明实施例具有预防新的仿冒域名攻击的能力,提升了检测能力;并且通过使用布隆过滤器,检测更高效更快速,相比传统的匹配方式,本发明实施例的匹配方法具有更好的时间和空间效率,大大提升了检测效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明的仿冒域名检测方法一个实施例的流程图;
图2为本发明的仿冒域名检测方法另一实施例的流程图;
图3为本发明的仿冒域名检测装置一个实施例的结构图;
图4为本发明的仿冒域名检测装置另一实施例的结构图;
图5为本发明电子设备一个实施例的结构示意图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
一方面,本发明实施例提供一种仿冒域名检测方法,如图1所示,所述仿冒域名检测方法可包括:
步骤101:获取待检测域名;
本步骤中,待检测域名可以为即时获得的将要访问的域名,也可以为已获得并存储的待检测域名列表中的域名。待检测域名为疑为钓鱼网站的域名,可根据用户举报或基于已有的可疑钓鱼网站检测方法获得,例如包括启发式特征检测技术和模式识别检测技术等。该待检测域名还可以是经过查询获知未包含在已知钓鱼网站黑名单中的疑为钓鱼网站的域名。
步骤102:使用布隆过滤器判断所述待检测域名是否存在于仿冒域名集中,其中所述仿冒域名集是根据仿冒域名的生成模式在域名白名单的基础上生成得到;
布隆过滤器(Bloom Filter,BF),用于检索一个元素是否在一个集合中,在空间效率和时间性能上都远超一般算法。布隆过滤器通过二进制对数据进行映射,搜索的时间复杂度为O(1),因此即使规则数达到数百万级也不会影响效率,可以大大提升检测效率。
本步骤中,仿冒域名集是根据仿冒域名的生成模式在易被仿冒的域名白名单的基础上生成得到的仿冒域名的集合,仿冒域名集即包含了所有可能被用于攻击的仿冒域名。这样,能够预防历史上未曾出现的新的仿冒域名攻击,相比传统发现再处置的检测方式,本发明实施例通过生成大量可能被使用的仿冒域名,能够在攻击发生的同时检测到威胁的存在。
其中,仿冒域名的生成模式可以是将仿冒域名(具体可以收集历史已知仿冒域名)与仿冒原型域名进行对照,总结仿冒域名的生成方式得出,所述仿冒域名的生成模式包括但不限于:字符替换、字符重复、字符缺失、插入随机字符、替换后缀、词义伪装或复合模式。
具体的,可以人工通过将仿冒域名与仿冒原型域名进行比较,判断其是以何种方式被仿冒。例如,baidu.com可以经过替换一个形近字符变为baldu.com,也可以通过替换后缀变为baidu.org,甚至可以同时使用以上两种方式变为baldu.org。这样,进行归纳总结即可得到仿冒域名的生成模式。
然而,需要说明的是,仿冒域名的生成模式并不是简单的遍历与组合,而需要对变换的方式进行详细的归纳与总结。例如,对于单字符替换,首先要知道哪些字符可能被替换,那些字符可能被替换成什么。以baidu.com为例,b可被替换为数字6、字母d等,i可被替换为字母l、数字1等,这样可以欺骗人眼的替换方式才是有意义的。再例如,在域名中直接加入新的单词,baiduserver.com在语义上进行欺骗,使其看起来像是baidu旗下的正规域名,而baidulalala.com显然无法达到欺骗的目的。故,能够起到欺骗目的的生成模式才是有意义的,才能被归纳总结作为本发明中仿冒域名的生成模式。
整体来说,本发明中仿冒域名的生成模式的特点在于:字形相似(保留原有域名的大部分象形特征),能够一定程度上骗过人的双眼;或者,词义符合,让人误以为它是一个合法网站。
之后,即可根据得到的仿冒域名的生成模式,在易被仿冒的域名白名单的基础上生成仿冒域名集。该域名白名单中的域名可以取自世界上访问量高的大型厂商,也可以在此基础上进行人工添加和设置。
步骤103:若所述待检测域名存在于仿冒域名集中,则判定所述待检测域名为仿冒域名。
本步骤中,若所述待检测域名存在于仿冒域名集中,则判定所述待检测域名为仿冒域名,此时可以告警提示用户访问相应网站会导致钓鱼攻击或者强行断开与相应网站的连接。若所述待检测域名未存在于仿冒域名集中,则可以判定所述待检测域名不是仿冒域名。
本发明实施例中,首先获取待检测域名,然后使用布隆过滤器判断所述待检测域名是否存在于仿冒域名集中,其中所述仿冒域名集是根据仿冒域名的生成模式在域名白名单的基础上生成得到,最后若所述待检测域名存在于仿冒域名集中,则判定所述待检测域名为仿冒域名。本发明实施例通过总结多种仿冒域名生成的方式,再以此为依据生成大量的仿冒域名,结果集足够丰富,能够涵盖新的仿冒域名,因此本发明实施例具有预防新的仿冒域名攻击的能力,提升了检测能力;并且通过使用布隆过滤器,检测更高效更快速,相比传统的匹配方式,本发明实施例的匹配方法具有更好的时间和空间效率,大大提升了检测效率。
在上述实施例的基础上,如图2所示,在若所述待检测域名存在于仿冒域名集中,则判定所述待检测域名为仿冒域名(步骤103)之后,所述方法可以包括:
步骤104:获取所述待检测域名的生成特点;
本步骤中,可以在所述仿冒域名集中,对每个生成的仿冒域名同时记录其生成特点(生成模式的具体特点,即前述的将字母i替换为字母l或数字1,将字母b替换为数字6或字母d等),该生成特点可以作为标签附在每个生成的仿冒域名上,通过获取与所述待检测域名相同的仿冒域名的标签即可得知所述待检测域名的生成特点。
步骤105:将所述待检测域名的生成特点与APT组织的仿冒域名生成偏好进行比对,找出相符合的APT组织;
本步骤中,可以预先获取APT(Advanced Persistent Threat,高级持续性威胁)组织所使用过的仿冒域名集合,结合APT组织所使用过的仿冒域名集合,总计各APT组织的仿冒域名生成偏好作为域名溯源的依据。APT组织的攻击活动具有详细的职责划分,在仿冒域名的生成方面存在偏好,因此能够根据仿冒域名所符合的生成偏好对其进行溯源分析。
就像人的办事方式不同,每个组织的行为方式都有自己的偏好,生成域名的方式也都有一定的差异。即使使用相同的生成方法,他们的具体做法也不尽相同。以字节替换为例,i既可以替换为数字1,也可以替换为字母l,组织A习惯替换为数字1,组织B习惯替换为字母l,或者是更加具有特点的替换,组织C习惯将i替换为y等。这样的替换方式就是组织的域名生成偏好。因此同一种方法生成的域名,还可以根据其具体生成方式进行分类并标记为是基于某组织生成偏好生成的。
具体的,所述仿冒域名生成偏好可以包括:某一字符替换为特定字符、特定字符重复、删除特定字符、插入特定字符、替换特定后缀或增加特定词语(以实现词义伪装),等等。
例如,某APT组织多次使用字符替换生成域名,而且偏好将字母o替换为数字0,即可以将此生成偏好作为使用类似仿冒方法的域名归属的判定依据。如果步骤104中所述待检测域名的生成特点正好为将字母o替换为数字0,则可以认为所述待检测域名的生成特点符合所述某APT组织。
进一步的,在实际操作过程中,可以设定一个阀值,只要在某APT组织的历史活动中,使用某种域名生成方法,并持续使用同一种方式进行转换的频率超过该阀值,则可以确定这种基于某种域名生成方法(字节替换,字节重复,后缀替换等)的转换方式(替换特定字符,使用特定关键字等)为该组织的一种域名生成偏好。即,如果某APT组织使用具有某一生成特点的仿冒域名生成模式超过预设阈值,则将所述具有某一生成特点的仿冒域名生成模式作为所述APT组织的仿冒域名生成偏好。
还有一种情况,就是一种域名生成方法的转换方式在所有组织的历史活动中,只有一个组织使用过,那么可以确定这种基于某域名生成方法的转换方式为该组织的一种域名生成偏好。即,如果具有某一生成特点的仿冒域名生成模式只有一个APT组织使用过,则将所述具有某一生成特点的仿冒域名生成模式作为所述APT组织的仿冒域名生成偏好。
步骤106:判定所述待检测域名归属于所述相符合的APT组织。
本步骤中,可以将该溯源结果生成威胁情报告知用户。
本发明实施例能够与APT攻击相关联,产生威胁情报,具有一定溯源能力。相比传统添加黑名单的方法,本发明实施例不再只能判定黑白,而能够通过仿冒域名的生成特点将仿冒域名进行分类,在发现威胁的同时,推测攻击的来源。
另一方面,本发明实施例提供一种仿冒域名检测装置,如图3所示,所述仿冒域名检测装置可包括:
第一获取模块11,用于获取待检测域名;
判断模块12,用于使用布隆过滤器判断所述待检测域名是否存在于仿冒域名集中,其中所述仿冒域名集是根据仿冒域名的生成模式在域名白名单的基础上生成得到;
第一认定模块13,用于若所述待检测域名存在于仿冒域名集中,则判定所述待检测域名为仿冒域名。
本实施例的装置,可以用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
优选的,所述仿冒域名的生成模式是将仿冒域名与仿冒原型域名进行对照,总结仿冒域名的生成方式得出,所述仿冒域名的生成模式包括:字符替换、字符重复、字符缺失、插入随机字符、替换后缀、词义伪装或复合模式。
在进一步的实施例中,如图4所示,所述仿冒域名检测装置还可包括:
第二获取模块14,用于获取所述待检测域名的生成特点;
比对查找模块15,用于将所述待检测域名的生成特点与APT组织的仿冒域名生成偏好进行比对,找出相符合的APT组织;
第二认定模块16,用于判定所述待检测域名归属于所述相符合的APT组织。
本实施例的装置,可以用于执行图2所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
优选的,所述仿冒域名生成偏好包括:某一字符替换为特定字符、特定字符重复、删除特定字符、插入特定字符、替换特定后缀或增加特定词语。
优选的,如果某APT组织使用具有某一生成特点的仿冒域名生成模式超过预设次数,则将所述具有某一生成特点的仿冒域名生成模式作为所述APT组织的仿冒域名生成偏好;
和/或,如果具有某一生成特点的仿冒域名生成模式只有一个APT组织使用过,则将所述具有某一生成特点的仿冒域名生成模式作为所述APT组织的仿冒域名生成偏好。
本发明实施例还提供一种电子设备,如图5所示,可以实现本发明图1或2所示方法实施例的流程,该电子设备包括:壳体41、处理器42、存储器43、电路板44和电源电路45,其中,电路板44安置在壳体41围成的空间内部,处理器42和存储器43设置在电路板44上;电源电路45,用于为上述电子设备的各个电路或器件供电;存储器43用于存储可执行程序代码;处理器42通过读取存储器43中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一方法实施例所述的方法。
处理器42对上述步骤的具体执行过程以及处理器42通过运行可执行程序代码来进一步执行的步骤,可以参见本发明图1或2所示方法实施例的描述,在此不再赘述。
该电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5)其他具有数据交互功能的电子设备。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一方法实施例所述的方法步骤。
本发明的实施例还提供一种应用程序,所述应用程序被执行以实现本发明任一方法实施例提供的方法。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (8)
1.一种仿冒域名检测方法,其特征在于,包括:
获取待检测域名;
使用布隆过滤器判断所述待检测域名是否存在于仿冒域名集中,其中所述仿冒域名集是根据仿冒域名的生成模式在域名白名单的基础上生成得到;
若所述待检测域名存在于仿冒域名集中,则判定所述待检测域名为仿冒域名;
其中,所述若所述待检测域名存在于仿冒域名集中,则判定所述待检测域名为仿冒域名之后,包括:
获取所述待检测域名的生成特点;其中在所述仿冒域名集中,对每个生成的仿冒域名同时记录其生成特点,该生成特点作为标签附在每个生成的仿冒域名上,通过获取与所述待检测域名相同的仿冒域名的标签得到所述待检测域名的生成特点;
将所述待检测域名的生成特点与APT组织的仿冒域名生成偏好进行比对,找出相符合的APT组织;
判定所述待检测域名归属于所述相符合的APT组织,将溯源结果生成威胁情报告知用户。
2.根据权利要求1所述的仿冒域名检测方法,其特征在于,所述仿冒域名的生成模式是将仿冒域名与仿冒原型域名进行对照,总结仿冒域名的生成方式得出,所述仿冒域名的生成模式包括:字符替换、字符重复、字符缺失、插入随机字符、替换后缀、词义伪装或复合模式。
3.根据权利要求1所述的仿冒域名检测方法,其特征在于,所述仿冒域名生成偏好包括:某一字符替换为特定字符、特定字符重复、删除特定字符、插入特定字符、替换特定后缀或增加特定词语。
4.根据权利要求1所述的仿冒域名检测方法,其特征在于,如果某APT组织使用具有某一生成特点的仿冒域名生成模式超过预设阈值,则将所述具有某一生成特点的仿冒域名生成模式作为所述APT组织的仿冒域名生成偏好;
和/或,如果具有某一生成特点的仿冒域名生成模式只有一个APT组织使用过,则将所述具有某一生成特点的仿冒域名生成模式作为所述APT组织的仿冒域名生成偏好。
5.一种仿冒域名检测装置,其特征在于,包括:
第一获取模块,用于获取待检测域名;
判断模块,用于使用布隆过滤器判断所述待检测域名是否存在于仿冒域名集中,其中所述仿冒域名集是根据仿冒域名的生成模式在域名白名单的基础上生成得到;
第一认定模块,用于若所述待检测域名存在于仿冒域名集中,则判定所述待检测域名为仿冒域名;
其中,所述仿冒域名检测装置还包括:
第二获取模块,用于获取所述待检测域名的生成特点;其中在所述仿冒域名集中,对每个生成的仿冒域名同时记录其生成特点,该生成特点作为标签附在每个生成的仿冒域名上,通过获取与所述待检测域名相同的仿冒域名的标签得到所述待检测域名的生成特点;
比对查找模块,用于将所述待检测域名的生成特点与APT组织的仿冒域名生成偏好进行比对,找出相符合的APT组织;
第二认定模块,用于判定所述待检测域名归属于所述相符合的APT组织,将溯源结果生成威胁情报告知用户。
6.根据权利要求5所述的仿冒域名检测装置,其特征在于,所述仿冒域名的生成模式是将仿冒域名与仿冒原型域名进行对照,总结仿冒域名的生成方式得出,所述仿冒域名的生成模式包括:字符替换、字符重复、字符缺失、插入随机字符、替换后缀、词义伪装或复合模式。
7.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行上述权利要求1-4任一所述的方法。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现上述权利要求1-4任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811293567.7A CN110740117B (zh) | 2018-10-31 | 2018-10-31 | 仿冒域名检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811293567.7A CN110740117B (zh) | 2018-10-31 | 2018-10-31 | 仿冒域名检测方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110740117A CN110740117A (zh) | 2020-01-31 |
| CN110740117B true CN110740117B (zh) | 2022-03-04 |
Family
ID=69236647
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811293567.7A Active CN110740117B (zh) | 2018-10-31 | 2018-10-31 | 仿冒域名检测方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110740117B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112039874B (zh) * | 2020-08-28 | 2023-03-24 | 绿盟科技集团股份有限公司 | 一种恶意邮件的识别方法及装置 |
| CN112929370B (zh) * | 2021-02-08 | 2022-10-18 | 丁牛信息安全科技(江苏)有限公司 | 域名系统隐蔽信道检测方法及装置 |
| CN114285627B (zh) * | 2021-12-21 | 2023-12-22 | 安天科技集团股份有限公司 | 流量检测方法及装置、电子设备和计算机可读存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015188604A1 (zh) * | 2014-06-13 | 2015-12-17 | 百度国际科技(深圳)有限公司 | 钓鱼网页的检测方法和装置 |
| CN107743128A (zh) * | 2017-10-31 | 2018-02-27 | 哈尔滨工业大学(威海) | 一种基于首页关联域名和同服务ip的非法网站挖掘方法 |
| CN108076041A (zh) * | 2017-10-23 | 2018-05-25 | 中国银联股份有限公司 | 一种dns流量检测方法以及dns流量检测系统 |
| CN108347370A (zh) * | 2017-10-19 | 2018-07-31 | 北京安天网络安全技术有限公司 | 一种针对性攻击邮件的检测方法及系统 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9003518B2 (en) * | 2010-09-01 | 2015-04-07 | Raytheon Bbn Technologies Corp. | Systems and methods for detecting covert DNS tunnels |
| CN104125242B (zh) * | 2014-08-18 | 2015-05-13 | 北京阅联信息技术有限公司 | 识别伪装ldns请求的ddos攻击的防护方法及装置 |
| CN104601557B (zh) * | 2014-12-29 | 2018-12-21 | 广东顺德中山大学卡内基梅隆大学国际联合研究院 | 一种基于软件定义网络的恶意网站防护方法及系统 |
| CN105763530A (zh) * | 2015-12-12 | 2016-07-13 | 哈尔滨安天科技股份有限公司 | 一种基于web的威胁情报采集系统及方法 |
| CN105530251A (zh) * | 2015-12-14 | 2016-04-27 | 深圳市深信服电子科技有限公司 | 识别钓鱼网站的方法及装置 |
| CN106713371B (zh) * | 2016-12-08 | 2020-04-21 | 中国电子科技网络信息安全有限公司 | 一种基于DNS异常挖掘的Fast Flux僵尸网络检测方法 |
-
2018
- 2018-10-31 CN CN201811293567.7A patent/CN110740117B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015188604A1 (zh) * | 2014-06-13 | 2015-12-17 | 百度国际科技(深圳)有限公司 | 钓鱼网页的检测方法和装置 |
| CN108347370A (zh) * | 2017-10-19 | 2018-07-31 | 北京安天网络安全技术有限公司 | 一种针对性攻击邮件的检测方法及系统 |
| CN108076041A (zh) * | 2017-10-23 | 2018-05-25 | 中国银联股份有限公司 | 一种dns流量检测方法以及dns流量检测系统 |
| CN107743128A (zh) * | 2017-10-31 | 2018-02-27 | 哈尔滨工业大学(威海) | 一种基于首页关联域名和同服务ip的非法网站挖掘方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110740117A (zh) | 2020-01-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111030986B (zh) | 一种攻击组织溯源分析的方法、装置及存储介质 | |
| US20220070194A1 (en) | Techniques for detecting domain threats | |
| CN108875364B (zh) | 未知文件的威胁性判定方法、装置、电子设备及存储介质 | |
| CN110740117B (zh) | 仿冒域名检测方法、装置、电子设备及存储介质 | |
| CN110868377B (zh) | 一种网络攻击图的生成方法、装置及电子设备 | |
| CN105809471B (zh) | 一种获取用户属性的方法、装置及电子设备 | |
| CN108809926A (zh) | 入侵检测规则优化方法、装置、电子设备及存储介质 | |
| Zhang et al. | Intention and Origination: An Inside Look at Large-Scale Bot Queries. | |
| CN107070845B (zh) | 用于检测网络钓鱼脚本的系统和方法 | |
| CN110659493A (zh) | 威胁告警方式生成的方法、装置、电子设备及存储介质 | |
| CN111027065B (zh) | 一种勒索病毒识别方法、装置、电子设备及存储介质 | |
| CN110611675A (zh) | 向量级检测规则生成方法、装置、电子设备及存储介质 | |
| CN115906081A (zh) | 恶意样本文件检测方法、装置、服务器、电子设备及存储介质 | |
| CN111030977A (zh) | 一种攻击事件追踪方法、装置及存储介质 | |
| CN108804917B (zh) | 一种文件检测方法、装置、电子设备及存储介质 | |
| CN111800391B (zh) | 端口扫描攻击的检测方法、装置、电子设备及存储介质 | |
| CN113987489A (zh) | 一种网络未知威胁的检测方法、装置、电子设备及存储介质 | |
| CN105138894B (zh) | 一种验证码安全防御方法、系统及装置 | |
| CN114338102A (zh) | 安全检测方法、装置、电子设备及存储介质 | |
| CN113596044A (zh) | 一种网络防护方法、装置、电子设备及存储介质 | |
| CN114285627B (zh) | 流量检测方法及装置、电子设备和计算机可读存储介质 | |
| Penta et al. | MACHINE LEARNING MODEL FOR IDENTIFYING PHISHING WEBSITES | |
| Fotiou et al. | Fighting phishing the information-centric way | |
| CN113918795B (zh) | 一种目标标签的确定方法、装置、电子设备及存储介质 | |
| US11444901B2 (en) | Device, method, and computer readable medium for identifying fraudulent email using function terms |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Harbin, Heilongjiang Province (No. 838, Shikun Road) Applicant after: Antan Technology Group Co.,Ltd. Address before: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Harbin, Heilongjiang Province (No. 838, Shikun Road) Applicant before: Harbin Antian Science and Technology Group Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |