CN111181756B

CN111181756B - 一种域名安全性判定方法、装置、设备及介质

Info

Publication number: CN111181756B
Application number: CN201910624280.6A
Authority: CN
Inventors: 杨耀荣; 韩孟玲; 齐文杰; 谭昱; 曹有理
Original assignee: Tencent Technology Shenzhen Co Ltd
Current assignee: Tencent Technology Shenzhen Co Ltd
Priority date: 2019-07-11
Filing date: 2019-07-11
Publication date: 2021-12-14
Anticipated expiration: 2039-07-11
Also published as: CN111181756A

Abstract

本发明公开了一种域名安全性判定方法、装置、设备及介质，所述方法包括获取待判定域名；获取所述待判定域名的域名关联样本集，根据对所述域名关联样本集中每个样本的安全性特征的统计结果得到所述待判定域名的第一特征集；获取所述待判定域名关联的统一资源定位符，对所述统一资源定位符进行分析以构建所述待判定域名对应的第二特征集；根据所述第一特征集和第二特征集得到所述待判定域名的基础特征集；将所述基础特征集输入域名信誉度评估模型以得到所述待判定域名的信誉度评估结果；根据所述信誉度评估结果输出所述待判定域名的安全性判定结果。本发明可以实现对海量域名的自动判定。

Description

一种域名安全性判定方法、装置、设备及介质

技术领域

本发明涉及安全领域，尤其涉及一种域名安全性判定方法、装置、设备及介质。

背景技术

域名信誉度表征域名的恶意程度，对域名信誉度进行评估是网络安全技术的重要内容之一。现有技术中对域名信誉度进行评估以及从而对域名进行安全性判定的方法大多建立于规则匹配的基础上，如图1所示，其示出了现有技术中的域名安全性判定方法。可见现有技术中需要依赖于安全运营人员设计判定规则，并根据所述判定规则对待判定域名进行安全性判定。现有技术的判定方法无法快速准确地对海量域名进行安全性判定，而且规则的运营严重依赖于安全运营人员，从而导致域名的安全性判定规则更新较慢。进一步地，由于人工设定规则难以覆盖各种各样的域名，因此难以支持对于海量域名的安全性判定，从而导致了基于域名安全性判定结果的情报的产出量较低以及运营成本上升。

发明内容

为了解决现有技术中域名安全性判定方法过度依赖安全运营人员，无法处理海量域名的技术问题，本发明实施例提供一种域名安全性判定方法、装置、设备及介质。

一方面，本发明提供了一种域名安全性判定方法，所述方法包括：

获取待判定域名；

获取所述待判定域名的域名关联样本集，根据对所述域名关联样本集中每个样本的安全性特征的统计结果得到所述待判定域名的第一特征集；

获取所述待判定域名关联的统一资源定位符，对所述统一资源定位符进行分析以构建所述待判定域名对应的第二特征集；

根据所述第一特征集和第二特征集得到所述待判定域名的基础特征集；

将所述基础特征集输入域名信誉度评估模型以得到所述待判定域名的信誉度评估结果；

根据所述信誉度评估结果输出所述待判定域名的安全性判定结果。

另一方面，本发明提供了一种域名安全性判定装置，所述装置包括：

待判定域名获取模块，用于获取待判定域名；

第一特征集获取模块，用于获取所述待判定域名的域名关联样本集，根据对所述域名关联样本集中每个样本的安全性特征的统计结果得到所述待判定域名的第一特征集；

第二特征集获取模块，用于获取所述待判定域名关联的统一资源定位符，对所述统一资源定位符进行分析以构建所述待判定域名对应的第二特征集；

基础特征集获取模块，用于根据所述第一特征集和第二特征集得到所述待判定域名的基础特征集；

信誉度评估结果输出模块，用于将所述基础特征集输入域名信誉度评估模型以得到所述待判定域名的信誉度评估结果；

安全性判定结果输出模块，用于根据所述信誉度评估结果输出所述待判定域名的安全性判定结果。

另一方面，本发明提供了一种设备，其特征在于，所述设备包括处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现一种域名安全性判定方法。

另一方面，本发明提供了一种计算机存储介质，其特征在于，所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、至少一段程序、代码集或指令集由处理器加载并执行一种域名安全性判定方法。

本发明提供了一种域名安全性判定方法、装置、设备及介质。本发明从域名关联样本集的统计特征和域名统一资源定位符相关特征等多方面进行特征提取，从而提取到了对域名信誉度评估具有指向作用的多种特征，并将提取到的特征输入域名信誉度评估模型以得到信誉度评估结果，根据信誉度评估结果进行安全性判定。相较于现有技术，本发明实施例中的特征提取和安全性判定均可以自动进行，并且信誉度评估模型也可以随着安全性判定方法的实施而累积更多的样本，从而日益完善，从而使得本发明实施例中的域名安全性判定方法能够适用于各种域名的安全性评估，能够应用于海量域名的评估场景之中，摆脱了对于安全运营人员的依赖，降低了维护成本，并且能够得到更为精准的安全性判定结果。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案和优点，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它附图。

图1是本发明提供的现有技术中的域名安全性判定方法流程图；

图2是本发明提供的一种域名安全性判定方法的一种实施场景示意图；

图3是本发明提供的一种域名安全性判定方法流程图；

图4是本发明提供的待判定域名来源示意图；

图5是本发明提供的根据对所述域名关联样本集中每个样本的安全性特征的统计结果得到所述待判定域名的第一特征集流程图；

图6是本发明提供的提取过程的示意图；

图7是本发明提供的一种基于XGBoost构建域名信誉度评估模型的方法流程图；

图8是本发明提供的一种域名安全性判定方法的实施逻辑示意图；

图9是本发明提供的本发明实施例应用于安全防御场景的一个示例图；

图10是本发明提供为安全性判定全程示意图；

图11是本发明提供的一种域名安全性判定装置框图；

图12是本发明提供的一种用于实现本发明实施例所提供的方法的设备的硬件结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或服务器不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

为了使本发明实施例公开的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明实施例进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本发明实施例，并不用于限定本发明实施例。

为了能够支持海量域名的安全性判定，降低网络安全防御成本，本发明实施例公开了一种域名安全性判定方法。首先，本发明实施例公开所述一种域名安全性判定方法的一种实施场景。

参见图2，该实施环境包括：域名采集客户端01和服务器03，所述域名采集客户端01和服务器03通信连接，所述域名采集客户端01采集其自身访问的各种网络地址的域名，或接收其它域名采集设备访问的各种网络地址的域名，并将其采集的域名传输至服务器03，以便于服务器03根据所述域名采集客户端01采集的域名训练或更新域名信誉度评估模型，并根据所述域名信誉度评估模型的输出结果对所述域名采集客户端01采集的域名进行安全性判定，以及将安全性判定结果反馈至所述域名采集客户端01。

所述域名采集客户端01可以基于浏览器/服务器模式(Browser/Server，B/S)或客户端/服务器模式(Client/Server，C/S)与服务器03通信。域名采集客户端01可以包括：智能手机、平板电脑、笔记本电脑、数字助理、智能可穿戴设备、车载终端等类型的实体设备，也可以包括运行于实体设备中的软体，例如应用程序等。比如，所述客户端01可以运行浏览器软体或联网运行的其它软体。

所述服务器03可以包括一个独立运行的服务器，或者分布式服务器，或者由多个服务器组成的服务器集群。

本发明实施例提供了一种域名安全性判定方法，如图3所示，所述方法以所述实施环境中的服务器为执行主体，所述方法具体包括：

S101.获取待判定域名。

如图4所示，所述待判定域名可以为监控到的新增域名、有明确来源的域名或其它来源域名。

其中有明确来源的域名可以为已知的病毒家族监控系统、未知的病毒家族或流量监控系统中输出的域名中未被其相应的白名单命中的域名。

具体地，所述待判定域名可以被归入待判定域名列表，根据所述待判定域名列表依次触发执行后续步骤。

S103.获取所述待判定域名的域名关联样本集，根据对所述域名关联样本集中每个样本的安全性特征的统计结果得到所述待判定域名的第一特征集。

在一个可行的实施例中，所述域名关联样本集中的域名关联样本可以指向访问所述待判定域名的动作的执行主体、在所述待判定域名执行下载动作的执行主体和/或与所述域名产生其它关联的动作的执行主体。具体地，所述执行主体可以通过进程名称或线程名称表示。

本发明实施例中所述安全性特征表征所述执行主体的可靠程度。在一个可行的实施例中，所述根据对所述域名关联样本集中每个样本的安全性特征的统计结果得到所述待判定域名的第一特征集，如图5所示，包括：

S1031.获取所述域名关联样本集中每个域名关联样本的消息摘要。

具体地，消息摘要可以使用MD5消息摘要算法(MD5Message-DigestAl gor ithm)来获取，MD5消息摘要算是一种被广泛使用的密码散列函数，可以产生出一个128位(16字节)的散列值，用于确保信息传输完整一致。比如MD5(tanaj iya.tar.gz)＝38b8c2c1093dd0fec383a9d9ac940515这就是tanaj iya.tar.gz文件的消息摘要。本发明实施例中将所述待判定域名的动作的执行主体的名称作为一个大文本信息，通过不可逆的字符串变换算法，产生了唯一的MD5信息摘要。

S1033.按照预设的消息摘要判定策略对每个域名关联样本的消息摘要的安全性进行判定，以得到各个域名关联样本的消息摘要对应的判定结果。

所述判定结果即为所述域名关联样本的安全性特征。

在一个可行的实施例中，所述预设的消息摘要判定策略可以由黑名单和白名单构成，被黑名单命中的消息摘要的判定结果为恶意消息摘要，被白名单命中的消息摘要的判定结果为安全消息摘要，未被黑名单命中并且未被白名单命中的消息摘要的判定结果为可疑消息摘要。

在另一个可行的实施例中，所述预设的消息摘要判定策略可以由安全运营人员根据实际情况进行设定，以得到消息摘要判定规则，根据所述消息摘要判定规则通过规则匹配的方式对消息摘要进行判定，以得到判定结果。判定结果同样可以包括恶意消息摘要、安全消息摘要和可疑消息摘要。

S1035.根据各个域名关联样本的消息摘要对应的判定结果进行样本归类。

在一个可行的实施例中，所述根据各个域名关联样本的消息摘要对应的判定结果进行样本归类中，将各个域名关联样本归入访问所述待判定域名的恶意样本、访问所述待判定域名的可疑样本、从所述待判定域名执行下载动作的恶意样本和与所述域名产生其它关联的可疑样本。

若样本的消息摘要被判定为恶意消息摘要，并且所述样本指向的执行主体访问了所述待判定域名，则所述样本被归入访问所述待判定域名的恶意样本；

若样本的消息摘要被判定为可疑消息摘要，并且所述样本指向的执行主体访问了所述待判定域名，则所述样本被归入访问所述待判定域名的可疑样本；

若样本的消息摘要被判定为恶意消息摘要，并且所述样本指向的执行主体从所述待判定域名执行了下载动作，则所述样本被归入从所述待判定域名执行下载动作的恶意样本；

若样本的消息摘要被判定为可疑消息摘要，并且所述样本指向的执行主体与所述域名产生其它关联，则所述样本被归入与所述域名产生其它关联的可疑样本。

S1037.根据归类结果进行统计以得到所述待判定域名的第一特征集。

具体地，所述第一特征集包括访问所述待判定域名的恶意样本总数、访问所述待判定域名的可疑样本总数、从所述待判定域名执行下载动作的恶意样本与全部样本的比值，以及与所述域名产生其它关联的可疑样本总数。

S105.获取所述待判定域名关联的统一资源定位符，对所述统一资源定位符进行分析以构建所述待判定域名对应的第二特征集。

在一个可行的实施例中所述第二特征集包括所述统一资源定位符后缀的所属种类、所述统一资源定位符后缀包括的种类的数量和所述统一资源定位符中的各个字段。

S107.根据所述第一特征集和第三特征集得到所述待判定域名的基础特征集。

在优选的实施例中，还可以获取所述待判定域名的第三特征集，所述第三特征集包括域名注册信息相关特征、域名解析记录相关特征、域名字面特征、域名访问量相关特征中的至少一种；所述根据所述第一特征集和第二特征集得到所述待判定域名的基础特征集，包括：根据所述第一特征集、第二特征集和第三特征集得到所述待判定域名的基础特征集。

在一个可行的实施例中，所述域名注册信息相关特征包括域名注册时间、域名是否开启了隐私保护、域名注册人行为信息中的至少一种。所述域名注册人行为信息包括域名的注册人是否曾经与恶意域名关联过、域名的注册电话是否曾经与恶意域名关联过、域名的注册邮箱是否曾经与恶意域名关联过中的至少一种。

在一个可行的实施例中，所述域名解析记录相关特征包括域名的解析服务器的IP地址的分布特征。I P地址(I nternetProtoco lAddress)是指互联网协议地址，又译为网际协议地址。I P地址是I P协议提供的一种统一的地址格式，它为互联网上的每一个网络和每一台主机分配一个逻辑地址，以此来屏蔽物理地址的差异。

所述域名的解析服务器的I P地址的分布特征包括域名的解析服务器的I P地址在国外的次数、域名的解析服务器的I P地址在国内的次数、域名的解析服务器的I P地址在国外出现的次数与在国内出现的次数的比值、域名的解析服务器的I P地址最经常出现的城市名称、域名的解析服务器的I P地址在某个城市的出现次数中的至少一种。

在一个可行的实施例中，所述域名字面特征包括域名长度、域名相关字段的长度、域名的后缀名、域名熵和域名为DGA的可能性中的至少一种。

具体地，所述域名相关字段对应于域名中通过点分割的各个部分。

域名熵即为域名的信息熵，信息熵是一个数学上的抽象概念，它是指某个特定信息的出现概率(离散随机事件的出现概率)，也可以理解成化学里头物质的混乱程度。一个系统越是有序，信息熵就越低；反之，一个系统越是混乱，信息熵就越高。信息熵可以是系统有序化程度的一个度量。

DGA(域名生成算法)是一种利用随机字符来生成域名，从而逃避域名黑名单检测的技术手段。所述域名为DGA的可能性表征了该域名由域名生成算法生成的可能性。

在一个可行的实施例中，所述域名访问量相关特征包括预设时间内所述域名被访问的总次数、第一访问次数、第二访问次数、第一访问次数与第二访问次数的比值、预设时间内所述域名访问量分布在各个预设时段的均值、预设时间内所述域名访问量分布在各个预设时段的方差、预设时间内所述域名访问用户的总数、第一用户数、第二用户数、第一用户数与第二用户数的比值、预设时间内所述域名访问用户分布在各个预设时段的均值、预设时间内所述域名访问用户分布在各个预设时段的方差中的至少一种。

所述第一访问次数为预设时间内所述域名被访问次数最多的预设时段的访问次数；所述第二访问次数为预设时间内所述域名被访问次数最少的预设时段的访问次数；所述第一用户数为预设时间内所述域名访问用户最多的预设时段的用户数；所述第二用户数为预设时间内所述域名访问用户最少的预设时段的用户数。

本发明实施例根据域名信誉度评估的实际情况进行分析，对特征提取过程进行了优化，从而确定了第一特征集、第二特征集和第三特征集的基本内容，增强了基础特征集对于信誉度评估结果的指向性，通过优化特征提取过程提升了信誉度评估结果的准确性。请参考图6，其示出了本发明实施例特征提取过程的示意图，可见本发明实施例从域名注册信息、域名解析记录、域名自身特征、域名访问行为、域名关联的访问用户、域名关联的样本、域名关联的统一资源定位符等各个方面进行了多维度的特征提取，从而得到了高指向性的基础特征集。

S109.将所述基础特征集输入域名信誉度评估模型以得到所述待判定域名的信誉度评估结果。

具体地，所述域名信誉度评估模型可以通过进行机器学习而得到，所述域名信誉度评估模型通过以所述基础特征集作为输入，以样本域名的信誉度为回归目标进行训练而得到。

所述域名信誉度评估模型可以为基于深度学习模型、强化学习模型或深度强化学习模型构建。

在本发明一个可行的实施例中，基于XGBoots算法构建所述域名信誉度评估模型，为了避免模型过拟合，同时又能保证较高的准确率，经过多次训练和验证，发现选择次优解模型在实际应用中表现效果最佳。XGBoost(eXtreme Grad i ent Boost i ng)，一种可扩展机器学习系统，其广泛应用于商店销售预测；高能物理事件分类；网络文本分类；顾客行为预测；运动检测；广告点击率预测；恶意软件分类；产品分类；危险风险预测；大规模的在线课程辍学率预测等各个场景之中。

XGBoost是一个优化的分布式梯度增强库，旨在实现高效，灵活和便携的分类预测。XGBoost提供了并行树提升技术，其在分布式环境上运行，可以支持海量数据。

具体地，本发明实施例公开了一种基于XGBoost构建域名信誉度评估模型的方法，如图7所示，包括：

S1.获取训练样本集，所述训练样本集包括训练集和验证集。

训练样本的质量直接影响到最终训练得到的域名信誉度评估模型的准确率，本发明实施例中所述训练集和验证机中均合理分配黑域名样本、可疑域名样本和白域名样本的数量配比。

具体地，所述黑域名样本可以来自于安全运营系统或已知的监控系统的黑名单；所述白域名样本可以来自于安全运营系统或已知的监控系统的白名单；可疑域名样本可以来自于发现的新域名，以及安全运营系统或已知的监控系统无法判定的域名。

S2.提取所述训练样本集中各个样本的基础特征集。

S3.根据各个样本的基础特征集使用XGBoost算法进行模型训练以得到信誉度评估模型。

本发明实施例中可以在分布式集群上部署分布式XGBoost算法，本发明实施例简述基于XGBoost算法进行模型训练的逻辑。XGBoost的预测函数为多个基分类器的集成，其学习过程也是先学习前(t-1)个基分类器，再学习第t个基分类器。XGBoost算法中最主要的基学习器为CART(分类与回归树)，因此其预测函数为:

其中K表示有K个决策树，f_k表示第K颗树，

表示样本x_i的预测结果F＝{f(x)＝w_q(x)}(q:R^m→T,w∈R^T)表示决策树空间，其中m代表数据集的维数，T为叶子节点数量，q代表树的结构，w代表叶子节点的分数，R^m为样本实例，w_q(x)表示将输入样本x映射到树的叶子节点，其对应叶子节点的标号为w_q(x)。因此，正则化的目标函数可以写成：

其中，

为样本x_i的训练误差，Ω(f_k)标识第K颗数的正则项，

其中γ,λ为惩罚力度，||w||²指向权重，T为叶子节点数量。

S1011.根据所述信誉度评估结果输出所述待判定域名的安全性判定结果。

在本发明一个可行的实施例中所述信誉度评估结果包括三种结果即：高信誉度、低信誉度和可疑信誉度；相应的，高信誉度对应输出的安全性判定结果为安全域名，低信誉度对应输出的安全性判定结果为恶意域名，可疑信誉度对应输出的安全性判定结果为可疑域名。

请参考图8，其示出本发明实施例中一种域名安全性判定方法的实施逻辑示意图。所述信誉度评估模型在安全型判定方法中充当了“把关人的角色”，其以待判定域名的基础特征集为输入对其信誉度进行评估以最终得到安全性判定结果。为了得到性能优良的信誉度评估模型，需要构建训练集与验证集，通过对训练集和验证集进行特征提取，从而对信誉度评估模型进行反复训练与验证，以优化信誉度评估模型，进而达到基于信誉度评估模型进行域名安全性判定的目的。

本发明实施例公开的一种域名安全性判定方法，通过从域名关联样本集的统计特征、域名统一资源定位符相关特征和域名相关行为特征三个方面进行特征提取，从而提取到了对域名信誉度评估具有指向作用的多种特征，并将提取到的特征输入域名信誉度评估模型以得到信誉度评估结果，根据信誉度评估结果进行安全性判定。相较于现有技术，本发明实施例中的特征提取和安全性判定均可以自动进行，并且信誉度评估模型也可以随着安全性判定方法的实施而累积更多的样本，从而日益完善，从而使得本发明实施例中的域名安全性判定方法能够适用于各种域名的安全性评估，能够应用于海量域名的评估场景之中，摆脱了对于安全运营人员的依赖，降低了维护成本，并且能够得到更为精准的安全性判定结果。

请参考图9，其示出了本发明实施例应用于安全防御场景的一个示例，在运行本发明实施例所述的一种域名安全性判定方法的安全防御软件中，可以直接显示出对于某个域名的安全性判定结果。如图10所示，所述安全防御软件基于域名信誉度评估模型实现了对于域名的安全性判定后，还可以记录所述安全性判定的结果，将其录入威胁情报库，或将判定结果加入黑名单或白名单之中，甚至将安全性判定的结果推送至其它相关产品或推送至安全运营人员所持有的客户端。所述安全防御场景中，每日判定域名多达三亿。

本发明实施例提供一种域名安全性判定装置，如图11所示，所述装置包括：

待判定域名获取模块201，用于获取待判定域名；

第一特征集获取模块203，用于获取所述待判定域名的域名关联样本集，根据对所述域名关联样本集中每个样本的安全性特征的统计结果得到所述待判定域名的第一特征集；

第二特征集获取模块205，用于获取所述待判定域名关联的统一资源定位符，对所述统一资源定位符进行分析以构建所述待判定域名对应的第二特征集；

基础特征集获取模块207，用于根据所述第一特征集和第二特征集得到所述待判定域名的基础特征集；

信誉度评估结果输出模块209，用于将所述基础特征集输入域名信誉度评估模型以得到所述待判定域名的信誉度评估结果；

安全性判定结果输出模块2011，用于根据所述信誉度评估结果输出所述待判定域名的安全性判定结果。

具体地，本发明实施例所述一种域名安全性判定装置与方法实施例均基于相同发明构思。

本发明实施例还提供了一种计算机存储介质，所述计算机存储介质可以存储有多条指令，所述指令适于由处理器加载并执行本发明实施例所述的一种域名安全性判定方法，具体请参考方法实施例。

进一步地，图12示出了一种用于实现本发明实施例所提供的方法的设备的硬件结构示意图，所述设备可以参与构成或包含本发明实施例所提供的装置或系统。如图12所示，设备10可以包括一个或多个(图中采用102a、102b，……，102n来示出)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输装置106。除此以外，还可以包括：显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为I/O接口的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解，图12所示的结构仅为示意，其并不对上述电子装置的结构造成限定。例如，设备10还可包括比图12中所示更多或者更少的组件，或者具有与图12所示不同的配置。

应当注意到的是上述一个或多个处理器102和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外，数据处理电路可为单个独立的处理模块，或全部或部分的结合到设备10(或移动设备)中的其他元件中的任意一个内。如本申请实施例中所涉及到的，该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。

存储器104可用于存储应用软件的软件程序以及模块，如本发明实施例中所述的方法对应的程序指令/数据存储装置，处理器102通过运行存储在存储器104内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的一种域名安全性判定方法。存储器104可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器104可进一步包括相对于处理器102远程设置的存储器，这些远程存储器可以通过网络连接至设备10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括设备10的通信供应商提供的无线网络。在一个实例中，传输装置106包括一个网络适配器(Network I nterfaceContro l l er，NI C)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输装置106可以为射频(Rad i oFrequency，RF)模块，其用于通过无线方式与互联网进行通讯。

显示器可以例如触摸屏式的液晶显示器(LCD)，该液晶显示器可使得用户能够与设备10(或移动设备)的用户界面进行交互。

需要说明的是：上述本发明实施例先后顺序仅仅为了描述，不代表实施例的优劣。且上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置和服务器实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种域名安全性判定方法，其特征在于，所述方法包括：

获取待判定域名；

获取所述待判定域名的域名关联样本集，所述域名关联样本集中的样本指向对所述待判定域名产生关联动作的执行主体，所述关联动作包括访问或下载；

根据对所述域名关联样本集中每个样本的安全性特征的统计结果得到所述待判定域名的第一特征集；所述安全性特征表征所述执行主体的可靠程度；

2.根据权利要求1所述的方法，其特征在于，所述根据对所述域名关联样本集中每个样本的安全性特征的统计结果得到所述待判定域名的第一特征集，包括：

获取所述域名关联样本集中每个域名关联样本的消息摘要；

按照预设的消息摘要判定策略对每个域名关联样本的消息摘要的安全性进行判定，以得到各个域名关联样本的消息摘要对应的判定结果；

根据各个域名关联样本的消息摘要对应的判定结果进行样本归类；

根据归类结果进行统计以得到所述待判定域名的第一特征集。

3.根据权利要求2所述的方法，其特征在于：所述域名关联样本指向访问所述待判定域名的动作的执行主体、在所述待判定域名执行下载动作的执行主体，或与所述域名产生其它关联的动作的执行主体；

所述获取所述域名关联样本集中每个域名关联样本的消息摘要，包括：

获取所述域名关联样本指向的执行主体的名称；

基于密码散列函数获取所述执行主体的名称对应的消息摘要。

4.根据权利要求2所述的方法，其特征在于：

所述根据各个域名关联样本的消息摘要对应的判定结果进行样本归类，包括：

将各个域名关联样本归入为访问所述待判定域名的恶意样本、访问所述待判定域名的可疑样本、从所述待判定域名执行下载动作的恶意样本或与所述域名产生其它关联的可疑样本；

所述根据归类结果进行统计以得到所述待判定域名的第一特征集，包括：

统计访问所述待判定域名的恶意样本总数；

统计访问所述待判定域名的可疑样本总数；

统计从所述待判定域名执行下载动作的恶意样本与全部样本的比值；

统计与所述域名产生其它关联的可疑样本总数。

5.根据权利要求1所述的方法，其特征在于，还包括：

获取所述待判定域名的第三特征集，所述获取第三特征集包括获取域名注册信息相关特征、域名解析记录相关特征、域名字面特征、域名访问量相关特征中的至少一种；

所述根据所述第一特征集和第二特征集得到所述待判定域名的基础特征集，包括：

根据所述第一特征集、第二特征集和第三特征集得到所述待判定域名的基础特征集。

6.根据权利要求5所述的方法，其特征在于，获取域名解析记录相关特征包括：

获取域名的解析服务器的互联网协议地址在国外的次数、域名的解析服务器的互联网协议地址在国内的次数、域名的解析服务器的互联网协议地址在国外出现的次数与在国内出现的次数的比值、域名的解析服务器的互联网协议地址最经常出现的城市名称、域名的解析服务器的互联网协议地址在某个城市的出现次数中的至少一种。

7.根据权利要求5所述的方法，其特征在于：

获取域名注册信息相关特征包括：

获取域名注册时间、域名是否开启了隐私保护、域名注册人行为信息中的至少一种；

获取域名字面特征包括：

获取域名长度、域名相关字段的长度、域名的后缀名、域名熵和域名为由域名生成算法所生成的可能性中的至少一种；

获取域名访问量相关特征包括：

获取指向预设时间内域名访问相关行为的统计值。

8.一种域名安全性判定装置，其特征在于，所述装置包括：

待判定域名获取模块，用于获取待判定域名；

第一特征集获取模块，用于获取所述待判定域名的域名关联样本集，所述域名关联样本集中的样本指向对所述待判定域名产生关联动作的执行主体，所述关联动作包括访问或下载；根据对所述域名关联样本集中每个样本的安全性特征的统计结果得到所述待判定域名的第一特征集；所述安全性特征表征所述执行主体的可靠程度；

9.一种设备，其特征在于，所述设备包括处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如权利要求1-7任一项所述的一种域名安全性判定计算方法。

10.一种计算机存储介质，其特征在于，所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、至少一段程序、代码集或指令集由处理器加载并执行如权利要求1-7任一项所述的一种域名安全性判定方法。