CN111181937A - 一种域名检测方法、装置、设备和系统 - Google Patents
一种域名检测方法、装置、设备和系统 Download PDFInfo
- Publication number
- CN111181937A CN111181937A CN201911325664.4A CN201911325664A CN111181937A CN 111181937 A CN111181937 A CN 111181937A CN 201911325664 A CN201911325664 A CN 201911325664A CN 111181937 A CN111181937 A CN 111181937A
- Authority
- CN
- China
- Prior art keywords
- domain name
- block chain
- sample
- domain
- suspicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种域名检测方法、装置、设备和系统,在检测恶意区块链域名时,采用的是预先训练的域名检测模型,域名检测模型基于标注了可疑域名或非可疑域名的域名样本训练得到,从而域名检测模型可以学习域名样本的域名特征,从而具有识别区块链域名的域名特征的能力,由于恶意区块链域名之间有相同的域名特征,进而从域名特征角度能够识别到更多的恶意区块链域名,进而使用区块链域名的域名特征进行恶意区块链域名的识别会提高恶意区块链域名的识别准确度,进而能够更好的保证系统的网络安全。
Description
技术领域
本发明涉及域名检测领域,更具体的说,涉及一种域名检测方法、装置、设备和系统。
背景技术
随着科学技术的不断发展,区块链的应用越来越广泛,举例来说,用户可以通过安装区块链浏览器,或是在浏览器中安装相应的区块链访问插件来访问区块链域名。此外,如果不使用浏览器进行访问,也可以使用支持区块链域名解析的DNS(Domain Name System,域名系统(服务)协议)服务器进行解析。
随着区块链技术的发展,已经不可避免的出现使用恶意的区块链域名来进行网络攻击的情况,为了避免使用恶意区块链域名进行网络攻击带来的网络瘫痪问题,可以使用区块链域名黑名单机制进行防御,若访问的区块链域名在区块链域名黑名单中,则禁止访问,但是这种区块链域名黑名单机制只能拦截已出现过且已知的恶意区块链域名,恶意区块链域名拦截功能较差,仍会有部分恶意区块链域名未被检测,从而该恶意区块链域名会对网络进行攻击,从而导致整个系统的网络瘫痪。
发明内容
有鉴于此,本发明提供一种域名检测方法、装置、设备和系统,以解决现有的恶意区块链域名拦截功能较差,仍会有部分恶意区块链域名未被检测,从而该恶意区块链域名会对网络进行攻击,从而导致整个系统的网络瘫痪的问题。
为解决上述技术问题,本发明采用了如下技术方案:
一种域名检测方法,包括:
获取待进行检测的区块链域名;
提取所述区块链域名的域名特征;
调用预先训练的域名检测模型对所述域名特征进行处理,得到所述区块链域名的域名检测结果;
其中,所述域名检测模型是利用域名样本集合进行训练后得到的,所述域名样本集合中包含了预先标注了样本类型的域名样本,所述样本类型包括可疑域名和非可疑域名。
可选地,所述域名检测模型的生成过程包括:
获取域名样本集合;所述域名样本集合中包含了预先标注了样本类型的域名样本,所述样本类型包括可疑域名和非可疑域名;
提取所述域名样本的域名样本特征;所述域名样本特征包括信息熵、域名长度、域名中数字占比、域名词性特征、以及所述区块链域名与预设区块链域名的编辑距离;
确定所述域名样本的域名样本特征对应的样本特征向量;
对所述域名样本对应的样本特征向量以及样本类型进行训练,得到所述域名检测模型。
可选地,调用预先训练的域名检测模型对所述域名特征进行处理,得到所述区块链域名的域名检测结果,包括:
确定所述区块链域名的域名特征对应的特征向量;
调用所述域名检测模型对所述特征向量进行处理,得到所述区块链域名的域名检测结果。
可选地,在所述调用预先训练的域名检测模型对所述域名特征进行处理,得到所述区块链域名的域名检测结果之后,还包括:
将所述区块链域名以及所述区块链域名的域名检测结果添加到所述域名样本集合。
可选地,所述获取待进行检测的区块链域名,包括:
获取用户访问流量,并从所述用户访问流量中筛选出DNS流量;
从所述DNS流量中筛选出携带有预设域名后缀的DNS流量,并作为目标流量;
识别所述目标流量中携带的区块链域名。
一种访问控制方法,包括:
接收用户的访问请求;
解析所述访问请求,获得所述访问请求中携带的区块链域名;
获取所述区块链域名的域名检测结果,所述区块链域名的域名检测结果是按照上述的域名检测方法确定的;
在所述域名检测结果为可疑的情况下,过滤所述访问请求。
一种域名检测装置,包括:
域名获取模块,用于获取待进行检测的区块链域名;
特征提取模块,用于提取所述区块链域名的域名特征;
特征处理模块,用于调用预先训练的域名检测模型对所述域名特征进行处理,得到所述区块链域名的域名检测结果;
其中,所述域名检测模型是利用域名样本集合进行训练后得到的,所述域名样本集合中包含了预先标注了样本类型的域名样本,所述样本类型包括可疑域名和非可疑域名。
一种访问控制装置,包括:
请求接收模块,用于接收用户的访问请求;
请求解析模块,用于解析所述访问请求,获得所述访问请求中携带的区块链域名;
结果获取模块,用于获取所述区块链域名的域名检测结果,所述区块链域名的域名检测结果按照如权利要求1-5中任一项所述的域名检测方法获得;
请求过滤模块,用于在所述域名检测结果为可疑的情况下,过滤所述访问请求。
一种电子设备,包括:存储器和处理器;
其中,所述存储器用于存储程序;
处理器调用程序并用于:
获取待进行检测的区块链域名;
提取所述区块链域名的域名特征;
调用预先训练的域名检测模型对所述域名特征进行处理,得到所述区块链域名的域名检测结果;
其中,所述域名检测模型是利用域名样本集合进行训练后得到的,所述域名样本集合中包含了预先标注了样本类型的域名样本,所述样本类型包括可疑域名和非可疑域名。
一种网关,包括存储器和处理器;
其中,所述存储器用于存储程序;
处理器调用程序并用于:
接收用户的访问请求;
解析所述访问请求,获得所述访问请求中携带的区块链域名;
获取所述区块链域名的域名检测结果,所述区块链域名的域名检测结果是按照上述的域名检测方法确定的;
在所述域名检测结果为可疑的情况下,过滤所述访问请求。
一种域名检测系统,包括用户终端以及上述的网关;
所述用户终端用于生成并发送访问请求。
可选地,还包括上述的电子设备。
相较于现有技术,本发明具有以下有益效果:
本发明提供了一种域名检测方法、装置、设备和系统,在检测恶意区块链域名时,采用的是预先训练的域名检测模型,域名检测模型基于标注了可疑域名或非可疑域名的域名样本训练得到,从而域名检测模型可以学习域名样本的域名特征,从而具有识别区块链域名的域名特征的能力,由于恶意区块链域名之间有相同的域名特征,进而从域名特征角度能够识别到更多的恶意区块链域名,进而使用区块链域名的域名特征进行恶意区块链域名的识别会提高恶意区块链域名的识别准确度,进而能够更好的保证系统的网络安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的一种域名检测方法的方法流程图;
图2为本发明实施例提供的另一种域名检测方法的方法流程图;
图3为本发明实施例提供的再一种域名检测方法的方法流程图;
图4为本发明实施例提供的一种访问控制方法的方法流程图;
图5为本发明实施例提供的一种域名检测装置的结构示意图;
图6为本发明实施例提供的一种访问控制装置的方法流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
由于区块链以公共和不可变的方式共享数据,受信任的机构甚至个人都可以访问区块链的信息并构建相应的种子文件数据库来存储顶级和子级之间的映射关系,即去中心化的域名系统。这样,所有地区都可以根据子级的实际需求设置域名服务器,以确保互联网访问的速度,而不受其他机构的限制。
区块链域名的后缀有很多,常见的有.io,.eth,.hsd,.bit等。在对应的链上,这些域名的解析通过点对点网络共享DNS查询表来实现,只要网络中有人运行对应的服务器软件,域名就能够被访问,不受他人控制。
以.eth域名的解析为例,当我们在以太坊的区块链浏览器(Ethereum BlockChainExplore and Search)中输入一个.eth域名。随后的解析过程可以分为两步:首先,在域名注册机中,通过域名的哈希hash值可以获取到该域名对应的解析器地址;然后,在对应的域名解析器中,通过域名的hash值可以获取到该域名对应的以太坊地址。
用户可以通过安装区块链浏览器,或是在浏览器中安装相应的区块链访问插件来访问区块链域名。此外,如果不使用浏览器进行访问,可以使用支持区块链域名解析的DNS服务器进行解析。
但是,随着区块链技术的发展,已经有网络不法分子注意到了区块链的去中心化是可利用的,并开始尝试利用区块链来进行网络攻击。
举例来说,对于区块链域名而言,只要没有被注册的域名都可以在区块链域名中注册,假设新浪微博没有注册域名weibo.eth,weibo.eth现在也没有被任何人注册,那么任何人都可以申请域名weibo.eth。
站在可读性和域名长度的角度,weibo.eth没有任何可疑,而weibo.com的域名排名也很高,进而不会认为weibo.eth是一个恶意域名。从而导致使用weibo.eth域名访问带来网络被攻击的问题。
为了识别恶意的区块链域名,发明人发现可以使用区块链域名黑名单机制进行防御,若访问的区块链域名在区块链域名黑名单中,则禁止访问,但是这种区块链域名黑名单机制只能拦截已出现过且已知的恶意区块链域名,对于那些未出现过的或者出现过但未被识别到的恶意区块链域名拦截功能较差。
为此,发明人做了进一步的改进,提出了一种针对可疑区块链域名的检测的方法,能够调用预先训练的域名检测模型计算区块链域名是可疑区块链域名的域名可疑程度,网络安全管理员可以根据此域名可疑程度以及网络的安全性需求设定阈值,以拦截对可疑程度超出阈值的域名的访问。
具体的,参照图1,一种域名检测方法可以包括:
S11、获取待进行检测的区块链域名。
在实际应用中,区块链域名是用户访问流量中携带的,需要从用户访问流量中提取得到区块链域名,具体的,参照图2,步骤S11可以包括:
S21、获取用户访问流量,并从所述用户访问流量中筛选出DNS流量。
在实际应用中,可以在局域网的网络边缘设置本实施例中执行域名检测方法的装置,如服务器、处理器、网关等,此外,该服务器还可以设置在用户主机中,优选设置在局域网的网络边缘,这样可以方便采集用户访问流量、且不需要对用户主机配置本实施例中的装置并且对用户的网络通信速率影响较小。需要说明的是,不限于上述的两种部署方式,无论部署在哪一位置,只要是能够采集用户访问网络的访问流量,进而可以为安全管理员提供访问信息,帮助安全管理员及时发现局域网内受感染主机,防止损失扩大。
当用户产生网络行为时,就产生了网络流量,但是不同流量的功能不同,包含的信息也不同,使用的协议也不同,进而可以依据使用的协议,筛选出与DNS流量使用协议相同的用户访问流量,即为DNS流量。
S22、从所述DNS流量中筛选出携带有预设域名后缀的DNS流量,并作为目标流量。
得到DNS流量之后,为了进一步从DNS流量中识别出携带的区块链域名,此时需要筛选出携带有预设域名后缀的DNS流量,并作为目标流量,预设域名后缀可以是.io,.eth,.hsd,.bit等,携带有这些预设域名后缀,说明该DNS流量是用于解析区块链域名的流量,则该流量中必然携带有区块链域名,此时筛选出那些流量,即可从中找到区块链域名。
S23、识别所述目标流量中携带的区块链域名。
对该区块链域名进行解析,得到解析结果,从该解析结果中筛选出区块链域名即可。
得到区块链域名之后,可以对区块链域名进行数据清洗(如去重、去乱码等)。
S12、提取所述区块链域名的域名特征。
本实施例中,所述域名特征包括但不限于下述特征中的至少一种:
信息熵、域名长度、域名中数字占比、域名词性特征、以及所述区块链域名与预设区块链域名的编辑距离。
现分别介绍每一种域名特征:
1、信息熵。
信息熵可以反映内容的随机性,计算信息熵是为了考量域名的随机性,恶意域名较正常域名随机性更大。信息熵的计算过程采用常规的信息熵计算公式即可。
2、域名长度。
域名长度是指区块链域名中的二级域名长度。以brownsloboz.bit为例,二级域名为brownsloboz部分,则长度为9。
3、域名中数字占比。
域名中数字占比是指域名中的数字占所有二级域名的比例,如Asnchybus占比为0,Asnchybus8占比为10%。
上述的特征可以用于标准域名检测时使用的特征,为了进一步对区块链域名进行检测,还需要增加以下特征。
4、域名词性特征。
技术人员可以预先构建区块链域名的白名单和黑名单,白名单中保存有正常的区块链域名,白名单中保存有恶意的区块链域名。此外,还可以设置一个词库,词库中保存有正常的词语。
将采集得到的区块链域名的二级域名进行分词,得到多个词组,对于每一词组,作如下分析:
1、该词组是否在白名单中和是否在黑名单中。
2、该词组是否在词库中;若在词库中,则确定该词组的词性;其中,词性包括名词、动词等。
5、所述区块链域名与预设区块链域名的编辑距离。
本实施例中,预先设定了区块链域名集合,该区块链域名集合中保存有常用的一些区块链域名,如google.eth、weibo.com等。
若采集了区块链域名之后,计算采集的区块链域名与区块链域名集合中的每一区块链域名的编辑距离。
S13、调用预先训练的域名检测模型对所述域名特征进行处理,得到所述区块链域名的域名检测结果。
其中,所述域名检测模型是利用域名样本集合进行训练后得到的,所述域名样本集合中包含了预先标注了样本类型的域名样本,所述样本类型包括可疑域名和非可疑域名。
在得到域名检测模型之后,可以直接将域名特征输入到域名检测模型中,即可得到区块链域名的域名检测结果,其中,域名检测结果可以直接是是否是可疑区块链域名的结果,如输出为0,表示不是可疑区块链域名,如输出为1,表示是可疑区块链域名。
另外,域名检测结果还可以是该区块链域名的域名可疑程度,其中,域名可疑程度是一个介于0和1之间的数值,技术人员可以设定数值越大,该区块链域名为可疑区块链域名的程度越高,或者,数值越小,该区块链域名为可疑区块链域名的程度越高。
本实施例中,设定域名可疑程度为0,表示域名检测模型认为域名很正常,域名可疑程度为1,表示域名检测模型认为域名是恶意的,用户可以自行设定域名安全阈值。若对安全要求严格,可以设置域名可疑程度大于0.3均为恶意的区块链域名,此时进行拦截,若对网络稳定要求高,可以设置域名可疑程度大于0.7均为恶意的区块链域名,此时进行拦截,如果不涉及安全和网络稳定有特殊要求,默认以0.5为阈值判断是否会拦截。若域名可疑程度大于0.5则认为是恶意的区块链域名,此时进行拦截,若域名可疑程度不大于0.5则认为不是恶意的区块链域名,此时不进行拦截。其中,恶意的区块链域名与可疑的区块链域名含义相同。
在提取得到所述区块链域名的域名特征之后,还可以确定所述区块链域名的域名特征对应的特征向量。对于上述的每一域名特征,用数值表征该域名特征对应的结果,如,词组是否在白名单中的特征,若是,则设置为1,若否,则设置为0。其他的区块链域名的域名特征同样处理,最终可以得到一个多维的向量。得到该向量后,可以对该向量进行归一化处理,归一化处理是指把得到的向量中的每一个数都缩小到-1到1之间,以便于后续数据处理。
然后,将该向量输入到域名检测模型中,即可得到区块链域名的域名可疑程度。将域名可疑程度与上述的阈值进行比较,从而判断出该区块链域名是否是可疑域名。
在确定出区块链域名的域名检测结果之后,可以将该区块链域名以及区块链域名的域名检测结果存储到可疑域名收集模块中,该模块负责存储可疑域名及其相关的流量信息,等待网络安全管理员查看、处理,管理员在本模块提供的交互里获取到近期拦截的域名信息,经过验证后告诉该域名是否是恶意域名。
此外,还可以将该区块链域名以及区块链域名的域名检测结果保存到上述的域名样本集合中,以便于后期使用该区块链域名以及区块链域名的域名检测结果再次对域名检测模型进行训练。
本实施例中,在检测恶意区块链域名时,采用的是预先训练的域名检测模型,域名检测模型基于标注了可疑域名或非可疑域名的域名样本训练得到,从而域名检测模型可以学习域名样本的域名特征,从而具有识别区块链域名的域名特征的能力,由于恶意区块链域名之间有相同的域名特征,进而从域名特征角度能够识别到更多的恶意区块链域名,进而使用区块链域名的域名特征进行恶意区块链域名的识别会提高恶意区块链域名的识别准确度,进而能够更好的保证系统的网络安全。
上述介绍了域名检测模型,现对域名检测模型的生成过程进行详细介绍,具体的,参照图3,可以包括:
S31、获取域名样本集合;所述域名样本集合中包含了预先标注了样本类型的域名样本。
所述样本类型包括可疑域名和非可疑域名。
本实施例中,所述域名样本包括正样本和负样本。得到域名样本之后,可以对域名样本进行数据清洗(如去重、去乱码等)。
由于标准域名和区块链域名的命名习惯相同,进而也可以将标准域名也作为正样本。上述的正样本和负样本采集的数据均是区块链域名或标准域名的二级域名。使用标准域名和区块链域名可以防止攻击者申请了小众区块链顶级域名上的白名单域名用以作为C2服务器地址以欺骗检测工具的情况发生。
正样本可以是上述的区块链域名的白名单中的区块链域名、采集的一段时间的正常主机访问的区块链域名的集合、以及标准域名的样本中的至少一种。
负样本可以是上述的区块链域名的黑名单中的区块链域名。
本实施例中,使用增量学习方式训练得到域名检测模型,增量学习方式为有监督学习方法,即需要对域名样本进行标注,本实施例标注的是域名样本是否是可疑区块链域名的标注结果,此时可以采用人工标注方式,标注结果有两种,一种是可疑域名,可以用1表示,另一种是非可疑域名,可以用零表示。
S32、提取所述域名样本的域名样本特征。
所述域名样本特征包括信息熵、域名长度、域名中数字占比、域名词性特征、以及所述区块链域名与预设区块链域名的编辑距离。
步骤S32的具体实现过程与步骤S11的具体实现过程类似,请参照上述相应说明,在此不再赘述。
S33、确定所述域名样本的域名样本特征对应的样本特征向量。
步骤S33的具体实现过程与上述“确定所述区块链域名的域名特征对应的特征向量”的过程类似,请参照上述相应说明,在此不再赘述。
S34、对所述域名样本对应的样本特征向量以及样本类型进行训练,得到所述域名检测模型。
本实施例中,可以使用域名样本对应的样本特征向量以及样本类型对初始模型进行训练,得到域名检测模型。初始模型可以是人工预先设定了参数的模型,也可以是已使用其他的域名样本对应的样本特征向量以及样本类型训练得到的模型。
通过上述的方法可以训练得到域名检测模型,后期可以调用所述域名检测模型对待检测的区块链域名的域名特征对应的特征向量进行处理,得到所述区块链域名的域名检测结果。此后,还可以使用所述区块链域名的域名特征对应的特征向量以及域名检测结果对所述域名检测模型进行再训练,直到再训练得到的域名检测模型的损失函数小于预设阈值。
即检测到区块链域名后,就再次对域名检测模型进行训练,此外,也可以是检测到一批区块链域名后,就再次对域名检测模型进行训练。对此不做限定。
对域名检测模型进行训练的过程可以是再次调节域名检测模型的超参数,如设置惩罚函数计算方法,学习率等值。
本实施例中,给出了域名检测模型训练和再训练的过程,进而可以保证得到的域名检测模型基于较多的样本数据训练得到,进而提高域名检测模型识别恶意的区块链域名的准确度。
可选的,本发明的另一实施例提供了一种访问控制方法,可以应用于网关,参照图4,可以包括:
S11、接收用户的访问请求。
本实施例中,网关与用户终端通信,用户可以通过用户终端访问网页,如果用户想要访问区块链域名,用户可以通过安装区块链浏览器,或是在浏览器中安装相应的区块链访问插件来访问区块链域名。在访问的过程中,会生成访问请求,网关会接收到该访问请求。
S12、解析所述访问请求,获得所述访问请求中携带的区块链域名。
用户在接收到访问请求之后,可以使用图2中的方法步骤对所述访问请求进行解析,得到区块链域名。
S13、获取所述区块链域名的域名检测结果。
所述区块链域名的域名检测结果是按照上述的域名检测方法确定的,该确定过程可以是网关自己执行的,也可以是与网关通信的服务器、处理器执行,网关可以把区块链域名发送至服务器或处理器,从而服务器或处理器通过上述的域名检测方法确定区块链域名的域名检测结果。
S14、在所述域名检测结果为可疑的情况下,过滤所述访问请求。
在所述域名检测结果为不可疑的情况下,网关可以转发给访问请求至相应的设备,在所述域名检测结果为可疑的情况下,过滤所述访问请求,以避免该访问请求带来的网络攻击问题,保护网络安全。
本实施例中,网关可以在接收到用户的访问请求之后,不立即进行转发,而是需要根据区块链域名的域名检测结果来确定是否转发,在域名检测结果为可疑的情况下,过滤所述访问请求,以避免该访问请求带来的网络攻击问题,保护网络安全。
可选的,在上述域名检测方法的实施例的基础上,本发明的另一实施例提供了一种域名检测装置,参照图5,可以包括:
域名获取模块11,用于获取待进行检测的区块链域名;
特征提取模块12,用于提取所述区块链域名的域名特征;
特征处理模块13,用于调用预先训练的域名检测模型对所述域名特征进行处理,得到所述区块链域名的域名检测结果;
其中,所述域名检测模型是利用域名样本集合进行训练后得到的,所述域名样本集合中包含了预先标注了样本类型的域名样本,所述样本类型包括可疑域名和非可疑域名。
进一步,还包括模型生成模块,所述模型生成模块包括:
集合获取子模块,用于获取域名样本集合;所述域名样本集合中包含了预先标注了样本类型的域名样本,所述样本类型包括可疑域名和非可疑域名;
特征提取子模块,用于提取所述域名样本的域名样本特征;所述域名样本特征包括信息熵、域名长度、域名中数字占比、域名词性特征、以及所述区块链域名与预设区块链域名的编辑距离;
向量确定子模块,用于确定所述域名样本的域名样本特征对应的样本特征向量;
训练子模块,用于对所述域名样本对应的样本特征向量以及样本类型进行训练,得到所述域名检测模型。
进一步,特征处理模块13用于调用预先训练的域名检测模型对所述域名特征进行处理,得到所述区块链域名的域名检测结果时,具体用于:
确定所述区块链域名的域名特征对应的特征向量,调用所述域名检测模型对所述特征向量进行处理,得到所述区块链域名的域名检测结果。
进一步,还包括:
集合更新模块,用于将所述区块链域名以及所述区块链域名的域名检测结果添加到所述域名样本集合。
进一步,域名获取模块包括:
流量处理子模块,用于获取用户访问流量,并从所述用户访问流量中筛选出DNS流量;
流量筛选子模块,用于从所述DNS流量中筛选出携带有预设域名后缀的DNS流量,并作为目标流量;
域名识别子模块,用于识别所述目标流量中携带的区块链域名。
本实施例中,在检测恶意区块链域名时,采用的是预先训练的域名检测模型,域名检测模型基于标注了可疑域名或非可疑域名的域名样本训练得到,从而域名检测模型可以学习域名样本的域名特征,从而具有识别区块链域名的域名特征的能力,由于恶意区块链域名之间有相同的域名特征,进而从域名特征角度能够识别到更多的恶意区块链域名,进而使用区块链域名的域名特征进行恶意区块链域名的识别会提高恶意区块链域名的识别准确度,进而能够更好的保证系统的网络安全。
需要说明的是,本实施例中的各个模块和子模块的工作过程,请参照上述实施例中的相应说明,在此不再赘述。
可选的,在上述访问控制方法的实施例的基础上,本发明的另一实施例提供了一种访问控制装置,参照图6,可以包括:
请求接收模块21,用于接收用户的访问请求;
请求解析模块22,用于解析所述访问请求,获得所述访问请求中携带的区块链域名;
结果获取模块23,用于获取所述区块链域名的域名检测结果,所述区块链域名的域名检测结果按照上述的域名检测方法获得;
请求过滤模块24,用于在所述域名检测结果为可疑的情况下,过滤所述访问请求。
本实施例中,网关可以在接收到用户的访问请求之后,不立即进行转发,而是需要根据区块链域名的域名检测结果来确定是否转发,在域名检测结果为可疑的情况下,过滤所述访问请求,以避免该访问请求带来的网络攻击问题,保护网络安全。
需要说明的是,本实施例中的各个模块的工作过程,请参照上述实施例中的相应说明,在此不再赘述。
可选的,在上述域名检测方法及装置的实施例的基础上,本发明的另一实施例提供了一种电子设备,包括:存储器和处理器;
其中,所述存储器用于存储程序;
处理器调用程序并用于:
获取待进行检测的区块链域名;
提取所述区块链域名的域名特征;
调用预先训练的域名检测模型对所述域名特征进行处理,得到所述区块链域名的域名检测结果;
其中,所述域名检测模型是利用域名样本集合进行训练后得到的,所述域名样本集合中包含了预先标注了样本类型的域名样本,所述样本类型包括可疑域名和非可疑域名。
本实施例中,在检测恶意区块链域名时,采用的是预先训练的域名检测模型,域名检测模型基于标注了可疑域名或非可疑域名的域名样本训练得到,从而域名检测模型可以学习域名样本的域名特征,从而具有识别区块链域名的域名特征的能力,由于恶意区块链域名之间有相同的域名特征,进而从域名特征角度能够识别到更多的恶意区块链域名,进而使用区块链域名的域名特征进行恶意区块链域名的识别会提高恶意区块链域名的识别准确度,进而能够更好的保证系统的网络安全。
可选的,在上述域名检测方法及装置的实施例的基础上,本发明的另一实施例提供了一种网关,包括存储器和处理器;
其中,所述存储器用于存储程序;
处理器调用程序并用于:
接收用户的访问请求;
解析所述访问请求,获得所述访问请求中携带的区块链域名;
获取所述区块链域名的域名检测结果,所述区块链域名的域名检测结果是按照上述的域名检测方法确定的;
在所述域名检测结果为可疑的情况下,过滤所述访问请求。
本实施例中,网关可以在接收到用户的访问请求之后,不立即进行转发,而是需要根据区块链域名的域名检测结果来确定是否转发,在域名检测结果为可疑的情况下,过滤所述访问请求,以避免该访问请求带来的网络攻击问题,保护网络安全。
可选的,在上述域名检测方法、访问控制方法及相应装置的实施例的基础上,本发明的另一实施例提供了一种域名检测系统,包括用户终端以及上述的网关;
所述用户终端用于生成并发送访问请求,将该访问请求发送到网关,然后网关执行图4中的方法步骤。其中,区块链域名的域名检测结果可以是网关执行,也可以是其他非网关设备执行,如与网关通信的服务器、处理器等。
进一步,域名检测系统还包括上述的电子设备,即本实施例中,通过非网关设备确定区块链域名的域名检测结果,在将域名检测结果发送至网关,以使网关决定是转发该访问请求还是过滤该访问请求,从而避免恶意区块链域名带来的网络攻击问题,此外,使用非网关设备确定区块链域名的域名检测结果,可以减少网关的负担。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (12)
1.一种域名检测方法,其特征在于,包括:
获取待进行检测的区块链域名;
提取所述区块链域名的域名特征;
调用预先训练的域名检测模型对所述域名特征进行处理,得到所述区块链域名的域名检测结果;
其中,所述域名检测模型是利用域名样本集合进行训练后得到的,所述域名样本集合中包含了预先标注了样本类型的域名样本,所述样本类型包括可疑域名和非可疑域名。
2.根据权利要求1所述的域名检测方法,其特征在于,所述域名检测模型的生成过程包括:
获取域名样本集合;所述域名样本集合中包含了预先标注了样本类型的域名样本,所述样本类型包括可疑域名和非可疑域名;
提取所述域名样本的域名样本特征;所述域名样本特征包括信息熵、域名长度、域名中数字占比、域名词性特征、以及所述区块链域名与预设区块链域名的编辑距离;
确定所述域名样本的域名样本特征对应的样本特征向量;
对所述域名样本对应的样本特征向量以及样本类型进行训练,得到所述域名检测模型。
3.根据权利要求2所述的域名检测方法,其特征在于,调用预先训练的域名检测模型对所述域名特征进行处理,得到所述区块链域名的域名检测结果,包括:
确定所述区块链域名的域名特征对应的特征向量;
调用所述域名检测模型对所述特征向量进行处理,得到所述区块链域名的域名检测结果。
4.根据权利要求3所述的域名检测方法,其特征在于,在所述调用预先训练的域名检测模型对所述域名特征进行处理,得到所述区块链域名的域名检测结果之后,还包括:
将所述区块链域名以及所述区块链域名的域名检测结果添加到所述域名样本集合。
5.根据权利要求1所述的域名检测方法,其特征在于,所述获取待进行检测的区块链域名,包括:
获取用户访问流量,并从所述用户访问流量中筛选出DNS流量;
从所述DNS流量中筛选出携带有预设域名后缀的DNS流量,并作为目标流量;
识别所述目标流量中携带的区块链域名。
6.一种访问控制方法,其特征在于,包括:
接收用户的访问请求;
解析所述访问请求,获得所述访问请求中携带的区块链域名;
获取所述区块链域名的域名检测结果,所述区块链域名的域名检测结果是按照如权利要求1-5中任一项所述的域名检测方法确定的;
在所述域名检测结果为可疑的情况下,过滤所述访问请求。
7.一种域名检测装置,其特征在于,包括:
域名获取模块,用于获取待进行检测的区块链域名;
特征提取模块,用于提取所述区块链域名的域名特征;
特征处理模块,用于调用预先训练的域名检测模型对所述域名特征进行处理,得到所述区块链域名的域名检测结果;
其中,所述域名检测模型是利用域名样本集合进行训练后得到的,所述域名样本集合中包含了预先标注了样本类型的域名样本,所述样本类型包括可疑域名和非可疑域名。
8.一种访问控制装置,其特征在于,包括:
请求接收模块,用于接收用户的访问请求;
请求解析模块,用于解析所述访问请求,获得所述访问请求中携带的区块链域名;
结果获取模块,用于获取所述区块链域名的域名检测结果,所述区块链域名的域名检测结果按照如权利要求1-5中任一项所述的域名检测方法获得;
请求过滤模块,用于在所述域名检测结果为可疑的情况下,过滤所述访问请求。
9.一种电子设备,其特征在于,包括:存储器和处理器;
其中,所述存储器用于存储程序;
处理器调用程序并用于:
获取待进行检测的区块链域名;
提取所述区块链域名的域名特征;
调用预先训练的域名检测模型对所述域名特征进行处理,得到所述区块链域名的域名检测结果;
其中,所述域名检测模型是利用域名样本集合进行训练后得到的,所述域名样本集合中包含了预先标注了样本类型的域名样本,所述样本类型包括可疑域名和非可疑域名。
10.一种网关,其特征在于,包括存储器和处理器;
其中,所述存储器用于存储程序;
处理器调用程序并用于:
接收用户的访问请求;
解析所述访问请求,获得所述访问请求中携带的区块链域名;
获取所述区块链域名的域名检测结果,所述区块链域名的域名检测结果是按照如权利要求1-5中任一项所述的域名检测方法确定的;
在所述域名检测结果为可疑的情况下,过滤所述访问请求。
11.一种域名检测系统,其特征在于,包括用户终端以及如权利要求10所述的网关;
所述用户终端用于生成并发送访问请求。
12.根据权利要求11所述的域名检测系统,其特征在于,还包括如权利要求9所述的电子设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911325664.4A CN111181937A (zh) | 2019-12-20 | 2019-12-20 | 一种域名检测方法、装置、设备和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911325664.4A CN111181937A (zh) | 2019-12-20 | 2019-12-20 | 一种域名检测方法、装置、设备和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111181937A true CN111181937A (zh) | 2020-05-19 |
Family
ID=70650269
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911325664.4A Pending CN111181937A (zh) | 2019-12-20 | 2019-12-20 | 一种域名检测方法、装置、设备和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111181937A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111881169A (zh) * | 2020-07-30 | 2020-11-03 | 北京微步在线科技有限公司 | 一种基于模型的过期域名判断方法及装置 |
| CN113411322A (zh) * | 2021-06-16 | 2021-09-17 | 中国银行股份有限公司 | 基于区块链的防护金融诈骗的网络流量监测方法及装置 |
| WO2024183348A1 (zh) * | 2023-03-07 | 2024-09-12 | 中国互联网络信息中心 | 基于域名系统dns的区块链服务发现方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105610830A (zh) * | 2015-12-30 | 2016-05-25 | 山石网科通信技术有限公司 | 域名的检测方法及装置 |
| CN106713312A (zh) * | 2016-12-21 | 2017-05-24 | 深圳市深信服电子科技有限公司 | 检测非法域名的方法及装置 |
| CN108270761A (zh) * | 2017-01-03 | 2018-07-10 | 中国移动通信有限公司研究院 | 一种域名合法性检测方法及装置 |
| CN108632227A (zh) * | 2017-03-23 | 2018-10-09 | 中国移动通信集团广东有限公司 | 一种恶意域名检测处理方法及装置 |
| US20190222589A1 (en) * | 2018-01-17 | 2019-07-18 | Group IB TDS, Ltd | Method computing device for detecting malicious domain names in network traffic |
| CN110233830A (zh) * | 2019-05-20 | 2019-09-13 | 中国银行股份有限公司 | 域名识别和域名识别模型生成方法、装置及存储介质 |
-
2019
- 2019-12-20 CN CN201911325664.4A patent/CN111181937A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105610830A (zh) * | 2015-12-30 | 2016-05-25 | 山石网科通信技术有限公司 | 域名的检测方法及装置 |
| CN106713312A (zh) * | 2016-12-21 | 2017-05-24 | 深圳市深信服电子科技有限公司 | 检测非法域名的方法及装置 |
| CN108270761A (zh) * | 2017-01-03 | 2018-07-10 | 中国移动通信有限公司研究院 | 一种域名合法性检测方法及装置 |
| CN108632227A (zh) * | 2017-03-23 | 2018-10-09 | 中国移动通信集团广东有限公司 | 一种恶意域名检测处理方法及装置 |
| US20190222589A1 (en) * | 2018-01-17 | 2019-07-18 | Group IB TDS, Ltd | Method computing device for detecting malicious domain names in network traffic |
| CN110233830A (zh) * | 2019-05-20 | 2019-09-13 | 中国银行股份有限公司 | 域名识别和域名识别模型生成方法、装置及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 黄凯等: "一种基于字符及解析特征的恶意域名检测方法", 《计算机仿真》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111881169A (zh) * | 2020-07-30 | 2020-11-03 | 北京微步在线科技有限公司 | 一种基于模型的过期域名判断方法及装置 |
| CN113411322A (zh) * | 2021-06-16 | 2021-09-17 | 中国银行股份有限公司 | 基于区块链的防护金融诈骗的网络流量监测方法及装置 |
| WO2024183348A1 (zh) * | 2023-03-07 | 2024-09-12 | 中国互联网络信息中心 | 基于域名系统dns的区块链服务发现方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20180219907A1 (en) | Method and apparatus for detecting website security | |
| CN109274632B (zh) | 一种网站的识别方法及装置 | |
| US20180069883A1 (en) | Detection of Known and Unknown Malicious Domains | |
| CN106713312A (zh) | 检测非法域名的方法及装置 | |
| US20180309772A1 (en) | Method and device for automatically verifying security event | |
| CN111181937A (zh) | 一种域名检测方法、装置、设备和系统 | |
| CN108200054A (zh) | 一种基于dns解析的恶意域名检测方法及装置 | |
| CN112866023B (zh) | 网络检测、模型训练方法、装置、设备及存储介质 | |
| CN110650117B (zh) | 跨站攻击防护方法、装置、设备及存储介质 | |
| CN109922065B (zh) | 恶意网站快速识别方法 | |
| CN106549980B (zh) | 一种恶意c&c服务器确定方法及装置 | |
| JP2016091549A (ja) | マルウェアイベントとバックグラウンドイベントとを分離するためのシステム、デバイス、および方法 | |
| WO2011056592A1 (en) | Using file prevalence to inform agressiveness of behavioral heuristics | |
| US20220006832A1 (en) | System and method for automatic forensic investigation | |
| CN113905016A (zh) | 一种dga域名检测方法、检测装置及计算机存储介质 | |
| CN110855716B (zh) | 一种面向仿冒域名的自适应安全威胁分析方法及系统 | |
| CN112769803A (zh) | 网络威胁的检测方法、装置和电子设备 | |
| US10826927B1 (en) | Systems and methods for data exfiltration detection | |
| CN114866296B (zh) | 入侵检测方法、装置、设备及可读存储介质 | |
| CN110493253B (zh) | 一种基于树莓派设计的家用路由器的僵尸网络分析方法 | |
| CN113965419B (zh) | 一种通过反连判定攻击成功的方法及装置 | |
| Bozogullarindan et al. | Detection of Turkish Fraudulent Domain Names to Proactively Prevent Phishing Attacks Using A Character-Level Convolutional Neural Network | |
| CN112287345A (zh) | 基于智能风险检测的可信边缘计算系统 | |
| CN109992960B (zh) | 一种伪造参数检测方法、装置、电子设备及存储介质 | |
| CN116738369A (zh) | 一种流量数据的分类方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200519 |
|
| RJ01 | Rejection of invention patent application after publication |