CN112615861A - 恶意域名识别方法、装置、电子设备及存储介质 - Google Patents
恶意域名识别方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN112615861A CN112615861A CN202011499277.5A CN202011499277A CN112615861A CN 112615861 A CN112615861 A CN 112615861A CN 202011499277 A CN202011499277 A CN 202011499277A CN 112615861 A CN112615861 A CN 112615861A
- Authority
- CN
- China
- Prior art keywords
- domain name
- malicious
- algorithm model
- detected
- attribute
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 35
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 38
- 238000012549 training Methods 0.000 claims abstract description 30
- 238000012360 testing method Methods 0.000 claims abstract description 26
- 238000002372 labelling Methods 0.000 claims abstract description 9
- 238000012545 processing Methods 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 7
- 230000009286 beneficial effect Effects 0.000 claims description 4
- 238000000605 extraction Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 101150014732 asnS gene Proteins 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
- G06F17/10—Complex mathematical operations
- G06F17/18—Complex mathematical operations for evaluating statistical data, e.g. average values, frequency distributions, probability functions, regression analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2415—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on parametric or probabilistic models, e.g. based on likelihood ratio or false acceptance rate versus a false rejection rate
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computing Systems (AREA)
- Mathematical Analysis (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Computer Hardware Design (AREA)
- Evolutionary Computation (AREA)
- Pure & Applied Mathematics (AREA)
- Probability & Statistics with Applications (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Algebra (AREA)
- Computational Mathematics (AREA)
- Operations Research (AREA)
- Databases & Information Systems (AREA)
- Software Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供一种恶意域名识别方法、装置、电子设备及存储介质,应用于计算机技术领域,包括:通过已知域名样本集对原始数据集打标签,得到训练集和测试集,利用训练集训练EM算法模型,利用测试集测试所述EM算法模型,得到训练好的EM算法模型,利用训练好的EM算法模型对所述待检测域名对应的特征进行聚类,得到聚类结果。根据聚类结果,判定所述待检测域名是否为恶意域名。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种恶意域名识别方法、装置、电子设备及存储介质。
背景技术
随着互联网的普及,访问各式各样的网络域名已成为大家日常生活、办公中不可或缺的一部分,现阶段的网络安全问题大都涉及到恶意域名:通过域名可以进行诸如钓鱼、垃圾邮件传播等常见的网络攻击,而更高级的攻击者可以通过其控制的僵尸网络中使用域名生成算法和域名轮换技术增强恶意网络的健壮性,因此对恶意域名的测量至关重要。
发明内容
本申请的主要目的在于提供一种恶意域名识别方法、装置、电子设备及存储介质,可判断出恶意域名。
为实现上述目的,本申请实施例第一方面提供一种恶意域名识别方法,包括:
通过已知域名样本集对原始数据集打标签,得到训练集和测试集;
利用训练集训练EM算法模型,利用测试集测试所述EM算法模型,得到训练好的EM算法模型;
利用训练好的EM算法模型对所述待检测域名对应的特征进行聚类,得到聚类结果;
根据聚类结果,判定所述待检测域名是否为恶意域名。
可选的,实时收集网络中的DNS数据包;
解析所述DNS数据包,从中提取DNS数据;
从DNS数据中提取所需的待分析字段;
从待分析字段中提取有利于区分善意域名和恶意域名的属性集;
利用已知的善意域名和恶意域名样本集对所述属性集打标签,并形成训练集和测试集。
可选的,所述属性集中的属性包括基于时间序列的属性,基于DNS应答的属性,基于TTL值的属性,和基于域名本身的属性。
可选的,对所述属性集进行整理计算,合并重复域名,并将每个域名对应的IP地址进行整合;
对每个域名的属性集中属性的特征进行统计;
利用EM算法模型,将所述特征聚类成多个簇,聚类过程中,会使得簇中特征的熵值达到最小,从而使得同一簇中特征的属性相同。
可选的,对于基于TTL值的属性,所述对每个域名的属性集中属性的特征进行统计包括:
计算TTL的平均值,TTL平方的平均值,TTL的方差,不同TTL的个数,TTL的总个数,TTL变化的次数以及TTL个数所在范围。
可选的,所述将每个域名对应的IP地址进行整合包括:
统计同一个域名对应的IP地址的个数,以及,每个IP地址出现的次数。
可选的,所述根据聚类结果,判定所述待检测域名是否为恶意域名包括:
提取所述待检测域名的属性集;
根据所述属性集计算所述待检测域名的特征;
利用EM算法模型,对所述特征进行聚类,当所述待检测域名的特征聚类到恶意域名所在的簇中,则所述待检测域名为恶意域名。
本申请实施例第二方面提供一种恶意域名识别装置,包括:
处理模块,用于通过已知域名样本集对原始数据集打标签,得到训练集和测试集;
训练模块,用于利用训练集训练EM算法模型,利用测试集测试所述EM算法模型,得到训练好的EM算法模型;
聚类模块,用于利用训练好的EM算法模型对所述待检测域名对应的特征进行聚类,得到聚类结果;
判定模块,用于根据聚类结果,判定所述待检测域名是否为恶意域名。
本申请实施例第三方面提供了一种电子设备,包括:
存储器,处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现本申请实施例第一方面提供的恶意域名识别方法。
本申请实施例第四方面提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现本申请实施例第一方面提供的恶意域名识别方法。
从上述本申请实施例可知,本申请提供的恶意域名识别方法、装置、电子设备及存储介质,
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请一实施例提供的恶意域名识别方法的流程示意图;
图2为本申请一实施例提供的恶意域名识别装置的结构示意图;
图3示出了一种电子设备的硬件结构示意图。
具体实施方式
为使得本申请的申请目的、特征、优点能够更加的明显和易懂,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而非全部实施例。基于本申请中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
请参阅图1,图1为本申请一实施例提供的恶意域名识别方法的流程示意图,该方法可应用于电子设备中,电子设备包括:手机、平板电脑、手提电脑、智能手表、智能眼镜等可在移动中进行数据处理的电子设备以及台式计算机、一体机、智能电视机等非可在移动中进行数据处理的电子设备,该方法主要包括以下步骤:
S101、通过已知域名样本集对原始数据集打标签,得到训练集和测试集。
S102、利用训练集训练EM算法模型,利用测试集测试该EM算法模型,得到训练好的EM算法模型。
S103、利用训练好的EM算法模型对该待检测域名对应的特征进行聚类,得到聚类结果。
S104、根据聚类结果,判定该待检测域名是否为恶意域名。
在本申请其中一个实施例中,实时收集网络中的DNS数据包;解析该DNS数据包,从中提取DNS数据;从DNS数据中提取所需的分析字段;从待分析字段中提取有利于区分善意域名和恶意域名的属性集;利用已知的善意域名和恶意域名样本集对该属性集打标签,并形成训练集和测试集。
具体的,数据采集收集大量的DNS解析请求、域名注册记录,并且建立所需要的IP地址黑名单、域名地址黑名单,从DNS服务器收集网络中的DNS数据,包括请求数据和响应数据,并将收集到的数据进行解析和存储,保存关于每一个域名的相关信息。
收集网络中IP地址对应的信息,如自治系统编号(ASN),国家编码(CC)等,通过相关的网络协议,通过命令在指定服务器上进行查询,将收集到的信息存储到数据库中,为后面的查询做准备。
分别从Alex网站排名和maldomain.com等恶意域名公布网站中搜集善意域名和恶意域名样本,从DNS流量中提取所需的分析字段,从待分析字段中提取有利于区分善意和恶意域名的属性集,利用善意和恶意域名样本集对提取的属性集打标签,并形成训练集和测试集。
在本申请其中一个实施例中,属性集中的属性包括基于时间序列的属性,基于DNS应答的属性,基于TTL值的属性,和基于域名本身的属性。
在本申请其中一个实施例中,对于该训练集和测试集:对所述属性集进行整理计算,合并重复域名,并将每个域名对应的IP地址进行整合,对每个域名的属性集中属性的特征进行统计,利用EM算法模型,将所述特征聚类成多个簇,聚类过程中,会使得簇中特征的熵值达到最小,从而使得同一簇中特征的属性相同。
具体的,逐条读取.TXT文件中的数据,获取域名、IP地址、TTL以及时间等信息存放到容器,选定特定时间长度,比如两个小时,当达到两个小时时间时,停止读取,开始对这两个小时内的数据进行整理计算,首先合并重复域名,并将每个域名对应的IP地址信息进行整合,包括同一个域名对应几个IP地址,每个IP地址出现了几次等。
整理完两个小时时间段内的数据之后,对域名所对应的特征信息进行统计计算,计算TTL的平均值,TTL平方的平均值,TTL的方差,不同TTL的个数,TTL的总个数,TTL变化的次数以及TTL个数所在范围等。
对于IP地址,获得在不同时间段,同一域名对应的不同IP地址的出现和小时情况,并获取域名注册信息的ASN、CC、BGP数目,得到上面计算的统计特征后存储到数据库,对应一个时间段的数据处理完后,将容器内容清空,开始读取下一时间段数据。
在本申请其中一个实施例中,该对每个域名所对应的特征信息进行统计包括:计算TTL的平均值,TTL平方的平均值,TTL的方差,不同TTL的个数,TTL的总个数,TTL变化的次数以及TTL个数所在范围。
在本申请其中一个实施例中,该将每个域名对应的IP地址进行整合包括:统计同一个域名对应的IP地址的个数,以及,每个IP地址出现的次数。
对于IP地址,获得在不同时间段,同一域名对应的不同IP地址的出现和小时情况,并获取域名注册信息的ASN、CC、BGP数目,得到上面计算的统计特征后存储到数据库,对应一个时间段的数据处理完后,将容器内容清空,开始读取下一时间段数据。
在本申请其中一个实施例中,S104包括:提取所述待检测域名的属性集,根据所述属性集计算所述待检测域名的特征,利用EM算法模型,对所述特征进行聚类,当所述待检测域名的特征聚类到恶意域名所在的簇中,则所述待检测域名为恶意域名。
具体的,恶意域名识别及查询,计算出每个域名对应的N维特征向量,利用EM算法,将特定时间段中数据聚类成多个簇,聚类过程中,会使得簇中数据的熵值达到最小,从而使得同一簇中大多数数据的属性相同(均为善意或者恶意数据)。对于每一个簇中的所有未分类的域名,根据整个簇中恶意域名与善意域名的比例进行分类,随着时间推移,不停的收集到新的数据,并对于部分新的数据进行人工标记,从而利用新收集的数据与数据库中已有的数据重新进行聚类,进而更新数据库,以此应对域名进化。
请参阅图2,图2是本申请一实施例提供的恶意域名识别装置的结构示意图,该装置主要包括:处理模块201、训练模块202、聚类模块203、判定模块204。
处理模块201,用于通过已知域名样本集对原始数据集打标签,得到训练集和测试集;
训练模块202,用于利用训练集训练EM算法模型,利用测试集测试该EM算法模型,得到训练好的EM算法模型;
聚类模块203,用于利用训练好的EM算法模型对该待检测域名对应的特征进行聚类,得到聚类结果;
判定模块204,用于根据聚类结果,判定该待检测域名是否为恶意域名。
在本申请其中一个实施例中,还包括:
收集单元,用于实时收集网络中的DNS数据包;
解析单元,用于解析该DNS数据包,从中提取DNS数据;
第一提取单元,用于提取从DNS数据中提取所需的待分析字段;
第二提取单元,用于从待分析字段中提取有利于区分善意域名和恶意域名的属性集;
处理单元,用于利用已知的善意域名和恶意域名样本集对该属性集打标签,并形成训练集和测试集。
在本申请其中一个实施例中,所述属性集中的属性包括基于时间序列的属性,基于DNS应答的属性,基于TTL值的属性,和基于域名本身的属性。
在本申请其中一个实施例中,还包括:
整理单元,用于对所述属性集进行整理计算,合并重复域名,并将每个域名对应的IP地址进行整合;
统计单元,用于对每个域名的属性集中属性的特征进行统计;
聚类单元,用于利用EM算法模型,将所述特征聚类成多个簇,聚类过程中,会使得簇中特征的熵值达到最小,从而使得同一簇中特征的属性相同。
在本申请其中一个实施例中,对于基于TTL值的属性,统计单元,具体用于计算TTL的平均值,TTL平方的平均值,TTL的方差,不同TTL的个数,TTL的总个数,TTL变化的次数以及TTL个数所在范围。
在本申请其中一个实施例中,整理单元,具体用于统计同一个域名对应的IP地址的个数,以及,每个IP地址出现的次数。
在本申请其中一个实施例中,判断模块,具体用于提取所述待检测域名的属性集;根据所述属性集计算所述待检测域名的特征;利用EM算法模型,对所述特征进行聚类,当所述待检测域名的特征聚类到恶意域名所在的簇中,则所述待检测域名为恶意域名。
请参见图3,图3示出了一种电子设备的硬件结构图。
本实施例中所描述的电子设备,包括:
存储器41、处理器42及存储在存储器41上并可在处理器上运行的计算机程序,处理器执行该程序时实现前述图1所示实施例中描述的多轴运动系统的同步控制方法。
进一步地,该电子设备还包括:
至少一个输入设备43;至少一个输出设备44。
上述存储器41、处理器42输入设备43和输出设备44通过总线45连接。
其中,输入设备43具体可为摄像头、触控面板、物理按键或者鼠标等等。输出设备44具体可为显示屏。
存储器41可以是高速随机存取记忆体(RAM,Random Access Memory)存储器,也可为非不稳定的存储器(non-volatile memory),例如磁盘存储器。存储器41用于存储一组可执行程序代码,处理器42与存储器41耦合。
进一步地,本公开实施例还提供了一种计算机可读存储介质,该计算机可读存储介质可以是设置于上述各实施例中的电子设备中,该计算机可读存储介质可以是前述图3所示实施例中的电子设备。该计算机可读存储介质上存储有计算机程序,该程序被处理器执行时实现前述图1所示实施例中描述的恶意域名识别。进一步地,该计算机可存储介质还可以是U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,RandomAccess Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是,在本公开各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来。
需要说明的是,对于前述的各方法实施例,为了简便描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其它顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定都是本发明所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其它实施例的相关描述。
以上为对本发明所提供的一种恶意域名识别方法、装置、电子设备及可读存储介质的描述,对于本领域的技术人员,依据本发明实施例的思想,在具体实施方式及应用范围上均会有改变之处,综上,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种恶意域名识别方法,其特征在于,包括:
通过已知域名样本集对原始数据集打标签,得到训练集和测试集;
利用训练集训练EM算法模型,利用测试集测试所述EM算法模型,得到训练好的EM算法模型;
利用训练好的EM算法模型对所述待检测域名对应的特征进行聚类,得到聚类结果;
根据聚类结果,判定所述待检测域名是否为恶意域名。
2.根据权利要求1所述的恶意域名识别方法,其特征在于,其中,
实时收集网络中的DNS数据包;
解析所述DNS数据包,从中提取DNS数据;
从DNS数据中提取所需的待分析字段;
从待分析字段中提取有利于区分善意域名和恶意域名的属性集;
利用已知的善意域名和恶意域名样本集对所述属性集打标签,并形成训练集和测试集。
3.根据权利要求2所述的恶意域名识别方法,其特征在于,所述属性集中的属性包括基于时间序列的属性,基于DNS应答的属性,基于TTL值的属性,和基于域名本身的属性。
4.根据权利要求3所述的恶意域名识别方法,其特征在于,其中,
对所述属性集进行整理计算,合并重复域名,并将每个域名对应的IP地址进行整合;
对每个域名的属性集中属性的特征进行统计;
利用EM算法模型,将所述特征聚类成多个簇,聚类过程中,会使得簇中特征的熵值达到最小,从而使得同一簇中特征的属性相同。
5.根据权利要求4所述的恶意域名识别方法,其特征在于,对于基于TTL值的属性,所述对每个域名的属性集中属性的特征进行统计包括:
计算TTL的平均值,TTL平方的平均值,TTL的方差,不同TTL的个数,TTL的总个数,TTL变化的次数以及TTL个数所在范围。
6.根据权利要求4所述的恶意域名识别方法,其特征在于,所述将每个域名对应的IP地址进行整合包括:
统计同一个域名对应的IP地址的个数,以及,每个IP地址出现的次数。
7.根据权利要求1所述的恶意域名识别方法,其特征在于,所述根据聚类结果,判定所述待检测域名是否为恶意域名包括:
提取所述待检测域名的属性集;
根据所述属性集计算所述待检测域名的特征;
利用EM算法模型,对所述特征进行聚类,当所述待检测域名的特征聚类到恶意域名所在的簇中,则所述待检测域名为恶意域名。
8.一种恶意域名识别装置,其特征在于,包括:
处理模块,用于通过已知域名样本集对原始数据集打标签,得到训练集和测试集;
训练模块,用于利用训练集训练EM算法模型,利用测试集测试所述EM算法模型,得到训练好的EM算法模型;
聚类模块,用于利用训练好的EM算法模型对所述待检测域名对应的特征进行聚类,得到聚类结果;
判定模块,用于根据聚类结果,判定所述待检测域名是否为恶意域名。
9.一种电子设备,包括:存储器,处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时,实现权利要求1至7中的任一项所述的恶意域名识别方法中的各个步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现权利要求1至7中的任一项所述的恶意域名识别方法中的各个步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011499277.5A CN112615861A (zh) | 2020-12-17 | 2020-12-17 | 恶意域名识别方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011499277.5A CN112615861A (zh) | 2020-12-17 | 2020-12-17 | 恶意域名识别方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112615861A true CN112615861A (zh) | 2021-04-06 |
Family
ID=75240356
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011499277.5A Pending CN112615861A (zh) | 2020-12-17 | 2020-12-17 | 恶意域名识别方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112615861A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113328994A (zh) * | 2021-04-30 | 2021-08-31 | 新华三信息安全技术有限公司 | 一种恶意域名处理方法、装置、设备及机器可读存储介质 |
| CN113556347A (zh) * | 2021-07-22 | 2021-10-26 | 深信服科技股份有限公司 | 一种钓鱼邮件的检测方法、装置、设备及存储介质 |
| CN114268465A (zh) * | 2021-12-02 | 2022-04-01 | 北京安天网络安全技术有限公司 | 一种dns恶意数据检测方法、装置、设备及介质 |
| CN114266045A (zh) * | 2021-12-13 | 2022-04-01 | 安天科技集团股份有限公司 | 网络病毒的识别方法、装置、计算机设备及存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120158626A1 (en) * | 2010-12-15 | 2012-06-21 | Microsoft Corporation | Detection and categorization of malicious urls |
| CN106060067A (zh) * | 2016-06-29 | 2016-10-26 | 上海交通大学 | 基于Passive DNS迭代聚类的恶意域名检测方法 |
| CN109922052A (zh) * | 2019-02-22 | 2019-06-21 | 中南大学 | 一种结合多重特征的恶意url检测方法 |
| US20190238576A1 (en) * | 2018-01-26 | 2019-08-01 | Palo Alto Networks, Inc. | Identification of malicious domain campaigns using unsupervised clustering |
| CN110099059A (zh) * | 2019-05-06 | 2019-08-06 | 腾讯科技(深圳)有限公司 | 一种域名识别方法、装置及存储介质 |
| CN110808987A (zh) * | 2019-11-07 | 2020-02-18 | 南京亚信智网科技有限公司 | 识别恶意域名的方法及计算设备 |
| CN110855635A (zh) * | 2019-10-25 | 2020-02-28 | 新华三信息安全技术有限公司 | Url识别方法、装置及数据处理设备 |
| CN110912917A (zh) * | 2019-11-29 | 2020-03-24 | 深圳市任子行科技开发有限公司 | 恶意url检测方法及系统 |
-
2020
- 2020-12-17 CN CN202011499277.5A patent/CN112615861A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120158626A1 (en) * | 2010-12-15 | 2012-06-21 | Microsoft Corporation | Detection and categorization of malicious urls |
| CN106060067A (zh) * | 2016-06-29 | 2016-10-26 | 上海交通大学 | 基于Passive DNS迭代聚类的恶意域名检测方法 |
| US20190238576A1 (en) * | 2018-01-26 | 2019-08-01 | Palo Alto Networks, Inc. | Identification of malicious domain campaigns using unsupervised clustering |
| CN109922052A (zh) * | 2019-02-22 | 2019-06-21 | 中南大学 | 一种结合多重特征的恶意url检测方法 |
| CN110099059A (zh) * | 2019-05-06 | 2019-08-06 | 腾讯科技(深圳)有限公司 | 一种域名识别方法、装置及存储介质 |
| CN110855635A (zh) * | 2019-10-25 | 2020-02-28 | 新华三信息安全技术有限公司 | Url识别方法、装置及数据处理设备 |
| CN110808987A (zh) * | 2019-11-07 | 2020-02-18 | 南京亚信智网科技有限公司 | 识别恶意域名的方法及计算设备 |
| CN110912917A (zh) * | 2019-11-29 | 2020-03-24 | 深圳市任子行科技开发有限公司 | 恶意url检测方法及系统 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113328994A (zh) * | 2021-04-30 | 2021-08-31 | 新华三信息安全技术有限公司 | 一种恶意域名处理方法、装置、设备及机器可读存储介质 |
| CN113328994B (zh) * | 2021-04-30 | 2022-07-12 | 新华三信息安全技术有限公司 | 一种恶意域名处理方法、装置、设备及机器可读存储介质 |
| CN113556347A (zh) * | 2021-07-22 | 2021-10-26 | 深信服科技股份有限公司 | 一种钓鱼邮件的检测方法、装置、设备及存储介质 |
| CN114268465A (zh) * | 2021-12-02 | 2022-04-01 | 北京安天网络安全技术有限公司 | 一种dns恶意数据检测方法、装置、设备及介质 |
| CN114266045A (zh) * | 2021-12-13 | 2022-04-01 | 安天科技集团股份有限公司 | 网络病毒的识别方法、装置、计算机设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11973799B2 (en) | Domain name processing systems and methods | |
| CN112615861A (zh) | 恶意域名识别方法、装置、电子设备及存储介质 | |
| US20160065534A1 (en) | System for correlation of domain names | |
| US10547618B2 (en) | Method and apparatus for setting access privilege, server and storage medium | |
| JP5990284B2 (ja) | キャラクター・ヒストグラムを用いるスパム検出のシステムおよび方法 | |
| CN110830445B (zh) | 一种异常访问对象的识别方法及设备 | |
| CN104156490A (zh) | 基于文字识别检测可疑钓鱼网页的方法及装置 | |
| CN111212053A (zh) | 一种面向工控蜜罐的同源攻击分析方法 | |
| CN107888606B (zh) | 一种域名信誉度评估方法及系统 | |
| CN111163072B (zh) | 机器学习模型中特征值的确定方法、装置及电子设备 | |
| US20080097983A1 (en) | Fuzzy database matching | |
| CN109150873A (zh) | 基于pso_svm优化算法的恶意域名检测系统及方法 | |
| US11475323B2 (en) | Systems and methods for crowdsourcing device recognition | |
| US20200403964A1 (en) | Systems and methods for determining character entry dynamics for text segmentation | |
| CN107748772B (zh) | 一种商标识别方法及装置 | |
| CN112804210A (zh) | 数据关联方法、装置、电子设备和计算机可读存储介质 | |
| WO2018145637A1 (zh) | 上网行为记录方法、装置及用户终端 | |
| WO2021119230A1 (en) | Intelligent conversion of internet domain names to vector embeddings | |
| CN112671614B (zh) | 关联系统连通性测试方法、系统、装置及存储介质 | |
| WO2017080183A1 (zh) | 网络小说章节列表评估方法及装置 | |
| CN112488143A (zh) | 一种网络资产国产化识别方法、装置、设备及存储介质 | |
| CN110851828A (zh) | 基于多维度特征的恶意url监测方法、装置和电子设备 | |
| CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
| CN111800391B (zh) | 端口扫描攻击的检测方法、装置、电子设备及存储介质 | |
| CN111026981B (zh) | 热点话题的可视化展示方法、装置和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210406 |
|
| RJ01 | Rejection of invention patent application after publication |