CN114095252A - Fqdn域名检测方法、装置、计算设备及存储介质 - Google Patents
Fqdn域名检测方法、装置、计算设备及存储介质 Download PDFInfo
- Publication number
- CN114095252A CN114095252A CN202111383088.6A CN202111383088A CN114095252A CN 114095252 A CN114095252 A CN 114095252A CN 202111383088 A CN202111383088 A CN 202111383088A CN 114095252 A CN114095252 A CN 114095252A
- Authority
- CN
- China
- Prior art keywords
- domain name
- fqdn
- level
- white
- level domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Machine Translation (AREA)
Abstract
本发明提供了一种FQDN域名检测方法、装置、计算设备及存储介质,其中方法包括:确定待检测的FQDN域名;检测所述FQDN域名中除顶级域名之外的剩余字符中,是否存在预设顶级域名白名单中的白顶级域名;若检测结果为存在,则确定该FQDN域名为钓鱼域名。本方案,通过对FQDN域名中除顶级域名之外的剩余字符中是否存在预设顶级域名白名单中的白顶级域名进行检测,能够对伪装为合法域名的钓鱼域名进行检测。
Description
技术领域
本发明实施例涉及安全技术领域,特别涉及一种FQDN域名检测方法、装置、计算设备及存储介质。
背景技术
随着互联网的不断发展,网络钓鱼给人们日常生活带来的威胁与日俱增。网络钓鱼是一种网络欺骗行为,指攻击者利用各种手段,仿冒真实网站的URL地址以及页面内容,或利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码,以此来骗取用户银行或信用卡账号、密码等个人信息。由于跨域远程访问的域名需要为FQDN(FullyQualified Domain Name,全限定域名)才能够建立连接,因此,用于进行网络攻击活动的FQDN域名逐渐增多。
现有技术中,一般采用域名字符长度、字符随机性等方式检测FQDN域名是否为钓鱼域名。但是攻击者通过将钓鱼域名伪装为合法域名,从而避开网络钓鱼的检测。因此,亟需提供一种FQDN域名检测方法,能够对伪装为合法域名的钓鱼域名进行检测。
发明内容
基于攻击者通过将网络钓鱼域名伪装成合法域名以避开网络钓鱼检测的问题,本发明实施例提供了一种FQDN域名检测方法、装置、计算设备及存储介质,能够对伪装为合法域名的钓鱼域名进行检测。
第一方面,本发明实施例提供了一种FQDN域名检测方法,包括:
确定待检测的FQDN域名;
检测所述FQDN域名中除顶级域名之外的剩余字符中,是否存在预设顶级域名白名单中的白顶级域名;
若检测结果为存在,则确定该FQDN域名为钓鱼域名。
优选地,若所述检测结果为不存在,所述方法还包括:
确定所述FQDN域名的顶级域名是否为所述顶级域名白名单中的白顶级域名;
根据确定结果,确定所述FQDN域名是否为钓鱼域名。
优选地,所述根据确定结果,确定所述FQDN域名是否为钓鱼域名,包括:
若确定所述FQDN域名的顶级域名不为所述顶级域名白名单中的白顶级域名,则将所述FQDN域名确定为可疑域名;
若确定所述FQDN域名的顶级域名为所述顶级域名白名单中的白顶级域名,进一步确定所述FQDN域名中是否包括二级域名;
若不包括,则确定所述FQDN域名为合法域名;
若包括,则判断所述FQDN域名的二级域名是否为预设二级域名白名单中的白二级域名;
根据判断结果,确定所述FQDN域名是否为钓鱼域名。
优选地,所述根据判断结果,确定所述FQDN域名是否为钓鱼域名,包括:
若所述FQDN域名的二级域名不为预设二级域名白名单中的白二级域名,则将所述FQDN域名确定为可疑域名;
若所述FQDN域名的二级域名为预设二级域名白名单中的白二级域名,则所述FQDN域名确定为合法域名。
优选地,所述检测该FQDN域名中除顶级域名之外的剩余字符中,是否存在预设顶级域名白名单中的白顶级域名,包括:
对该FQDN域名中除顶级域名之外的剩余字符进行分割,得到分割后的若干个子项;
确定所述若干个子项中是否存在至少一个子项为所述顶级域名白名单中的白顶级域名。
优选地,按照预设字符对该FQDN域名中除顶级域名之外的剩余字符进行分割;所述预设字符至少包括点分隔符。
优选地,在所述对该FQDN域名中除顶级域名之外的剩余字符进行分割之前,还包括:将该FQDN域名中所述剩余字符中的预设字符删除,得到连续字符串;
所述对该FQDN域名中除顶级域名之外的剩余字符进行分割,包括:按照所述顶级域名白名单中的白顶级域名的字符长度,对所述连续字符串进行分割。
第二方面,本发明实施例还提供了一种FQDN域名检测装置,包括:域名确定单元、域名检测单元和结果确定单元;
所述域名确定单元,用于确定待检测的FQDN域名;
所述域名检测单元,用于检测所述FQDN域名中除顶级域名之外的剩余字符中,是否存在预设顶级域名白名单中的白顶级域名,若检测结果为存在,则触发所述结果确定单元输出确定该FQDN域名为钓鱼域名的结果。
第三方面,本发明实施例还提供了一种计算设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本说明书任一实施例所述的方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行本说明书任一实施例所述的方法。
本发明实施例提供了一种FQDN域名检测方法、装置、计算设备及存储介质,由于FQDN域名中肯定存在且只存在一个顶级域名,即FQDN域名中的最高层域名,若FQDN域名中除顶级域名之外的剩余字符中还存在顶级域名,则表明该FQDN域名是攻击者将剩余字符中存在的顶级域名作为合法外衣对其真正的顶级域名进行伪装的手段,从而达到欺骗用户的目的。可见,本方案通过对FQDN域名中除顶级域名之外的剩余字符中是否存在预设顶级域名白名单中的白顶级域名进行检测,从而可以对伪装为合法域名的钓鱼域名进行检测。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的一种FQDN域名检测方法流程图;
图2是本发明一实施例提供的一种白顶级域名检测方法流程图;
图3是本发明一实施例提供的一种计算设备的硬件架构图;
图4是本发明一实施例提供的一种FQDN域名检测装置结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如前所述,攻击者通常利用官方网站的域名对钓鱼域名进行伪装,使得用户在查看域名时误以为该钓鱼域名是合法域名,从而被攻击者达到攻击目的。考虑到攻击者在对钓鱼域名进行伪装时,通常是在FQDN域名的主机名或者子域中混入常见顶级域名,以此给用户造成混淆,误以为该钓鱼域名是合法域名。基于此,可以考虑对主机名和子域中是否混入了常见顶级域名进行检测,从而确定FQDN域名是为伪装成合法域名的钓鱼域名。
下面描述以上构思的具体实现方式。
请参考图1,本发明实施例提供了一种FQDN域名检测方法,该方法包括:
步骤100,确定待检测的FQDN域名;
步骤102,检测该FQDN域名中除顶级域名之外的剩余字符中,是否存在预设顶级域名白名单中的白顶级域名;
步骤104,若检测结果为存在,则确定该FQDN域名为钓鱼域名。
本发明实施例中,由于FQDN域名中肯定存在且只存在一个顶级域名,即FQDN域名中的最高层域名,若FQDN域名中除顶级域名之外的剩余字符中还存在顶级域名,则表明该FQDN域名是攻击者将剩余字符中存在的顶级域名作为合法外衣对其真正的顶级域名进行伪装的手段,从而达到欺骗用户的目的。可见,本方案通过对FQDN域名中除顶级域名之外的剩余字符中是否存在预设顶级域名白名单中的白顶级域名进行检测,从而实现对伪装为合法域名的钓鱼域名的检测。
下面描述图1所示的各个步骤的执行方式。
首先,针对步骤100,确定待检测的FQDN域名。
FQDN域名包括主机名和母域名两部分组成。比如,一个FQDN域名为myhost.example.com.,则其主机名为myhost,母域名为example.com.。其中,FQDN域名的最高层域名为该FQDN域名的顶级域名,比如该举例中的“.com”。除顶级域名外,FQDN中还可以包括SLD(second-level domain,二级域名),就是最靠近顶级域名左侧的字段,比如该举例中的“example”。
由于域名需要注册申请才能够实现跨域远程访问,且对于顶级域名、二级域名均需要按照一定规则才能够进行注册,因此,钓鱼域名通常使用非通用顶级域名和/或非通用二级域名来实现域名伪装。
为了对FQDN域名进行检测,首先需要确定待检测的FQDN域名。本发明实施例中,本步骤的FQDN域名可以在如下至少两种情况下进行确定:
情况一、在访问FQDN域名之前,将该待访问的FQDN域名确定为待检测的FQDN域名。
在该情况一中,若在后续步骤中确定该待检测的FQDN域名为钓鱼域名,则禁止对该FQDN域名的访问或向用户进行告警,从而避免用户误访问该钓鱼域名,遭到钓鱼攻击,保证用户网络访问的安全性,提高用户体验。
情况二、提前收集FQDN域名集合,将FQDN集合中的每一个FQDN域名确定为待检测的FQDN域名。
在该情况二中,利用本实施例将FQDN集合中的每一个FQDN域名进行检测,以检测出FQDN集合中的钓鱼域名,形成钓鱼域名集合,当检测到用户访问的FQDN域名为钓鱼域名集合中的钓鱼域名时,则禁止对该FQDN域名的访问或向用户进行告警,从而避免用户误访问该钓鱼域名,遭到钓鱼攻击,保证用户网络访问的安全性,提高用户体验。并且,预先生成钓鱼域名集,在对FQDN域名进行钓鱼检测时,可以快速检测出用户访问的FQDN域名是否为钓鱼域名。
然后,针对步骤102“检测该FQDN域名中除顶级域名之外的剩余字符中,是否存在预设顶级域名白名单中的白顶级域名”和步骤104“若检测结果为存在,则确定该FQDN域名为钓鱼域名”同时进行说明。
在本发明一个实施例中,为了检测FQDN域名是否为钓鱼域名,需要预先获取顶级域名白名单,该顶级域名白名单中包括通用的白顶级域名。比如,.com、.edu、.gov、.info、.net、.org等。
为对FQDN域名进行检测,以及保证检测结果的准确性,本发明实施例中,至少可以通过如下两种方式检测FQDN域名:
方式一、直接检测该FQDN域名中除顶级域名之外的剩余字符中,是否存在预设顶级域名白名单中的白顶级域名(记为步骤A)。
方式二、确定该FQDN域名的顶级域名是否为顶级域名白名单中的白顶级域名(记为步骤B),以及,步骤A。
可见上述两种方式中,方式二中的检测步骤多于方式一的检测步骤,因此,方式二的检测准确性更大。下面对上述两种方式分别进行说明。
首先对方式一进行说明。
在方式一中,本发明一个实施例中,请参考图2,该检测该FQDN域名中除顶级域名之外的剩余字符中是否存在预设顶级域名白名单中的白顶级域名步骤,具体可以包括如下步骤200和步骤202:
步骤200,对该FQDN域名中除顶级域名之外的剩余字符进行分割,得到分割后的若干个子项。
在本步骤200中,对FQDN域名中该剩余字符进行分割的方式至少可以包括如下两种方式:
方式A:按照预设字符对该FQDN域名中除顶级域名之外的剩余字符进行分割;该预设字符至少包括点分隔符。
方式B:按照所述顶级域名白名单中的白顶级域名的字符长度,对所述连续字符串进行分割。
在方式A中,由于FQDN域名是通过点分隔符“.”进行子域划分的,因此,在对剩余字符进行分割时,可以按照点分隔符进行分割。举例来说,若FQDN域名为mail.miit.gcv.cn.cnigc.org,可以理解“.org”为该FQDN域名的顶级域名,那么剩余字符为“mail.miit.gcv.cn.cnigc”,按照点分隔符进行分割,可以得到子项“mail”、“miit”、“gcv”和“cn”。
在方式A中,可能存在攻击者在FQDN域名的主机名或子域中通过一些特殊字符将白顶级域名进行连接,以伪装成合法域名的情况,因此,该预设字符除点分隔符以外,还可以包括“-”、“_”、“#”、“*”等特殊字符,因此,本发明一个实施例中,若主机名和子域中存在特殊字符,则按照特殊字符进一步对主机名或子域进行分割,从而提高检测效率,避免通过该方式伪装的钓鱼域名逃避钓鱼检测。举例来说,若FQDN域名为mail.nju.edu.cn.mailbox-login.com,同样可以理解“.com”为该FQDN域名的顶级域名,那么剩余字符为“mail.nju.edu.cn.mailbox-login”,按照预设字符进行分割,可以得到子项“mail”、“nju”、“edu”、“cn”、“mailbox”、和“login”。
在方式B中,在按照方式B进行分割之前,还可以包括:将该FQDN域名中所述剩余字符中的预设字符删除,得到连续字符串。
其中,该方式B中的预设字符可以与方式A中的预设字符相同。
同样以方式A中mail.nju.edu.cn.mailbox-login.com域名为例,将剩余字符“mail.nju.edu.cn.mailbox-login”中的预设字符删除,得到连续字符串“mailnjueducnmailboxlogin”。
在该方式B中,可以理解,白顶级域名的字符长度存在一个长度范围内,一般情况下,白顶级域名的字符长度处于不小于2且不大于6的长度范围内。因此,可以将该长度范围内的每一个整数,分别确定为字符长度,然后按照每一个字符长度分别对连续字符串进行分割。
在本发明一个实施例中,为了进一步提高检测效率,在按照字符长度对连续字符串进行分割时,可以将连续字符串中的每一个字符分别作为分割起点,然后将包含该分割起点且长度为字符长度的子连续字符串确定为分割后的一个子项。举例来说,针对连续字符串“mailnjueducnmailboxlogin”按照字符长度4进行分割,可以得到子项“mail”、“ailn”、“ilnj”、“lnju”……。
步骤202,确定该若干个子项中是否存在至少一个子项为所述顶级域名白名单中的白顶级域名。
在步骤200中得到若干个子项之后,针对每一个子项,分别确定该子项是否为顶级域名白名单中的白顶级域名。可以理解,检测结果可以包括两种:结果A1:该若干个子项中所有子项均不是白顶级域名;结果A2:该若干个子项中存在至少一个子项是白顶级域名。
在方式一中,若检测结果为结果A1,则确定该FQDN域名为合法域名;若检测结果为结果A2,则确定该FQDN域名为钓鱼域名。
接下来对方式二进行说明。
在方式二中,包括步骤B和步骤A,该步骤A与方式一中的处理方式相同,具体请参考方式一的说明,在方式二中不再赘述。
在方式二中,步骤B为确定该FQDN域名的顶级域名是否为顶级域名白名单中的白顶级域名,可以根据步骤B的确定结果,确定FQDN域名是否为钓鱼域名。
在本发明实施例中,根据确定结果确定FQDN域名是否为钓鱼域名时,可以与步骤A中的检测结果进行综合分析。
若步骤A中检测结果为存在,则不管步骤B的确定结果如何,均确定FQDN域名为钓鱼域名。
若步骤A中检测结果为不存在,则根据如下确定结果,确定FQDN域名是否为钓鱼域名。具体可以包括:
若确定所述FQDN域名的顶级域名不为所述顶级域名白名单中的白顶级域名,则将所述FQDN域名确定为可疑域名;
若确定所述FQDN域名的顶级域名为所述顶级域名白名单中的白顶级域名,进一步确定所述FQDN域名中是否包括二级域名;
若不包括,则确定所述FQDN域名为合法域名;
若包括,则可以进一步判断FQDN域名的二级域名是否为预设二级白名单中的白二级域名,根据判断结果,确定所述FQDN域名是否为钓鱼域名。
为判断FQDN域名的二级域名是否为预设二级域名白名单中的白二级域名,需要预先获取二级域名白名单,该二级域名白名单中包括多个白二级域名。比如,白二级域名为.ac、.zh等。
具体地,在根据判断结果,确定所述FQDN域名是否为钓鱼域名时,可以包括:若所述FQDN域名的二级域名不为预设二级域名白名单中的白二级域名,则将所述FQDN域名确定为可疑域名;若所述FQDN域名的二级域名为预设二级域名白名单中的白二级域名,则所述FQDN域名确定为合法域名。
在本发明一个实施例中,当确定FQDN域名为可疑域名之后,可以基于现有技术的分析方式对该FQDN域名进行进一步分析。
以上完成了对FQDN域名检测方式的说明,可见,本实施例能够对伪装为合法域名的钓鱼域名进行检测。
如图3、图4所示,本发明实施例提供了一种FQDN域名检测装置。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言,如图3所示,为本发明实施例提供的一种FQDN域名检测装置所在计算设备的一种硬件架构图,除了图3所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的计算设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等。以软件实现为例,如图4所示,作为一个逻辑意义上的装置,是通过其所在计算设备的CPU将非易失性存储器中对应的计算机程序读取到内存中运行形成的。本实施例提供的一种FQDN域名检测装置,包括:域名确定单元401、域名检测单元402和结果确定单元403;
所述域名确定单元401,用于确定待检测的FQDN域名;
所述域名检测单元402,用于检测所述FQDN域名中除顶级域名之外的剩余字符中,是否存在预设顶级域名白名单中的白顶级域名,若检测结果为存在,则触发所述结果确定单元403输出确定该FQDN域名为钓鱼域名的结果。
在本发明一个实施例中,若所述检测结果为不存在;
所述域名检测单元402,还用于确定所述FQDN域名的顶级域名是否为所述顶级域名白名单中的白顶级域名;
所述结果确定单元403,还用于根据所述域名检测单元402的确定结果,确定所述FQDN域名是否为钓鱼域名。
在本发明一个实施例中,所述结果确定单元403,还用于若确定所述FQDN域名的顶级域名不为所述顶级域名白名单中的白顶级域名,则将所述FQDN域名确定为可疑域名;若确定所述FQDN域名的顶级域名为所述顶级域名白名单中的白顶级域名,则触发域名检测单元402进一步确定所述FQDN域名中是否包括二级域名,若包括,则判断所述FQDN域名的二级域名是否为预设二级域名白名单中的白二级域名,并将判断结果输出给结果确定单元403,以使所述结果确定单元403根据域名检测单元402的判断结果确定所述FQDN域名是否为钓鱼域名。
在本发明一个实施例中,所述结果确定单元403,具体用于若所述FQDN域名的二级域名不为预设二级域名白名单中的白二级域名,则将所述FQDN域名确定为可疑域名;若所述FQDN域名的二级域名为预设二级域名白名单中的白二级域名,则所述FQDN域名确定为合法域名。
在本发明一个实施例中,所述域名检测单元402,在检测该FQDN域名中除顶级域名之外的剩余字符中是否存在预设顶级域名白名单中的白顶级域名时,具体用于对所述FQDN域名中除顶级域名之外的剩余字符进行分割,得到分割后的若干个子项;确定该若干个子项中是否存在至少一个子项为所述顶级域名白名单中的白顶级域名。
在本发明一个实施例中,所述域名检测单元402,具体用于按照预设字符对该FQDN域名中除顶级域名之外的剩余字符进行分割;所述预设字符至少包括点分隔符。
在本发明一个实施例中,所述域名检测单元402,具体用于将该FQDN域名中所述剩余字符中的预设字符删除,得到连续字符串;并按照所述顶级域名白名单中的白顶级域名的字符长度,对所述连续字符串进行分割。
可以理解的是,本发明实施例示意的结构并不构成对一种FQDN域名检测装置的具体限定。在本发明的另一些实施例中,一种FQDN域名检测装置可以包括比图示更多或者更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
上述装置内的各模块之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
本发明实施例还提供了一种计算设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本发明任一实施例中的一种FQDN域名检测方法。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序在被处理器执行时,使所述处理器执行本发明任一实施例中的一种FQDN域名检测方法。
具体地,可以提供配有存储介质的系统或者装置,在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该系统或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。
在这种情况下,从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上下载程序代码。
此外,应该清楚的是,不仅可以通过执行计算机所读出的程序代码,而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作,从而实现上述实施例中任意一项实施例的功能。
此外,可以理解的是,将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展模块中设置的存储器中,随后基于程序代码的指令使安装在扩展板或者扩展模块上的CPU等来执行部分和全部实际操作,从而实现上述实施例中任一实施例的功能。
本发明各实施例至少具有如下有益效果:
1、在本发明一个实施例中,由于FQDN域名中肯定存在且只存在一个顶级域名,即FQDN域名中的最高层域名,若FQDN域名中除顶级域名之外的剩余字符中还存在顶级域名,则表明该FQDN域名是攻击者将剩余字符中存在的顶级域名作为合法外衣对其真正的顶级域名进行伪装的手段,从而达到欺骗用户的目的。可见,本方案通过对FQDN域名中除顶级域名之外的剩余字符中是否存在预设顶级域名白名单中的白顶级域名进行检测,从而实现对伪装为合法域名的钓鱼域名的检测。
2、在本发明一个实施例中,在访问FQDN域名之前,将该待访问的FQDN域名确定为待检测的FQDN域名,以对该FQDN域名进行钓鱼检测,若检测该FQDN域名为钓鱼域名禁止对该FQDN域名的访问或向用户进行告警,从而避免用户误访问该钓鱼域名,遭到钓鱼攻击,保证用户网络访问的安全性,提高用户体验。
3、在本发明一个实施例中,提前收集FQDN域名集合,将FQDN集合中的每一个FQDN域名确定为待检测的FQDN域名,通过将FQDN集合中的钓鱼域名形成钓鱼域名集合,当检测到用户访问的FQDN域名为钓鱼域名集合中的钓鱼域名时,则禁止对该FQDN域名的访问或向用户进行告警,从而避免用户误访问该钓鱼域名,遭到钓鱼攻击,保证用户网络访问的安全性,提高用户体验。并且,预先生成钓鱼域名集,在对FQDN域名进行钓鱼检测时,可以快速检测出用户访问的FQDN域名是否为钓鱼域名。
4、在本发明一个实施例中,在分割剩余字符时,除使用点分隔符进行分割以外,还可以进一步按照特殊字符对剩余字符进行分割,从而可以提高检测效率,避免攻击者伪装的钓鱼域名避开钓鱼检测。
5、在本发明一个实施例中,通过将剩余字符中的设定字符删除形成连续字符串,然后按照白顶级域名的字符长度对连续字符串进行分割,从而可以进一步提高检测效率,避免攻击者伪装的钓鱼域名避开钓鱼检测。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个…”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种FQDN域名检测方法,其特征在于,包括:
确定待检测的FQDN域名;
检测所述FQDN域名中除顶级域名之外的剩余字符中,是否存在预设顶级域名白名单中的白顶级域名;
若检测结果为存在,则确定该FQDN域名为钓鱼域名。
2.根据权利要求1所述的方法,其特征在于,若所述检测结果为不存在,所述方法还包括:
确定所述FQDN域名的顶级域名是否为所述顶级域名白名单中的白顶级域名;
根据确定结果,确定所述FQDN域名是否为钓鱼域名。
3.根据权利要求2所述的方法,其特征在于,所述根据确定结果,确定所述FQDN域名是否为钓鱼域名,包括:
若确定所述FQDN域名的顶级域名不为所述顶级域名白名单中的白顶级域名,则将所述FQDN域名确定为可疑域名;
若确定所述FQDN域名的顶级域名为所述顶级域名白名单中的白顶级域名,进一步确定所述FQDN域名中是否包括二级域名;
若不包括,则确定所述FQDN域名为合法域名;
若包括,则判断所述FQDN域名的二级域名是否为预设二级域名白名单中的白二级域名;
根据判断结果,确定所述FQDN域名是否为钓鱼域名。
4.根据权利要求3所述的方法,其特征在于,所述根据判断结果,确定所述FQDN域名是否为钓鱼域名,包括:
若所述FQDN域名的二级域名不为预设二级域名白名单中的白二级域名,则将所述FQDN域名确定为可疑域名;
若所述FQDN域名的二级域名为预设二级域名白名单中的白二级域名,则所述FQDN域名确定为合法域名。
5.根据权利要求1-4中任一所述的方法,其特征在于,所述检测该FQDN域名中除顶级域名之外的剩余字符中,是否存在预设顶级域名白名单中的白顶级域名,包括:
对该FQDN域名中除顶级域名之外的剩余字符进行分割,得到分割后的若干个子项;
确定所述若干个子项中是否存在至少一个子项为所述顶级域名白名单中的白顶级域名。
6.根据权利要求5所述的方法,其特征在于,按照预设字符对该FQDN域名中除顶级域名之外的剩余字符进行分割;所述预设字符至少包括点分隔符。
7.根据权利要求5所述的方法,其特征在于,
在所述对该FQDN域名中除顶级域名之外的剩余字符进行分割之前,还包括:将该FQDN域名中所述剩余字符中的预设字符删除,得到连续字符串;
所述对该FQDN域名中除顶级域名之外的剩余字符进行分割,包括:按照所述顶级域名白名单中的白顶级域名的字符长度,对所述连续字符串进行分割。
8.一种FQDN域名检测装置,其特征在于,包括:域名确定单元、域名检测单元和结果确定单元;
所述域名确定单元,用于确定待检测的FQDN域名;
所述域名检测单元,用于检测所述FQDN域名中除顶级域名之外的剩余字符中,是否存在预设顶级域名白名单中的白顶级域名,若检测结果为存在,则触发所述结果确定单元输出确定该FQDN域名为钓鱼域名的结果。
9.一种计算设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现如权利要求1-7中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行权利要求1-7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111383088.6A CN114095252B (zh) | 2021-11-22 | 2021-11-22 | Fqdn域名检测方法、装置、计算设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111383088.6A CN114095252B (zh) | 2021-11-22 | 2021-11-22 | Fqdn域名检测方法、装置、计算设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114095252A true CN114095252A (zh) | 2022-02-25 |
| CN114095252B CN114095252B (zh) | 2023-09-05 |
Family
ID=80302584
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111383088.6A Active CN114095252B (zh) | 2021-11-22 | 2021-11-22 | Fqdn域名检测方法、装置、计算设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114095252B (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050210149A1 (en) * | 2004-03-03 | 2005-09-22 | Kimball Jordan L | Method, system, and computer useable medium to facilitate name preservation across an unrestricted set of TLDS |
| US20120203904A1 (en) * | 2011-02-07 | 2012-08-09 | F-Secure Corporation | Controlling Internet Access Using DNS Root Server Reputation |
| CN104077396A (zh) * | 2014-07-01 | 2014-10-01 | 清华大学深圳研究生院 | 一种钓鱼网站检测方法及装置 |
| US20150326606A1 (en) * | 2012-06-28 | 2015-11-12 | Beijing Qihoo Technology Company Limited | System and method for identifying phishing website |
| US20170331830A1 (en) * | 2012-10-25 | 2017-11-16 | Beijing Qihoo Technology Company Limited | Method And Apparatus For Determining Phishing Website |
| WO2020110109A1 (en) * | 2018-11-26 | 2020-06-04 | Cyberfish Ltd. | Phishing protection methods and systems |
| CN111753223A (zh) * | 2020-06-09 | 2020-10-09 | 北京天空卫士网络安全技术有限公司 | 一种访问控制的方法和装置 |
| CN113556347A (zh) * | 2021-07-22 | 2021-10-26 | 深信服科技股份有限公司 | 一种钓鱼邮件的检测方法、装置、设备及存储介质 |
-
2021
- 2021-11-22 CN CN202111383088.6A patent/CN114095252B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050210149A1 (en) * | 2004-03-03 | 2005-09-22 | Kimball Jordan L | Method, system, and computer useable medium to facilitate name preservation across an unrestricted set of TLDS |
| US20120203904A1 (en) * | 2011-02-07 | 2012-08-09 | F-Secure Corporation | Controlling Internet Access Using DNS Root Server Reputation |
| US20150326606A1 (en) * | 2012-06-28 | 2015-11-12 | Beijing Qihoo Technology Company Limited | System and method for identifying phishing website |
| US20170331830A1 (en) * | 2012-10-25 | 2017-11-16 | Beijing Qihoo Technology Company Limited | Method And Apparatus For Determining Phishing Website |
| CN104077396A (zh) * | 2014-07-01 | 2014-10-01 | 清华大学深圳研究生院 | 一种钓鱼网站检测方法及装置 |
| WO2020110109A1 (en) * | 2018-11-26 | 2020-06-04 | Cyberfish Ltd. | Phishing protection methods and systems |
| CN111753223A (zh) * | 2020-06-09 | 2020-10-09 | 北京天空卫士网络安全技术有限公司 | 一种访问控制的方法和装置 |
| CN113556347A (zh) * | 2021-07-22 | 2021-10-26 | 深信服科技股份有限公司 | 一种钓鱼邮件的检测方法、装置、设备及存储介质 |
Non-Patent Citations (5)
| Title |
|---|
| CSDN资讯: "投毒、伪装、攻击,DNS 欺骗和钓鱼网站如何一步步诱人掉入陷阱?", 《HTTPS://BLOG.CSDN.NET/CSDNNEWS/ARTICLE/DETAILS/104368475》 * |
| EBUBEKIR BUBER: "Feature selections for the machine learning based detection of phishing websites", 《IEEE》 * |
| 丁岩;努尔布力;: "基于URL混淆技术识别的钓鱼网页检测方法", 计算机工程与应用, no. 20 * |
| 闫广华: "利用机器学习与深度学习发现APT攻击中的可疑行为", 《中国优秀硕士学位论文全文数据库》 * |
| 魏琴芳;李林乐;张峰;胡向东;: "一种安卓系统手机恶意软件链接串行联合检测方法", 重庆邮电大学学报(自然科学版), no. 02 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114095252B (zh) | 2023-09-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Kintis et al. | Hiding in plain sight: A longitudinal study of combosquatting abuse | |
| US9178901B2 (en) | Malicious uniform resource locator detection | |
| Marchal et al. | PhishStorm: Detecting phishing with streaming analytics | |
| CN107666490B (zh) | 一种可疑域名检测方法及装置 | |
| US9123027B2 (en) | Social engineering protection appliance | |
| US8769684B2 (en) | Methods, systems, and media for masquerade attack detection by monitoring computer user behavior | |
| US20130263263A1 (en) | Web element spoofing prevention system and method | |
| Das Guptta et al. | Modeling hybrid feature-based phishing websites detection using machine learning techniques | |
| WO2015096528A1 (zh) | 网络购物环境安全性检测方法及装置 | |
| US8719352B2 (en) | Reputation management for network content classification | |
| KR20090019451A (ko) | 피싱 및 파밍 알림 방법 및 장치 | |
| CN111726364B (zh) | 一种主机入侵防范方法、系统及相关装置 | |
| Ramesh et al. | Identification of phishing webpages and its target domains by analyzing the feign relationship | |
| US20220174092A1 (en) | Detection of impersonated web pages and other impersonation methods for web-based cyber threats | |
| Geng et al. | Combating phishing attacks via brand identity and authorization features | |
| CN112751804B (zh) | 一种仿冒域名的识别方法、装置和设备 | |
| JP4564916B2 (ja) | フィッシング詐欺対策方法、端末、サーバ及びプログラム | |
| Liu et al. | Learning based malicious web sites detection using suspicious URLs | |
| TW202145760A (zh) | 域名系統中惡意域名的偵測方法與偵測裝置 | |
| CN110837646A (zh) | 一种非结构化数据库的风险排查装置 | |
| CN114095252A (zh) | Fqdn域名检测方法、装置、计算设备及存储介质 | |
| CN113852625B (zh) | 一种弱口令监测方法、装置、设备及存储介质 | |
| Marchal | DNS and semantic analysis for phishing detection | |
| Jo et al. | You're not who you claim to be: Website identity check for phishing detection | |
| CN109660499A (zh) | 攻击拦截方法和装置、计算设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |