CN114301696A - 恶意域名检测方法、装置、计算机设备及存储介质 - Google Patents
恶意域名检测方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN114301696A CN114301696A CN202111648883.3A CN202111648883A CN114301696A CN 114301696 A CN114301696 A CN 114301696A CN 202111648883 A CN202111648883 A CN 202111648883A CN 114301696 A CN114301696 A CN 114301696A
- Authority
- CN
- China
- Prior art keywords
- domain name
- dns
- dns domain
- gateway equipment
- intelligence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 45
- 238000000034 method Methods 0.000 claims abstract description 41
- 230000010365 information processing Effects 0.000 claims abstract description 14
- 238000012545 processing Methods 0.000 claims description 25
- 230000000903 blocking effect Effects 0.000 claims description 5
- 230000008569 process Effects 0.000 description 16
- 238000004891 communication Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Abstract
本申请提供一种恶意域名检测方法、装置、计算机设备及存储介质,其中,恶意域名检测方法包括网关设备获取云端发送的第一情报库并基于第一情报库更新网关设备的本地情报库,并得到第二情报库,网关设备获取流经网关的第一dns请求报文;网关设备解析第一dns请求报文并得到第一dns域名;网关设备将第一dns域名与第二情报库进行匹配,若第一dns域名命中第二情报库,则确定第一dns域名为恶意域名,其中,云端的第一情报库为威胁情报处理系统基于历史域名的优先级生成,历史域名的优先级为威胁情报处理系统基于第一域名攻击表和第二dns域名攻击表统计得到。本申请至少能够提高网关设备的本地情报库对恶意域名的命中率。
Description
技术领域
本申请涉及网络通信和网络安全领域,具体而言,涉及一种恶意域名检测方法、装置、计算机设备及存储介质。
背景技术
随着网络服务的日益发展,域名系统(domain name system,DNS)已成为当今互联网中重要的基础核心服务之一,负责提供统一的域名地址空间映射服务,主要将易于人类记忆的域名解析为易于机器识别的IP地址。然而,伴随着域名系统提供正常服务的同时,恶意域名类的威胁越来越普遍,使得传统的安全技术难以抵御,建立可以有效对抗此类威胁的防御和检测体系成为当前网络安全最迫切的工作。
目前,主要通过对dns域名进行恶意检测,然而这种检测方式所依赖的情报库无法实时更新,进而具有命中率低的缺点。
发明内容
本申请实施例的目的在于提供一种恶意域名检测方法、装置、计算机设备及存储介质,至少用以提高网关设备的本地情报库对恶意域名的命中率。
为此本申请第一方面公开一种恶意域名检测方法,所述方法应用于恶意域名检测系统中,所述恶意域名检测系统包括网关设备、云端和威胁情报处理子系统,所述方法包括:
所述网关设备获取所述云端发送的第一情报库并基于所述第一情报库更新所述网关设备的本地情报库,并得到第二情报库,其中,所述云端的所述第一情报库为威胁情报处理系统基于历史域名的优先级生成,所述历史域名的优先级为所述威胁情报处理系统基于第一域名攻击表和第二dns域名攻击表统计得到;
所述网关设备获取流经网关的第一dns请求报文;
所述网关设备解析所述第一dns请求报文并得到第一dns域名;
所述网关设备将所述第一dns域名与所述第二情报库进行匹配,若所述第一dns域名命中所述第二情报库,则确定所述第一dns域名为恶意域名。
在本申请第一方面中,作为一种可选的实施方式,在所述网关设备获取云端发送的第一情报库并基于所述第一情报库更新所述网关设备的本地情报库之前,所述方法还包括:
所述网关设备获取流经所述网络的第二dns请求报文;
所述网关设备解析所述第二dns请求报文并得到第二dns域名;
所述网关设备将所述第二dns域名与所述网关设备的本地情报库进行匹配,若所述网关设备的本地情报库命中所述第二dns域名,则在所述第一域名攻击表中记录所述第二dns域名和第二dns域名的命中次数;
当所述网关设备的本地情报库未命中所述第二dns域名时,所述网关设备将所述第二dns域名发送至所述云端,所述云端将所述第二dns域名与云端的完整情报库进行匹配,若所述云端的完整情报库命中所述第二dns域名,则在所述第二dns域名攻击表中记录所述第二dns域名和所述第二dns域名的命中次数;
所述威胁情报处理子系统获取所述第一域名攻击表和所述第二dns域名攻击表;
所述威胁情报处理子系统基于所述第一域名攻击表和所述第二dns域名攻击表生成所述第一情报库。
在本申请第一方面中,作为一种可选的实施方式,所述威胁情报处理子系统基于所述第一域名攻击表和所述第二dns域名攻击表生成所述第一情报库,包括:
所述威胁情报处理子系统基于所述第一域名攻击表和所述第二dns域名攻击表确定统计所述第二dns域名的命中次数;
所述威胁情报处理子系统基于所述第二dns域名的命中次数确定所述第二dns域名的优先级;
所述威胁情报处理子系统基于所述第二dns域名的优先级,生成所述第一情报库。
在本申请第一方面中,作为一种可选的实施方式,所述网关设备将所述第二dns域名与所述网关设备的本地情报库进行匹配,包括:
所述网关设备根据所述第二dns域名和所述第二dns域名的长度计算所述第二dns域名的哈希值;
所述网关设备获取所述本地情报库的哈希表;
所述网关设备将所述第二dns域名的哈希值作为第一索引,在所述哈希表中查询所述第一索引对应的域名字符串;
所述网关设备判断所述域名字符串与所述第二dns域名是否相同,若所述域名字符串与所述第二dns域名相同,则确定所述本地情报库命中所述第二dns域名。
在本申请第一方面中,作为一种可选的实施方式,所述网关设备将所述第一dns域名与所述第二情报库进行匹配,包括:
所述网关设备根据所述第一dns域名和所述第一dns域名的长度计算所述第一dns域名的哈希值;
所述网关设备获取所述第二情报库的哈希表;
所述网关设备将所述第一dns域名的哈希值作为第二索引,在所述哈希表中查询所述第二索引对应的域名字符串;
所述网关设备判断所述域名字符串与所述第一dns域名是否相同,若所述域名字符串与所述第一dns域名相同,则确定所述第二情报库命中所述第一dns域名。
在本申请第一方面中,作为一种可选的实施方式,在所述网关设备解析所述第一dns请求报文并得到第一dns域名之后,所述网关设备将所述第一dns域名与所述第二情报库进行匹配之前,所述方法还包括:
所述网关设备将所述第一dns域名与域名白名单进行匹配,若所述域名白名单命中所述第一dns域名,则所述网关设备不执行将所述第一dns域名与所述第二情报库进行匹配。
在本申请第一方面中,作为一种可选的实施方式,在所述网关设备将所述第一dns域名与所述第二情报库进行匹配之后,所述方法还包括:
当所述第一dns域名为恶意域名时,所述网关设备基于阻断策略或告警策略对所述第一dns域名进行阻断或告警。
本申请第二方面公开一种恶意域名检测装置,其应用于恶意域名检测系统中,所述恶意域名检测系统包括网关设备、云端和威胁情报处理子系统,所述装置包括:
发送模块,所述发送模块设置在所述网关设备中,用于获取所述云端发送的第一情报库并基于所述第一情报库更新所述网关设备的本地情报库,并得到第二情报库,其中,所述云端的所述第一情报库为威胁情报处理系统基于历史域名的优先级生成,所述历史域名为所述威胁情报处理系统基于第一域名攻击表和第二dns域名攻击表统计得到;
获取模块,所述获取模块设置在所述网关设备中,用于获取流经网关的第一dns请求报文;
报文解析模块,所述报文解析模块,设置在所述网关设备中,用于解析所述第一dns请求报文并得到第一dns域名;
匹配模块,所述匹配模块设置在所述网关设备中,用于将所述第一dns域名与所述第二情报库进行匹配,若所述第一dns域名命中所述第二情报库,则确定所述第一dns域名为恶意域名。
本申请第三方面公开一种计算机设备,所述设备包括:
存储有可执行程序代码的存储器;
与所述存储器耦合的处理器;
所述处理器调用所述存储器中存储的所述可执行程序代码,执行如本申请第一方面的恶意域名检测方法。
本申请第四方面公开一种存储介质,所述存储介质存储有计算机指令,所述计算机指令被调用时,用于执行本申请第一方面的恶意域名检测方法。
与现有技术相比,本申请具有如下有益技术效果:
本申请通过执行恶意域名检测方法,能够通过云端发送的第一情报库更新网关设备的本地情报库,其中,第一情报库是基于历史域名的优先级生成,例如,假设历史域名A的优先级高于历史域名B的优先级,此时,就可将历史域名A放入第一情报库中,进而更新本地情报库,这样一来,就能够在判断第一dns域名过程中,基于更新本地情报库而得到的第二情报库确定第一dns域名为恶意域名,其中,由于历史域名A的优先级高,其被命中的概率越高,也就是说在判断第一dns域名过程中,可将第一dns域名与被命中的概率高的域名进行匹配,即可提高第二情报库的命中概率,例如,假设本地情报库在没有更新前,有历史域名B,此时将第一dns域名与历史域名B进行匹配,由于历史域名B被命中的概率低,进而导致本地情报库的命中率低,而更新得到的第二情报库由于具备了命中率高的历史域名A,其能够命中的概率就越高。
实施例四
本申请实施例公开一种存储介质,存储介质存储有计算机指令,计算机指令被调用时,用于执行本申请实施例一的恶意域名检测方法。
本申请实施例的存储介质通过执行恶意域名检测方法,能够通过云端发送的第一情报库更新网关设备的本地情报库,其中,第一情报库是基于历史域名的优先级生成,例如,假设历史域名A的优先级高于历史域名B的优先级,此时,就可将历史域名A放入第一情报库中,进而更新本地情报库,这样一来,就能够在判断第一dns域名过程中,基于更新本地情报库而得到的第二情报库确定第一dns域名为恶意域名,其中,由于历史域名A的优先级高,其被命中的概率越高,也就是说在判断第一dns域名过程中,可将第一dns域名与被命中的概率高的域名进行匹配,即可提高第二情报库的命中概率,例如,假设本地情报库在没有更新前,有历史域名B,此时将第一dns域名与历史域名B进行匹配,由于历史域名B被命中的概率低,进而导致本地情报库的命中率,而更新得到的第二情报库由于具备了命中率高的历史域名A,其能够命中的概率就越高。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1是本申请实施例公开的一种恶意域名检测方法的流程示意图;
图2是本申请实施例公开的一种恶意域名检测装置的结构示意图;
图3是本申请实施例公开的一种计算机设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
实施例一
请参阅图1,图1是本申请实施例公开的一种恶意域名检测方法的流程示意图,其中,该方法应用于恶意域名检测系统中,恶意域名检测系统包括网关设备、云端和威胁情报处理子系统。如图1所示,本申请实施例的方法包括以下步骤:
101、网关设备获取云端发送的第一情报库并基于第一情报库更新网关设备的本地情报库,并得到第二情报库,其中,云端的第一情报库为威胁情报处理系统基于历史域名的优先级生成,历史域名的优先级为威胁情报处理系统基于第一域名攻击表和第二dns域名攻击表统计得到;
102、网关设备获取流经网关的第一dns请求报文;
103、网关设备解析第一dns请求报文并得到第一dns域名;
104、网关设备将第一dns域名与第二情报库进行匹配,若第一dns域名命中第二情报库,则确定第一dns域名为恶意域名。
在本申请实施例中,通过云端发送的第一情报库可更新网关设备的本地情报库,其中,第一情报库是基于历史域名的优先级生成,例如,假设历史域名A的优先级高于历史域名B的优先级,此时,就可将历史域名A放入第一情报库中,进而更新本地情报库,这样一来,就能够在判断第一dns域名过程中,基于更新本地情报库而得到的第二情报库确定第一dns域名为恶意域名,其中,由于历史域名A的优先级高,其被命中的概率越高,也就是说在判断第一dns域名过程中,可将第一dns域名与被命中的概率高的域名进行匹配,即可提高第二情报库的命中概率,例如,假设本地情报库在没有更新前,有历史域名B,此时将第一dns域名与历史域名B进行匹配,由于历史域名B被命中的概率低,进而导致本地情报库的命中率,而更新得到的第二情报库由于具备了命中率高的历史域名A,其能够命中的概率就越高。
需要说明的是,第二情报库指的是更新后的本地情报库。
在本申请实施例中,作为一种可选的实施方式,在步骤101:网关设备获取云端发送的第一情报库并基于第一情报库更新网关设备的本地情报库之前,本申请实施例的方法还包括以下步骤:
网关设备获取流经网络的第二dns请求报文;
网关设备解析第二dns请求报文并得到第二dns域名;
网关设备将第二dns域名与网关设备的本地情报库进行匹配,若网关设备的本地情报库命中第二dns域名,则在第一域名攻击表中记录第二dns域名和第二dns域名的命中次数;
当网关设备的本地情报库未命中第二dns域名时,网关设备将第二dns域名发送至云端,云端将第二dns域名与云端的完整情报库进行匹配,若云端的完整情报库命中第二dns域名,则在第二dns域名攻击表中记录第二dns域名和第二dns域名的命中次数;
威胁情报处理子系统获取第一域名攻击表和第二dns域名攻击表;
威胁情报处理子系统基于第一域名攻击表和第二dns域名攻击表生成第一情报库。
在本可选的实施方式中,作为一个示例,假设有两个第二dns域名,即域名A和域名B,此时在第一轮检测过程,如果域名A被本地情报库命中、域名B没有被命中,则在第一域名攻击表中,将域名A的攻击次数修改为5次,而保持域名B的攻击次数为4次,进一步地,当在第二轮检测过程,如果域名A没有被命中,而域名B被命中,则此时在第一域名攻击表中,将域名A的攻击次数此时保持为5次,而将域名B的攻击次数修改为5次。
相应地,假设在第一轮检测过程中,域名A被云端的完整情报库命中,而域名B没有被命中,则可在第二域名攻击表中,将域名A的攻击次数修改为1次,而保持域名B的攻击次数为1次,而在第二检测过程中,如果域名B被命中,而域名A没有被命中,则在第二域名攻击表中,将域名B的攻击次数修改为2次,而保持域名A的攻击此时为1次。
在本申请实施例中,作为一种可选的实施方式,威胁情报处理子系统基于第一域名攻击表和第二dns域名攻击表生成第一情报库,包括以下子步骤:
威胁情报处理子系统基于第一域名攻击表和第二dns域名攻击表确定统计第二dns域名的命中次数;
威胁情报处理子系统基于第二dns域名的命中次数确定第二dns域名的优先级;
威胁情报处理子系统基于第二dns域名的优先级,生成第一情报库。
在本可选的实施方式,作为一个示例,威胁情报处理子系统统计域名A在第一域名攻击表中的攻击次数和域名A在第二域名功攻击表中的攻击次数,得到域名A的攻击次数为5次,而统计域名B在第一域名攻击表中的攻击次数和域名B在第二域名功攻击表中的攻击次数,得到域名B的攻击次数为7次,此时,域名B和域名A均大于未被匹配成功域名C(域名C的攻击次数为0),因此,域名B与域名A的优先级大于域名C,进而可将域名B和域名A放入第一情报库中。进一步地,基于第一情报更新网关设备的本地情报库过程中,可将域名A和域名B加入到本地情报库中(假设),并得到含有域名A和域名B的第二情报库。
进一步地,在基于第一情报更新网关设备的本地情报库过程中,如果本地情报库原存储有域名C,然而经过统计域名C的攻击次数为0,则说明域名C被命中的概率相对于域名A、域名B或其他攻击次数较多的域名而言,其命中概率低,进而为了精简本地情报库,可将域名C从本地情报库中删除,从而得到不包含域名C的第一情报库。
在本申请实施例中,作为一种可选的实施方式,步骤:网关设备将第二dns域名与网关设备的本地情报库进行匹配,包括以下步骤:
网关设备根据第二dns域名和第二dns域名的长度计算第二dns域名的哈希值;
网关设备获取本地情报库的哈希表;
网关设备将第二dns域名的哈希值作为第一索引,在哈希表中查询第一索引对应的域名字符串;
网关设备判断域名字符串与第二dns域名是否相同,若域名字符串与第二dns域名相同,则确定本地情报库命中第二dns域名。
在本可选的实施方式中,通过第二dns域名的长度计算第二dns域名的哈希值,进而能够基于第二dns域名的哈希值判断是否被本地情报库命中。
在本申请实施例中,作为一种可选的实施方式,步骤104:网关设备将第一dns域名与第二情报库进行匹配,包括以下子步骤:
网关设备根据第一dns域名和第一dns域名的长度计算第一dns域名的哈希值;
网关设备获取第二情报库的哈希表;
网关设备将第一dns域名的哈希值作为第二索引,在哈希表中查询第二索引对应的域名字符串;
网关设备判断域名字符串与第一dns域名是否相同,若域名字符串与第一dns域名相同,则确定第二情报库命中第一dns域名。
在本可选的实施方式中,通过第一dns域名的长度计算第一dns域名的哈希值,进而能够基于第一dns域名的哈希值判断是否被第二情报库命中。
在本申请实施例中,作为一种可选的实施方式,在步骤103:网关设备解析第一dns请求报文并得到第一dns域名之后,步骤104:网关设备将第一dns域名与第二情报库进行匹配之前,本申请实施例的方法还包括以下步骤:
网关设备将第一dns域名与域名白名单进行匹配,若域名白名单命中第一dns域名,则网关设备不执行将第一dns域名与第二情报库进行匹配。
本可选的实施方式通过第一dns域名与域名白名单进行匹配,能够排除被白名单命中的dns域名。
在本申请实施例中,作为一种可选的实施方式,在步骤104:网关设备将第一dns域名与第二情报库进行匹配之后,本申请实施例方法还包括以下步骤:
当第一dns域名为恶意域名时,网关设备基于阻断策略或告警策略对第一dns域名进行阻断或告警。
本可选的实施方式通过阻断策略或告警策略对第一dns域名进行阻断或告警,能够降低恶意域名造成的破坏。
实施例二
请参阅图2,图2是本申请实施例公开的一种恶意域名检测装置的结构示意图,其中,该装置应用于恶意域名检测系统中,恶意域名检测系统包括网关设备、云端和威胁情报处理子系统。如图2所示,本申请实施例的装置包括以下功能模块:
发送模块201,发送模块设置在网关设备中,用于获取云端发送的第一情报库并基于第一情报库更新网关设备的本地情报库,并得到第二情报库,其中,云端的第一情报库为威胁情报处理系统基于历史域名的优先级生成,历史域名为威胁情报处理系统基于第一域名攻击表和第二dns域名攻击表统计得到;
获取模块202,获取模块设置在网关设备中,用于获取流经网关的第一dns请求报文;
报文解析模203,报文解析模块,设置在网关设备中,用于解析第一dns请求报文并得到第一dns域名;
匹配模块204,匹配模块设置在所网关设备中,用于将第一dns域名与第二情报库进行匹配,若第一dns域名命中第二情报库,则确定第一dns域名为恶意域名。
本申请实施例的装置通过云端发送的第一情报库可更新网关设备的本地情报库,其中,第一情报库是基于历史域名的优先级生成,例如,假设历史域名A的优先级高于历史域名B的优先级,此时,就可将历史域名A放入第一情报库中,进而更新本地情报库,这样一来,就能够在判断第一dns域名过程中,基于更新本地情报库而得到的第二情报库确定第一dns域名为恶意域名,其中,由于历史域名A的优先级高,其被命中的概率越高,也就是说在判断第一dns域名过程中,可将第一dns域名与被命中的概率高的域名进行匹配,即可提高第二情报库的命中概率,例如,假设本地情报库在没有更新前,有历史域名B,此时将第一dns域名与历史域名B进行匹配,由于历史域名B被命中的概率低,进而导致本地情报库的命中率,而更新得到的第二情报库由于具备了命中率高的历史域名A,其能够命中的概率就越高。
实施例三
请参阅图3,图3是本申请实施例公开的一种计算机设备的结构示意图。如图3所示,本申请实施例的设备包括:
存储有可执行程序代码的存储器301;
与存储器301耦合的处理器302;
处理器302调用存储器301中存储的可执行程序代码,执行如本申请实施例一的恶意域名检测方法。
本申请实施例的计算机设备通过执行恶意域名检测方法,能够通过云端发送的第一情报库更新网关设备的本地情报库,其中,第一情报库是基于历史域名的优先级生成,例如,假设历史域名A的优先级高于历史域名B的优先级,此时,就可将历史域名A放入第一情报库中,进而更新本地情报库,这样一来,就能够在判断第一dns域名过程中,基于更新本地情报库而得到的第二情报库确定第一dns域名为恶意域名,其中,由于历史域名A的优先级高,其被命中的概率越高,也就是说在判断第一dns域名过程中,可将第一dns域名与被命中的概率高的域名进行匹配,即可提高第二情报库的命中概率,例如,假设本地情报库在没有更新前,有历史域名B,此时将第一dns域名与历史域名B进行匹配,由于历史域名B被命中的概率低,进而导致本地情报库的命中率,而更新得到的第二情报库由于具备了命中率高的历史域名A,其能够命中的概率就越高。
实施例四
本申请实施例公开一种存储介质,存储介质存储有计算机指令,计算机指令被调用时,用于执行本申请实施例一的恶意域名检测方法。
本申请实施例的存储介质通过执行恶意域名检测方法,能够通过云端发送的第一情报库更新网关设备的本地情报库,其中,第一情报库是基于历史域名的优先级生成,例如,假设历史域名A的优先级高于历史域名B的优先级,此时,就可将历史域名A放入第一情报库中,进而更新本地情报库,这样一来,就能够在判断第一dns域名过程中,基于更新本地情报库而得到的第二情报库确定第一dns域名为恶意域名,其中,由于历史域名A的优先级高,其被命中的概率越高,也就是说在判断第一dns域名过程中,可将第一dns域名与被命中的概率高的域名进行匹配,即可提高第二情报库的命中概率,例如,假设本地情报库在没有更新前,有历史域名B,此时将第一dns域名与历史域名B进行匹配,由于历史域名B被命中的概率低,进而导致本地情报库的命中率,而更新得到的第二情报库由于具备了命中率高的历史域名A,其能够命中的概率就越高。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
需要说明的是,功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种恶意域名检测方法,其特征在于,所述方法应用于恶意域名检测系统中,所述恶意域名检测系统包括网关设备、云端和威胁情报处理子系统,所述方法包括:
所述网关设备获取所述云端发送的第一情报库并基于所述第一情报库更新所述网关设备的本地情报库,并得到第二情报库,其中,所述云端的所述第一情报库为威胁情报处理系统基于历史域名的优先级生成,所述历史域名的优先级为所述威胁情报处理系统基于第一域名攻击表和第二dns域名攻击表统计得到;
所述网关设备获取流经网关的第一dns请求报文;
所述网关设备解析所述第一dns请求报文并得到第一dns域名;
所述网关设备将所述第一dns域名与所述第二情报库进行匹配,若所述第一dns域名命中所述第二情报库,则确定所述第一dns域名为恶意域名。
2.如权利要求1所述的方法,其特征在于,在所述网关设备获取云端发送的第一情报库并基于所述第一情报库更新所述网关设备的本地情报库之前,所述方法还包括:
所述网关设备获取流经所述网络的第二dns请求报文;
所述网关设备解析所述第二dns请求报文并得到第二dns域名;
所述网关设备将所述第二dns域名与所述网关设备的本地情报库进行匹配,若所述网关设备的本地情报库命中所述第二dns域名,则在所述第一域名攻击表中记录所述第二dns域名和第二dns域名的命中次数;
当所述网关设备的本地情报库未命中所述第二dns域名时,所述网关设备将所述第二dns域名发送至所述云端,所述云端将所述第二dns域名与云端的完整情报库进行匹配,若所述云端的完整情报库命中所述第二dns域名,则在所述第二dns域名攻击表中记录所述第二dns域名和所述第二dns域名的命中次数;
所述威胁情报处理子系统获取所述第一域名攻击表和所述第二dns域名攻击表;
所述威胁情报处理子系统基于所述第一域名攻击表和所述第二dns域名攻击表生成所述第一情报库。
3.如权利要求2所述的方法,其特征在于,所述威胁情报处理子系统基于所述第一域名攻击表和所述第二dns域名攻击表生成所述第一情报库,包括:
所述威胁情报处理子系统基于所述第一域名攻击表和所述第二dns域名攻击表确定统计所述第二dns域名的命中次数;
所述威胁情报处理子系统基于所述第二dns域名的命中次数确定所述第二dns域名的优先级;
所述威胁情报处理子系统基于所述第二dns域名的优先级,生成所述第一情报库。
4.如权利要求2所述的方法,其特征在于,所述网关设备将所述第二dns域名与所述网关设备的本地情报库进行匹配,包括:
所述网关设备根据所述第二dns域名和所述第二dns域名的长度计算所述第二dns域名的哈希值;
所述网关设备获取所述本地情报库的哈希表;
所述网关设备将所述第二dns域名的哈希值作为第一索引,在所述哈希表中查询所述第一索引对应的域名字符串;
所述网关设备判断所述域名字符串与所述第二dns域名是否相同,若所述域名字符串与所述第二dns域名相同,则确定所述本地情报库命中所述第二dns域名。
5.如权利要求1所述的方法,其特征在于,所述网关设备将所述第一dns域名与所述第二情报库进行匹配,包括:
所述网关设备根据所述第一dns域名和所述第一dns域名的长度计算所述第一dns域名的哈希值;
所述网关设备获取所述第二情报库的哈希表;
所述网关设备将所述第一dns域名的哈希值作为第二索引,在所述哈希表中查询所述第二索引对应的域名字符串;
所述网关设备判断所述域名字符串与所述第一dns域名是否相同,若所述域名字符串与所述第一dns域名相同,则确定所述第二情报库命中所述第一dns域名。
6.如权利要求1所述的方法,其特征在于,在所述网关设备解析所述第一dns请求报文并得到第一dns域名之后,所述网关设备将所述第一dns域名与所述第二情报库进行匹配之前,所述方法还包括:
所述网关设备将所述第一dns域名与域名白名单进行匹配,若所述域名白名单命中所述第一dns域名,则所述网关设备不执行将所述第一dns域名与所述第二情报库进行匹配。
7.如权利要求1所述的方法,其特征在于,在所述网关设备将所述第一dns域名与所述第二情报库进行匹配之后,所述方法还包括:
当所述第一dns域名为恶意域名时,所述网关设备基于阻断策略或告警策略对所述第一dns域名进行阻断或告警。
8.一种恶意域名检测装置,其特征在于,所装置应用于恶意域名检测系统中,所述恶意域名检测系统包括网关设备、云端和威胁情报处理子系统,所述装置包括:
发送模块,所述发送模块设置在所述网关设备中,用于获取所述云端发送的第一情报库并基于所述第一情报库更新所述网关设备的本地情报库,并得到第二情报库,其中,所述云端的所述第一情报库为威胁情报处理系统基于历史域名的优先级生成,所述历史域名为所述威胁情报处理系统基于第一域名攻击表和第二dns域名攻击表统计得到;
获取模块,所述获取模块设置在所述网关设备中,用于获取流经网关的第一dns请求报文;
报文解析模块,所述报文解析模块,设置在所述网关设备中,用于解析所述第一dns请求报文并得到第一dns域名;
匹配模块,所述匹配模块设置在所述网关设备中,用于将所述第一dns域名与所述第二情报库进行匹配,若所述第一dns域名命中所述第二情报库,则确定所述第一dns域名为恶意域名。
9.一种计算机设备,其特征在于,所述设备包括:
存储有可执行程序代码的存储器;
与所述存储器耦合的处理器;
所述处理器调用所述存储器中存储的所述可执行程序代码,执行如权利要求1-7任一项所述的恶意域名检测方法。
10.一种存储介质,其特征在于,所述存储介质存储有计算机指令,所述计算机指令被调用时,用于执行如权利要求1-7任一项所述的恶意域名检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111648883.3A CN114301696B (zh) | 2021-12-30 | 2021-12-30 | 恶意域名检测方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111648883.3A CN114301696B (zh) | 2021-12-30 | 2021-12-30 | 恶意域名检测方法、装置、计算机设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114301696A true CN114301696A (zh) | 2022-04-08 |
| CN114301696B CN114301696B (zh) | 2023-12-01 |
Family
ID=80973445
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111648883.3A Active CN114301696B (zh) | 2021-12-30 | 2021-12-30 | 恶意域名检测方法、装置、计算机设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114301696B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117294527A (zh) * | 2023-11-22 | 2023-12-26 | 北京微步在线科技有限公司 | 一种攻击判定方法、装置、存储介质及设备 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100042622A1 (en) * | 2008-08-14 | 2010-02-18 | Yahoo! Inc. | System and method for compiling a set of domain names to recover |
| KR20150026187A (ko) * | 2013-09-02 | 2015-03-11 | 주식회사 베일리테크 | 드로퍼 판별을 위한 시스템 및 방법 |
| CN105024989A (zh) * | 2014-11-26 | 2015-11-04 | 哈尔滨安天科技股份有限公司 | 一种基于异常端口的恶意url启发式检测方法及系统 |
| CN105303109A (zh) * | 2015-09-22 | 2016-02-03 | 电子科技大学 | 一种恶意代码情报检测分析方法及系统 |
| CN106131016A (zh) * | 2016-07-13 | 2016-11-16 | 北京知道创宇信息技术有限公司 | 恶意url检测干预方法、系统及装置 |
| CN110535815A (zh) * | 2018-05-25 | 2019-12-03 | 网宿科技股份有限公司 | 一种识别url的方法和装置 |
| CN111737696A (zh) * | 2020-06-28 | 2020-10-02 | 杭州安恒信息技术股份有限公司 | 一种恶意文件检测的方法、系统、设备及可读存储介质 |
| WO2021109669A1 (zh) * | 2019-12-05 | 2021-06-10 | 华为技术有限公司 | 恶意域名访问的检测方法、装置及计算机可读存储介质 |
| CN113162953A (zh) * | 2021-06-09 | 2021-07-23 | 南京聚铭网络科技有限公司 | 网络威胁报文检测及溯源取证方法和装置 |
| CN113542442A (zh) * | 2020-04-21 | 2021-10-22 | 深信服科技股份有限公司 | 一种恶意域名检测方法、装置、设备及存储介质 |
| CN113726826A (zh) * | 2021-11-04 | 2021-11-30 | 北京微步在线科技有限公司 | 一种威胁情报生成方法及装置 |
-
2021
- 2021-12-30 CN CN202111648883.3A patent/CN114301696B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100042622A1 (en) * | 2008-08-14 | 2010-02-18 | Yahoo! Inc. | System and method for compiling a set of domain names to recover |
| KR20150026187A (ko) * | 2013-09-02 | 2015-03-11 | 주식회사 베일리테크 | 드로퍼 판별을 위한 시스템 및 방법 |
| CN105024989A (zh) * | 2014-11-26 | 2015-11-04 | 哈尔滨安天科技股份有限公司 | 一种基于异常端口的恶意url启发式检测方法及系统 |
| CN105303109A (zh) * | 2015-09-22 | 2016-02-03 | 电子科技大学 | 一种恶意代码情报检测分析方法及系统 |
| CN106131016A (zh) * | 2016-07-13 | 2016-11-16 | 北京知道创宇信息技术有限公司 | 恶意url检测干预方法、系统及装置 |
| CN110535815A (zh) * | 2018-05-25 | 2019-12-03 | 网宿科技股份有限公司 | 一种识别url的方法和装置 |
| WO2021109669A1 (zh) * | 2019-12-05 | 2021-06-10 | 华为技术有限公司 | 恶意域名访问的检测方法、装置及计算机可读存储介质 |
| CN113542442A (zh) * | 2020-04-21 | 2021-10-22 | 深信服科技股份有限公司 | 一种恶意域名检测方法、装置、设备及存储介质 |
| CN111737696A (zh) * | 2020-06-28 | 2020-10-02 | 杭州安恒信息技术股份有限公司 | 一种恶意文件检测的方法、系统、设备及可读存储介质 |
| CN113162953A (zh) * | 2021-06-09 | 2021-07-23 | 南京聚铭网络科技有限公司 | 网络威胁报文检测及溯源取证方法和装置 |
| CN113726826A (zh) * | 2021-11-04 | 2021-11-30 | 北京微步在线科技有限公司 | 一种威胁情报生成方法及装置 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117294527A (zh) * | 2023-11-22 | 2023-12-26 | 北京微步在线科技有限公司 | 一种攻击判定方法、装置、存储介质及设备 |
| CN117294527B (zh) * | 2023-11-22 | 2024-02-27 | 北京微步在线科技有限公司 | 一种攻击判定方法、装置、存储介质及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114301696B (zh) | 2023-12-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10867034B2 (en) | Method for detecting a cyber attack | |
| CA2840992C (en) | Syntactical fingerprinting | |
| CN109347827B (zh) | 网络攻击行为预测的方法、装置、设备及存储介质 | |
| CN107196895B (zh) | 网络攻击溯源实现方法及装置 | |
| WO2022083417A1 (zh) | 一种数据包处理方法、装置、电子设备、计算机可读存储介质以及计算机程序产品 | |
| CN111818103B (zh) | 一种网络靶场中基于流量的溯源攻击路径方法 | |
| CN113162953B (zh) | 网络威胁报文检测及溯源取证方法和装置 | |
| CN110650117B (zh) | 跨站攻击防护方法、装置、设备及存储介质 | |
| CN109756528B (zh) | 频率控制方法及装置、设备、存储介质、服务器 | |
| CN109962927B (zh) | 基于威胁情报的防攻击方法 | |
| CN111585956B (zh) | 一种网址防刷验证方法与装置 | |
| CN112769775B (zh) | 一种威胁情报关联分析方法、系统、设备及计算机介质 | |
| CN114301696A (zh) | 恶意域名检测方法、装置、计算机设备及存储介质 | |
| CN114301659A (zh) | 网络攻击预警方法、系统、设备及存储介质 | |
| CN110392032B (zh) | 检测异常url的方法、装置及存储介质 | |
| CN113595981A (zh) | 上传文件威胁检测方法及装置、计算机可读存储介质 | |
| CN112583827B (zh) | 一种数据泄露检测方法及装置 | |
| CN113709129A (zh) | 一种基于流量学习的白名单生成方法、装置和系统 | |
| CN111786940A (zh) | 一种数据处理方法及装置 | |
| KR101022167B1 (ko) | 네트워크 자산의 취약성을 고려한 침입탐지시스템의로그최적화 장치 | |
| TWI640891B (zh) | 偵測惡意程式的方法和裝置 | |
| EP4152729A1 (en) | Interactive email warning tags | |
| CN113904843B (zh) | 一种终端异常dns行为的分析方法和装置 | |
| CN114003904A (zh) | 情报共享方法、装置、计算机设备及存储介质 | |
| CN115603974A (zh) | 一种网络安全防护方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |