CN114363062A - 一种域名检测方法、系统、设备及计算机可读存储介质 - Google Patents

Abstract

本申请公开了一种域名检测方法、系统、设备及计算机可读存储介质，获取目标设备对各个域名的访问时间序列；在访问时间序列中，根据预设时间段将访问时间序列划分为至少一访问子时间序列；对访问子时间序列进行访问特征分析，确定对应的时序特征；基于时序特征分析域名是否为恶意域名，得到对应的检测结果。本申请中，可以根据目标设备对域名的访问时间序列的分析结果，来确定目标设备在各个时间段下访问域名的时序特征，并基于该时序特征分析域名是否为恶意域名，扩充了恶意域名的检测方式，因为设备访问恶意域名的时序特征在各个时间段下具有共性，所以基于各个时间段下时序特征进行域名检测的话，能够提高域名检测的准确性。

Description

一种域名检测方法、系统、设备及计算机可读存储介质

技术领域

本申请涉及网络安全技术领域，更具体地说，涉及一种域名检测方法、系统、设备及计算机可读存储介质。

背景技术

在服务器等设备的运行过程中，攻击者会对设备进行攻击，比如通过僵尸网络等对设备进行攻击，僵尸网络指采用一种或多种传播手段，将大量主机感染bot程序(僵尸程序)病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。因此，为了保护设备安全，便需要对僵尸网络等的域名进行检测，以便基于相应的域名进行安全防护。

比如可以通过对沙箱释放流量的异常进行分析来提取出恶意域名，但受限于沙箱环境以及样本本身对抗手段，如加壳、代码混淆、执行环节检查等方式，会使得沙箱对于文件样本的流量释放情况不准确，从而无法准确对域名进行检测。

综上所述，如何提高域名检测的准确性是目前本领域技术人员亟待解决的问题。

发明内容

本申请的目的是提供一种域名检测方法，其能在一定程度上解决如何提高域名检测的准确性的技术问题。本申请还提供了一种域名检测系统、电子设备及计算机可读存储介质。

为了实现上述目的，本申请提供如下技术方案：

一种域名检测方法，包括：

获取目标设备对各个域名的访问时间序列；

在所述访问时间序列中，针对每一所述访问时间序列，根据预设时间段将所述访问时间序列划分为至少一访问子时间序列；

对所述访问子时间序列进行访问特征分析，确定对应的时序特征；

基于所述时序特征分析所述域名是否为恶意域名，得到对应的检测结果。

优选的，所述对所述访问子时间序列进行访问特征分析，确定对应的时序特征，包括：

将所述访问子时间序列中时间戳的总数量作为所述目标设备在所述时间段下访问所述域名的总次数值；

和/或，将所述访问子时间序列拆分为各个第一连续时间区间，将各个所述第一连续时间区间下时间戳的总数量与所述第一连续时间区间的时长的比值，作为所述目标设备在所述第一连续时间区间下访问所述域名的第一频率值；

和/或，以单位时长作为连续时间区间的拆分阈值，将所述访问子时间序列拆分为各个第二连续时间区间，将各个所述第二连续时间区间下时间戳的总数量与所述第二连续时间区间的时长的比值，作为所述目标设备在所述第二连续时间区间下访问所述域名的第二频率值；

若所述总次数值大于第一预设值，和/或大于预设时长的所述第一连续时间区间的所述第一频率值超过第一预设频率值，和/或所述第二频率值的最大值超过第二预设频率值，则确定在所述访问子时间序列对应的所述时间段下，所述时序特征为所述目标设备持续高频访问域名；

其中，所述连续时间区间为：由时间间隔在所述拆分阈值内的所有相邻时间戳组成的时间区间。

优选的，所述对所述访问子时间序列进行访问特征分析，确定对应的时序特征，包括：

对所述访问子时间序列进行去重处理，得到去重访问子时间序列；

确定所述去重访问子时间序列对应的连续时间区间的拆分阈值；

按照所述拆分阈值，将所述去重访问子时间序列拆分为各个第三连续时间区间；

若时间序列长度超过第二预设值的所述第三连续时间区间满足时间周期性，则确定在所述访问子时间序列对应的所述时间段下，所述时序特征为所述目标设备局部周期性访问域名；

其中，连续时间区间为：由时间间隔在所述拆分阈值内的所有相邻时间戳组成的时间区间。

优选的，所述拆分阈值通过以下方式确定：

对所述去重访问子时间序列进行拟合，得到第一拟合函数；

将所述第一拟合函数的斜率与预设值的乘积值作为所述拆分阈值。

优选的，所述对所述访问子时间序列进行访问特征分析，确定对应的时序特征，包括：

将所述访问子时间序列拆分为各个第四连续时间区间，将各个所述第四连续时间区间下时间戳的总数量与所述第四连续时间区间的时长的比值，作为所述目标设备在所述第四连续时间区间下访问所述域名的第三频率值；

确定各个所述第四连续时间区间的平均时间戳值，将所有的所述平均时间戳值组成第五连续时间区间；

若存在时间戳数量值大于第四预设值且所述第三频率值超过第三预设频率值的所述第四连续时间区间，且所述第五连续时间区间满足时间周期性，则判定在所述访问子时间序列对应的所述时间段下，所述时序特征为所述目标设备整体周期性且局部高频性访问域名；

其中，连续时间区间为：由时间间隔在所述拆分阈值内的所有相邻时间戳组成的时间区间。

优选的，判断所述连续时间区间是否满足时间周期性，包括：

对所述连续时间区间进行拟合，得到目标拟合函数，并基于所述目标拟合函数计算时间戳的目标标准差值；

若所述目标标准差值大于目标预设值，则确定所述连续时间区间不满足所述时间周期性，若所述目标标准差值小于等于所述目标预设值，则确定所述连续时间区间满足所述时间周期性。

优选的，所述基于所述时序特征分析所述域名是否为恶意域名，得到对应的检测结果，包括：

若所述目标设备在各个所述时间段下对同一所述域名的所述时序特征均相同，则得到表征所述域名为恶意域名的所述检测结果。

一种域名检测系统，包括：

时间序列获取模块，用于获取目标设备对各个域名的访问时间序列；

子时间序列获取模块，用于在所述访问时间序列中，针对每一所述访问时间序列，根据预设时间段将所述访问时间序列划分为至少一访问子时间序列；

时序特征分析模块，用于对所述访问子时间序列进行访问特征分析，确定对应的时序特征；

检测模块，用于基于所述时序特征分析所述域名是否为恶意域名，得到对应的检测结果。

一种电子设备，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如上任一所述域名检测方法的步骤。

一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序，所述计算机程序被处理器执行时实现如上任一所述域名检测方法的步骤。

本申请提供的一种域名检测方法，获取目标设备对各个域名的访问时间序列；在访问时间序列中，根据预设时间段将访问时间序列划分为至少一访问子时间序列；对访问子时间序列进行访问特征分析，确定对应的时序特征；基于时序特征分析域名是否为恶意域名，得到对应的检测结果。本申请中，可以根据目标设备对域名的访问时间序列的分析结果，来确定目标设备在各个时间段下访问域名的时序特征，并基于该时序特征分析域名是否为恶意域名，扩充了恶意域名的检测方式，因为设备访问恶意域名的时序特征在各个时间段下具有共性，所以基于各个时间段下时序特征进行域名检测的话，相当于根据目标设备在各个时间段下访问域名的共性来检测恶意域名，能够提高域名检测的准确性。本申请提供的一种域名检测系统、电子设备及计算机可读存储介质也解决了相应技术问题。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本申请中域名检测方案的系统框架图；

图2为本申请实施例提供的一种域名检测方法的流程图；

图3为本申请中目标设备持续高频访问域名的时序特征检测流程图；

图4为本申请中目标设备局部周期性访问域名的时序特征检测流程图；

图5为本申请中目标设备整体周期性且局部高频性访问域名的时序特征检测流程图；

图6为本申请实施例提供的一种域名检测系统的结构示意图；

图7为本发明实施例电子设备的硬件组成结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

在服务器等设备的运行过程中，攻击者会对设备进行攻击，比如通过僵尸网络等对设备进行攻击，僵尸网络指采用一种或多种传播手段，将大量主机感染bot程序(僵尸程序)病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。因此，为了保护设备安全，便需要对僵尸网络等的域名进行检测，以便基于相应的域名进行安全防护。比如可以通过对沙箱释放流量的异常进行分析来提取出恶意域名，但受限于沙箱环境以及样本本身对抗手段，如加壳、代码混淆、执行环节检查等方式，会使得沙箱对于文件样本的流量释放情况不准确，从而无法准确对域名进行检测。本申请提供的域名检测方案可以提高僵尸网络域名的检测准确性。

本申请的域名检测方案中，采用的系统框架具体可以参见图1所示，具体可以包括：后台服务器01和与后台服务器01建立通信连接的若干数量的用户端02。需要说明的是，后台服务器可以为专门用于域名检测的服务器，用户端可以为用户使用的服务器、终端设备等，本申请在此不做具体限定。

本申请中，后台服务器01用于执行域名检测方法步骤，包括获取目标设备对各个域名的访问时间序列；在访问时间序列中，针对每一访问时间序列，根据预设时间段将访问时间序列划分为至少一访问子时间序列；对访问子时间序列进行访问特征分析，确定对应的时序特征；基于时序特征分析域名是否为恶意域名，得到对应的检测结果。

进一步的，后台服务器01中还可以设有访问时间序列数据库、访问子时间序列数据库、时序特征数据库、恶意域名数据库等。其中，访问时间序列数据库用于保存获取的目标设备对各个目标域名的访问时间序列，访问子时间序列数据库用户保存各类访问子时间序列，时序特征数据库用于保存各类时序特征，恶意域名数据库用于保存被检测为恶意域名的目标域名等。本申请中，后台服务器01可以对一个或多个用户端02的域名检测请求进行响应，可以理解的是，本申请不同的用户端02所发起的域名检测请求，可以是针对同一域名的检测请求，也可以是针对不同域名的检测请求等。

需要说明的是，本申请提供的域名检测方法还可以应用在其他场景中，比如可以直接应用在沙箱中对域名进行检测；或者以软件客户端的形式运行在设备中，对设备访问的域名进行域名检测等；本申请在此不做具体限定。

请参阅图2，图2为本申请实施例提供的一种域名检测方法的流程图。

本申请实施例提供的一种域名检测方法，可以包括以下步骤：

步骤S101：获取目标设备对各个域名的访问时间序列。

实际应用中，可以先获取目标设备对各个域名的访问时间序列，访问时间序列也即记录了目标设备对域名的访问时间戳的序列，相应的，访问时间序列是以目标设备和域名为基准来进行划分的，比如访问时间序列A记录的是目标设备A访问域名A的各个访问时间戳，而目标设备B访问域名B的访问时间戳则需要用新的访问时间序列，比如访问时间序列B来记录。需要说明的是，在具体应用场景中，可以同时获取多个目标设备对各个域名的访问时间序列，以便借助多个目标设备对域名的访问情况来分析域名是否为恶意域名等，本申请在此不做具体限定。

具体应用场景中，在获取目标设备对各个域名的访问时间序列的过程中，可以通过防火墙流量监控获取各个目标设备在各个时间段下的访问流量，比如DNS访问流量，且访问流量中需携带时间戳(timestamp)信息；之后还可以对访问流量进行过滤，得到与域名相关的访问流量，比如对DNS访问流量进行过滤，保留DNS请求类型为合法域名且DNS请求类型为1的DNS访问流量；其中，合法域名为满足域名规则的域名；最后将访问流量，比如将DNS访问流量中同一目标设备对同一域名的时间戳信息聚合在一起，得到目标设备对域名的访问时间序列。

需要说明的是，时间序列(或称动态数列)是指将同一统计指标的数值按其发生的时间先后顺序排列而成的数列；DNS访问流量中还可以包括设备id(dev_id)、源IP(sip)、目的IP(dip)、目的端口(dport)、DNS请求内容(queries)、DNS请求类型(qtype)、DNS返回结果(rdata)等信息，其可以根据实际需要灵活确定，相应的，在区分各个目标设备时，可以直接根据设备id及源IP进行区分等；此外，本申请中目标设备的数量及目标域名的数量均可以根据实际需要确定，本申请在此不做具体限定。

步骤S102：在访问时间序列中，针对每一访问时间序列，根据预设时间段将访问时间序列划分为至少一访问子时间序列。

实际应用中，在获取目标设备对各个域名的访问时间序列之后，还需在访问时间序列中，确定各个时间段下，各个目标设备对各个域名的访问子时间序列，也即针对每一访问时间序列，还需根据预设时间段将访问时间序列划分为至少一访问子时间序列，假设访问时间序列A记录的是目标设备A访问域名A的各个访问时间戳，且访问时间序列的时间长度为两天，对应的访问子时间序列可以为目标设备A每一天访问域名A的访问时间戳等。

步骤S103：对访问子时间序列进行访问特征分析，确定对应的时序特征。

实际应用中，在访问时间序列中，确定各个时间段下，目标设备对各个域名的访问子时间序列之后，便可以对各个访问子时间序列进行分析，确定各个目标设备在各个时间段下访问域名的时序特征，也即对访问子时间序列进行访问特征分析，确定对应的时序特征，以便后续根据时序特征分析域名是否为恶意域名。

步骤S104：基于时序特征分析域名是否为恶意域名，得到对应的检测结果。

实际应用中，在对访问子时间序列进行分析，确定各个目标设备在各个时间段下访问域名的时序特征之后，因为恶意域名的时序特征在各个时间段下具有明显的共性，所以可以基于时序特征分析域名是否为恶意域名，得到对应的检测结果，比如可以基于时序特征分析域名是否为僵尸网络域名，得到对应的检测结果等。

具体应用场景中，在基于时序特征分析域名是否为恶意域名，得到对应的检测结果的过程中，因为恶意域名在各个时间段下的时序特征具有共性，所以若单个目标设备在各个时间段下对同一域名的时序特征均相同，则可以得到表征域名为恶意域名的检测结果。

此外，在域名检测过程中，还可以基于已有的白域名库或黑域名库对域名进行降误报处理，比如在基于时序特征分析域名是否为恶意域名，得到对应的检测结果之后，为了进一步保证检测出的僵尸网络域名的准确性，还可以基于预设的白域名库，对域名进行降误报处理；其中，白域名库为存储安全域名的域名库；比如存储有ICP备案的域名、有主站网络的域名、常见的功能性域名等，其中，常见的功能性域名可以为NTP类、查询自我IP类、微软类等域名。也即若检测结果为僵尸网络域名的域名出现在白域名库中，则可以将该域名的检测结果调整为非僵尸网络域名等。或者可以在获取目标设备对各个域名的访问时间序列之后，直接将属于白域名库的域名确定为安全域名，并跳过后续的检测方法等。需要说明的是，黑域名库指的是存储恶意域名的域名库，在应用黑域名库进行降误报处理的过程中，若域名属于黑域名库，则可以直接将该域名确定为恶意域名等。

本申请提供的一种域名检测方法，获取目标设备对各个域名的访问时间序列；在访问时间序列中，根据预设时间段将访问时间序列划分为至少一访问子时间序列；对访问子时间序列进行访问特征分析，确定对应的时序特征；基于时序特征分析域名是否为恶意域名，得到对应的检测结果。本申请中，可以根据目标设备对域名的访问时间序列的分析结果，来确定目标设备在各个时间段下访问域名的时序特征，并基于该时序特征分析域名是否为恶意域名，扩充了恶意域名的检测方式，因为设备访问恶意域名的时序特征在各个时间段下具有共性，所以基于各个时间段下时序特征进行域名检测的话，相当于根据目标设备在各个时间段下访问域名的共性来检测恶意域名，能够提高域名检测的准确性。

请参阅图3，图3为本申请中目标设备持续高频访问域名的时序特征检测流程图。

本申请实施例提供的一种域名检测方法中，因为僵尸网络病毒会持续访问域名，比如挖矿类的病毒与矿池通信时会持续的访问矿池域名，所以时序特征可以包括目标设备持续高频访问域名；相应的，对访问子时间序列进行访问特征分析，确定对应的时序特征的过程可以具体包括以下步骤：

步骤S201：将访问子时间序列中时间戳的总数量作为目标设备在时间段下访问域名的总次数值。

实际应用中，因为目标设备持续高频访问域名的话，访问子时间序列中会存储有多个时间戳，且时间戳的总数量值较大，所以可以将访问子时间序列中时间戳的总数量作为目标设备在时间段下访问域名的总次数值，以便后续应用该总次数值判断目标设备是否持续高频访问域名。

步骤S202：将访问子时间序列拆分为各个第一连续时间区间，将各个第一连续时间区间下时间戳的总数量与第一连续时间区间的时长的比值，作为目标设备在第一连续时间区间下访问域名的第一频率值。

实际应用中，目标设备持续高频访问域名的话，目标设备会在局部时间内多次访问域名，也即目标设备在局部时间内对域名的访问频率高，而访问子时间序列中的一个时间戳代表了目标设备访问了一次域名，所以可以基于时间戳与时间的关系来确定目标设备对域名的访问频率，也即可以将访问子时间序列拆分为各个第一连续时间区间，将各个第一连续时间区间下时间戳的总数量与第一连续时间区间的时长的比值，作为目标设备在第一连续时间区间下访问域名的第一频率值。

需要说明的是，本申请中的连续时间区间为：由时间间隔在拆分阈值内的所有相邻时间戳组成的时间区间，为了便于理解，假设时间序列为[1,3,3,4,7,10,15,18,18,20]，单位为秒，且连续时间区间的拆分阈值为3秒，则得到的连续时间区间为[1,3,3,4,7,10],[15,18,18,20]。此外，具体应用场景中，在拆分得到第一连续时间区间的过程中，第一连续时间区间的拆分阈值可以根据实际需要灵活确定，比如第一连续时间区间的拆分阈值可以为1分钟等。

步骤S203：以单位时长作为连续时间区间的拆分阈值，将访问子时间序列拆分为各个第二连续时间区间，将各个第二连续时间区间下时间戳的总数量与第二连续时间区间的时长的比值，作为目标设备在第二连续时间区间下访问域名的第二频率值。

实际应用中，目标设备持续高频访问域名的话，目标设备在单位时间内访问域名的频率会很高，所以可以以单位时长作为连续时间区间的拆分阈值，将访问子时间序列拆分为各个第二连续时间区间，将各个第二连续时间区间下时间戳的总数量与第二连续时间区间的时长的比值，作为目标设备在第二连续时间区间下访问域名的第二频率值，以便后续应用第二频率值判断目标设备是否持续高频访问域名。需要说明的是，单位时长的值可以根据具体应用场景来确定，比如单位时长可以为1秒等。

步骤S204：若总次数值大于第一预设值，大于预设时长的第一连续时间区间的第一频率值超过第一预设频率值，且第二频率值的最大值超过第二预设频率值，则确定在访问子时间序列对应的时间段下，目标设备对域名的访问满足目标设备持续高频访问域名；其中，连续时间区间为：由时间间隔在拆分阈值内的所有相邻时间戳组成的时间区间。

实际应用中，在得到总次数值、第一频率值、第二频率值之后，便可以基于此来判断目标设备是否持续高频访问域名，具体的，在总次数值大于第一预设值，大于预设时长的第一连续时间区间的第一频率值超过第一预设频率值，且第二频率值的最大值超过第二预设频率值的情况下，则确定在访问子时间序列对应的时间段下，时序特征为目标设备持续高频访问域名；比如在总次数值大于1000、超过1分钟的连续时间区间内的第一平均频率值超过3次/秒、以1秒为单位时长确定的第三频率值超过8次/秒的情况下，则认为目标设备持续高频访问域名等。

需要说明的是，本申请中，综合应用总次数值、第一频率值和第二频率值来判断时序特征是否为目标设备持续高频访问域名，在具体应用场景中，还可以仅应用总次数值、第一频率值和第二频率值中的一个或两个来判断时序特征是否为目标设备持续高频访问域名，比如可以在总次数值大于第一预设值的情况下，直接确定时序特征为目标设备持续高频访问域名；在大于预设时长的第一连续时间区间的第一频率值超过第一预设频率值的情况下，直接确定时序特征为目标设备持续高频访问域名；在第二频率值的最大值超过第二预设频率值的情况下，直接确定时序特征为目标设备持续高频访问域名；在总次数值大于第一预设值、且大于预设时长的第一连续时间区间的第一频率值超过第一预设频率值的情况下，确定时序特征为目标设备持续高频访问域名；在总次数值大于第一预设值、且第二频率值的最大值超过第二预设频率值的情况下，确定时序特征为目标设备持续高频访问域名；在大于预设时长的第一连续时间区间的第一频率值超过第一预设频率值、且第二频率值的最大值超过第二预设频率值的情况下，确定时序特征为目标设备持续高频访问域名等；本申请在此不做具体限定。

请参阅图4，图4为本申请中目标设备局部周期性访问域名的时序特征检测流程图。

本申请实施例提供的一种域名检测方法中，当病毒与C2服务器通信时，经常会发送心跳包，存在周期性规律，时序特征可以包括目标设备局部周期性访问域名；相应的，在对访问子时间序列进行访问特征分析，确定对应的时序特征的过程中，可以具体执行以下步骤：

步骤S301：对访问子时间序列进行去重处理，得到去重访问子时间序列。

实际应用中，在对目标设备是否局部周期性访问域名的检测过程中，因为要判断时间是否符合周期性，所以需去掉同一秒中的连续请求，只保留一次即可，也即需先对访问子时间序列进行去重处理，得到去重访问子时间序列，假设访问子时间序列为[1,2,2,3,5],则输出的去重访问子时间序列为[1,2,3,5]。

步骤S302：确定去重访问子时间序列对应的连续时间区间的拆分阈值。

实际应用中，在对访问子时间序列进行去重处理，得到去重访问子时间序列之后，还需确定去重访问子时间序列对应的连续时间区间的拆分阈值，以便后续基于该拆分阈值判断去重访问子时间序列是否表征目标设备局部周期性访问域名。

具体应用场景中，在确定去重访问子时间序列对应的连续时间区间的拆分阈值的过程中，可以对去重访问子时间序列进行拟合，得到第一拟合函数；基于第一拟合函数的斜率来确定拆分阈值，比如将第一拟合函数的斜率与预设值的乘积值作为拆分阈值，具体的，可以将第一拟合函数与1.5的乘积值作为拆分阈值等。此外，在对去重访问子时间序列进行拟合，得到第一拟合函数的过程中，可以基于最小二乘法对去重访问子时间序列进行拟合，得到第一拟合函数等。

步骤S303：按照拆分阈值，将去重访问子时间序列拆分为各个第三连续时间区间。

实际应用中，在确定去重访问子时间序列对应的连续时间区间的拆分阈值之后，便可以按照拆分阈值，将去重访问子时间序列拆分为各个第三连续时间区间。

步骤S304：若时间序列长度超过第二预设值的第三连续时间区间满足时间周期性，则确定在访问子时间序列对应的时间段下，目标设备对域名的访问满足目标设备局部周期性访问域名。

实际应用中，在按照拆分阈值，将去重访问子时间序列拆分为各个第三连续时间区间之后，若时间序列长度超过第二预设值的第三连续时间区间满足时间周期性，则可以确定在访问子时间序列对应的时间段下，目标设备对域名的访问满足目标设备局部周期性访问域名。比如在时间序列长度超过100的第三连续时间区间满足时间周期性的情况下，可以确定在访问子时间序列对应的时间段下，时序特征为目标设备局部周期性访问域名等。

具体应用场景中，判断连续时间区间是否满足时间周期性的过程可以如下：对连续时间区间进行拟合，比如基于最小二乘法对连续时间区间进行拟合，得到目标拟合函数，并基于目标拟合函数计算时间戳的目标标准差值；若目标标准差值大于目标预设值，则确定连续时间区间不满足时间周期性，若目标标准差值小于等于目标预设值，则确定连续时间区间满足时间周期性。则判断第三连续时间区间是否满足时间周期性的过程可以如下：基于最小二乘法对第三连续时间区间进行拟合，得到第二拟合函数，并基于第二拟合函数计算时间戳的第一标准差值；若第一标准差值大于第三预设值，则确定第三连续时间区间不满足时间周期性，若第一标准差值小于等于第三预设值，则确定第三连续时间区间满足时间周期性。比如若第一标准差大于3，则确定第三连续时间区间不满足时间周期性，若第一标准差值小于等于3，则确定第三连续时间区间满足时间周期性等。

请参阅图5，图5为本申请中目标设备整体周期性且局部高频性访问域名的时序特征检测流程图。

本申请实施例提供的一种域名检测方法中，当僵尸网络病毒与C2服务通信时，也是类似心跳包或定时任务，但心跳或定时任务过程中，有多次交互，所以呈现的时序特征为整体周期性，局部高频性，其时间序列呈现状态如：[1,2,4,6,8,100,101,103,105,202,204,206,207,310,311......]；也即本申请中的时序特征可以包括目标设备整体周期性且局部高频性访问域名；相应的，在对访问子时间序列进行访问特征分析，确定对应的时序特征的过程中，可以执行以下步骤：

步骤S401：将访问子时间序列拆分为各个第四连续时间区间，将各个第四连续时间区间下时间戳的总数量与第四连续时间区间的时长的比值，作为目标设备在第四连续时间区间下访问域名的第三频率值。

实际应用中，在判断目标设备是否局部高频访问域名的过程中，可以将访问子时间序列拆分为各个第四连续时间区间，将各个第四连续时间区间下时间戳的总数量与第四连续时间区间的时长的比值，作为目标设备在第四连续时间区间下访问域名的第三频率值。

具体应用场景中，第四连续时间区间的拆分阈值可以根据实际需要确定，比如可以以5秒为拆分阈值将访问子时间序列拆分为各个第四连续时间区间，假设访问子时间序列为[1,2,10,20,22,24,28,50,53,55,65,67]，则第四连续时间区分为[[1,2],10,[20,24,28],[50,53,55],[65,67]]。

步骤S402：确定各个第四连续时间区间的平均时间戳值，将所有的平均时间戳值组成第五连续时间区间。

实际应用中，在判断目标设备对域名的访问是否满足整体周期性的过程中，需确定各个第四连续时间区间的平均时间戳值，将所有的平均时间戳值组成第五连续时间区间，仍以上述实施例为例，则第五连续时间区间便为：[1.5,10,24,52.6,66]。

步骤S403：若存在时间戳数量值大于第四预设值且第三频率值超过第三预设频率值的第四连续时间区间，且第五连续时间区间满足时间周期性，则判定在访问子时间序列对应的时间段下，目标设备对域名的访问满足整体周期性且局部高频性访问域名。

实际应用中，在得到第三频率值及第五连续时间区间之后，若存在时间戳数量值大于第四预设值且第三频率值超过第三预设频率值的第四连续时间区间，且第五连续时间区间满足时间周期性，则可以判定在访问子时间序列对应的时间段下，时序特征为目标设备整体周期性且局部高频性访问域名。

具体应用场景中，在判断第五连续时间区间是否满足时间周期性的过程中，可以基于最小二乘法对第五连续时间区间进行拟合，得到第三拟合函数，并基于第三拟合函数计算时间戳的第二标准差值；若第二标准差值大于第四预设值，则确定第五连续时间区间不满足时间周期性，若第二标准差值小于等于第四预设值，则确定第五连续时间区间满足时间周期性。比如若第二标准差值大于5，则确定第五连续时间区间不满足时间周期性，若第二标准差值小于等于5，则确定第五连续时间区间满足时间周期性。相应的，可以在存在时间戳数量值大于5且第三频率值超过1次/秒的第四连续时间区间，且第五连续时间区间满足时间周期性的情况下，则判定在访问子时间序列对应的时间段下，目标设备对域名的访问满足整体周期性且局部高频性访问域名等。

请参阅图6，图6为本申请实施例提供的一种域名检测系统的结构示意图。

本申请实施例提供的一种域名检测系统，可以包括：

时间序列获取模块101，用于获取目标设备对各个域名的访问时间序列；

子时间序列获取模块102，用于在访问时间序列中，针对每一访问时间序列，根据预设时间段将访问时间序列划分为至少一访问子时间序列；

时序特征分析模块103，用于对访问子时间序列进行访问特征分析，确定对应的时序特征；

检测模块104，用于基于时序特征分析域名是否为恶意域名，得到对应的检测结果。

本申请实施例提供的一种域名检测系统，时序特征分析模块可以具体用于：将访问子时间序列中时间戳的总数量作为目标设备在时间段下访问域名的总次数值；和/或，将访问子时间序列拆分为各个第一连续时间区间，将各个第一连续时间区间下时间戳的总数量与第一连续时间区间的时长的比值，作为目标设备在第一连续时间区间下访问域名的第一频率值；和/或，以单位时长作为连续时间区间的拆分阈值，将访问子时间序列拆分为各个第二连续时间区间，将各个第二连续时间区间下时间戳的总数量与第二连续时间区间的时长的比值，作为目标设备在第二连续时间区间下访问域名的第二频率值；若总次数值大于第一预设值，和/或大于预设时长的第一连续时间区间的第一频率值超过第一预设频率值，和/或第二频率值的最大值超过第二预设频率值，则确定在访问子时间序列对应的时间段下，时序特征为目标设备持续高频访问域名；其中，连续时间区间为：由时间间隔在拆分阈值内的所有相邻时间戳组成的时间区间。

本申请实施例提供的一种域名检测系统，时序特征分析模块可以具体用于：对访问子时间序列进行去重处理，得到去重访问子时间序列；确定去重访问子时间序列对应的连续时间区间的拆分阈值；按照拆分阈值，将去重访问子时间序列拆分为各个第三连续时间区间；若时间序列长度超过第二预设值的第三连续时间区间满足时间周期性，则确定在访问子时间序列对应的时间段下，时序特征为目标设备局部周期性访问域名；其中，连续时间区间为：由时间间隔在拆分阈值内的所有相邻时间戳组成的时间区间。

本申请实施例提供的一种域名检测系统，时序特征分析模块可以具体用于：对去重访问子时间序列进行拟合，得到第一拟合函数；将第一拟合函数的斜率与预设值的乘积值作为拆分阈值。

本申请实施例提供的一种域名检测系统，时序特征分析模块可以具体用于：将访问子时间序列拆分为各个第四连续时间区间，将各个第四连续时间区间下时间戳的总数量与第四连续时间区间的时长的比值，作为目标设备在第四连续时间区间下访问域名的第三频率值；确定各个第四连续时间区间的平均时间戳值，将所有的平均时间戳值组成第五连续时间区间；若存在时间戳数量值大于第四预设值且第三频率值超过第三预设频率值的第四连续时间区间，且第五连续时间区间满足时间周期性，则判定在访问子时间序列对应的时间段下，时序特征为目标设备整体周期性且局部高频性访问域名；其中，连续时间区间为：由时间间隔在拆分阈值内的所有相邻时间戳组成的时间区间。

本申请实施例提供的一种域名检测系统，时序特征分析模块可以具体用于：对连续时间区间进行拟合，得到目标拟合函数，并基于目标拟合函数计算时间戳的目标标准差值；若目标标准差值大于目标预设值，则确定目标连续时间区间满足时间周期性，若目标标准差值小于等于目标预设值，则确定连续时间区间不满足时间周期性。

本申请实施例提供的一种域名检测系统，检测模块可以包括：

检测单元，用于若目标设备在各个时间段下对同一域名的时序特征均相同，则得到表征域名为恶意域名的检测结果。

基于上述程序模块的硬件实现，且为了实现本发明实施例的方法，本发明实施例还提供了一种电子设备，图7为本发明实施例电子设备的硬件组成结构示意图，如图7所示，电子设备包括：

通信接口1，能够与其它设备比如网络设备等进行信息交互；

处理器2，与通信接口1连接，以实现与其它设备进行信息交互，用于运行计算机程序时，执行上述一个或多个技术方案提供的用户操作处理方法。而所述计算机程序存储在存储器3上。

当然，实际应用时，电子设备中的各个组件通过总线系统4耦合在一起。可理解，总线系统4用于实现这些组件之间的连接通信。总线系统4除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图7中将各种总线都标为总线系统4。

本发明实施例中的存储器3用于存储各种类型的数据以支持电子设备的操作。这些数据的示例包括：用于在电子设备上操作的任何计算机程序。

可以理解，存储器3可以是易失性存储器或非易失性存储器，也可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(ROM，Read Only Memory)、可编程只读存储器(PROM，Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM，Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM，Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM，ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM，Compact Disc Read-Only Memory)；磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM，Random AccessMemory)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(SRAM，Static Random Access Memory)、同步静态随机存取存储器(SSRAM，Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM，Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM，SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM，Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM，Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM，SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM，Direct Rambus Random Access Memory)。本发明实施例描述的存储器2旨在包括但不限于这些和任意其它适合类型的存储器。

上述本发明实施例揭示的方法可以应用于处理器2中，或者由处理器2实现。处理器2可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器2中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器2可以是通用处理器、DSP，或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器2可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤，可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中，该存储介质位于存储器3，处理器2读取存储器3中的程序，结合其硬件完成前述方法的步骤。

处理器2执行所述程序时实现本发明实施例的各个方法中的相应流程，为了简洁，在此不再赘述。

在示例性实施例中，本发明实施例还提供了一种存储介质，即计算机存储介质，具体为计算机可读存储介质，例如包括存储计算机程序的存储器3，上述计算机程序可由处理器2执行，以完成前述方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置、终端和方法，可以通过其它的方式实现。以上所描述的设备实施例仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。

上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元，即可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。

另外，在本发明各实施例中的各功能单元可以全部集成在一个处理单元中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

或者，本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台电子设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括：移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

本申请实施例提供的域名检测系统、设备及计算机可读存储介质中相关部分的说明请参见本申请实施例提供的域名检测方法中对应部分的详细说明，在此不再赘述。另外，本申请实施例提供的上述技术方案中与现有技术中对应技术方案实现原理一致的部分并未详细说明，以免过多赘述。

还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

对所公开的实施例的上述说明，使本领域技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种域名检测方法，其特征在于，包括：

获取目标设备对各个域名的访问时间序列；

在所述访问时间序列中，针对每一所述访问时间序列，根据预设时间段将所述访问时间序列划分为至少一访问子时间序列；

对所述访问子时间序列进行访问特征分析，确定对应的时序特征；

基于所述时序特征分析所述域名是否为恶意域名，得到对应的检测结果。

2.根据权利要求1所述的方法，其特征在于，所述对所述访问子时间序列进行访问特征分析，确定对应的时序特征，包括：

将所述访问子时间序列中时间戳的总数量作为所述目标设备在所述时间段下访问所述域名的总次数值；

和/或，将所述访问子时间序列拆分为各个第一连续时间区间，将各个所述第一连续时间区间下时间戳的总数量与所述第一连续时间区间的时长的比值，作为所述目标设备在所述第一连续时间区间下访问所述域名的第一频率值；

和/或，以单位时长作为连续时间区间的拆分阈值，将所述访问子时间序列拆分为各个第二连续时间区间，将各个所述第二连续时间区间下时间戳的总数量与所述第二连续时间区间的时长的比值，作为所述目标设备在所述第二连续时间区间下访问所述域名的第二频率值；

若所述总次数值大于第一预设值，和/或大于预设时长的所述第一连续时间区间的所述第一频率值超过第一预设频率值，和/或所述第二频率值的最大值超过第二预设频率值，则确定在所述访问子时间序列对应的所述时间段下，所述时序特征为所述目标设备持续高频访问域名；

其中，所述连续时间区间为：由时间间隔在所述拆分阈值内的所有相邻时间戳组成的时间区间。

3.根据权利要求1所述的方法，其特征在于，所述对所述访问子时间序列进行访问特征分析，确定对应的时序特征，包括：

对所述访问子时间序列进行去重处理，得到去重访问子时间序列；

确定所述去重访问子时间序列对应的连续时间区间的拆分阈值；

按照所述拆分阈值，将所述去重访问子时间序列拆分为各个第三连续时间区间；

若时间序列长度超过第二预设值的所述第三连续时间区间满足时间周期性，则确定在所述访问子时间序列对应的所述时间段下，所述时序特征为所述目标设备局部周期性访问域名；

其中，连续时间区间为：由时间间隔在所述拆分阈值内的所有相邻时间戳组成的时间区间。

4.根据权利要求3所述的方法，其特征在于，所述拆分阈值通过以下方式确定：

对所述去重访问子时间序列进行拟合，得到第一拟合函数；

将所述第一拟合函数的斜率与预设值的乘积值作为所述拆分阈值。

5.根据权利要求1所述的方法，其特征在于，所述对所述访问子时间序列进行访问特征分析，确定对应的时序特征，包括：

将所述访问子时间序列拆分为各个第四连续时间区间，将各个所述第四连续时间区间下时间戳的总数量与所述第四连续时间区间的时长的比值，作为所述目标设备在所述第四连续时间区间下访问所述域名的第三频率值；

确定各个所述第四连续时间区间的平均时间戳值，将所有的所述平均时间戳值组成第五连续时间区间；

若存在时间戳数量值大于第四预设值且所述第三频率值超过第三预设频率值的所述第四连续时间区间，且所述第五连续时间区间满足时间周期性，则判定在所述访问子时间序列对应的所述时间段下，所述时序特征为所述目标设备整体周期性且局部高频性访问域名；

其中，连续时间区间为：由时间间隔在所述拆分阈值内的所有相邻时间戳组成的时间区间。

6.根据权利要求3至5任一项所述的方法，其特征在于，判断所述连续时间区间是否满足时间周期性，包括：

对所述连续时间区间进行拟合，得到目标拟合函数，并基于所述目标拟合函数计算时间戳的目标标准差值；

若所述目标标准差值大于目标预设值，则确定所述连续时间区间不满足所述时间周期性，若所述目标标准差值小于等于所述目标预设值，则确定所述连续时间区间满足所述时间周期性。

7.根据权利要求1所述的方法，其特征在于，所述基于所述时序特征分析所述域名是否为恶意域名，得到对应的检测结果，包括：

若所述目标设备在各个所述时间段下对同一所述域名的所述时序特征均相同，则得到表征所述域名为恶意域名的所述检测结果。

8.一种域名检测系统，其特征在于，包括：

时间序列获取模块，用于获取目标设备对各个域名的访问时间序列；

子时间序列获取模块，用于在所述访问时间序列中，针对每一所述访问时间序列，根据预设时间段将所述访问时间序列划分为至少一访问子时间序列；

时序特征分析模块，用于对所述访问子时间序列进行访问特征分析，确定对应的时序特征；

检测模块，用于基于所述时序特征分析所述域名是否为恶意域名，得到对应的检测结果。

9.一种电子设备，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如权利要求1至7任一项所述域名检测方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述域名检测方法的步骤。

Images