【技术实现步骤摘要】
一种域名检测方法及装置
本专利技术涉及通信领域,尤其涉及一种域名检测方法及装置。
技术介绍
随着互联网技术的不断发展,网络已经融入了人们生活的方方面面。然而,黑客入侵作为互联网技术发展的衍生物,也变得无孔不入,日益严峻地威胁着网络安全。其中,通过在接入网络的终端上植入能够被远程控制的恶意程序例如木马等,黑客可以达到控制该终端的目的。为了应对黑客的入侵,可以通过防火墙监控并阻止黑客控制终端上被植入的恶意程序。但随着技术的发展,越来越多的恶意程序能够主动发起连接,这种连接通常使用HTTP协议的方式实现,能够绕过防火墙的阻挡连接到远程服务器,以实现黑客对终端的远程控制。为了解决上述问题,现有技术中提供了一种通过基于黑名单的域名检测方法,其中,当用户通过终端所访问的域名与黑名单中的域名匹配时,禁止用户通过终端继续访问该域名。上述方法虽然能够阻止一部分黑客所植入恶意程序主动发起的连接,但越来越多的恶意程序开始使用特定的域名生成(英文全称:DomainGenerationAlgorithm,英文简称:DGA)算法生成域名。由于现有技术中基于黑名单的域名检测方法无法识别使用DGA算法生成的域名,而使用DGA算法生成域名的速度较高,每天可以自动生成超过50,000个随机的域名,黑名单中的域名通常远少于DGA算法生成的域名,因此恶意程序能够绕过现有技术中对于域名的检测,降低了现有技术中对非正常域名检测的成功率。
技术实现思路
本申请提供一种域名检测方法及装置,能够解决现有技术中无法识别使用DGA算法生成的域名的问题。第一方面,本专利技术的实施例提供了一种域名检测方法,包括:获取 ...
【技术保护点】
一种域名检测方法,其特征在于,包括:获取待检测域名的特征码以及正常域名的特征码,所述特征码用于指示域名中字母的分布或字母及数字的分布;计算所述待检测域名的特征码与所述正常域名的特征码之间的特征差距,所述特征差距用于指示所述待检测域名的特征码与所述正常域名的特征码之间的相似程度;根据所述特征差距确定所述被访问的域名是否为使用域名生成DGA算法生成的域名。
【技术特征摘要】
1.一种域名检测方法,其特征在于,包括:获取待检测域名的特征码以及正常域名的特征码,所述特征码用于指示域名中字母的分布或字母及数字的分布;计算所述待检测域名的特征码与所述正常域名的特征码之间的特征差距,所述特征差距用于指示所述待检测域名的特征码与所述正常域名的特征码之间的相似程度;根据所述特征差距确定所述被访问的域名是否为使用域名生成DGA算法生成的域名。2.根据权利要求1所述的域名检测方法,其特征在于,所述获取待检测域名的特征码以及正常域名的特征码前,所述方法还包括:获取web访问日志,并解析所述web访问日志以获取所述待检测域名。3.根据权利要求1所述的域名检测方法,其特征在于,所述获取待检测域名的特征码以及正常域名的特征码前,所述方法还包括:将所述待检测域名以及正常域名的顶级域名后缀LTD以及国家顶级域名后缀ccTLD去除;和/或,将所述待检测域名以及正常域名的前缀”www”去除;和/或,将所述待检测域名以及正常域名中除0-9、a-z、“.”、“_”以及“-”以外的字符去除。4.根据权利要求1所述的域名检测方法,其特征在于,所述计算所述待检测域名的特征码与所述正常域名的特征码之间的特征差距,包括:当特征码用于指示域名中字母的分布或字母及数字的分布时,计算所述待检测域名的特征码与所述正常域名的特征码之间的杰卡德相似性度,所述杰卡德相似性度为所述待检测域名的特征码与所述正常域名的特征码之间的特征差距;和/或,当特征码用于指示域名中字母及数字的分布时,根据Damerau-Levenshtein距离算法计算所述待检测域名的特征码与所述正常域名的特征码的Damerau-Levenshtein距离,所述Damerau-Levenshtein距离为所述待检测域名的特征码与所述正常域名的特征码之间的特征差距。5.根据权利要求4所述的域名检测方法,其特征在于,所述根据所述特征差距确定所述被访问的域名是否为使用域名生成DGA算法生成的域名,包括:当根据用于指示域名中字母及数字的分布的特征码获取的所述杰卡德相似性度大于或等于0.8时,确定所述被访问的域名为使用DGA算法生成的域名;和/或,当杰卡德差值与根据用于指示域名中字母及数字的分布的特征码获取的所述杰卡德相似性度的比率小于0.1时,确定所述被访问的域名为使用DGA算法生成的域名,所述杰卡德差值为根据用于指示域名中字母的分布的特征码获取的所述杰卡德相似性度与根据用于指示域名中字母及数字的分布的特征码获取的所述杰卡德相似性度之间的差值的绝对值;和/或,当所述Damerau-Levenshtein距离大于或等于0.9时,确定所述被访问的域名为使用DGA算法生成的域名。6.根据权利要求1-5中任一项所述的域名检测方法,其特征在于,所述方法还包括:对终端的访问记录中的域名与确定为使用DGA算法生成的域名进行匹配;当所述终端的访问记录中的域名与所述确定为使用DGA算法生成的域名满足感染匹配条件时,确定所述终端为感染终端;和/或,当所述终端的访问记录中的域名与所述确定为使用DGA算法生成的域名满足删除匹配条件时,将满足...
【专利技术属性】
技术研发人员:曹磊,徐业礼,童宁,吴湘宁,徐江明,
申请(专利权)人:成都亚信网络安全产业技术研究院有限公司,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。