一种恶意域名检测处理方法及装置制造方法及图纸

本发明专利技术实施例提供一种恶意域名检测处理方法及装置。所述方法包括：获取预设时间段内的待检测域名的域名信息；根据所述域名信息，按照预设规则计算所述待检测域名至少一个维度的特征值；根据所述特征值通过预设分类器模型对所述待检测域名进行恶意域名检测处理；其中，所述预设分类器模型为通过训练样本进行机器分类学习获得的。所述装置用于执行上述方法。本发明专利技术提供的方法及装置通过根据获取到的待检测域名的域名信息，按照预设规则计算待检测域名的特征值，并根据所述特征值通过预设分类器模型进行恶意域名检测处理，提高了恶意域名检测的效率和准确率。

【技术实现步骤摘要】
一种恶意域名检测处理方法及装置
本专利技术实施例涉及通信
，尤其涉及一种恶意域名检测处理方法及装置。
技术介绍
随着移动互联网的迅猛发展，互联网流量不断创新高，由于互联网的开放性、业务的多样性、网络的复杂性而使得互联网面临一定的安全威胁。域名系统(DomainNameSystem,DNS)作为互联网的基础设施，将域名与IP地址进行映射，方便用户访问互联网各项业务。然而，松散的域名注册管理制度、国际化域名注册模式、短域名兴起等作用下，构造恶意域名进行攻击成为当前威胁互联网安全的主要威胁，导致恶意域名的威胁愈发严重。现有技术条件下，恶意域名检测主要通过域名的字符串长度、域名可读性、域名元音/辅音/数字/连接符比率等域名的静态特征数据，进行恶意域名检测；或者，通过将上述静态特征数据与生存时间最小值(TTL_MIN)、生存时间最大值(TTL_MAX)、NXDOMIAIN请求频率、域名IP变化特征等动态特征数据相结合的检测方式进行恶意域名检测。但是，通过静态特征数据进行恶意域名检测的方法，未考虑请求数据及响应包数据的动态行为特征，并且对于人工生成而刻意规避DGA算法的域名识别准确率较低；而通过静态特征数据和动态特征数据相结合的检测方式，需要根据经验设置较多参数，且选择的动态特征维度不够全面，严重影响恶意域名的检测效率和准确率。综上所述，现有技术条件下的恶意域名检测方法的检测效率和准确率均较低。因此，如何提供一种提高恶意域名检测效率和准确率的方法的问题是目前业界亟待解决的需要课题。
技术实现思路
针对现有技术中的缺陷，本专利技术实施例提供一种恶意域名检测处理方法及装置。一方面，本专利技术实施例提供一种恶意域名检测处理方法，包括：获取预设时间段内的待检测域名的域名信息；根据所述域名信息，按照预设规则计算所述待检测域名至少一个维度的特征值；根据所述特征值通过预设分类器模型对所述待检测域名进行恶意域名检测处理；其中，所述预设分类器模型为通过训练样本进行机器分类学习获得的。另一方面，本专利技术实施例提供一种恶意域名检测处理装置，包括：获取单元，用于获取预设时间段内的待检测域名的域名信息；计算单元，用于根据所述域名信息，按照预设规则计算所述待检测域名至少一个维度的特征值；检测单元，用于根据所述特征值通过预设分类器模型对所述待检测域名进行恶意域名检测处理；其中，所述预设分类器模型为通过训练样本进行机器分类学习获得的。本专利技术实施例提供的恶意域名检测处理方法及装置，通过根据获取到的待检测域名的域名信息，按照预设规则计算待检测域名的特征值，并根据所述特征值通过预设分类器模型进行恶意域名检测处理，提高了恶意域名检测的效率和准确率。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的恶意域名检测处理方法的流程示意图；图2为本专利技术实施例提供的获取待检测域名的流程示意图；图3为本专利技术实施例提供的恶意域名检测处理方法的整体流程示意图；图4为本专利技术实施例提供的恶意域名检测处理装置的结构示意图；图5为本专利技术实施例提供的电子设备的实体装置结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。图1为本专利技术实施例提供的恶意域名检测处理方法的流程示意图，如图1所示，本实施例提供一种恶意域名检测处理方法，包括：S101、获取预设时间段内的待检测域名的域名信息；具体地，恶意域名检测处理装置接收DNS应答数据包，对所述DNS数据包进行解析后获得所述DNS数据包包括的多个域名，通过黑白名单过滤对所述多个域名进行恶意域名检测，并将未被所述黑白名单过滤识别的域名作为所述待检测域名，储存在待检测域名数据库中；然后，获取在预设时间段内获得的多个待检测域名的域名信息。S102、根据所述域名信息，按照预设规则计算所述待检测域名的至少一个维度的特征值；具体地，所述装置根据获取到的多个所述待检测域名的域名信息，按照预设规则计算所述待检测域名在至少一个维度上的特征值。应当说明的是，所述域名信息可以包括所述待检测域名与IP之间的映射关系、所述待检测域名对应的字符串、TTL值、NXDOMAIN请求信息、MX请求信息和子域空间信息，还可以包括其他域名信息；所述特征值可以是IP-域名特征值、域名-IP特征值、域名名称特征值、TTL特征值、动态特征值或特殊特征值，还可以是其他维度上的特征值，可以根据实际情况进行调整，此处不做具体限定。S103、根据所述特征值通过预设分类器模型对所述待检测域名进行恶意域名检测处理；其中，所述预设分类器模型为通过训练样本进行机器分类学习获得的。具体地，所述装置获取正常域名数据库包括的各个正常域名对应的预设维度上的特征值，以及恶意域名数据库包括的各个恶意域名对应的预设维度上的特征值，将获取到的所述各个正常域名对应的预设维度上的特征值和所述各个恶意域名对应的预设维度上的特征值作为训练样本，输入支持向量机(SVM)模型，对所述训练样本进行机器分类学习，获得所述预设分类器模型；将计算获得的所述待检测域名的特征值输入所述预设分类器模型，则可以检测识别出所述待检测域名为正常域名或恶意域名的分类结果，进一步地，还可以获得所述待检测域名的恶意域名可疑几率，并对所述恶意域名可疑几率大于预设可疑几率阈值的所述待检测域名进行告警，提示通过人工进行恶意域名检测确认。应当说明的是，所述预设维度包括至少一个维度，且所述预设维度与所述待检测域名的特征值对应的维度一致；还可以采用其他分类器模型进行训练样本的机器分类学习，获得所述预设分类器模型，具体可以根据实际情况进行调整，此处不做具体限定；所述待检测域名中被判定为恶意域名的域名将作为新增的训练样本自动添加至恶意域名数据库中，通过机器分类学习动态改进所述预设分类器模型。本专利技术实施例提供的恶意域名检测处理方法，通过根据获取到的待检测域名的域名信息，按照预设规则计算待检测域名的特征值，并根据所述特征值通过预设分类器模型进行恶意域名检测处理，提高了恶意域名检测的效率和准确率。在上述实施例的基础上，进一步地，所述获取预设时间段内的待检测域名的域名信息，包括：接收DNS应答数据包，并对所述DNS应答数据包进行解析，获取所述DNS应答数据包中包括的域名及其对应的IP；根据所述域名及其对应的IP，通过黑白名单过滤进行恶意域名检测处理，并获取所述待检测域名；所述待检测域名为未被所述黑白名单过滤识别的所述域名；获取所述待检测域名的域名信息。具体地，图2为本专利技术实施例提供的获取待检测域名的流程示意图，如图2所示，所述装置获取预设时间段内的待检测域名的域名信息的过程具体包括以下步骤：S201、接收DNS应答数据包；所述DNS应答数据包可以是DNS应答UDP(UserDa本文档来自技高网...

【技术保护点】
1.一种恶意域名检测处理方法，其特征在于，包括：获取预设时间段内的待检测域名的域名信息；根据所述域名信息，按照预设规则计算所述待检测域名至少一个维度的特征值；根据所述特征值通过预设分类器模型对所述待检测域名进行恶意域名检测处理；其中，所述预设分类器模型为通过训练样本进行机器分类学习获得的。

【技术特征摘要】
1.一种恶意域名检测处理方法，其特征在于，包括：获取预设时间段内的待检测域名的域名信息；根据所述域名信息，按照预设规则计算所述待检测域名至少一个维度的特征值；根据所述特征值通过预设分类器模型对所述待检测域名进行恶意域名检测处理；其中，所述预设分类器模型为通过训练样本进行机器分类学习获得的。2.根据权利要求1所述的方法，其特征在于，所述获取预设时间段内的待检测域名的域名信息，包括：接收DNS应答数据包，并对所述DNS应答数据包进行解析，获取所述DNS应答数据包中包括的域名及其对应的IP；根据所述域名及其对应的IP，通过黑白名单过滤进行恶意域名检测处理，并获取所述待检测域名；所述待检测域名为未被所述黑白名单过滤识别的所述域名；获取所述待检测域名的域名信息。3.根据权利要求1所述的方法，其特征在于，所述待检测域名的所述特征值包括以下任意一项或其组合：IP-域名特征值、域名-IP特征值、域名名称特征值、TTL特征值、动态特征值和特殊特征值；其中，所述动态特征值至少包括第一动态特征值和第二动态特征值，所述特殊特征值至少包括第一特殊特征值和第二特殊特征值。4.根据权利要求3所述的方法，其特征在于，所述域名信息包括所述待检测域名与IP之间的映射关系；相应地，所述根据所述域名信息，按照预设规则计算所述待检测域名至少一个维度的特征值，包括：根据所述待检测域名与IP之间的映射关系，统计每一个所述IP对应的所述待检测域名的个数；根据所述待检测域名与IP之间的映射关系，计算每一个所述IP对应的多个所述待检测域名的相似度值；所述相似度是根据所述待检测域名按照预设字符匹配算法计算获得的；根据每一个所述IP对应的所述待检测域名的个数和所述相似度值计算所述待检测域名的IP-域名特征值。5.根据权利要求3所述的方法，其特征在于，所述域名信息包括所述待检测域名与IP之间的映射关系；相应地，所述根据所述域名信息，按照预设规则计算所述待检测域名至少一个维度的特征值，包括：根据所述待检测域名与IP之间的映射关系，统计每一个所述待检测域名对应的所述IP的个数；根据所述待检测域名与IP之间的映射关系，统计每一个所述待检测域名对应的各所述IP的ANS分布率；根据所述待检测域名与IP之间的映射关系，统计每一个所述待检测域名对应的各所述IP的国家码分布率；根据每一个所述待检测域名对应的所述IP的个数、各所述IP的ANS分布率、各所述IP的国家码分布率计算所述待检测域名的域名-IP特征值。6.根据权利要求3所述的方法，其特征在于，所述域名信息包括所述待检测域名对应的字符串；相应地，所述根据所述域名信息，按照预设规则计算所述待检测域名至少一个维度的特征值，包括：根据所述待检测域名对应的字符串，计算所述待检测域名的字符串长度；根据所述待检测域名对应的字符串，获取...

【专利技术属性】
技术研发人员：陈桂文，钟雪慧，李彬，郝建忠，郑浩彬，
申请(专利权)人：中国移动通信集团广东有限公司，中国移动通信集团公司，
类型：发明
国别省市：广东,44