This application provides a domain name detection method and device, which relates to the field of communication, and can detect variants of DGA algorithm to generate malicious domain names with a long proportion of fixed word roots. The method includes: classifying at least one domain name according to the analytic characteristics of each domain name to get at least one domain name set; classifying the domain names in the domain name set according to the effective character length of the first domain name to get at least one domain name subset; calculating the generation pattern string satisfied by any two domain names in the domain name subset, that is, if the selected two domain names are valid. If there are the same characters in the same position, the character will be determined as the target character, and the position will be determined as the target character position; according to the target character and the target character position, the pattern string will be determined; according to the pattern string, the domain name will be detected.
【技术实现步骤摘要】
域名检测方法及装置
本申请涉及通信领域,尤其涉及一种域名检测方法及装置。
技术介绍
僵尸网络、恶意软件的工作模式为:在本地运行服务端程序,该服务端程序和远程部署的控制端进行通信,接收远程控制指令。为了逃避监控,控制端经常采用域名生成算法(domaingeneratealgorithm,DGA)生成大量域名,从而控制端的域名可以在这些域名中不断变换,以逃避防护程序或防护设备的封堵。采用传统DGA算法生成的域名和正常域名的语义特征有较大区别。因此,在防御僵尸网络、恶意软件的安全威胁时,现有域名检测算法主要通过检测域名的语义特征来识别恶意软件。例如:针对域名按照N元模型(N-Gram)切分域名,通过隐马尔可夫模型(hiddenMarkovmodel,HMM)字符转换得分、元音字母、辅音字母比例、数字、单词比例等维度抽取特征向量,使用决策树、随机森林等算法对抽取的特征向量进行“可读性”、“语义合法性”判断,进而识别DGA算法生成的域名。现有域名检测算法的缺点在于,采用变种的DGA算法生成域名时,如在生成域名中加入较长比例的固定词根,使生成的域名在所抽取特征向量指标上与正常域名差异较小,即算法生成域名具有一定的可读性、语义性特征,现有域名检测算法通过抽取特征向量进行判别的方法难以检测这种域名。
技术实现思路
本申请提供一种域名检测方法及装置,能够检测上述变种的DGA算法生成的具有较长比例的固定词根的恶意域名。为达到上述目的,本申请采用如下技术方案:第一方面,本申请提供一种域名检测方法,该方法可以包括:根据每个域名的解析特征,将至少一个域名进行分类,得到至少一个域名集合; ...
【技术保护点】
1.一种域名检测方法,其特征在于,包括:根据每个域名的解析特征,将至少一个域名进行分类,得到至少一个域名集合;所述域名集合中包括具有相同解析特征的域名;将所述域名集合中的域名按照一级域名有效字符长度进行分类,得到至少一个域名子集;所述有效字符是指一级域名中除去后缀之后的剩余字符;所述域名子集中包括具有相同一级域名有效字符长度的域名;若所述域名子集中的任意两个域名中的有效字符中在相同位置上具有相同的字符,则将所述字符确定为目标字符,将所述位置确定为目标字符位置;根据所述目标字符和所述目标字符位置,确定所述域名子集中的任意两个域名对应的模式字符串;所述模式字符串用于记录所述目标字符和所述目标字符位置;根据每个域名子集对应的至少一个所述模式字符串,对待测域名进行检测。
【技术特征摘要】
1.一种域名检测方法,其特征在于,包括:根据每个域名的解析特征,将至少一个域名进行分类,得到至少一个域名集合;所述域名集合中包括具有相同解析特征的域名;将所述域名集合中的域名按照一级域名有效字符长度进行分类,得到至少一个域名子集;所述有效字符是指一级域名中除去后缀之后的剩余字符;所述域名子集中包括具有相同一级域名有效字符长度的域名;若所述域名子集中的任意两个域名中的有效字符中在相同位置上具有相同的字符,则将所述字符确定为目标字符,将所述位置确定为目标字符位置;根据所述目标字符和所述目标字符位置,确定所述域名子集中的任意两个域名对应的模式字符串;所述模式字符串用于记录所述目标字符和所述目标字符位置;根据每个域名子集对应的至少一个所述模式字符串,对待测域名进行检测。2.根据权利要求1所述的域名检测方法,其特征在于,所述域名的解析特征包括以下特征中的一种或多种:特征一:授权服务器拒绝解析的域名;特征二:域名解析结果为域名不存在的域名;特征三:域名解析结果在第一时间段内解析得到的互联网协议IP地址为预设地址,且在第二时间段解析得到的IP地址为非预设地址的域名;特征四:域名解析得到的IP地址曾经被异常网络攻击行为使用的域名;特征五:符合域名隧道DNSTunnel行为特征的域名。3.根据权利要求1所述的域名检测方法,其特征在于,所述根据所述目标字符和所述目标字符位置,确定所述域名子集中的任意两个域名对应的模式字符串,包括:根据所述目标字符和所述目标字符位置,生成所述任意两个域名对应的模式字符串,所述模式字符串中分别在每个目标字符位置上显示所述目标字符位置对应的所述目标字符,在其余字符位置显示预设字符,所述预设字符用于表示所述任意两个域名在所述其余位置上不具备相同的字符。4.根据权利要求1所述的域名检测方法,其特征在于,所述根据所述目标字符和所述目标字符位置,确定所述域名子集中任意两个域名对应的模式字符串,包括:根据所述目标字符和所述目标字符位置,生成所述任意两个域名对应的第一备选模式字符串,所述第一备选模式字符串中分别在每个目标字符位置上显示所述目标字符位置对应的所述目标字符,在其余字符位置显示预设字符,所述预设字符用于表示所述任意两个域名在所述其余位置上不具备相同的字符;若所述第一备选模式字符串中存在特定字符,则将所述特定字符替换为所述预设字符,得到第二备选模式字符串;所述特定字符包括用于组成白名单字符的字符;记录所述第二备选模式字符串中目标字符的数量,若所述目标字符的数量占所述域名子集对应的一级域名有效字符长度的比值大于预设阈值,则将所述第二备选模式字符串确定为模式字符串。5.根据权利要求1至4任一项所述的域名检测方法,其特征在于,所述根据每个域名子集对应的至少一个所述模式字符串,对待测域名进行检测,包括:若所述待测域名在每一个所述目标字符位置上都有与所述模式字符串中的目标字符相同的字符,则确定所述待测域名为恶意域名。6.根据权利要求1至4任一项所述的域名检测方法,其特征在于,所述根据每个域名子集对应的至少一个所述模式字符串,对待测域名进行检测,包括:在所述域名子集中分别确定每个模式字符串对应的备选域名集合,其中,所述备选域名集合中包括至少一个域名,每个域名与对应的模式字符串在目标字符位置具有相同的目标字符;若所述备选域名集合中的域名数量大于预设阈值,则将所述备选域名集合中的域名...
【专利技术属性】
技术研发人员:朱安南,姜楠,马铮,
申请(专利权)人:中国联合网络通信集团有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。