一种恶意域名检测方法及系统技术方案

本发明专利技术公开了一种恶意域名检测的方法及系统，解析待检测域名的时空特征，并将待检测域名的时空特征输入到预设机器学习模型组中，得到预设的机器学习模型组输出的所述待检测域名的初步检测结果；其中，机器学习模型组中包括至少一个机器学习模型，所述机器学习模型已基于解析日志中域名的时空特征进行了训练；并基于预设的规则和所述初步检测结果，得到域名的最终检测结果。因此一方面通过域名的时空特征对机器学习模型进行训练得到的机器学习模型对待检测的域名的时空特征进行识别，提高了对恶意域名识别的准确性；另一方面可以根据需要选择更合适的机器学习模型对域名进行识别，对域名的识别更具有针对性，进而也提高了识别恶意域名的准确度。

Malicious domain name detecting method and system

The invention discloses a method and a system for malicious domain detection, analysis of spatial and temporal characteristics of detected domain, temporal and spatial characteristics of input and detection will be the domain name to the default of machine learning in the model group, the preliminary test results obtained the preset output machine learning model group the domain name to be detected; the machine learning model group includes at least one machine learning model, the machine learning model has spatial and temporal characteristics of DNS log based on training; and based on the preset rule and the preliminary test results, the final detection results of the domain name. So on the one hand through the spatial and temporal characteristics of spatial and temporal characteristics of the domain of machine learning model trained machine learning model is adopted to detect the domain name recognition, improved the accuracy of malicious domain identification; on the other hand can choose a more appropriate machine learning model to identify the domain name according to the need of the domain name recognition, more targeted then, also improves the recognition accuracy of the malicious domain name.

【技术实现步骤摘要】
一种恶意域名检测方法及系统
本专利技术涉及域名检测领域，尤其涉及一种恶意域名检测方法及系统。
技术介绍
域名系统(英文全称：DomainNameSystem，英文简称：DNS)是因特网上维护域名和IP地址相互映射关系的一种分布式系统。域名解析是域名系统服务端将客户端请求访问的域名转换为对应的IP地址列表并响应的过程。但是，互联网上存在很多的恶意网站，这些恶意网站利用一些浏览器或者应用软件的安全漏洞，在页面上嵌入相应的攻击代码，以达到窃取用户信息、破坏用户系统、植入恶意软件等目的。还有一些不法黑客利用域名系统及域名解析从事一些危害互联网用户的不法行为，例如：一些恶意的网站或者通过一些关联到动态变化的临时域名的主机作为控制僵尸网络的远程命令和控制服务器。这些恶意网站及被不法黑客利用的域名统称为恶意域名。现有技术中，对恶意域名的检测时，通常采用域名的结构特征对机器学习模型进行训练，进而通过训练的机器学习模型对恶意域名进行检测。但是由于域名的结构特征对恶意域名的识别作用不明显，因此使用域名的结构特征训练的机器学习模型对恶意域名进行识别时准确性差。
技术实现思路
有鉴于此，本专利技术实施例提供了一种恶意域名检测的方法及系统，解决了现有技术中对恶意域名检测时准确差的问题。本实施例提供的一种恶意域名检测的方法，包括：获取待检测的域名；解析所述待检测的域名的时空特征；将解析出的所述待检测域名的时空特征输入到预设的机器学习模型组中，得到所述预设的机器学习模型组输出的所述待检测域名的初步检测结果；其中所述机器学习模型组中包括至少一个机器学习模型，所述机器学习模型已基于解析日志中域名的时空特征进行了训练；基于预设的规则及所述初步检测结果，得到所述待检测域名的最终检测结果。可选的，所述时空特征包括：域名解析的时间、域名解析结果对应的IP地址的相关信息、请求源的IP地址的相关信息以及解析结果为空所占的比例；其中，所述域名解析结果对应的IP地址的相关信息包括：域名解析结果对应的IP地址的变化率和域名解析结果对应的IP地址所在城市变化率；所述请求源的IP地址的相关信息包括：不同请求源的IP地址数量、不同的请求源IP地址的前8位前缀的数量、不同的请求源IP地址的前16位的数量以及不同的请求源IP地址的前24位前缀的数量。可选的，基于解析日志中域名的时空特征对所述机器学习模型进行训练，包括：从DNS域名系统服务器中获取已存在的解析日志，并获取所述解析日志中包含的解析信息；其中所述解析信息包括：解析时间、请求源IP地址、域名、解析结果对应的IP地址列表；从所述解析信息中提取解析日志中每个域名的时空特征；从预设的网站中获取良性域名样本和恶意域名样本，并基于所述良性域名样本和所述恶意域名样本对所述解析日志中每个域名的时空特征进行标记；其中标记后的时空特征包括：良性时空特征和恶意时空特征；基于标记的域名的时空特征对所述机器学习模型进行训练。可选的，所述基于所述良性域名样本和所述恶意域名样本对所述解析日志中每个域名的时空特征进行标记，包括：解析所述良性域名样本和恶意域名样本的时空特征；基于解析的良性域名样本和恶意域名样本的时空特征，对所述解析日志中每个域名的时空特征进行标记。可选的，将解析出的所述待检测域名的时空特征输入到预设的机器学习模型组中，得到所述预设的机器学习模型组输出的所述待检测域名的初步检测结果，包括：将解析出的所述待检测域名的时空特征输入到预设的机器学习模型组中的每一个机器学习模型，得到所述预设的机器学习模型组中每一个机器学习模型输出的所述待检测域名的初步检测结果。可选的，所述预设规则为以下规则中的任意一项：第一规则：若所述机器学习模型组中包括一个机器学习模型，则最终检测结果与初步检测结果相同；第二规则：若所述机器学习模型组中包括多个机器学习模型，若超过预设数量的机器学习模型输出的初步检测结果表示所述待检测域名为恶意域名，则最终的检测结果表示所述待检测域名为恶意域名；第三规则：若所述机器学习模型组中包括多个机器学习模型，若所有的机器学习模型输出的初步检测结果表示所述待检测域名为恶意域名，则最终的检测结果表示所述待检测域名为恶意域名。可选的，从所述解析信息中提取解析日志中每个域名的时空特征前还包括：将所述解析信息按照预设的时间周期进行分组。可选的，所述获取所述解析日志中包含的相关解析信息后还包括：将所述解析信息导入分布式计算平台。本专利技术实施例还提供了一种恶意域名检测的系统，所述系统包括：第一获取单元，用于获取待检测的域名；第一解析单元，解析所述待检测的域名的时空特征；时空特征分析单元，用于将解析出的所述待检测域名的时空特征输入到预设的机器学习模型组中，得到所述预设的机器学习模型组输出的所述待检测域名的初步检测结果；其中所述机器学习模型组中包括至少一个机器学习模型，所述机器学习模型已基于解析日志中域名的时空特征进行了训练；获取结果单元，用于依据预设的规则及所述初步检测结果，得到所述待检测域名的最终检测结果。可选的，所述时空特征包括：所述时空特征包括：域名解析的时间、域名解析结果对应的IP地址的相关信息、请求源的IP地址的相关信息以及解析结果为空所占的比例；其中，所述域名解析结果对应的IP地址的相关信息包括：域名解析结果对应的IP地址的变化率和域名解析结果对应的IP地址所在城市变化率；所述请求源的IP地址的相关信息包括：不同请求源的IP地址数量、不同的请求源IP地址的前8位前缀的数量、不同的请求源IP地址的前16位的数量以及不同的请求源IP地址的前24位前缀的数量。可选的，还包括：还包括：第二获取单元，用于从DNS域名系统服务器中获取已存在的解析日志，并获取所述解析日志中包含的相关解析信息；其中，所述解析信息包括：解析时间、请求元IP地址、域名、解析结果对应的IP地址列表；第二解析单元，用于从所述解析信息汇总提取解析日志中每个域名的时空特征；标记单元，从预设的网站中获取良性域名样本和恶意域名样本，并基于所述良性域名样本和所述恶意域名样本对所述解析日志中每个域名的时空特征进行标记；其中标记后的时空特征包括：良性时空特征和恶意时空特征；训练单元，用于基于标记的域名的时空特征对所述机器学习模型进行训练。本专利技术实施例中，解析待检测域名的时空特征，并将所述待检测域名的时空特征输入到预设机器学习模型组中，得到所述预设的机器学习模型组输出的所述待检测域名的初步检测结果；其中，所述机器学习模型组中包括至少一个机器学习模型，所述机器学习模型已基于解析日志中域名的时空特征进行了训练；并基于预设的规则和所述初步检测结果，得到域名的最终检测结果。因此一方面通过域名的时空特征对机器学习模型进行训练得到的机器学习模型对待检测的域名的时空特征进行识别，提高了对恶意域名识别的准确性；另一方面可以根据需要选择更合适的机器学习模型对域名进行识别，对域名的识别更具有针对性，进而也提高了识别恶意域名的准确度。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。图1为本本文档来自技高网...

【技术保护点】
一种恶意域名检测的方法，其特征在于，所述方法包括：获取待检测的域名；解析所述待检测的域名的时空特征；将解析出的所述待检测域名的时空特征输入到预设的机器学习模型组中，得到所述预设的机器学习模型组输出的所述待检测域名的初步检测结果；其中，所述机器学习模型组中包括至少一个机器学习模型，所述机器学习模型已基于解析日志中域名的时空特征进行了训练；基于预设的规则及所述初步检测结果，得到所述待检测域名的最终检测结果。

【技术特征摘要】
1.一种恶意域名检测的方法，其特征在于，所述方法包括：获取待检测的域名；解析所述待检测的域名的时空特征；将解析出的所述待检测域名的时空特征输入到预设的机器学习模型组中，得到所述预设的机器学习模型组输出的所述待检测域名的初步检测结果；其中，所述机器学习模型组中包括至少一个机器学习模型，所述机器学习模型已基于解析日志中域名的时空特征进行了训练；基于预设的规则及所述初步检测结果，得到所述待检测域名的最终检测结果。2.根据权利要求1所述的方法，其特征在于，所述时空特征包括：域名解析的时间、域名解析结果对应的IP地址的相关信息、请求源的IP地址的相关信息以及解析结果为空所占的比例；其中，所述域名解析结果对应的IP地址的相关信息包括：域名解析结果对应的IP地址的变化率和域名解析结果对应的IP地址所在城市变化率；所述请求源的IP地址的相关信息包括：不同请求源的IP地址数量、不同的请求源IP地址的前8位前缀的数量、不同的请求源IP地址的前16位的数量以及不同的请求源IP地址的前24位前缀的数量。3.根据权利要求2所述的方法，其特征在于，基于解析日志中域名的时空特征对所述机器学习模型进行训练，包括：从DNS域名系统服务器中获取已存在的解析日志，并获取所述解析日志中包含的解析信息；其中所述解析信息包括：解析时间、请求源IP地址、域名、解析结果对应的IP地址列表；从所述解析信息中提取解析日志中每个域名的时空特征；从预设的网站中获取良性域名样本和恶意域名样本，并基于所述良性域名样本和所述恶意域名样本对所述解析日志中每个域名的时空特征进行标记；其中标记后的时空特征包括：良性时空特征和恶意时空特征；基于标记的域名的时空特征对所述机器学习模型进行训练。4.根据权利要求3所述的方法，其特征在于，所述基于所述良性域名样本和所述恶意域名样本对所述解析日志中每个域名的时空特征进行标记，包括：解析所述良性域名样本和恶意域名样本的时空特征；基于解析的良性域名样本和恶意域名样本的时空特征，对所述解析日志中每个域名的时空特征进行标记。5.根据权利要求1所述的方法，其特征在于，将解析出的所述待检测域名的时空特征输入到预设的机器学习模型组中，得到所述预设的机器学习模型组输出的所述待检测域名的初步检测结果，包括：将解析出的所述待检测域名的时空特征输入到预设的机器学习模型组中的每一个机器学习模型，得到所述预设的机器学习模型组中每一个机器学习模型输出的所述待检测域名的初步检测结果。6.根据权利要求1所述的方法，其特征在于，所述预设规则为第一规则或第二规则或第三规则：第一规则：若所述机器学习模型组中包括一个机...

【专利技术属性】
技术研发人员：卞超轶，周涛，
申请(专利权)人：北京启明星辰信息安全技术有限公司，启明星辰信息技术集团股份有限公司，
类型：发明
国别省市：北京,11