一种域名检测方法及装置制造方法及图纸

本发明专利技术的实施例提供一种域名检测方法及装置，涉及通信领域，能够解决现有技术中无法识别使用DGA算法生成的域名的问题。包括：获取待检测域名的特征码以及正常域名的特征码，特征码用于指示域名中字母的分布或字母及数字的分布；计算待检测域名的特征码与正常域名的特征码之间的特征差距，特征差距用于指示待检测域名的特征码与正常域名的特征码之间的相似程度；根据特征差距确定被访问的域名是否为使用域名生成DGA算法生成的域名。本发明专利技术用于检测域名。

【技术实现步骤摘要】
一种域名检测方法及装置
本专利技术涉及通信领域，尤其涉及一种域名检测方法及装置。
技术介绍
随着互联网技术的不断发展，网络已经融入了人们生活的方方面面。然而，黑客入侵作为互联网技术发展的衍生物，也变得无孔不入，日益严峻地威胁着网络安全。其中，通过在接入网络的终端上植入能够被远程控制的恶意程序例如木马等，黑客可以达到控制该终端的目的。为了应对黑客的入侵，可以通过防火墙监控并阻止黑客控制终端上被植入的恶意程序。但随着技术的发展，越来越多的恶意程序能够主动发起连接，这种连接通常使用HTTP协议的方式实现，能够绕过防火墙的阻挡连接到远程服务器，以实现黑客对终端的远程控制。为了解决上述问题，现有技术中提供了一种通过基于黑名单的域名检测方法，其中，当用户通过终端所访问的域名与黑名单中的域名匹配时，禁止用户通过终端继续访问该域名。上述方法虽然能够阻止一部分黑客所植入恶意程序主动发起的连接，但越来越多的恶意程序开始使用特定的域名生成(英文全称：DomainGenerationAlgorithm，英文简称：DGA)算法生成域名。由于现有技术中基于黑名单的域名检测方法无法识别使用DGA算法生成的域名，而使用DGA算法生成域名的速度较高，每天可以自动生成超过50,000个随机的域名，黑名单中的域名通常远少于DGA算法生成的域名，因此恶意程序能够绕过现有技术中对于域名的检测，降低了现有技术中对非正常域名检测的成功率。
技术实现思路
本申请提供一种域名检测方法及装置，能够解决现有技术中无法识别使用DGA算法生成的域名的问题。第一方面，本专利技术的实施例提供了一种域名检测方法，包括：获取待检测域名的特征码以及正常域名的特征码，特征码用于指示域名中字母的分布或字母及数字的分布；计算待检测域名的特征码与正常域名的特征码之间的特征差距，特征差距用于指示待检测域名的特征码与正常域名的特征码之间的相似程度；根据特征差距确定被访问的域名是否为使用域名生成DGA算法生成的域名。第二方面，本专利技术的实施例提供了一种域名检测装置。包括：处理模块，用于获取待检测域名的特征码以及正常域名的特征码，特征码用于指示域名中字母的分布或字母及数字的分布；处理模块还用于计算待检测域名的特征码与正常域名的特征码之间的特征差距，特征差距用于指示待检测域名的特征码与正常域名的特征码之间的相似程度；检测模块，用于根据特征差距确定被访问的域名是否为使用域名生成DGA算法生成的域名。本专利技术的实施例提供了一种域名检测方法及装置，通过获取待检测域名的特征码以及正常域名的特征码，并计算待检测域名的特征码与正常域名的特征码之间的特征差距，由于特征码用于指示域名中字母或字母及数字的分布，因此根据待检测域名的特征码与正常域名的特征码之间的特征差距可以确定待检测域名的特征码与正常域名的特征码的相似度，由于当待检测域名的特征码与正常域名的特征码的相似度差距较大时，该待检测域名为使用域名生成DGA算法生成的域名的可能性较高，因此可以根据特征差距确定被访问的域名是否为使用域名生成DGA算法生成的域名。因此本专利技术实施例提供的域名检测方法解决了现有技术中无法识别使用DGA算法生成的域名的问题，提高了对非正常域名检测的成功率，改善了用户体验。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术的实施例所提供的一种由DGA算法生成的域名中字符分布概率的示意图；图2为本专利技术的实施例所提供的一种正常域名中字符分布概率的示意图；图3为本专利技术的实施例所提供的一种域名检测方法的示意性流程图；图4为本专利技术的另一实施例所提供的一种域名检测方法的示意性流程图；图5为本专利技术的实施例所提供的一种域名检测装置的示意性结构图；图6为本专利技术的另一实施例所提供的一种域名检测装置的示意性结构图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。为了便于清楚描述本专利技术实施例的技术方案，在本专利技术的实施例中，采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分，本领域技术人员可以理解“第一”、“第二”等字样并不是在对数量和执行次序进行限定。作为互联网技术发展的衍生物，黑客主导的恶意攻击行为严重的影响着人们的生活。其中，其中，通过在接入网络的终端上植入能够被远程控制的恶意程序例如木马等，黑客可以达到控制该终端的目的。现有的恶意程序例如木马、僵尸等一般可以通过监听某个网络端口，等待远程的控制服务器对其进行连接，以接受黑客的远程控制。为了防范黑客攻击，可以通过设置防火墙阻挡恶意程序与远程服务器的连接。但随着技术的发展，恶意程序为了避免被发现或检测出来，开始从网络内部主动发起连接，上述主动发起的连接通常使用HTTP协议的方式实现，可以绕过防火墙的阻挡连接到远程服务器，达到接受远程控制的目的。为了解决上述问题，现有技术中提供了一种通过基于黑名单的域名检测方法，其中，当用户通过终端所访问的域名与黑名单中的域名匹配时，禁止用户通过终端继续访问该域名。这种方式确实可以有效阻挡一部分恶意程序接受远程控制的问题，但由于上述域名检测方法较为简单，对黑名单的依赖性较高，同时恶意程序例如具有代表性的Zeus和Conficker逐渐开始使用特定的域名生成(英文全称：DomainGenerationAlgorithm，英文简称：DGA)算法定期地、自动地生成域名，并主动访问该生成的域名。由于使用DGA算法生成域名的速度较高，例如Conficker的一个变种最高每天可以自动生成超过50,000个随机的域名，与之相比，黑名单中的域名通常远少于DGA算法生成的域名，因此恶意程序能够绕过现有技术中对于域名的检测，降低了现有技术中域名检测方法的成功率。针对上述问题，申请人注意到通常使用的域名中绝大部分的字符都是数字和字母，之所以会使用这些数字和字母来组成这样的一个域名，是为了便于记忆，并通过遍布全球的DNS服务来将这些便于记忆的域名转换成为IP地址进行访问。因此当域名并非为DGA算法生成的正常域名时，该域名中为了便于记忆而选取的字符必然是一些有实际含义的单词或者短语。而恶意程序例如木马等使用DGA算法生成域名是为了绕过现有的检测系统，由DGA算法生成的域名大多数是随机选取。因此正常域名与由DGA算法生成的域名的字符组成存在一定的差异。如附图1所示，本专利技术的实施例提供了一种由DGA算法生成的域名中字符分布概率的示意图，如附图2所示，本专利技术的实施例提供了一种正常域名中字符分布概率的示意图，在附图1、附图2中，横轴表示的是全部数字和字母以及“-”，上述数字和字母以及“-”都是组成域名最常见的字符。纵轴表示的是在全部统计的样本中出现的概率。根据附图1以及附图2所示可知，由DGA算法生成的域名中数字和字母出现的概率相对比较平均，某些常本文档来自技高网...

【技术保护点】
一种域名检测方法，其特征在于，包括：获取待检测域名的特征码以及正常域名的特征码，所述特征码用于指示域名中字母的分布或字母及数字的分布；计算所述待检测域名的特征码与所述正常域名的特征码之间的特征差距，所述特征差距用于指示所述待检测域名的特征码与所述正常域名的特征码之间的相似程度；根据所述特征差距确定所述被访问的域名是否为使用域名生成DGA算法生成的域名。

【技术特征摘要】
1.一种域名检测方法，其特征在于，包括：获取待检测域名的特征码以及正常域名的特征码，所述特征码用于指示域名中字母的分布或字母及数字的分布；计算所述待检测域名的特征码与所述正常域名的特征码之间的特征差距，所述特征差距用于指示所述待检测域名的特征码与所述正常域名的特征码之间的相似程度；根据所述特征差距确定所述被访问的域名是否为使用域名生成DGA算法生成的域名。2.根据权利要求1所述的域名检测方法，其特征在于，所述获取待检测域名的特征码以及正常域名的特征码前，所述方法还包括：获取web访问日志，并解析所述web访问日志以获取所述待检测域名。3.根据权利要求1所述的域名检测方法，其特征在于，所述获取待检测域名的特征码以及正常域名的特征码前，所述方法还包括：将所述待检测域名以及正常域名的顶级域名后缀LTD以及国家顶级域名后缀ccTLD去除；和/或，将所述待检测域名以及正常域名的前缀”www”去除；和/或，将所述待检测域名以及正常域名中除0-9、a-z、“.”、“_”以及“-”以外的字符去除。4.根据权利要求1所述的域名检测方法，其特征在于，所述计算所述待检测域名的特征码与所述正常域名的特征码之间的特征差距，包括：当特征码用于指示域名中字母的分布或字母及数字的分布时，计算所述待检测域名的特征码与所述正常域名的特征码之间的杰卡德相似性度，所述杰卡德相似性度为所述待检测域名的特征码与所述正常域名的特征码之间的特征差距；和/或，当特征码用于指示域名中字母及数字的分布时，根据Damerau-Levenshtein距离算法计算所述待检测域名的特征码与所述正常域名的特征码的Damerau-Levenshtein距离,所述Damerau-Levenshtein距离为所述待检测域名的特征码与所述正常域名的特征码之间的特征差距。5.根据权利要求4所述的域名检测方法，其特征在于，所述根据所述特征差距确定所述被访问的域名是否为使用域名生成DGA算法生成的域名，包括：当根据用于指示域名中字母及数字的分布的特征码获取的所述杰卡德相似性度大于或等于0.8时，确定所述被访问的域名为使用DGA算法生成的域名；和/或，当杰卡德差值与根据用于指示域名中字母及数字的分布的特征码获取的所述杰卡德相似性度的比率小于0.1时，确定所述被访问的域名为使用DGA算法生成的域名，所述杰卡德差值为根据用于指示域名中字母的分布的特征码获取的所述杰卡德相似性度与根据用于指示域名中字母及数字的分布的特征码获取的所述杰卡德相似性度之间的差值的绝对值；和/或，当所述Damerau-Levenshtein距离大于或等于0.9时，确定所述被访问的域名为使用DGA算法生成的域名。6.根据权利要求1-5中任一项所述的域名检测方法，其特征在于，所述方法还包括：对终端的访问记录中的域名与确定为使用DGA算法生成的域名进行匹配；当所述终端的访问记录中的域名与所述确定为使用DGA算法生成的域名满足感染匹配条件时，确定所述终端为感染终端；和/或，当所述终端的访问记录中的域名与所述确定为使用DGA算法生成的域名满足删除匹配条件时，将满足...

【专利技术属性】
技术研发人员：曹磊，徐业礼，童宁，吴湘宁，徐江明，
申请(专利权)人：成都亚信网络安全产业技术研究院有限公司，
类型：发明
国别省市：四川,51