【技术实现步骤摘要】
异常域名的检测方法及装置
本专利技术涉及互联网领域,具体而言,涉及一种异常域名的检测方法及装置。
技术介绍
近些年来,随着云计算业务的蓬勃发展,诸多站点为了节省成本,都将其架设在云服务器上,由此造成云服务器上承载有众多各式各样的站点,然而,云服务器无法确定其中哪些站点为异常站点,例如:钓鱼网站、黄色网站、病毒网站,因此,作为云服务器提供方,需要采取特定的检测方法对这些不良站点进行检测分析,进而识别出异常域名,此种检测方式被称为异常域名检测,又被称为异常域名检测。目前,相关技术中所提供的检测方案主要分为以下两种:(1)基于人工配置规则进行检测,例如:某一时间流量异常,通过人工经验进行主观判断等;然而,此种检测方式的缺陷在于:由于判定规则无法穷举,因此,只能在发现每一个异常域名后增加其对应的检测规则;而且,基于规则的检测方式的泛化能力较差,使其无法检测历史上未存在的异常;另外,基于规则的检测方式无法识别异常模式,只能依赖于人工经验来进行判断。因为存在上述缺陷,因此,基于规则的检测方式的检测效果欠佳,存在遗漏或者大量误判。(2)基于流量数据提取部分特征(例如:访问者的互...
【技术保护点】
1.一种异常域名的检测方法,其特征在于,包括:获取待检测域名集合中每个待检测域名的离线特征和在线特征,其中,所述离线特征是通过对每个待检测域名关联的历史访问数据进行分析后提取得到的,所述在线特征是根据每个待检测域名的自身属性确定的;将所述离线特征和所述在线特征进行融合组成每个待检测域名的特征向量;对组成后的全部特征向量进行聚类分析,从所述待检测域名集合中检测出异常域名。
【技术特征摘要】
1.一种异常域名的检测方法,其特征在于,包括:获取待检测域名集合中每个待检测域名的离线特征和在线特征,其中,所述离线特征是通过对每个待检测域名关联的历史访问数据进行分析后提取得到的,所述在线特征是根据每个待检测域名的自身属性确定的;将所述离线特征和所述在线特征进行融合组成每个待检测域名的特征向量;对组成后的全部特征向量进行聚类分析,从所述待检测域名集合中检测出异常域名。2.根据权利要求1所述的方法,其特征在于,所述离线特征包括以下至少之一:所述待检测域名下的子域名的生存时间TTL特征;所述待检测域名下的子域名的访问量特征;所述待检测域名下的子域名的自身属性特征;所述待检测域名对应的互联网协议IP地址特征。3.根据权利要求1所述的方法,其特征在于,所述在线特征包括以下至少之一:根据预设规则对每个待检测域名包含的部分或全部字符进行统计分析得到的特征;通过对预设数量的域名进行训练,获取一个或多个连续字符的排列规律或者每相邻多个字符之间的转移概率,并根据所述排列规律或所述转移概率对每个待检测域名包含的部分或全部字符进行统计分析得到的特征。4.根据权利要求1所述的方法,其特征在于,将所述离线特征和所述在线特征进行融合组成每个待检测域名的特征向量包括:对所述离线特征和所述在线特征进行融合处理,组成每个待检测域名的待处理特征向量,其中,所述待处理特征向量的向量维度由所述离线特征和所述在线特征所包含的总体特征数量确定的;对所述待处理特征向量进行归一化处理,得到每个待检测域名的特征向量。5.根据权利要求1所述的方法,其特征在于,对所述组成后的全部特征向量进行聚类分析,从所述待检测域名集合中检测出异常域名包括:根据所述组成后的全部特征向量相互间的相似度对所述组成后的全部特征向量进行聚类处理,将所述组成后的全部特征向量划分为多个簇;从所述多个簇中检测出第一部分特征向量和/或第二部分特征向量,其中,所述第一部分特征向量所归属的簇中包含的特征向量的数量小于第一预设阈值,所述第二部分特征向量中的每个特征向量与该特征向量所归属的簇中心之间的距离大于第二预设阈值;根据所述第一部分特征向量和/或所述第二部分特征向量确定所述异常域名。6.根据权利要求1至5中任一项所述的方法,其特征在于,在获取所述待检测域名集合中每个待检测域名的所述离线特征和所述在线特征之前,还包括:接收来自于终端的访问请求,其中,所述访问请求中携带有待访问域名;从所述访问请求中提出所述待访问域名,添...
【专利技术属性】
技术研发人员:贺勇,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛,KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。