本发明专利技术实施例提供一种面向仿冒域名的自适应安全威胁分析方法及系统,该方法包括:根据已有的可信域名集合,获取每一可信域名的多个疑似域名,每一可信域名和对应的一个疑似域名构成一个域名对;根据每一域名对中两个域名的域名信息及域名网页内容,确定所述域名对的多个核查指标的量化值;根据所述多个核查指标的量化值,以及每个核查指标的预设权重,得到所述域名对中疑似域名的可信度,以表征所述疑似域名对于可信域名的威胁程度。该方法能建立全面的疑似域名评估指标体系,而非事后检测和紧急处置。有利于域名仿冒分析的量化,以表征各疑似域名的威胁程度。可通过网络实时数据流量获得疑似域名,能够实现主动的、持续性的实时威胁检测。
An adaptive security threat analysis method and system for counterfeiting domain name
【技术实现步骤摘要】
一种面向仿冒域名的自适应安全威胁分析方法及系统
本专利技术涉及网络安全领域,尤其涉及一种面向仿冒域名的自适应安全威胁分析方法及系统。
技术介绍
域名用来唯一标识一个网站,可以方便人们识别记忆从而快速地访问网站,然而却被一些别有用心者作为有利可图、违法犯罪的手段。仿冒域名是一种意图混肴著名域名的恶意行为。攻击者一般会提前注册著名商标、名人等相关的域名或者是注册与合法网站相似的域名。犯罪者可以通过贩卖抢注的域名来牟取翻倍利益,或者是利用仿冒域名发布假冒网站来传播虚假信息、盗取个人信息、传播病毒、进行APT攻击等,这不仅造成个人的损失也带来了社会危害。仿冒域名所需的工程技术简单,实现成本较低,传播范围广泛,因此已成为破坏、攻击域名系统的一种主要手段。并且随着技术手段的发展,仿冒域名的生成方法也多种多样,与合法域名也越来越相似。目前,对于仿冒域名的检测方法,主要有基于域名相似性的检测:该类方法量化仿冒域名造成的危害和各方面特征,根据仿冒域名特征进行建模,利用得到的模型进行检测。然而,现有的防御措施,对于潜在威胁的主动发现能力不足。很多仿冒域名的网站往往是非法运行了一段时间或被举报后才被发现,同时还有许多潜在的仿冒域名仍旧隐藏在网络中。对于实时威胁的持续性检测手段不够,这些传统检测方式多为被动、触发式的响应,原理多为对已知、历史威胁进行分析来生成处置策略。这种触发式的方式在威胁发生一段时间后才能进行处理,并且对于疑似威胁核查验证的精准性不够,缺少对潜在威胁的综合评估。综合来说,目前的域名检测方法,主要为被动、触发式的检测和紧急处置,处理方式多为被动,从而缺少主动性和持续性。
技术实现思路
为了解决上述问题,本专利技术实施例提供一种面向仿冒域名的自适应安全威胁分析方法及系统。第一方面,本专利技术实施例提供一种面向仿冒域名的自适应安全威胁分析方法,包括:根据已有的可信域名集合,获取每一可信域名的多个疑似域名,每一可信域名和对应的一个疑似域名构成一个域名对;根据每一域名对中两个域名的域名信息及域名网页内容,确定所述域名对的多个核查指标的量化值;根据所述多个核查指标的量化值,以及每个核查指标的预设权重,得到所述域名对中疑似域名的可信度,以表征所述疑似域名对于可信域名的威胁程度。进一步地,所述根据所述多个核查指标的量化值,以及每个核查指标的预设权重,得到所述域名对中疑似域名的可信度,包括:确定所述多个核查指标的量化值在希尔伯特空间的坐标表示;根据每个核查指标的预设权重,对所述多个核查指标的希尔伯特空间坐标进行加权,得到所述多个核查指标的希尔伯特子空间坐标;确定所述子空间坐标的范数,得到所述域名对中疑似域名的可信度。进一步地,所述疑似域名包括潜在疑似域名和/或实时疑似域名;所述潜在疑似域名,根据可信域名进行分析构造得到;所述实时疑似域名,为在可信域名的基础上,根据网络流量数据分析得到。进一步地,若所述疑似域名包括潜在疑似域名,则获取每一可信域名的多个疑似域名,包括:根据预设的多种构造方法,对可信域名进行变换,生成候选潜在疑似域名;对所述候选潜在疑似域名进行活跃度判断,筛选后得到每一潜在疑似域名。进一步地,若所述疑似域名包括实时疑似域名,则获取每一可信域名的多个疑似域名,包括:根据互联网流量数据得到候选实时疑似域名集合;将候选实时疑似域名集合和可信域名集合中的元素,分别采用局部敏感哈希函数映射,得到候选实时疑似域名集合和可信域名集合中元素的桶号;确定候选实时疑似域名集合中元素桶号,与可信域名集合中元素桶号相比,小于预设阈值的元素,以得到每一实时疑似域名。进一步地,所述预设的多种构造方法,包括:基于误植域名、比特错误域名、同音异义域、同形异义域名、缩写仿冒域名和组合仿冒域名的构造方法,以及基于深度学习的构造方法中的任意一种或任意多种。进一步地,所述获取每一可信域名的多个疑似域名之后,所述根据每一域名对中两个域名的域名信息及域名网页内容,确定所述域名对的多个核查指标的量化值之前,还包括:根据已有的仿冒域名黑名单,对每一可信域名的多个疑似域名进行匹配筛选,剔除已确定为仿冒域名的疑似域名。进一步地,所述得到所述域名对中疑似域名的可信度之后,还包括:根据所述可信度,判断所述疑似域名为可信域名或仿冒域名;若所述疑似域名为可信域名,则将确定为可信域名的疑似域名,加入至已有的可信域名集合中;若所述疑似域名为仿冒域名,则将确定为仿冒域名的疑似域名,加入至已有的仿冒域名黑名单中。第二方面,本专利技术实施例提供一种面向仿冒域名的自适应安全威胁分析装系统,包括:疑似域名获取模块,用于根据已有的可信域名集合,获取每一可信域名的多个疑似域名,每一可信域名和对应的一个疑似域名构成一个域名对;核查指标量化模块,用于根据每一域名对中两个域名的域名信息及域名网页内容,确定所述域名对的多个核查指标的量化值;可信度评估模块,用于根据所述多个核查指标的量化值,以及每个核查指标的预设权重,得到所述域名对中疑似域名的可信度,以表征所述疑似域名对于可信域名的威胁程度。第三方面,本专利技术实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时实现本专利技术第一方面面向仿冒域名的自适应安全威胁分析方法的步骤。第四方面,本专利技术实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现本专利技术第一方面面向仿冒域名的自适应安全威胁分析方法的步骤。本专利技术实施例提供的面向仿冒域名的自适应安全威胁分析方法及系统,根据域名信息及域名网页内容,确定所述域名对的多个核查指标的量化值,能够建立全面的疑似域名评估指标体系,进行主动分析,而非事后检测和紧急处置。利用每个核查指标的预设权重,得到所述域名对中疑似域名的可信度,考虑到了每个指标带来的差异,有利于域名仿冒分析的量化,从而表征各疑似域名的威胁程度。另外,该方法能够对所有疑似域名进行分析,可通过现有可信域名主动预测潜在的疑似域名并通过网络实时数据流量获得实时的疑似域名,能够实现主动的、持续性的实时威胁检测。附图说明为了更清楚地说明本专利技术实施例或的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的面向仿冒域名的自适应安全威胁分析方法流程图;图2为本专利技术另一实施例提供的面向仿冒域名的自适应安全威胁分析方法流程图;图3为本专利技术又一实施例提供的面向仿冒域名的自适应安全威胁分析方法流程图;图4为本专利技术再一实施例提供的面向仿冒域名的自适应安全威胁分析方法流程图;图5为本专利技术实施例提供的面向仿冒域名的自适应安全威胁分析系统结构图;图6为本专利技术实施例提供的一种电子设备的实体结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚本文档来自技高网...
【技术保护点】
1.一种面向仿冒域名的自适应安全威胁分析方法,其特征在于,包括:/n根据已有的可信域名集合,获取每一可信域名的多个疑似域名,每一可信域名和对应的一个疑似域名构成一个域名对;/n根据每一域名对中两个域名的域名信息及域名网页内容,确定所述域名对的多个核查指标的量化值;/n根据所述多个核查指标的量化值,以及每个核查指标的预设权重,得到所述域名对中疑似域名的可信度,以表征所述疑似域名对于可信域名的威胁程度。/n
【技术特征摘要】
1.一种面向仿冒域名的自适应安全威胁分析方法,其特征在于,包括:
根据已有的可信域名集合,获取每一可信域名的多个疑似域名,每一可信域名和对应的一个疑似域名构成一个域名对;
根据每一域名对中两个域名的域名信息及域名网页内容,确定所述域名对的多个核查指标的量化值;
根据所述多个核查指标的量化值,以及每个核查指标的预设权重,得到所述域名对中疑似域名的可信度,以表征所述疑似域名对于可信域名的威胁程度。
2.根据权利要求1所述的面向仿冒域名的自适应安全威胁分析方法,其特征在于,所述根据所述多个核查指标的量化值,以及每个核查指标的预设权重,得到所述域名对中疑似域名的可信度,包括:
确定所述多个核查指标的量化值在希尔伯特空间的坐标表示;
根据每个核查指标的预设权重,对所述多个核查指标的希尔伯特空间坐标进行加权,得到所述多个核查指标的希尔伯特子空间坐标;
确定所述子空间坐标的范数,得到所述域名对中疑似域名的可信度。
3.根据权利要求1所述的面向仿冒域名的自适应安全威胁分析方法,其特征在于,所述疑似域名包括潜在疑似域名和/或实时疑似域名;
所述潜在疑似域名,根据可信域名进行分析构造得到;
所述实时疑似域名,为在可信域名的基础上,根据网络流量数据分析得到。
4.根据权利要求3所述的面向仿冒域名的自适应安全威胁分析方法,其特征在于,若所述疑似域名包括潜在疑似域名,则获取每一可信域名的多个疑似域名,包括:
根据预设的多种构造方法,对可信域名进行变换,生成候选潜在疑似域名;
对所述候选潜在疑似域名进行活跃度判断,筛选后得到每一潜在疑似域名。
5.根据权利要求3所述的面向仿冒域名的自适应安全威胁分析方法,其特征在于,若所述疑似域名包括实时疑似域名,则获取每一可信域名的多个疑似域名,包括:
根据互联网流量数据得到候选实时疑似域名集合;
将候选实时疑似域名集合和可信域名集合中的元素,分别采用局部敏感哈希函数映射,得到候选实时疑似域名集合和可信域名集合中元素的桶号;
确定候选实时疑...
【专利技术属性】
技术研发人员:时金桥,关建峰,石瑞生,王东滨,杨金翠,张婉澂,李佳蔚,
申请(专利权)人:北京邮电大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。