公开了用于检测域名的同形异义词的各种技术。在一些实施例中,用于检测域名的同形异义词的系统、过程、和/或计算机程序产品包括:接收DNS数据流,其中DNS数据流包括DNS查询和对于DNS查询的解析的DNS响应;为DNS数据流中的每个域应用同形异义词检测器;以及使用同形异义词检测器检测DNS数据流中域名的同形异义词。词。词。
【技术实现步骤摘要】
【国外来华专利技术】检测域名的同形异义词
技术介绍
[0001]网络安全是用于保护网络和用户经由网络(诸如因特网)访问资源的越来越具有挑战性的技术问题。使用虚假或误导性域名是由恶意软件、网络钓鱼攻击、在线品牌攻击频繁采用的机制、和/或对于其他恶意活动而言的频繁采用的机制,所述其他恶意活动经常试图诱骗用户浏览/访问与虚假或误导性域名相关联的网站/服务。
附图说明
[0002]在以下详细描述和附图中公开了本专利技术的各种实施例。
[0003]图1提供了可以使用同形异义词示例及其相关联的Punycode编码进行哄骗的目标域名的示例。
[0004]图2是图示根据一些实施例的用于提供用于检测域名的同形异义词的在线平台的架构的功能框图。
[0005]图3图示了根据一些实施例的用于同形异义词分类器训练的卷积神经网络(CNN)架构。
[0006]图4是根据一些实施例的用于对字符的输入图像执行卷积核训练以生成到ASCII字符映射的过程。
[0007]图5是图示根据一些实施例的用于检测域名的同形异义词的在线过程的流程图。
[0008]图6是图示根据一些实施例的用于生成用于检测域名的同形异义词的模型的离线过程的流程图。
具体实施方式
[0009]本专利技术可以以多种方式实现,包括作为过程;装置;系统;物质的组成;体现在计算机可读存储介质上的计算机程序产品;和/或处理器,诸如被配置为执行在耦合到处理器的存储器上存储的指令和/或由耦合到处理器的存储器提供的指令的处理器。在本说明书中,这些实施方式或本专利技术可以采用的任何其他形式可以称为技术。通常,在本专利技术的范围内可以更改所公开过程的步骤的顺序。除非另有说明,被描述为被配置为执行任务的诸如处理器或存储器之类的部件可以被实现为被临时配置为在给定时间执行任务的通用部件或被制造为执行任务的特定部件。如本文中所使用的那样,术语“处理器”是指配置为处理数据(诸如计算机程序指令)的一个或多个设备、电路和/或处理核。
[0010]下文提供对本专利技术的一个或多个实施例的详细描述连同图示本专利技术原理的附图。结合这样的实施例描述了本专利技术,但本专利技术不限于任何实施例。本专利技术的范围仅由权利要求限定,并且本专利技术包含许多替代方案、修改和等同物。在以下描述中阐述了许多具体细节以便提供对本专利技术的透彻理解。这些细节是出于示例的目的而提供的,并且本专利技术可以在没有这些具体细节中的一些或全部的情况下根据权利要求来实践。出于清楚性的目的,没有详细描述在与本专利技术相关的
中已知的技术材料,使得不会不必要地使本专利技术模糊不清。
[0011]网络安全是保护网络和经由网络(诸如因特网)访问资源的用户的越来越具有挑战性的技术问题。使用虚假或误导性域名(例如,哄骗(spoofed)域名)是由恶意软件、网络钓鱼攻击、在线品牌攻击频繁采用的机制、和/或对于其他恶意和/或未授权活动而言的频繁采用的机制,所述活动经常试图诱骗用户浏览/访问与虚假或误导性域名相关联的网站/服务(例如,统一资源定位符(URL))。
[0012]通常,国际化域名(IDN)使用至少一个多字节Unicode字符作为标签。域名的国际化使世界上大多数的书写系统能够使用其本地字母来形成域名,所述字母对来自Unicode标准的脚本可用。为了与DNS协议和系统兼容,使用Punycode系统将IDN域编码为ASCII。
[0013]具体来说,Punycode是指可以用来转换不能以ASCII编写的单词的Unicode以供作为域名使用。然而,Punycode也可能被误用以生成虚假或误导性域名(例如,哄骗域名),其试图使用Punycode冒充目标域名。例如,此类恶意软件、网络钓鱼攻击、在线品牌攻击或其他恶意活动经常利用Punycode来生成虚假或误导性域名,以便欺骗用户浏览/访问与虚假或误导性域名相关联的网站/服务(例如,URL)。
[0014]更具体地,问题在于人类不能轻易地将Punycode域(例如,xn
‑
aa
‑
thringen
‑
xhb.de)提交到存储器,因此大多数系统以解码形式(例如,aa
‑
th
ü
ringen.de)呈现这些域。因此,IDN无意中为域名创建了安全问题,因为其允许大量不同但在许多情况下视觉上类似的字符的集合用于域命名。因此,不良行为者可以试图通过用视觉上类似但模糊的Unicode字符来替换其ASCII字符中的一个或多个来冒充目标域(例如,高价值目标域名),诸如图1中所示,如下面进一步描述的那样。
[0015]图1提供了可以使用同形异义词示例及其相关联的Punycode编码进行哄骗的目标域名的示例。如本文中所使用的,同形异义词是指被创建以冒充另一个合法域(例如,目标域名)的域名。参考图1,如在102处所示,目标域(诸如google.com)具有在104处所示的同形异义词示例,其具有在106处所示的Punycode编码。如图1中显而易见的那样,google.com目标域的同形异义词示例看起来是相同的,但具有不同的Punycode编码。因此,此同形异义词可能被恶意软件、网络钓鱼攻击、在线品牌攻击潜在利用和/或用于其他恶意活动,以欺骗用户浏览/访问与同形异义词相关联的网站/服务(例如,对于本示例中google.com的目标域名的虚假或误导性域名)。
[0016]为了减轻由虚假或误导性域名呈现的风险(例如,潜在的恶意域),能够自动检测此类虚假或误导性域名(例如URL)(包括同形异义词)是有用的。然而,静态预防方法(如现有的传统域黑名单方法和现有的传统沉洞(sinkholing)方法)通常无法有效对抗使用Punycode生成的虚假或误导性域名(例如URL)。
[0017]因此,需要的是用于提供域名和域名系统(DNS)安全的新的和改进的技术。具体而言,需要的是用于通过检测域名的同形异义词来提供域名和域名系统(DNS)安全的新的和改进的技术。
[0018]用于检测域名的同形异义词的技术概述
[0019]因此,公开了用于检测域名的同形异义词的各种技术。例如,所公开的用于检测域名的同形异义词的技术包括提供使用深度学习技术(例如,深度神经网络或也称为深度网络)生成的(例如,使用(一个或多个)分类器省实现的)模型。
[0020]在一些实施例中,公开了用于检测被称为同形异义词的恶意域名的系统、过程和/
或计算机程序产品。例如,恶意行为者经常创建同形异义词来冒充高价值域名目标,并由此欺骗不知情的用户,诸如上文关于图1类似描述的那样。他们通常使用此类虚假/误导性域来投放(drop)恶意软件、网络钓鱼用户信息、攻击品牌信誉和/或用于其他恶意和/或未授权的活动。
[0021]在一些实施例中,公开了用于使用深度学习技术检测同形异义词的系统、过程和/或计算机程序产品。一些现有的方法聚焦于距离和字符串匹配方法,诸如使用Levenshtein距离来试图识别目标域和同形异义词域之间的相似性。当基于阈值距离比较确定两个字符串之间的距本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种系统,包括:处理器,其配置为:接收DNS数据流,其中所述DNS数据流包括DNS查询和对于所述DNS查询的解析的DNS响应;为所述DNS数据流中的每个域应用同形异义词检测器;以及使用所述同形异义词检测器检测所述DNS数据流中域名的同形异义词;以及存储器,其耦合到所述处理器并被配置为向所述处理器提供指令。2.根据权利要求1所述的系统,其中所述DNS数据流是有效DNS数据流。3.根据权利要求1所述的系统,其中所述同形异义词检测器自动检测一个或多个目标域名的同形异义词。4.根据权利要求1所述的系统,其中所述同形异义词检测器使用基于字符的映射自动检测一个或多个目标域名的同形异义词。5.根据权利要求1所述的系统,其中使用深度神经网络和训练数据生成所述同形异义词检测器。6.根据权利要求1所述的系统,其中所述处理器还被配置为:基于检测所述域名的所述同形异义词来执行缓解动作。7.根据权利要求1所述的系统,其中所述处理器还被配置为:阻止所述DNS响应以阻碍客户端和与所述域名的所述同形异义词相关联的IP地址进行通信。8.根据权利要求1所述的系统,其中对于所述DNS查询的解析的所述DNS响应包括IP地址,并且其中所述处理器还被配置为:将与所述域名的所述同形异义词相关联的所述IP地址添加到黑名单或将同形异义词域添加到黑名单馈送。9.根据权利要求1所述的系统,其中对于所述DNS查询的解析的所述DNS响应包括IP地址,并且其中所述处理器还被配置为:将与所述域名的所述同形异义词相关联的所述IP地址发送到防火墙。10.根据权利要求1所述的系统,其中所述处理器还被配置为执行一个或多个缓解动作,所述一个或多个缓解动作包括:基于与所述域名的所述同形异义词相关联的IP地址生成防火墙规则;配置网络设备以阻止和与所述域名的所述同形异义词相关联的所述IP地址的网络通信;隔离受感染的主机,其中所述受感染的主机是基于和与所述域名的所述同形异义词相关联的所述IP地址的关联而被确定为受感染的;以及将所述域名的所述同形异义词添加到...
【专利技术属性】
技术研发人员:F,
申请(专利权)人:英弗布洛斯公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。