【技术实现步骤摘要】
一种域名检测方法、装置、设备及可读存储介质
[0001]本专利技术涉及信息
,特别是涉及一种域名检测方法、装置、设备及可读存储介质。
技术介绍
[0002]恶意域名作为一种比较流行的网络攻击方法常用于仿冒其他标准网站,帮助病毒、木马更快地传播,窃取用户敏感信息,获取黑客攻击指令等,给用户正常使用网络带来了严重的影响。
[0003]目前在检测恶意域名的各种方法中,域名共现是一个比较常用和有效的检测特征,大部分域名共现的检测方法都是通过已知恶意域名前后的域名之间的关系来挖掘恶意域名序列,并定义在恶意域名序列中的所有域名均为恶意域名。但是在实际应用发现相关技术中的恶意域名检测方法存在准确率低的问题。
[0004]综上所述,如何有效地提高恶意域名检测的准确率等问题,是目前本领域技术人员急需解决的技术问题。
技术实现思路
[0005]本专利技术的目的是提供一种域名检测方法、装置、设备及可读存储介质,以提高恶意域名检测的准确率,即降低恶意域名检测的误报和漏报。
[0006]为解决上述技术问题...
【技术保护点】
【技术特征摘要】
1.一种域名检测的方法,其特征在于,所述方法包括:获取至少一台主机的多个域名访问序列,所述多个域名访问序列包括至少两个域名;根据所述多个域名访问序列构建有向域名连接图,所述有向域名连接图包括至少两个节点和至少两条有向边,所述至少两个节点中一个节点对应所述至少两个域名中的一个域名,每条有向边连接所述至少两个节点中的两个节点,每条有向边的方向表示所述至少一台主机中的主机访问对应两个节点的顺序;根据所述有向域名连接图确定至少一个连通分支,每个连通分支为所述有向域名连接图的一个子图;在所述至少一个连通分支中检测恶意域名。2.根据权利要求1所述的域名检测的方法,其特征在于,根据所述有向域名连接图确定至少一个连通分支,包括:确定所述至少两条有向边的属性值;根据所述至少两条有向边的属性值筛选目标有向边;在所述有向域名连接图中断开所述目标有向边,得到所述至少一个连通分支。3.根据权利要求2所述的域名检测的方法,其特征在于,每条有向边的属性值包括以下三种值中的一种或者多种:主机数、主机相似度和访问总次数;每条有向边的主机数为所述至少一台主机中访问域名序列出现该有向边的主机的数量;每个有向边的主机相似度为所述至少一台主机中,访问过该有向边连接的两个域名的主机的数量,与访问过该有向边连接的域名中的一个或两个的主机的数量的比值;每个有向边的访问总次数为该有向边在所述多个域名访问序列中出现的次数;根据所述至少两条有向边的属性值筛选目标有向边,包括:将所述至少两条有向边中属性值小于阈值的有向边确定为所述目标有向边。4.根据权利要求1所述的域名检测方法,其特征在于,在所述至少一个连通分支中检测恶意域名,包括:检测所述至少一个连通分支中的域名是否为黑域名库中的已知域名;根据所述至少一个连通分支中的域名检测的结果,得到所述至少一个连通分支域名至少一个分支检测结果;利用所述至少一个分支检测结果从所述至少一个连通分支中确定出恶意子图,并将所述恶意子图中的域名确定为所述恶意域名。5.根据权利要求4所述的域名检测方法,其特征在于,所述利用所述至少一个分支检测结果从所述至少一个连通分支中确定出恶意子图,包括:将与恶意情况匹配的分支检测结果对应的连通分支确定为恶意子图;所述恶意情况包括疑似恶意域名占比大于占比阈值,所述疑似恶意域名数量大于恶意阈值,疑似非恶意域名数量小于安全阈值中的至少一种情况,其中,所述疑似恶意域名为所述黑域名库中的已知域名,所述疑似非恶意域名不为所述黑域名库中的已知域名。6.根据权利要求4所述的域名检测方法,其特征在于,所述黑域名库为高级可持续威胁攻击域名库,所述恶意子图对应一个高级可持续威胁攻击活动。7.一种域名检测装置,其特征在于,包括:域名访问序列获取模块,用于获取至少一台主机的多个域名访问序列,所述多个域名
访问序列包括至少两个域名;域名连接图构建模块,用于根据所述多个域名访问序列构建有向域名连接图,所述有向域名连接图...
【专利技术属性】
技术研发人员:陈扬,雷昕,闫凡,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。