本申请公开了提供的一种域名检测方法、系统、设备及计算机可读存储介质,获取目标设备中的目标PE文件;解析出目标PE文件中携带的目标域名;对目标域名进行检测,得到对应的检测结果。本申请中,可以从目标设备中的目标PE文件中解析出目标域名,并可以对目标域名进行检测,得到对应的检测结果,实现了基于PE文件对域名进行检测的功能,扩充了域名的检测方式,能够提高域名检测的准确性。本申请提供的一种域名检测系统、电子设备及计算机可读存储介质也解决了相应技术问题。也解决了相应技术问题。也解决了相应技术问题。
【技术实现步骤摘要】
一种域名检测方法、系统、设备及计算机可读存储介质
[0001]本申请涉及网络安全
,更具体地说,涉及一种域名检测方法、系统、设备及计算机可读存储介质。
技术介绍
[0002]在服务器等设备的运行过程中,攻击者会对设备进行攻击,比如通过僵尸网络等对设备进行攻击,僵尸网络指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。因此,为了保护设备安全,便需要对僵尸网络等的域名进行检测,以便基于相应的域名进行安全防护。
[0003]比如可以通过对沙箱释放流量的异常进行分析来提取出恶意域名,但受限于沙箱环境以及样本本身对抗手段,如加壳、代码混淆、执行环节检查等方式,会使得沙箱对于文件样本的流量释放情况不准确,从而无法准确对域名进行检测。
[0004]综上所述,如何提高域名检测的准确性是目前本领域技术人员亟待解决的问题。
技术实现思路
[0005]本申请的目的是提供一种域名检测方法,其能在一定程度上解决如何提高域名检测的准确性的技术问题。本申请还提供了一种域名检测系统、电子设备及计算机可读存储介质。
[0006]为了实现上述目的,本申请提供如下技术方案:
[0007]一种域名检测方法,包括:
[0008]获取目标设备中的目标PE文件;
[0009]解析出所述目标PE文件中携带的目标域名;
[0010]对所述目标域名进行检测,得到对应的检测结果。
[0011]优选的,所述解析出所述目标PE文件中携带的目标域名,包括:
[0012]确定所述目标PE文件中记录域名信息的目标节区表;
[0013]读取所述目标节区表在存储空间中存储的目标数据;
[0014]在所述目标数据中筛选出所述目标域名。
[0015]优选的,所述确定所述目标PE文件中记录域名信息的目标节区表,包括:
[0016]确定所述目标PE文件的头部地址;
[0017]基于所述头部地址,确定所述目标PE文件中的各个节区表;
[0018]将节区名称中携带目标字符串的所述节区表确定为所述目标节区表;
[0019]其中,所述目标字符串包括.data字符串。
[0020]优选的,所述基于所述头部地址,确定所述目标PE文件中的各个节区表,包括:
[0021]基于所述头部地址确定所述目标PE文件中的节区表起始位置;
[0022]基于所述头部地址确定所述目标PE文件中节区表的个数值;
[0023]基于所述节区表起始位置、所述节区表的大小值及所述个数值,确定各个所述节
区表。
[0024]优选的,所述读取所述目标节区表在存储空间中存储的目标数据,包括:
[0025]在所述目标节区表中,确定出所述目标节区表对应的目标节区在所述存储空间中的节区起始位置;
[0026]在所述目标节区表中,确定出所述目标节区的字节数值和所述目标节区在所述存储空间中初始化的数据大小值;
[0027]将所述字节数值和所述数据大小值中的最大值确定为所述目标数据的长度值;
[0028]在所述存储空间中,将所述节区起始位置开始及之后所述长度值对应的数据确定为所述目标数据。
[0029]优选的,所述对所述目标域名进行检测,得到对应的检测结果,包括:
[0030]若所述目标域名不包含单词和/或拼音,则得到表征所述目标域名为僵尸网络域名的所述检测结果。
[0031]优选的,所述对所述目标域名进行检测,得到对应的检测结果,包括:
[0032]对多个所述目标域名进行聚合,得到各类聚合域名;
[0033]若所述聚合域名中的所述目标域名的文法模式相同,则得到表征所述聚合域名中的所述目标域名为僵尸网络域名的所述检测结果。
[0034]优选的,所述对所述目标域名进行检测,得到对应的检测结果,包括:
[0035]若所述目标域名在不同所述目标PE文件中的出现次数大于预设次数,则得到表征所述目标域名为僵尸网络域名的所述检测结果。
[0036]优选的,所述对所述目标域名进行检测,得到对应的检测结果之后,还包括:
[0037]基于预设的白域名库,对所述目标域名进行降误报处理;
[0038]其中,所述白域名库为存储安全域名的域名库。
[0039]一种域名检测系统,包括:
[0040]PE文件获取模块,用于获取目标设备中的目标PE文件;
[0041]域名解析模块,用于解析出所述目标PE文件中携带的目标域名;
[0042]域名检测模块,用于对所述目标域名进行检测,得到对应的检测结果。
[0043]一种电子设备,包括:
[0044]存储器,用于存储计算机程序;
[0045]处理器,用于执行所述计算机程序时实现如上任一所述域名检测方法的步骤。
[0046]一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如上任一所述域名检测方法的步骤。
[0047]本申请提供的一种域名检测方法,获取目标设备中的目标PE文件;解析出目标PE文件中携带的目标域名;对目标域名进行检测,得到对应的检测结果。本申请中,可以从目标设备中的目标PE文件中解析出目标域名,并可以对目标域名进行检测,得到对应的检测结果,实现了基于PE文件对域名进行检测的功能,扩充了域名的检测方式,能够提高域名检测的准确性。本申请提供的一种域名检测系统、电子设备及计算机可读存储介质也解决了相应技术问题。
附图说明
[0048]为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
[0049]图1为本申请实施例提供的一种域名检测方法的第一流程图;
[0050]图2为本申请实施例提供的一种域名检测方法的第二流程图;
[0051]图3为本申请实施例提供的一种域名检测方法的第三流程图;
[0052]图4为本申请实施例提供的一种域名检测系统的结构示意图;
[0053]图5为本专利技术实施例电子设备的硬件组成结构示意图。
具体实施方式
[0054]下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0055]请参阅图1,图1为本申请实施例提供的一种域名检测方法的第一流程图。
[0056]本申请实施例提供的一种域名检测方法,可以包括以下步骤:
[0057]步骤S101:获取本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种域名检测方法,其特征在于,包括:获取目标设备中的目标PE文件;解析出所述目标PE文件中携带的目标域名;对所述目标域名进行检测,得到对应的检测结果。2.根据权利要求1所述的方法,其特征在于,所述解析出所述目标PE文件中携带的目标域名,包括:确定所述目标PE文件中记录域名信息的目标节区表;读取所述目标节区表在存储空间中存储的目标数据;在所述目标数据中筛选出所述目标域名。3.根据权利要求2所述的方法,其特征在于,所述确定所述目标PE文件中记录域名信息的目标节区表,包括:确定所述目标PE文件的头部地址;基于所述头部地址,确定所述目标PE文件中的各个节区表;将节区名称中携带目标字符串的所述节区表确定为所述目标节区表;其中,所述目标字符串包括.data字符串。4.根据权利要求3所述的方法,其特征在于,所述基于所述头部地址,确定所述目标PE文件中的各个节区表,包括:基于所述头部地址确定所述目标PE文件中的节区表起始位置;基于所述头部地址确定所述目标PE文件中节区表的个数值;基于所述节区表起始位置、所述节区表的大小值及所述个数值,确定各个所述节区表。5.根据权利要求4所述的方法,其特征在于,所述读取所述目标节区表在存储空间中存储的目标数据,包括:在所述目标节区表中,确定出所述目标节区表对应的目标节区在所述存储空间中的节区起始位置;在所述目标节区表中,确定出所述目标节区的字节数值和所述目标节区在所述存储空间中初始化的数据大小值;将所述字节数值和所述数据大小值中的最大值确定为所述目标数据的长度值;在所述存储空间中,将所述节区起始位置开始及之后所述长度值对应的数据确定为所述目标数据。6.根据权利要求...
【专利技术属性】
技术研发人员:孟翔,赵冰茹,金星,曾才非,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。