本申请公开了一种域名检测方法、系统、设备及计算机可读存储介质,获取目标设备对各个域名的访问时间序列;在访问时间序列中,根据预设时间段将访问时间序列划分为至少一访问子时间序列;对访问子时间序列进行访问特征分析,确定对应的时序特征;基于时序特征分析域名是否为恶意域名,得到对应的检测结果。本申请中,可以根据目标设备对域名的访问时间序列的分析结果,来确定目标设备在各个时间段下访问域名的时序特征,并基于该时序特征分析域名是否为恶意域名,扩充了恶意域名的检测方式,因为设备访问恶意域名的时序特征在各个时间段下具有共性,所以基于各个时间段下时序特征进行域名检测的话,能够提高域名检测的准确性。性。性。
【技术实现步骤摘要】
一种域名检测方法、系统、设备及计算机可读存储介质
[0001]本申请涉及网络安全
,更具体地说,涉及一种域名检测方法、系统、设备及计算机可读存储介质。
技术介绍
[0002]在服务器等设备的运行过程中,攻击者会对设备进行攻击,比如通过僵尸网络等对设备进行攻击,僵尸网络指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。因此,为了保护设备安全,便需要对僵尸网络等的域名进行检测,以便基于相应的域名进行安全防护。
[0003]比如可以通过对沙箱释放流量的异常进行分析来提取出恶意域名,但受限于沙箱环境以及样本本身对抗手段,如加壳、代码混淆、执行环节检查等方式,会使得沙箱对于文件样本的流量释放情况不准确,从而无法准确对域名进行检测。
[0004]综上所述,如何提高域名检测的准确性是目前本领域技术人员亟待解决的问题。
技术实现思路
[0005]本申请的目的是提供一种域名检测方法,其能在一定程度上解决如何提高域名检测的准确性的技术问题。本申请还提供了一种域名检测系统、电子设备及计算机可读存储介质。
[0006]为了实现上述目的,本申请提供如下技术方案:
[0007]一种域名检测方法,包括:
[0008]获取目标设备对各个域名的访问时间序列;
[0009]在所述访问时间序列中,针对每一所述访问时间序列,根据预设时间段将所述访问时间序列划分为至少一访问子时间序列;
[0010]对所述访问子时间序列进行访问特征分析,确定对应的时序特征;
[0011]基于所述时序特征分析所述域名是否为恶意域名,得到对应的检测结果。
[0012]优选的,所述对所述访问子时间序列进行访问特征分析,确定对应的时序特征,包括:
[0013]将所述访问子时间序列中时间戳的总数量作为所述目标设备在所述时间段下访问所述域名的总次数值;
[0014]和/或,将所述访问子时间序列拆分为各个第一连续时间区间,将各个所述第一连续时间区间下时间戳的总数量与所述第一连续时间区间的时长的比值,作为所述目标设备在所述第一连续时间区间下访问所述域名的第一频率值;
[0015]和/或,以单位时长作为连续时间区间的拆分阈值,将所述访问子时间序列拆分为各个第二连续时间区间,将各个所述第二连续时间区间下时间戳的总数量与所述第二连续时间区间的时长的比值,作为所述目标设备在所述第二连续时间区间下访问所述域名的第二频率值;
[0016]若所述总次数值大于第一预设值,和/或大于预设时长的所述第一连续时间区间的所述第一频率值超过第一预设频率值,和/或所述第二频率值的最大值超过第二预设频率值,则确定在所述访问子时间序列对应的所述时间段下,所述时序特征为所述目标设备持续高频访问域名;
[0017]其中,所述连续时间区间为:由时间间隔在所述拆分阈值内的所有相邻时间戳组成的时间区间。
[0018]优选的,所述对所述访问子时间序列进行访问特征分析,确定对应的时序特征,包括:
[0019]对所述访问子时间序列进行去重处理,得到去重访问子时间序列;
[0020]确定所述去重访问子时间序列对应的连续时间区间的拆分阈值;
[0021]按照所述拆分阈值,将所述去重访问子时间序列拆分为各个第三连续时间区间;
[0022]若时间序列长度超过第二预设值的所述第三连续时间区间满足时间周期性,则确定在所述访问子时间序列对应的所述时间段下,所述时序特征为所述目标设备局部周期性访问域名;
[0023]其中,连续时间区间为:由时间间隔在所述拆分阈值内的所有相邻时间戳组成的时间区间。
[0024]优选的,所述拆分阈值通过以下方式确定:
[0025]对所述去重访问子时间序列进行拟合,得到第一拟合函数;
[0026]将所述第一拟合函数的斜率与预设值的乘积值作为所述拆分阈值。
[0027]优选的,所述对所述访问子时间序列进行访问特征分析,确定对应的时序特征,包括:
[0028]将所述访问子时间序列拆分为各个第四连续时间区间,将各个所述第四连续时间区间下时间戳的总数量与所述第四连续时间区间的时长的比值,作为所述目标设备在所述第四连续时间区间下访问所述域名的第三频率值;
[0029]确定各个所述第四连续时间区间的平均时间戳值,将所有的所述平均时间戳值组成第五连续时间区间;
[0030]若存在时间戳数量值大于第四预设值且所述第三频率值超过第三预设频率值的所述第四连续时间区间,且所述第五连续时间区间满足时间周期性,则判定在所述访问子时间序列对应的所述时间段下,所述时序特征为所述目标设备整体周期性且局部高频性访问域名;
[0031]其中,连续时间区间为:由时间间隔在所述拆分阈值内的所有相邻时间戳组成的时间区间。
[0032]优选的,判断所述连续时间区间是否满足时间周期性,包括:
[0033]对所述连续时间区间进行拟合,得到目标拟合函数,并基于所述目标拟合函数计算时间戳的目标标准差值;
[0034]若所述目标标准差值大于目标预设值,则确定所述连续时间区间不满足所述时间周期性,若所述目标标准差值小于等于所述目标预设值,则确定所述连续时间区间满足所述时间周期性。
[0035]优选的,所述基于所述时序特征分析所述域名是否为恶意域名,得到对应的检测
结果,包括:
[0036]若所述目标设备在各个所述时间段下对同一所述域名的所述时序特征均相同,则得到表征所述域名为恶意域名的所述检测结果。
[0037]一种域名检测系统,包括:
[0038]时间序列获取模块,用于获取目标设备对各个域名的访问时间序列;
[0039]子时间序列获取模块,用于在所述访问时间序列中,针对每一所述访问时间序列,根据预设时间段将所述访问时间序列划分为至少一访问子时间序列;
[0040]时序特征分析模块,用于对所述访问子时间序列进行访问特征分析,确定对应的时序特征;
[0041]检测模块,用于基于所述时序特征分析所述域名是否为恶意域名,得到对应的检测结果。
[0042]一种电子设备,包括:
[0043]存储器,用于存储计算机程序;
[0044]处理器,用于执行所述计算机程序时实现如上任一所述域名检测方法的步骤。
[0045]一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如上任一所述域名检测方法的步骤。
[0046]本申请提供的一种域名检测方法,获取目标设备对各个域名的访问时间序列;在访问时间序列中,根据预设时间段将访问时间序列划分为至少一访问子时间序列;对访问子时间序列进行访问特征分析,确定对应的时序特征;基于时序特征分析域名是否为恶意域名,得到对应的检测结果。本申请中,可以根据目标设备对域名的访问时间序列的分析结果,来确定目标设备在各个时本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种域名检测方法,其特征在于,包括:获取目标设备对各个域名的访问时间序列;在所述访问时间序列中,针对每一所述访问时间序列,根据预设时间段将所述访问时间序列划分为至少一访问子时间序列;对所述访问子时间序列进行访问特征分析,确定对应的时序特征;基于所述时序特征分析所述域名是否为恶意域名,得到对应的检测结果。2.根据权利要求1所述的方法,其特征在于,所述对所述访问子时间序列进行访问特征分析,确定对应的时序特征,包括:将所述访问子时间序列中时间戳的总数量作为所述目标设备在所述时间段下访问所述域名的总次数值;和/或,将所述访问子时间序列拆分为各个第一连续时间区间,将各个所述第一连续时间区间下时间戳的总数量与所述第一连续时间区间的时长的比值,作为所述目标设备在所述第一连续时间区间下访问所述域名的第一频率值;和/或,以单位时长作为连续时间区间的拆分阈值,将所述访问子时间序列拆分为各个第二连续时间区间,将各个所述第二连续时间区间下时间戳的总数量与所述第二连续时间区间的时长的比值,作为所述目标设备在所述第二连续时间区间下访问所述域名的第二频率值;若所述总次数值大于第一预设值,和/或大于预设时长的所述第一连续时间区间的所述第一频率值超过第一预设频率值,和/或所述第二频率值的最大值超过第二预设频率值,则确定在所述访问子时间序列对应的所述时间段下,所述时序特征为所述目标设备持续高频访问域名;其中,所述连续时间区间为:由时间间隔在所述拆分阈值内的所有相邻时间戳组成的时间区间。3.根据权利要求1所述的方法,其特征在于,所述对所述访问子时间序列进行访问特征分析,确定对应的时序特征,包括:对所述访问子时间序列进行去重处理,得到去重访问子时间序列;确定所述去重访问子时间序列对应的连续时间区间的拆分阈值;按照所述拆分阈值,将所述去重访问子时间序列拆分为各个第三连续时间区间;若时间序列长度超过第二预设值的所述第三连续时间区间满足时间周期性,则确定在所述访问子时间序列对应的所述时间段下,所述时序特征为所述目标设备局部周期性访问域名;其中,连续时间区间为:由时间间隔在所述拆分阈值内的所有相邻时间戳组成的时间区间。4.根据权利要求3所述的方法,其特征在于,所述拆分阈值通过以下方式确定:对所述去重访问子时间序列进行拟合,得到第一拟合函数;将所述第一拟合函数的斜率与预设值的乘积值作为所述拆分阈值。5.根据权利...
【专利技术属性】
技术研发人员:孟翔,王绪寒,金星,曾才非,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。