【技术实现步骤摘要】
一种域名检测方法、系统、设备及计算机可读存储介质
[0001]本申请涉及网络安全
,更具体地说,涉及一种域名检测方法、系统、设备及计算机可读存储介质。
技术介绍
[0002]在服务器等设备的运行过程中,攻击者会对设备进行攻击,比如通过僵尸网络等对设备进行攻击,僵尸网络指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。因此,为了保护设备安全,便需要对僵尸网络等的域名进行检测,以便基于相应的域名进行安全防护。
[0003]比如可以通过对沙箱释放流量的异常进行分析来提取出恶意域名,但受限于沙箱环境以及样本本身对抗手段,如加壳、代码混淆、执行环节检查等方式,会使得沙箱对于文件样本的流量释放情况不准确,从而无法准确对域名进行检测。
[0004]综上所述,如何提高域名检测的准确性是目前本领域技术人员亟待解决的问题。
技术实现思路
[0005]本申请的目的是提供一种域名检测方法,其能在一定程度上解决如何提高域名检测的准确性的...
【技术保护点】
【技术特征摘要】
1.一种域名检测方法,其特征在于,包括:获取目标设备对各个域名的访问时间序列;在所述访问时间序列中,针对每一所述访问时间序列,根据预设时间段将所述访问时间序列划分为至少一访问子时间序列;对所述访问子时间序列进行访问特征分析,确定对应的时序特征;基于所述时序特征分析所述域名是否为恶意域名,得到对应的检测结果。2.根据权利要求1所述的方法,其特征在于,所述对所述访问子时间序列进行访问特征分析,确定对应的时序特征,包括:将所述访问子时间序列中时间戳的总数量作为所述目标设备在所述时间段下访问所述域名的总次数值;和/或,将所述访问子时间序列拆分为各个第一连续时间区间,将各个所述第一连续时间区间下时间戳的总数量与所述第一连续时间区间的时长的比值,作为所述目标设备在所述第一连续时间区间下访问所述域名的第一频率值;和/或,以单位时长作为连续时间区间的拆分阈值,将所述访问子时间序列拆分为各个第二连续时间区间,将各个所述第二连续时间区间下时间戳的总数量与所述第二连续时间区间的时长的比值,作为所述目标设备在所述第二连续时间区间下访问所述域名的第二频率值;若所述总次数值大于第一预设值,和/或大于预设时长的所述第一连续时间区间的所述第一频率值超过第一预设频率值,和/或所述第二频率值的最大值超过第二预设频率值,则确定在所述访问子时间序列对应的所述时间段下,所述时序特征为所述目标设备持续高频访问域名;其中,所述连续时间区间为:由时间间隔在所述拆分阈值内的所有相邻时间戳组成的时间区间。3.根据权利要求1所述的方法,其特征在于,所述对所述访问子时间序列进行访问特征分析,确定对应的时序特征,包括:对所述访问子时间序列进行去重处理,得到去重访问子时间序列;确定所述去重访问子时间序列对应的连续时间区间的拆分阈值;按照所述拆分阈值,将所述去重访问子时间序列拆分为各个第三连续时间区间;若时间序列长度超过第二预设值的所述第三连续时间区间满足时间周期性,则确定在所述访问子时间序列对应的所述时间段下,所述时序特征为所述目标设备局部周期性访问域名;其中,连续时间区间为:由时间间隔在所述拆分阈值内的所有相邻时间戳组成的时间区间。4.根据权利要求3所述的方法,其特征在于,所述拆分阈值通过以下方式确定:对所述去重访问子时间序列进行拟合,得到第一拟合函数;将所述第一拟合函数的斜率与预设值的乘积值作为所述拆分阈值。5.根据权利...
【专利技术属性】
技术研发人员:孟翔,王绪寒,金星,曾才非,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。