本申请实施例提供一种域名检测的方法、装置、系统及介质,该方法包括:获取待检测文件,其中,待检测文件为加密文件,加密文件为被恶意程序攻击的文件;查找待检测文件中的目标字符串,并且通过目标字符串从多种解密算法中选择目标解密算法,其中,目标字符串中至少用于表征解密算法的特征;基于目标解密算法从所述待检测文件中获取加密域名数据,其中,加密域名数据中包括待检测文件的目标域名;使用目标解密算法对加密域名数据进行解密,获得目标域名。通过本申请的一些实施例能够使用目标解密算法对加密域名数据进行解密,从而提高域名检测的准确性。测的准确性。测的准确性。
【技术实现步骤摘要】
一种域名检测的方法、装置、系统及介质
[0001]本申请实施例涉及网络安全领域,具体涉及一种域名检测的方法、装置、系统及介质。
技术介绍
[0002]僵尸网络是一种能够将大量主机感染的恶意程序,这些僵尸网络通常会利用一些技术(例如,对域名进行加密)逃避检测,以达到提高自身的生存能力,延长生存时间的目的。
[0003]为了保证网络安全,相关技术中使用文法特征对僵尸网络进行域名检测。具体的,首先,根据域名生成算法(Domain Generation Algorithm,DGA)的特征,创建DGA家族类型的分类规则,然后,根据该分类规则对待检测的域名进行检测。但是,由于不是所有的僵尸网络均使用DGA进行加密,所以导致相关技术中的方法缺乏普遍性,从而增加了误报率。
[0004]因此,如何提高域名检测方法的通用性并减少误报率成为需要解决的问题。
技术实现思路
[0005]本申请实施例提供一种域名检测的方法、装置、系统及介质,通过本申请的一些实施例能够提高域名检测方法的通用性并减少误报率。
[0006]第一方面,本申请提供了一种域名检测的方法,所述方法包括:获取待检测文件,其中,所述待检测文件为加密文件,所述加密文件为被恶意程序攻击的文件;查找所述待检测文件中的目标字符串,并且通过所述目标字符串从多种解密算法中选择目标解密算法,其中,所述目标字符串至少用于表征所述解密算法的特征;基于所述目标解密算法从所述待检测文件中获取加密域名数据,其中,所述加密域名数据中包括所述待检测文件的目标域名;使用所述目标解密算法对所述加密域名数据进行解密,获得所述目标域名。
[0007]因此,本申请通过目标字符串从多种解密算法中选择目标解密算法,能够解决现有技术中仅使用一个解密算法进行域名检测,导致域名检测受到局限性的问题,进而能够提升域名检测的准确率。
[0008]结合第一方面,在本申请的一种实施方式中,所述目标字符串为常量字符串或加密函数的名称,所述待检测文件是通过所述加密函数得到的;其中,所述查找所述待检测文件中的目标字符串,并且通过所述目标字符串从多种解密算法中选择目标解密算法,包括:查找所述待检测文件中的所述常量字符串或加密函数的名称,并且通过所述常量字符串或加密函数的名称从多种解密算法中选择目标解密算法。
[0009]因此,与相关技术中使用同一种解密算法不同的是,本申请实施例通过目标字符串,从多个解密算法中选择出目标解密算法,能够获得与待检测文件相对应的目标解密算法,从而提升了域名检测的普遍性。
[0010]结合第一方面,在本申请的一种实施方式中,所述基于所述目标解密算法获取所述待检测文件中的加密域名数据,包括:基于所述目标解密算法查找所述加密域名数据在
所述待检测文件中的存储位置;在所述待检测文件中,获取与所述存储位置相对应的所述加密域名数据。
[0011]结合第一方面,在本申请的一种实施方式中,所述在所述待检测文件中,获取与所述存储位置相对应的所述加密域名数据,包括:根据所述存储位置确定所述加密域名数据所在区段的位置;获取所述区段的位置上的所述加密域名数据。
[0012]因此,本申请实施例通过确定加密域名数据所在区段的位置和存储位置,获得加密域名数据,能够查找到加密域名数据的区段位置,进而保证获取的加密域名数据的准确性。
[0013]结合第一方面,在本申请的一种实施方式中,所述获取所述区段的位置上的所述加密域名数据,包括:基于所述存储位置确定所述加密域名数据的目标长度;在所述区段的位置上获取所述目标长度的数据,得到所述加密域名数据。
[0014]结合第一方面,在本申请的一种实施方式中,在所述获取待检测文件之后,所述方法还包括:识别所述待检测文件中目标位置对应的值,其中,所述目标位置对应的值用于区分所述待检测文件的类型;通过所述目标位置对应的值确定所述待检测文件的类型;所述基于所述目标解密算法获取所述待检测文件中的加密域名数据,包括:基于所述目标解密算法和所述待检测文件的类型,获取所述待检测文件中的加密域名数据。
[0015]因此,本申请实施例通过在所在区段的位置上获取加密域名数据,能够准确定位加密域名数据所在位置并提取,进而提升域名检测的准确性。
[0016]结合第一方面,在本申请的一种实施方式中,在所述获得所述目标域名之前,所述方法还包括:确认目标域名符合预置的域名特征。
[0017]因此,本申请实施例通过确认解密之后的域名符合域名特征,能够验证解密之后的域名的准确性,进而保证获得的目标域名的准确性。
[0018]结合第一方面,在本申请的一种实施方式中,在所述使用所述目标解密算法对所述加密域名数据进行解密,获得所述目标域名之后,所述方法还包括:将所述目标域名添加到原始域名规则库中,获得更新域名规则库,其中,所述更新域名规则库中包括僵尸网络家族的名称以及相对应的至少一个域名;其中,所述更新域名规则库用于判断待检测的域名是否为安全域名,所述待检测的域名是对网络流量进行监控得到的。
[0019]因此,本申请实施例通过将目标域名添加到原始域名规则库,能够丰富原始域名规则库中的黑名单域名,进而保证了系统的安全性。
[0020]第二方面,本申请提供了一种域名检测的系统,所述系统包括:域名检测设备,被配置为获取待检测文件,并且根据所述待检测文件执行如第一方面任意实施例所述的方法,获得目标域名;将所述目标域名添加到原始域名规则库中,获得更新域名规则库;网络安全设备,被配置为对网络流量进行监控,并且获得待检测的域名,并基于所述更新域名规则库判断所述待检测的域名是否为安全域名。
[0021]第三方面,本申请提供了一种域名检测的装置,所述装置包括:文件获取模块,被配置为获取待检测文件,其中,所述待检测文件为加密文件,所述加密文件为被恶意程序攻击的文件;解密算法确定模块,被配置为查找所述待检测文件中的目标字符串,并且通过所述目标字符串确认与所述待检测文件相对应的解密算法,其中,所述目标字符串中包括用于表征所述解密算法的特征;数据获取模块,被配置为基于所述解密算法从所述待检测文
件中获取加密域名数据,其中,所述加密域名数据中包括所述待检测文件的目标域名;解密模块,被配置为使用所述解密算法对所述加密域名数据进行解密,获得所述目标域名。
[0022]结合第三方面,在本申请的一种实施方式中,所述目标字符串为常量字符串或加密函数的名称,所述待检测文件是通过所述加密函数得到的;其中,解密算法确定模块被配置为:查找所述待检测文件中的所述常量字符串或加密函数的名称,并且通过所述常量字符串或加密函数的名称从多种解密算法中选择目标解密算法。
[0023]结合第三方面,在本申请的一种实施方式中,数据获取模块被配置为:基于所述目标解密算法查找所述加密域名数据在所述待检测文件中的存储位置;在所述待检测文件中,获取与所述存储位置相对应的所述加密域名数据。
[0024]结合第三方面,在本申请的一种实施方式中,数据获取模块本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种域名检测的方法,其特征在于,所述方法包括:获取待检测文件,其中,所述待检测文件为加密文件,所述加密文件为被恶意程序攻击的文件;查找所述待检测文件中的目标字符串,并且通过所述目标字符串从多种解密算法中选择目标解密算法,其中,所述目标字符串至少用于表征所述解密算法的特征;基于所述目标解密算法从所述待检测文件中获取加密域名数据,其中,所述加密域名数据中包括所述待检测文件的目标域名;使用所述目标解密算法对所述加密域名数据进行解密,获得所述目标域名。2.根据权利要求1所述的方法,其特征在于,所述目标字符串为常量字符串或加密函数的名称,所述待检测文件是通过所述加密函数得到的;其中,所述查找所述待检测文件中的目标字符串,并且通过所述目标字符串从多种解密算法中选择目标解密算法,包括:查找所述待检测文件中的所述常量字符串或加密函数的名称,并且通过所述常量字符串或加密函数的名称从多种解密算法中选择目标解密算法。3.根据权利要求1所述的方法,其特征在于,所述基于所述目标解密算法获取所述待检测文件中的加密域名数据,包括:基于所述目标解密算法查找所述加密域名数据在所述待检测文件中的存储位置;在所述待检测文件中,获取与所述存储位置相对应的所述加密域名数据。4.根据权利要求3所述的方法,其特征在于,所述在所述待检测文件中,获取与所述存储位置相对应的所述加密域名数据,包括:根据所述存储位置确定所述加密域名数据所在区段的位置;获取所述区段的位置上的所述加密域名数据。5.根据权利要求4所述的方法,其特征在于,所述获取所述区段的位置上的所述加密域名数据,包括:基于所述存储位置确定所述加密域名数据的目标长度;在所述区段的位置上获取所述目标长度的数据,得到所述加密域名数据。6.根据权利要求1所述的方法,其特征在于,在所述获取待检测文件之后,所述方法还包括:识别所述待检测文件中目标位置对应的值,其中,所述目标位置对应的值用于区分所述待检测文件的类型;通过所述目标位置对应的值确定所述待检测文件的类型;所述基于所述目标解密算法获取所述待检测文件中的加密域名数据,包括:基于所述目标解密算法和所述待检测文件的类型,获取所述待检测文件中的加密域名数据。7.根据权利要求1...
【专利技术属性】
技术研发人员:解明佳,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。