基于时间伴随的恶意域名检测方法及装置制造方法及图纸

本发明专利技术实施例提供一种基于时间伴随的恶意域名检测方法及装置。其中方法包括：获取目标时间段的域名系统流量，对其中的域名进行标记，将已知的恶意域名标记为初始域名；基于初始域名将目标时间段切割为时间窗口，基于时间窗口将与初始域名伴随出现的其他域名确定为关联域名；基于时间窗口对初始域名和关联域名进行聚类，将与初始域名为同一类别的关联域名确定为恶意域名家族。本发明专利技术实施例不需要依赖标注好的训练集，具有良好的泛化能力。具有良好的泛化能力。具有良好的泛化能力。

【技术实现步骤摘要】
基于时间伴随的恶意域名检测方法及装置


[0001]本专利技术涉及网络安全
，尤其涉及一种基于时间伴随的恶意域名检测方法及装置。

技术介绍

[0002]域名系统(Domain Name System，简称DNS)是互联网的一项基础服务。它是域名和IP地址相互映射的一个分布式数据库，能够使人们更方便地访问互联网。DNS是一个分布式的分层系统，由受信任的根服务器，以及数亿个权威名称服务器组成。域名系统协议通过实现域名与IP地址的双向关联，是Internet中的关键基础设施。Internet架构的大多数应用程序都依赖于DNS，例如网站和邮件系统等。
[0003]恶意域名是指一类具有恶意链接的网址，这种网址通常利用应用软件或浏览器的漏洞，在网站内植入木马、病毒程序等恶意代码，并利用伪装的网站服务内容来诱导用户访问。用户一旦进入这些网站，就有可能“中招”，导致计算机被恶意代码感染，进而引发安全问题。恶意域名在网络非法攻击活动中承担着重要的角色。
[0004]近年来出现了大量利用DNS流量检测恶意域名的方法，其主要目的是为了在用户访问这些恶意域名之前进行防御和预警，从而缓解攻击活动带来的威胁和损害。常见的方法是从样本、DNS流量、网页信息等数据中为每一个域名人为手动提取特征，通过这些特征识别DNS流量中的恶意域名。
[0005]现有的利用DNS流量检测恶意域名的方法存在着以下问题：
[0006]1、特征由人工从已发生的网络行为中分析得出，具有滞后性，无法感知未知特征的恶意域名；
[0007]2、特征与具体恶意行为关联紧密，如果攻击方适当调整策略，特征检测的方式就会失效；
[0008]3、特征一般针对具体版本的恶意软件，对恶意软件的其他版本或变种无法检测。

技术实现思路

[0009]针对现有技术中的问题，本专利技术实施例提供一种基于时间伴随的恶意域名检测方法及装置。
[0010]具体地，本专利技术实施例提供了以下技术方案：
[0011]第一方面，本专利技术实施例提供了一种基于时间伴随的恶意域名检测方法，包括：
[0012]获取目标时间段的域名系统流量，对所获取的域名系统流量中的域名进行标记，将已知的恶意域名标记为初始域名；
[0013]基于所标记的初始域名将所述目标时间段切割为时间窗口，基于所述时间窗口将与所述初始域名伴随出现的所标记的其他域名确定为关联域名；
[0014]基于所述时间窗口提取所述关联域名的频率特征，并基于所提取的频率特征对所述关联域名进行过滤，得到目标恶意域名；
[0015]基于所述时间窗口对所述初始域名和所述关联域名进行聚类，将与所述初始域名为同一类别的关联域名确定为恶意域名家族。
[0016]进一步地，所述基于所标记的初始域名将所述目标时间段切割为时间窗口，基于所述时间窗口将与所述初始域名伴随出现的所标记的其他域名确定为关联域名，包括：
[0017]以所标记的初始域名为中心，以预先设置的时间窗口阈值对所述目标时间段进行切割，得到所述目标时间段的时间窗口；
[0018]将在所述目标时间段的所有时间窗口中出现的所标记的其他域名，确定为所述关联域名。
[0019]进一步地，所述基于所述时间窗口对所述初始域名和所述关联域名进行聚类，将与所述初始域名为同一类别的关联域名确定为恶意域名家族，包括：
[0020]基于所述时间窗口提取所述关联域名的频率特征，并基于所提取的频率特征对所述关联域名进行过滤，得到目标恶意域名；
[0021]基于所述时间窗口对所述初始域名和所述目标恶意域名进行聚类，得到所述初始域名和所述目标恶意域名的类别；
[0022]基于域名类别出现的频率和相同类别的域名连续出现构成的域名子段的长度，对聚类得到的域名类别进行过滤，将过滤后与所述初始域名为同一类别的目标恶意域名确定为恶意域名家族。
[0023]进一步地，所述基于所述时间窗口提取所述关联域名的频率特征，并基于所提取的频率特征对所述关联域名进行过滤，得到目标恶意域名，包括：
[0024]基于所述时间窗口，通过TF
‑
IDF提取所述关联域名的出现频率和逆向频率；
[0025]将所述出现频率和所述逆向频率分别大于预先设置的第一频率阈值和第二频率阈值的关联域名，确定为所述目标恶意域名。
[0026]进一步地，所述基于所述时间窗口，通过TF
‑
IDF提取所述关联域名的出现频率和逆向频率，包括：
[0027]统计所述关联域名在所述目标时间段的所有时间窗口中出现的次数，作为所述关联域名的出现频率；
[0028]确定所述目标时间段的所有时间窗口的数量与所述关联域名出现的时间窗口的数量比值的对数，作为所述关联域名的逆向频率。
[0029]进一步地，所述基于所述时间窗口对所述初始域名和所述目标恶意域名进行聚类，得到所述初始域名和所述目标恶意域名的类别，包括：
[0030]基于所述时间窗口对所述初始域名和所述目标恶意域名进行向量化，得到每一个时间窗口对应的域名向量；
[0031]对所述域名向量进行聚类，得到所述初始域名和所述目标恶意域名的类别。
[0032]进一步地，所述基于所述时间窗口对所述初始域名和所述目标恶意域名进行向量化，得到每一个时间窗口对应的域名向量，包括：
[0033]针对每一个时间窗口，将所述初始域名和每一个所述目标恶意域名出现的位置设置为1，将所述初始域名和所述目标恶意域名未出现的位置设置为0，得到所述时间窗口对应的域名向量。
[0034]进一步地，所述基于域名类别出现的频率和相同类别的域名连续出现构成的域名
子段的长度，对聚类得到的域名类别进行过滤，包括：
[0035]基于聚类得到的域名类别，确定每一个域名类别出现的频率和相同类别的域名连续出现构成的域名子段的长度；
[0036]将所述域名类别出现的频率和所述域名子段的长度分别小于预先设置的第三频率阈值和子段长度阈值的初始域名和目标恶意域名过滤掉。
[0037]进一步地，所述基于聚类得到的域名类别，确定每一个域名类别出现的频率和相同类别的域名连续出现构成的域名子段的长度，包括：
[0038]将聚类得到的初始域名和目标恶意域名的类别带入所述域名向量；
[0039]统计每一个类别的域名在所有域名向量中出现的次数，作为对应的域名类别出现的频率；
[0040]在所有域名向量中确定相同类别的域名连续出现的数量，作为对应的域名子段的长度。
[0041]第二方面，本专利技术实施例还提供了一种基于时间伴随的恶意域名检测装置，包括：
[0042]预处理模块，用于获取目标时间段的域名系统流量，对所获取的域名系统流量中的域名进行标记，将已知的恶意域名标记为初始域名；
[0043]窗口切分模块，用于基于所标记的初始域名将所述目标时间段切割为时间窗口，基于所述时间窗口将与所述初始域名伴随出现的所标记的其本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于时间伴随的恶意域名检测方法，其特征在于，包括：获取目标时间段的域名系统流量，对所获取的域名系统流量中的域名进行标记，将已知的恶意域名标记为初始域名；基于所标记的初始域名将所述目标时间段切割为时间窗口，基于所述时间窗口将与所述初始域名伴随出现的所标记的其他域名确定为关联域名；基于所述时间窗口对所述初始域名和所述关联域名进行聚类，将与所述初始域名为同一类别的关联域名确定为恶意域名家族。2.根据权利要求1所述的基于时间伴随的恶意域名检测方法，其特征在于，所述基于所标记的初始域名将所述目标时间段切割为时间窗口，基于所述时间窗口将与所述初始域名伴随出现的所标记的其他域名确定为关联域名，包括：以所标记的初始域名为中心，以预先设置的时间窗口阈值对所述目标时间段进行切割，得到所述目标时间段的时间窗口；将在所述目标时间段的所有时间窗口中出现的所标记的其他域名，确定为所述关联域名。3.根据权利要求1或2所述的基于时间伴随的恶意域名检测方法，其特征在于，所述基于所述时间窗口对所述初始域名和所述关联域名进行聚类，将与所述初始域名为同一类别的关联域名确定为恶意域名家族，包括：基于所述时间窗口提取所述关联域名的频率特征，并基于所提取的频率特征对所述关联域名进行过滤，得到目标恶意域名；基于所述时间窗口对所述初始域名和所述目标恶意域名进行聚类，得到所述初始域名和所述目标恶意域名的类别；基于域名类别出现的频率和相同类别的域名连续出现构成的域名子段的长度，对聚类得到的域名类别进行过滤，将过滤后与所述初始域名为同一类别的目标恶意域名确定为恶意域名家族。4.根据权利要求3所述的基于时间伴随的恶意域名检测方法，其特征在于，所述基于所述时间窗口提取所述关联域名的频率特征，并基于所提取的频率特征对所述关联域名进行过滤，得到目标恶意域名，包括：基于所述时间窗口，通过TF
‑
IDF提取所述关联域名的出现频率和逆向频率；将所述出现频率和所述逆向频率分别大于预先设置的第一频率阈值和第二频率阈值的关联域名，确定为所述目标恶意域名。5.根据权利要求4所述的基于时间伴随的恶意域名检测方法，其特征在于，所述基于所述时间窗口，通过TF
‑
IDF提取所述关联域名的出现频率和逆向频率，包括：统计所述关联域名在所述目标时间段的所有时间窗口中出现的次数，作为所述关联域名的出现频率；确定所述目标时间段的所有时间窗口的数量与所述关联域名出现的时间窗口的数量比值的对数，作为所述关联域名的逆向频率。6.根据权利要求3所述的基于时间伴随的恶意域名检测方法，其特征在于，所述基于所述时间窗...

【专利技术属性】
技术研发人员：孔润，何直泽，郑晓峰，
申请(专利权)人：奇安信网神信息技术北京股份有限公司，
类型：发明
国别省市：