【技术实现步骤摘要】
基于时间伴随的恶意域名检测方法及装置
[0001]本专利技术涉及网络安全
,尤其涉及一种基于时间伴随的恶意域名检测方法及装置。
技术介绍
[0002]域名系统(Domain Name System,简称DNS)是互联网的一项基础服务。它是域名和IP地址相互映射的一个分布式数据库,能够使人们更方便地访问互联网。DNS是一个分布式的分层系统,由受信任的根服务器,以及数亿个权威名称服务器组成。域名系统协议通过实现域名与IP地址的双向关联,是Internet中的关键基础设施。Internet架构的大多数应用程序都依赖于DNS,例如网站和邮件系统等。
[0003]恶意域名是指一类具有恶意链接的网址,这种网址通常利用应用软件或浏览器的漏洞,在网站内植入木马、病毒程序等恶意代码,并利用伪装的网站服务内容来诱导用户访问。用户一旦进入这些网站,就有可能“中招”,导致计算机被恶意代码感染,进而引发安全问题。恶意域名在网络非法攻击活动中承担着重要的角色。
[0004]近年来出现了大量利用DNS流量检测恶意域名的方法,其主要目的是为了在用户访问这些恶意域名之前进行防御和预警,从而缓解攻击活动带来的威胁和损害。常见的方法是从样本、DNS流量、网页信息等数据中为每一个域名人为手动提取特征,通过这些特征识别DNS流量中的恶意域名。
[0005]现有的利用DNS流量检测恶意域名的方法存在着以下问题:
[0006]1、特征由人工从已发生的网络行为中分析得出,具有滞后性,无法感知未知特征的恶意域名;
[00 ...
【技术保护点】
【技术特征摘要】
1.一种基于时间伴随的恶意域名检测方法,其特征在于,包括:获取目标时间段的域名系统流量,对所获取的域名系统流量中的域名进行标记,将已知的恶意域名标记为初始域名;基于所标记的初始域名将所述目标时间段切割为时间窗口,基于所述时间窗口将与所述初始域名伴随出现的所标记的其他域名确定为关联域名;基于所述时间窗口对所述初始域名和所述关联域名进行聚类,将与所述初始域名为同一类别的关联域名确定为恶意域名家族。2.根据权利要求1所述的基于时间伴随的恶意域名检测方法,其特征在于,所述基于所标记的初始域名将所述目标时间段切割为时间窗口,基于所述时间窗口将与所述初始域名伴随出现的所标记的其他域名确定为关联域名,包括:以所标记的初始域名为中心,以预先设置的时间窗口阈值对所述目标时间段进行切割,得到所述目标时间段的时间窗口;将在所述目标时间段的所有时间窗口中出现的所标记的其他域名,确定为所述关联域名。3.根据权利要求1或2所述的基于时间伴随的恶意域名检测方法,其特征在于,所述基于所述时间窗口对所述初始域名和所述关联域名进行聚类,将与所述初始域名为同一类别的关联域名确定为恶意域名家族,包括:基于所述时间窗口提取所述关联域名的频率特征,并基于所提取的频率特征对所述关联域名进行过滤,得到目标恶意域名;基于所述时间窗口对所述初始域名和所述目标恶意域名进行聚类,得到所述初始域名和所述目标恶意域名的类别;基于域名类别出现的频率和相同类别的域名连续出现构成的域名子段的长度,对聚类得到的域名类别进行过滤,将过滤后与所述初始域名为同一类别的目标恶意域名确定为恶意域名家族。4.根据权利要求3所述的基于时间伴随的恶意域名检测方法,其特征在于,所述基于所述时间窗口提取所述关联域名的频率特征,并基于所提取的频率特征对所述关联域名进行过滤,得到目标恶意域名,包括:基于所述时间窗口,通过TF
‑
IDF提取所述关联域名的出现频率和逆向频率;将所述出现频率和所述逆向频率分别大于预先设置的第一频率阈值和第二频率阈值的关联域名,确定为所述目标恶意域名。5.根据权利要求4所述的基于时间伴随的恶意域名检测方法,其特征在于,所述基于所述时间窗口,通过TF
‑
IDF提取所述关联域名的出现频率和逆向频率,包括:统计所述关联域名在所述目标时间段的所有时间窗口中出现的次数,作为所述关联域名的出现频率;确定所述目标时间段的所有时间窗口的数量与所述关联域名出现的时间窗口的数量比值的对数,作为所述关联域名的逆向频率。6.根据权利要求3所述的基于时间伴随的恶意域名检测方法,其特征在于,所述基于所述时间窗...
【专利技术属性】
技术研发人员:孔润,何直泽,郑晓峰,
申请(专利权)人:奇安信网神信息技术北京股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。