恶意域名的检测方法、装置和电子设备制造方法及图纸

本发明专利技术提供了一种恶意域名的检测方法、装置和电子设备，属于网络安全的技术领域，本发明专利技术的检测方法中，待检测域名向量为待检测非国际化域名中，区分度高的域名片段对应的向量，这样，后续在采用域名检测模型对待检测域名向量进行域名检测时，得到的域名检测结果准确，加之最后在进行恶意域名判定时，还综合了待检测非国际化域名在域名服务器中的注册情况，使得最终确定的待检测非国际化域名是否为恶意域名的结果更加准确。域名的结果更加准确。域名的结果更加准确。

【技术实现步骤摘要】
恶意域名的检测方法、装置和电子设备


[0001]本专利技术涉及网络安全的
，尤其是涉及一种恶意域名的检测方法、装置和电子设备。

技术介绍

[0002]域名是用来标识网络服务的字符串，这里的服务包括但不限于人们日常使用的电子邮箱和访问的网站（因而俗称网址）。在网络安全中，黑客会以某种方式建立与受害者的连接进而达成其攻击的目的。辩证地看，前者在向后者提供一种特殊的网络服务。因此，域名本身是无害的，所谓的恶意是指使用目的。一个典型的例子是命令与控制攻击，黑客首先会向受害机器中植入恶意程序，而后该程序会通过黑客预设的域名定期与预置的服务器建立连接，以获取在受害机器上要执行的恶意命令。
[0003]依据上述实例的原理，人们最初提出的应对手段是先通过分析域名日志数据（含请求和响应等相关信息）找出恶意域名，而后将其加入黑名单中，以切断黑客与受害者之间的网络通信。不幸的是，一种用来批量生成域名的算法使得上述方法变得无效，恶意域名的更新速度远超其被屏蔽（日志分析）的速度，且前者的执行成本远低于后者。接着，大家尝试源头打击，即通过与网络服务提供商合作来直接关停恶意域名所对应网络地址的网络服务。然而，这种方法实现起来会有难度更大、周期更长、规避更易等缺陷。而后，人们又通过主动访问域名，以检测其存在性来（辅助）判定域名性质，但正如上述分析，域名本身并无好坏，这种方法仅能较准确地将高频访问的空恶意域名识别出来。
[0004]随着信息技术的发展，学/业界涌现出了多种基于信息/数据科学的检测手段。首先出现的是一种通过计算域名的香浓熵来判定恶意与否的方法。这里的香浓熵可以简单理解为域名中字符的混乱/淆程度，即，该方法奏效的前提是恶意域名中字符的混乱/淆程度较正常域名更高。然而，现实中由域名生成算法所产生的域名的香浓熵时常不高，且由人工编纂单调恶意域名的熵值往往极低（如aaaaaaaaaa.com）。接着，人们在分析各种域名生成算法时发现，由某些算法生成的域名会呈现较为固定的模式（如原辅音字母交替出现）。由此，一些基于此类特征的数据被统计出来用于定性检测。显而易见的是，此类方法仅适用于少数特定算法。而后，人们又发现，黑客为了混淆恶意与正常域名，他们不再依赖某些固定或随机模式，转而通过计划性的组合单词/词根/词缀来制造域名。针对此类做法，大家应用基于序列化原理的机器学习模型（如隐形马科夫）来检测恶意域名。鉴于字符本身是无意义的，人们很快发现以字符序列为依据的判定方法效果并不可靠。进而，又有人提出基于词法分析的方案，即，将域名拆分为若干相互且部分包含的字符片段后，再应用序列化机器学习模型检测。遗憾的是，最终的结果依然不理想，原因在于拆分出来的定长序列化字符片段之间往往不存在/破坏了词法上的关联。事实上，人们很难根据拼接词判断域名的性质。例如，由trade和clean两个单词所组成的两个域名tradeclean.org和cleantrade.org，即便人工确认前/后者为恶意/正常域名也需要耗费很长时间来执行很多步骤。雪上加霜的是，当前更高阶的域名生成算法在合成新词的基础上进一步随机化/模糊了拼接词间的边界，从而
更大程度地混淆了恶意与正常域名。
[0005]作为发动网络攻击的必备条件之一，恶意域名生成算法自2008年起就成为诸多网络攻击程序的必备组件。另根据360网络实验室的调研，目前至少有近50类恶意软件正在使用各式恶意域名生成算法。这其中就包括著名的Conficker（针对Windows系统，会关闭所有安全/备份进程，感染其它机器，发动命令与控制攻击），因恶意域名生成算法的使用，多年来恶意域名一直未被成功封禁。
[0006]综上，现有的恶意域名的检测方法存在准确性差的技术问题。

技术实现思路

[0007]有鉴于此，本专利技术的目的在于提供一种恶意域名的检测方法、装置和电子设备，以缓解现有的恶意域名的检测方法准确性差的技术问题。
[0008]第一方面，本专利技术实施例提供了一种恶意域名的检测方法，包括：获取待检测非国际化域名，并对所述待检测非国际化域名进行第一预处理，得到对应的待检测域名向量，其中，所述待检测域名向量为所述待检测非国际化域名中，区分度高的域名片段对应的向量；若所述待检测域名向量不属于预设的非恶意域名样本向量集，则确定所述待检测非国际化域名在域名服务器中的注册情况，并采用域名检测模型对所述待检测域名向量进行域名检测，得到域名检测结果，其中，所述域名检测模型为预先训练得到的；基于所述注册情况和所述域名检测结果确定所述待检测非国际化域名是否为恶意域名。
[0009]进一步的，所述方法还包括：若所述待检测域名向量属于所述预设的非恶意域名样本向量集，则确定所述待检测非国际化域名为非恶意域名。
[0010]进一步的，对所述待检测非国际化域名进行第一预处理，包括：以预设字符为界，将所述待检测非国际化域名切分为至少两个域名片段；在所述至少两个域名片段中提取所述区分度高的域名片段；对所述区分度高的域名片段进行长度标准化处理，得到长度标准化的域名片段；按照预设的编码表对所述长度标准化的域名片段进行编码处理，得到所述待检测域名向量。
[0011]进一步的，在所述至少两个域名片段中提取所述区分度高的域名片段，包括：当所述至少两个域名片段为两个域名片段时，则在所述两个域名片段中提取第一个域名片段，并将所述第一个域名片段作为所述区分度高的域名片段；当所述至少两个域名片段为三个域名片段时，则在所述三个域名片段中提取第二个域名片段，并将所述第二个域名片段作为所述区分度高的域名片段；当所述至少两个域名片段为四个域名片段，且在所述四个域名片段中第三个域名片段和第四个域名片段均为或均不为顶级域名时，则在所述四个域名片段中提取第二个域名片段，并将所述第二个域名片段作为所述区分度高的域名片段；当所述至少两个域名片段为四个域名片段，且在所述四个域名片段中第三个域名片段为顶级域名，且第四个域名片段为非顶级域名时，则在所述四个域名片段中提取第二
个域名片段，并将所述第二个域名片段作为所述区分度高的域名片段；当所述至少两个域名片段为四个域名片段，且在所述四个域名片段中第三个域名片段为非顶级域名，且第四个域名片段为顶级域名时，则在所述四个域名片段中提取第三个域名片段，并将所述第三个域名片段作为所述区分度高的域名片段。
[0012]进一步的，所述域名检测结果包括：所述待检测非国际化域名为非恶意域名的概率，基于所述注册情况和所述域名检测结果确定所述待检测非国际化域名是否为恶意域名，包括：若所述待检测非国际化域名在所述域名服务器中未注册，则确定对应的概率校准值；根据所述概率校准值对所述概率进行校准，得到校准后概率；将所述校准后概率与预设的概率阈值进行对比，并根据对比结果确定所述待检测非国际化域名是否为恶意域名。
[0013]进一步的，所述域名检测结果包括：所述待检测非国际化域名为非恶意域名的概率，基于所述注册情况和所述域名检测结果确定所述待检测非国际化域名是否为恶意域名，还包括：若所述待检测非国际化域名在所述域名服务器中本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种恶意域名的检测方法，其特征在于，包括：获取待检测非国际化域名，并对所述待检测非国际化域名进行第一预处理，得到对应的待检测域名向量，其中，所述待检测域名向量为所述待检测非国际化域名中，区分度高的域名片段对应的向量；若所述待检测域名向量不属于预设的非恶意域名样本向量集，则确定所述待检测非国际化域名在域名服务器中的注册情况，并采用域名检测模型对所述待检测域名向量进行域名检测，得到域名检测结果，其中，所述域名检测模型为预先训练得到的；基于所述注册情况和所述域名检测结果确定所述待检测非国际化域名是否为恶意域名。2.根据权利要求1所述的检测方法，其特征在于，所述方法还包括：若所述待检测域名向量属于所述预设的非恶意域名样本向量集，则确定所述待检测非国际化域名为非恶意域名。3.根据权利要求1所述的检测方法，其特征在于，对所述待检测非国际化域名进行第一预处理，包括：以预设字符为界，将所述待检测非国际化域名切分为至少两个域名片段；在所述至少两个域名片段中提取所述区分度高的域名片段；对所述区分度高的域名片段进行长度标准化处理，得到长度标准化的域名片段；按照预设的编码表对所述长度标准化的域名片段进行编码处理，得到所述待检测域名向量。4.根据权利要求3所述的检测方法，其特征在于，在所述至少两个域名片段中提取所述区分度高的域名片段，包括：当所述至少两个域名片段为两个域名片段时，则在所述两个域名片段中提取第一个域名片段，并将所述第一个域名片段作为所述区分度高的域名片段；当所述至少两个域名片段为三个域名片段时，则在所述三个域名片段中提取第二个域名片段，并将所述第二个域名片段作为所述区分度高的域名片段；当所述至少两个域名片段为四个域名片段，且在所述四个域名片段中第三个域名片段和第四个域名片段均为或均不为顶级域名时，则在所述四个域名片段中提取第二个域名片段，并将所述第二个域名片段作为所述区分度高的域名片段；当所述至少两个域名片段为四个域名片段，且在所述四个域名片段中第三个域名片段为顶级域名，且第四个域名片段为非顶级域名时，则在所述四个域名片段中提取第二个域名片段，并将所述第二个域名片段作为所述区分度高的域名片段；当所述至少两个域名片段为四个域名片段，且在所述四个域名片段中第三个域名片段为非顶级域名，且第四个域名片段为顶级域名时，则在所述四个域名片段中提取第三个域名片段，并将所述第三个域名片段作为所述区分度高的域名片段。5.根据权利要求1所述的检测方法，其特征在于，所述域名检测结果包括：所述待检测非国际化域名为非恶意域名的概率，基于所述注册情况和所述域名检测结果确定所述待检测非国际化域名是否为恶意域名，包括：若所述待检测非国际化域名在所述域名服务器中未注册，则确定对应的概率校准值；根据所述概率校准值对所述概率进行校准，得到校准后概率；
将所述校准后概率与预设的概率阈值进行对比，并根据对比结果确定所述待检测非国际化域名是否为恶意域名。6.根据权利要求1所述的检测方法，其特征在于，所...

【专利技术属性】
技术研发人员：宋冲亚，何树果，朱震，张福，程度，
申请(专利权)人：北京升鑫网络科技有限公司，
类型：发明
国别省市：