【技术实现步骤摘要】
恶意域名的检测方法、装置和电子设备
[0001]本专利技术涉及网络安全的
,尤其是涉及一种恶意域名的检测方法、装置和电子设备。
技术介绍
[0002]域名是用来标识网络服务的字符串,这里的服务包括但不限于人们日常使用的电子邮箱和访问的网站(因而俗称网址)。在网络安全中,黑客会以某种方式建立与受害者的连接进而达成其攻击的目的。辩证地看,前者在向后者提供一种特殊的网络服务。因此,域名本身是无害的,所谓的恶意是指使用目的。一个典型的例子是命令与控制攻击,黑客首先会向受害机器中植入恶意程序,而后该程序会通过黑客预设的域名定期与预置的服务器建立连接,以获取在受害机器上要执行的恶意命令。
[0003]依据上述实例的原理,人们最初提出的应对手段是先通过分析域名日志数据(含请求和响应等相关信息)找出恶意域名,而后将其加入黑名单中,以切断黑客与受害者之间的网络通信。不幸的是,一种用来批量生成域名的算法使得上述方法变得无效,恶意域名的更新速度远超其被屏蔽(日志分析)的速度,且前者的执行成本远低于后者。接着,大家尝试源头打击,即通过与网络服务提供商合作来直接关停恶意域名所对应网络地址的网络服务。然而,这种方法实现起来会有难度更大、周期更长、规避更易等缺陷。而后,人们又通过主动访问域名,以检测其存在性来(辅助)判定域名性质,但正如上述分析,域名本身并无好坏,这种方法仅能较准确地将高频访问的空恶意域名识别出来。
[0004]随着信息技术的发展,学/业界涌现出了多种基于信息/数据科学的检测手段。首先出现的是一种通过计算域名 ...
【技术保护点】
【技术特征摘要】
1.一种恶意域名的检测方法,其特征在于,包括:获取待检测非国际化域名,并对所述待检测非国际化域名进行第一预处理,得到对应的待检测域名向量,其中,所述待检测域名向量为所述待检测非国际化域名中,区分度高的域名片段对应的向量;若所述待检测域名向量不属于预设的非恶意域名样本向量集,则确定所述待检测非国际化域名在域名服务器中的注册情况,并采用域名检测模型对所述待检测域名向量进行域名检测,得到域名检测结果,其中,所述域名检测模型为预先训练得到的;基于所述注册情况和所述域名检测结果确定所述待检测非国际化域名是否为恶意域名。2.根据权利要求1所述的检测方法,其特征在于,所述方法还包括:若所述待检测域名向量属于所述预设的非恶意域名样本向量集,则确定所述待检测非国际化域名为非恶意域名。3.根据权利要求1所述的检测方法,其特征在于,对所述待检测非国际化域名进行第一预处理,包括:以预设字符为界,将所述待检测非国际化域名切分为至少两个域名片段;在所述至少两个域名片段中提取所述区分度高的域名片段;对所述区分度高的域名片段进行长度标准化处理,得到长度标准化的域名片段;按照预设的编码表对所述长度标准化的域名片段进行编码处理,得到所述待检测域名向量。4.根据权利要求3所述的检测方法,其特征在于,在所述至少两个域名片段中提取所述区分度高的域名片段,包括:当所述至少两个域名片段为两个域名片段时,则在所述两个域名片段中提取第一个域名片段,并将所述第一个域名片段作为所述区分度高的域名片段;当所述至少两个域名片段为三个域名片段时,则在所述三个域名片段中提取第二个域名片段,并将所述第二个域名片段作为所述区分度高的域名片段;当所述至少两个域名片段为四个域名片段,且在所述四个域名片段中第三个域名片段和第四个域名片段均为或均不为顶级域名时,则在所述四个域名片段中提取第二个域名片段,并将所述第二个域名片段作为所述区分度高的域名片段;当所述至少两个域名片段为四个域名片段,且在所述四个域名片段中第三个域名片段为顶级域名,且第四个域名片段为非顶级域名时,则在所述四个域名片段中提取第二个域名片段,并将所述第二个域名片段作为所述区分度高的域名片段;当所述至少两个域名片段为四个域名片段,且在所述四个域名片段中第三个域名片段为非顶级域名,且第四个域名片段为顶级域名时,则在所述四个域名片段中提取第三个域名片段,并将所述第三个域名片段作为所述区分度高的域名片段。5.根据权利要求1所述的检测方法,其特征在于,所述域名检测结果包括:所述待检测非国际化域名为非恶意域名的概率,基于所述注册情况和所述域名检测结果确定所述待检测非国际化域名是否为恶意域名,包括:若所述待检测非国际化域名在所述域名服务器中未注册,则确定对应的概率校准值;根据所述概率校准值对所述概率进行校准,得到校准后概率;
将所述校准后概率与预设的概率阈值进行对比,并根据对比结果确定所述待检测非国际化域名是否为恶意域名。6.根据权利要求1所述的检测方法,其特征在于,所...
【专利技术属性】
技术研发人员:宋冲亚,何树果,朱震,张福,程度,
申请(专利权)人:北京升鑫网络科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。