一种域名类型的识别方法、装置、设备和计算机存储介质制造方法及图纸

本申请实施例公开了一种域名类型的识别方法、装置、设备和计算机存储介质。该方法包括：对待识别样本进行域名提取，得到初始域名信息；对初始域名信息进行关联信息补充，得到目标域名信息；利用预设识别模型对目标域名信息进行分析，确定待识别样本的恶意域名以及对应的恶意类型。这样，能够实现对未知样本进行快速检测，在检测未知样本为恶意的同时，还能够给出恶意域名以及对应的恶意类型，不仅避免了仅判别未知样本是否为恶意的简单判别，降低了情报误报率，而且还提高了情报检测和运营效率。率。率。

【技术实现步骤摘要】
一种域名类型的识别方法、装置、设备和计算机存储介质


[0001]本申请涉及网络安全
，尤其涉及一种域名类型的识别方法、装置、设备和计算机存储介质。

技术介绍

[0002]当恶意网络域名被引擎判定为恶意后，无法进一步的确认这个域名的恶意类型，对于威胁情报来说，情报的检出需要有恶意情报对应的恶意类型才更具备说服力，所以单纯的判定域名是否恶意已经不能够满足用户的需求。
[0003]在相关技术中，通过爬取开源情报源直接提取开源恶意可用指标(Indicators Of Compromise，IOC)，以及收集开源的情报社区用户上报事件并提取情报；随后对网络日志进行异常检测分析，挖掘可疑网络请求并提取形成情报。但是开源收集的情报质量良莠不齐，存在误报量过高、情报过期失效等问题；直接使用效果不佳，进而导致工作量增加，而且检测效率和运营效率很低。

技术实现思路

[0004]本申请期望提出一种域名类型的识别方法、装置、设备和计算机存储介质，不仅能够实现对未知样本进行快速检测，识别出恶意域名以及对应的恶意类型，降低了情报误报率，而且还提高了情报检测和运营效率。
[0005]为达到上述目的，本申请的技术方案是这样实现的：
[0006]第一方面，本申请实施例提供了一种域名类型的识别方法，所述方法包括：
[0007]对待识别样本进行域名提取，得到初始域名信息；
[0008]对所述初始域名信息进行关联信息补充，得到目标域名信息；
[0009]利用预设识别模型对所述目标域名信息进行分析，确定所述待识别样本的恶意域名以及对应的恶意类型。
[0010]第二方面，本申请实施例提供了一种域名类型的识别装置，所述域名类型的识别装置包括提取单元、补充单元和识别单元、其中，
[0011]所述提取单元，配置为对待识别样本进行域名提取，得到域名信息；
[0012]所述补充单元，配置为根据所述域名信息对所述待识别样本的关联信息进行补充，得到有效域名信息；
[0013]所述识别单元，配置为利用预设识别模型对所述有效域名信息进行分析，确定所述待识别样本对应的恶意域名以及对应的恶意类型。
[0014]第三方面，本申请实施例提供了一种识别设备，其特征在于，所述识别设备包括存储器和处理器；其中，
[0015]所述存储器，用于存储能够在所述处理器上运行的计算机程序；
[0016]所述处理器，用于在运行所述计算机程序时，执行如第一方面所述的方法。
[0017]第四方面，本申请实施例提供了一种计算机存储介质，其特征在于，所述计算机存
储介质存储有计算机程序，所述计算机程序被至少一个处理器执行时实现如第一方面所述的方法。
[0018]本申请实施例所提供的一种域名类型的识别方法、装置、设备和计算机存储介质，通过对待识别样本进行域名提取，得到初始域名信息；对所述初始域名信息进行关联信息补充，得到目标域名信息；利用预设识别模型对所述目标域名信息进行分析，确定所述待识别样本的恶意域名以及对应的恶意类型。这样，根据关联信息来丰富扩充初始域名信息，而且利用预设识别模型对其进行分析，从而能够实现对未知样本进行快速检测，在检测未知样本为恶意的同时，还能够给出恶意域名以及对应的恶意类型，不仅避免了仅判别未知样本是否为恶意的简单判别，降低了情报误报率，而且还提高了情报检测和运营效率，从而能够有效减轻运营负担。
附图说明
[0019]图1为本申请实施例提供的一种域名类型的识别方法的流程示意图；
[0020]图2为本申请实施例提供的一种常见的恶意域名文本信息界面示意图；
[0021]图3a为本申请实施例提供的一种访问合法域名的浏览器界面示意图；
[0022]图3b为本申请实施例提供的一种访问非法域名的浏览器界面示意图；
[0023]图4a为本申请实施例提供的一种合法域名的Whois信息查询界面示意图；
[0024]图4b为本申请实施例提供的一种非法域名的Whois信息查询界面示意图；
[0025]图5a为本申请实施例提供的一种合法域名的ICP备案信息查询界面示意图；
[0026]图5b为本申请实施例提供的一种非法域名的ICP备案信息查询界面示意图；
[0027]图6为本申请实施例提供的另一种域名类型的识别方法的流程示意图；
[0028]图7为本申请实施例提供的一种域名类型的识别方法的整体框架示意图；
[0029]图8为本申请实施例提供的一种基于Virustotal平台对某恶意样本的判别结果界面示意图；
[0030]图9为本申请实施例提供的一种贝叶斯网络的结构示意图；
[0031]图10为本申请实施例提供的一种域名类型的识别方法的详细流程示意图；
[0032]图11为本申请实施例提供的一种域名类型的识别装置的组成结构示意图；
[0033]图12为本申请实施例提供的一种识别设备的组成结构示意图；
[0034]图13为本申请实施例提供的另一种识别设备的组成结构示意图。
具体实施方式
[0035]为了能够更加详尽地了解本申请实施例的特点与
技术实现思路
，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述。可以理解的是，此处所描述的具体实施例仅仅用于解释相关申请，而非对该申请的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与有关申请相关的部分。
[0036]除非另有定义，本文所使用的所有的技术和科学术语与属于本申请的
的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本申请实施例的目的，不是旨在限制本申请。
[0037]在以下的描述中，涉及到“一些实施例”，其描述了所有可能实施例的子集，但是可
以理解，“一些实施例”可以是所有可能实施例的相同子集或不同子集，并且可以在不冲突的情况下相互结合。
[0038]需要指出，本申请实施例所涉及的术语“第一\第二\第三”仅是用于区别类似的对象，不代表针对对象的特定排序，可以理解地，“第一\第二\第三”在允许的情况下可以互换特定的顺序或先后次序，以使这里描述的本申请实施例能够以除了在这里图示或描述的以外的顺序实施。
[0039]在实际应用中，在不依赖购买厂商情报或与其他厂商进行情报交换的条件下，一般获得恶意可用指标(Indicators Of Compromise，IOC)形成情报的方法可以包括：
[0040]1)爬取开源情报源直接提取开源恶意IOC；
[0041]2)收集开源的情报社区用户上报事件并提取情报；
[0042]3)对网络日志进行异常检测分析，挖掘可疑网络请求并提取形成情报。
[0043]但在实际应用中，存在如下问题：(1)开源收集的情报质量良莠不齐，存在误报量过高、情报过期失效等问题；(2)大多靠社区中的热心安全研究员贡献，缺乏有效的运营手段，直接使用效果不佳；(3)网络日志进行异常检测本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种域名类型的识别方法，其特征在于，所述方法包括：对待识别样本进行域名提取，得到初始域名信息；对所述初始域名信息进行关联信息补充，得到目标域名信息；利用预设识别模型对所述目标域名信息进行分析，确定所述待识别样本的恶意域名以及对应的恶意类型。2.根据权利要求1所述的方法，其特征在于，所述对待检测样本进行域名提取，得到初始域名信息，包括：通过沙箱模拟所述待识别样本的网络通信过程，记录流量信息；对所述流量信息进行识别分析，确定所述初始域名信息。3.根据权利要求2所述的方法，其特征在于，所述对所述流量信息进行识别分析，确定所述初始域名信息，包括：对所述流量信息中的通信特征进行恶意检测，得到检测结果；在所述检测结果指示所述待识别样本为恶意样本的情况下，从所述流量信息中识别出所述初始域名信息。4.根据权利要求1所述的方法，其特征在于，所述关联信息包括：域名文本信息、浏览器访问内容信息、whois信息和ICP备案信息；相应地，所述对所述初始域名信息进行关联信息补充，得到目标域名信息，包括：根据所述初始域名信息，获取所述待识别样本对应的域名文本信息、浏览器访问内容信息、whois信息和ICP备案信息；利用所述域名文本信息、所述浏览器访问内容信息、所述whois信息和所述ICP备案信息对所述初始域名信息进行补充，得到所述目标域名信息。5.根据权利要求1所述的方法，其特征在于，所述利用预设识别模型对所述目标域名信息进行分析，包括：对所述目标域名信息进行特征维度转换，得到特征向量信息；将所述特征向量信息输入到所述预设识别模型中并进行域名类型分析。6.根据权利要求5所述的方法，其特征在于，所述对所述目标域名信息进行特征维度转换，得到特征向量信息，包括：对所述目标域名信息中的样本类型进行特征维度转换，得到是否为恶意样本的特征信息和归一化标签类型的特征信息；对所述目标域名信息中的域名文本信息进行特征维度转换，得到域名字符长度的特征信息、域名字符熵的特征信息和域名中成词数的特征信息；对所述目标域名信息中的whois信息进行特征维度转换，得到过期时间与注册时间差值的特征信息、更新时间与注册时间差值的特征信息、过期时间与更新时间差值的特征信息、是否存在whois保护的特征信息和当前域名是否已过期的特征信息；对所述目标域名信息中的ICP备案信息进行特征维度转换，得到是够存在ICP备案的特征信息和ICP备案是否已过期的特征信息；以及对所述目标域名信息中的浏览器访问内容信息进行特征维度转换，得到服务端返回状态码的特征信息、网页嵌入链接个数的特征信息和网页大小的特征信息。7.根据权利要求1所述的方法，其特征在于，所述方法还包括：
获取若干个训练样本；通过沙箱模拟所述若干个训练样本的网络通信过程，确定至少一个恶意样本以及各自对应的恶意域名、恶意类型标签；对每一个恶意域名关联的若干个恶意类型标签进行归一化处理，得到所述至少一个恶意样本各自对应的归一化标签类型；对每一个恶意域名进行关联信息补充，得到每一个恶意域名的强关联域名信息，并对所述强关联域名信息进行特征维度转换，得到所述至少一个恶意样本各自对应的强关联特征向量...

【专利技术属性】
技术研发人员：鲁银冰，袁勇，王军，常嘉岳，路晓明，智绪龙，何洋，
申请(专利权)人：中国移动通信集团有限公司，
类型：发明
国别省市：