[發(fā)明專利]一種惡意域名檢測方法及系統(tǒng)在審
| 申請?zhí)枺?/td> | 201611178704.3 | 申請日: | 2016-12-19 |
| 公開(公告)號: | CN106713303A | 公開(公告)日: | 2017-05-24 |
| 發(fā)明(設(shè)計(jì))人: | 卞超軼;周濤 | 申請(專利權(quán))人: | 北京啟明星辰信息安全技術(shù)有限公司;啟明星辰信息技術(shù)集團(tuán)股份有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L29/12 |
| 代理公司: | 北京集佳知識產(chǎn)權(quán)代理有限公司11227 | 代理人: | 王寶筠 |
| 地址: | 100193 北京市海淀區(qū)東北*** | 國省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 惡意 域名 檢測 方法 系統(tǒng) | ||
1.一種惡意域名檢測的方法,其特征在于,所述方法包括:
獲取待檢測的域名;
解析所述待檢測的域名的時(shí)空特征;
將解析出的所述待檢測域名的時(shí)空特征輸入到預(yù)設(shè)的機(jī)器學(xué)習(xí)模型組中,得到所述預(yù)設(shè)的機(jī)器學(xué)習(xí)模型組輸出的所述待檢測域名的初步檢測結(jié)果;其中,所述機(jī)器學(xué)習(xí)模型組中包括至少一個(gè)機(jī)器學(xué)習(xí)模型,所述機(jī)器學(xué)習(xí)模型已基于解析日志中域名的時(shí)空特征進(jìn)行了訓(xùn)練;
基于預(yù)設(shè)的規(guī)則及所述初步檢測結(jié)果,得到所述待檢測域名的最終檢測結(jié)果。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述時(shí)空特征包括:
域名解析的時(shí)間、域名解析結(jié)果對應(yīng)的IP地址的相關(guān)信息、請求源的IP地址的相關(guān)信息以及解析結(jié)果為空所占的比例;
其中,所述域名解析結(jié)果對應(yīng)的IP地址的相關(guān)信息包括:域名解析結(jié)果對應(yīng)的IP地址的變化率和域名解析結(jié)果對應(yīng)的IP地址所在城市變化率;所述請求源的IP地址的相關(guān)信息包括:不同請求源的IP地址數(shù)量、不同的請求源IP地址的前8位前綴的數(shù)量、不同的請求源IP地址的前16位的數(shù)量以及不同的請求源IP地址的前24位前綴的數(shù)量。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,基于解析日志中域名的時(shí)空特征對所述機(jī)器學(xué)習(xí)模型進(jìn)行訓(xùn)練,包括:
從DNS域名系統(tǒng)服務(wù)器中獲取已存在的解析日志,并獲取所述解析日志中包含的解析信息;其中所述解析信息包括:解析時(shí)間、請求源IP地址、域名、解析結(jié)果對應(yīng)的IP地址列表;
從所述解析信息中提取解析日志中每個(gè)域名的時(shí)空特征;
從預(yù)設(shè)的網(wǎng)站中獲取良性域名樣本和惡意域名樣本,并基于所述良性域名樣本和所述惡意域名樣本對所述解析日志中每個(gè)域名的時(shí)空特征進(jìn)行標(biāo)記;其中標(biāo)記后的時(shí)空特征包括:良性時(shí)空特征和惡意時(shí)空特征;
基于標(biāo)記的域名的時(shí)空特征對所述機(jī)器學(xué)習(xí)模型進(jìn)行訓(xùn)練。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述基于所述良性域名樣本和所述惡意域名樣本對所述解析日志中每個(gè)域名的時(shí)空特征進(jìn)行標(biāo)記,包括:
解析所述良性域名樣本和惡意域名樣本的時(shí)空特征;
基于解析的良性域名樣本和惡意域名樣本的時(shí)空特征,對所述解析日志中每個(gè)域名的時(shí)空特征進(jìn)行標(biāo)記。
5.根據(jù)權(quán)利要求1所述的方法,其特征在于,將解析出的所述待檢測域名的時(shí)空特征輸入到預(yù)設(shè)的機(jī)器學(xué)習(xí)模型組中,得到所述預(yù)設(shè)的機(jī)器學(xué)習(xí)模型組輸出的所述待檢測域名的初步檢測結(jié)果,包括:
將解析出的所述待檢測域名的時(shí)空特征輸入到預(yù)設(shè)的機(jī)器學(xué)習(xí)模型組中的每一個(gè)機(jī)器學(xué)習(xí)模型,得到所述預(yù)設(shè)的機(jī)器學(xué)習(xí)模型組中每一個(gè)機(jī)器學(xué)習(xí)模型輸出的所述待檢測域名的初步檢測結(jié)果。
6.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述預(yù)設(shè)規(guī)則為第一規(guī)則或第二規(guī)則或第三規(guī)則:
第一規(guī)則:若所述機(jī)器學(xué)習(xí)模型組中包括一個(gè)機(jī)器學(xué)習(xí)模型,則最終檢測結(jié)果與初步檢測結(jié)果相同;
第二規(guī)則:若所述機(jī)器學(xué)習(xí)模型組中包括多個(gè)機(jī)器學(xué)習(xí)模型,若超過預(yù)設(shè)數(shù)量的機(jī)器學(xué)習(xí)模型輸出的初步檢測結(jié)果表示所述待檢測域名為惡意域名,則最終的檢測結(jié)果表示所述待檢測域名為惡意域名;
第三規(guī)則:若所述機(jī)器學(xué)習(xí)模型組中包括多個(gè)機(jī)器學(xué)習(xí)模型,若所有的機(jī)器學(xué)習(xí)模型輸出的初步檢測結(jié)果表示所述待檢測域名為惡意域名,則最終的檢測結(jié)果表示所述待檢測域名為惡意域名。
7.根據(jù)權(quán)利要求3所述的方法,其特征在于,從所述解析信息中提取解析日志中每個(gè)域名的時(shí)空特征前還包括:
將所述解析信息按照預(yù)設(shè)的時(shí)間周期進(jìn)行分組。
8.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述獲取所述解析日志中包含的相關(guān)解析信息后還包括:
將所述解析信息導(dǎo)入分布式計(jì)算平臺。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于北京啟明星辰信息安全技術(shù)有限公司;啟明星辰信息技術(shù)集團(tuán)股份有限公司,未經(jīng)北京啟明星辰信息安全技術(shù)有限公司;啟明星辰信息技術(shù)集團(tuán)股份有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201611178704.3/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 惡意特征數(shù)據(jù)庫的建立方法、惡意對象檢測方法及其裝置
- 用于檢測惡意鏈接的方法及系統(tǒng)
- 惡意信息識別方法、惡意信息識別裝置及系統(tǒng)
- 主動式移動終端惡意軟件網(wǎng)絡(luò)流量數(shù)據(jù)集獲取方法及系統(tǒng)
- 一種大數(shù)據(jù)告警平臺系統(tǒng)及其方法
- 一種追溯惡意進(jìn)程的方法、裝置及存儲介質(zhì)
- 一種相似惡意軟件推薦方法、裝置、介質(zhì)和設(shè)備
- 軟件惡意行為檢測方法及系統(tǒng)
- 惡意樣本增強(qiáng)方法、惡意程序檢測方法及對應(yīng)裝置
- 惡意語音樣本的確定方法、裝置、計(jì)算機(jī)設(shè)備和存儲介質(zhì)
