技術領域

本發明涉及域名檢測領域，尤其涉及一種惡意域名檢測方法及系統。

背景技術

域名系統(英文全稱：Domain Name System，英文簡稱：DNS)是因特網上維護域名和IP地址相互映射關系的一種分布式系統。域名解析是域名系統服務端將客戶端請求訪問的域名轉換為對應的IP地址列表并響應的過程。但是，互聯網上存在很多的惡意網站，這些惡意網站利用一些瀏覽器或者應用軟件的安全漏洞，在頁面上嵌入相應的攻擊代碼，以達到竊取用戶信息、破壞用戶系統、植入惡意軟件等目的。還有一些不法黑客利用域名系統及域名解析從事一些危害互聯網用戶的不法行為，例如：一些惡意的網站或者通過一些關聯到動態變化的臨時域名的主機作為控制僵尸網絡的遠程命令和控制服務器。這些惡意網站及被不法黑客利用的域名統稱為惡意域名。

現有技術中，對惡意域名的檢測時，通常采用域名的結構特征對機器學習模型進行訓練，進而通過訓練的機器學習模型對惡意域名進行檢測。但是由于域名的結構特征對惡意域名的識別作用不明顯，因此使用域名的結構特征訓練的機器學習模型對惡意域名進行識別時準確性差。

發明內容

有鑒于此，本發明實施例提供了一種惡意域名檢測的方法及系統，解決了現有技術中對惡意域名檢測時準確差的問題。

本實施例提供的一種惡意域名檢測的方法，包括：

獲取待檢測的域名；

解析所述待檢測的域名的時空特征；

將解析出的所述待檢測域名的時空特征輸入到預設的機器學習模型組中，得到所述預設的機器學習模型組輸出的所述待檢測域名的初步檢測結果；其中所述機器學習模型組中包括至少一個機器學習模型，所述機器學習模型已基于解析日志中域名的時空特征進行了訓練；

基于預設的規則及所述初步檢測結果，得到所述待檢測域名的最終檢測結果。

可選的，所述時空特征包括：

域名解析的時間、域名解析結果對應的IP地址的相關信息、請求源的IP地址的相關信息以及解析結果為空所占的比例；

其中，所述域名解析結果對應的IP地址的相關信息包括：域名解析結果對應的IP地址的變化率和域名解析結果對應的IP地址所在城市變化率；所述請求源的IP地址的相關信息包括：不同請求源的IP地址數量、不同的請求源IP地址的前8位前綴的數量、不同的請求源IP地址的前16位的數量以及不同的請求源IP地址的前24位前綴的數量。

可選的，基于解析日志中域名的時空特征對所述機器學習模型進行訓練，包括：

從DNS域名系統服務器中獲取已存在的解析日志，并獲取所述解析日志中包含的解析信息；其中所述解析信息包括：解析時間、請求源IP地址、域名、解析結果對應的IP地址列表；

從所述解析信息中提取解析日志中每個域名的時空特征；

從預設的網站中獲取良性域名樣本和惡意域名樣本，并基于所述良性域名樣本和所述惡意域名樣本對所述解析日志中每個域名的時空特征進行標記；其中標記后的時空特征包括：良性時空特征和惡意時空特征；

基于標記的域名的時空特征對所述機器學習模型進行訓練。

可選的，所述基于所述良性域名樣本和所述惡意域名樣本對所述解析日志中每個域名的時空特征進行標記，包括：

解析所述良性域名樣本和惡意域名樣本的時空特征；

基于解析的良性域名樣本和惡意域名樣本的時空特征，對所述解析日志中每個域名的時空特征進行標記。

可選的，將解析出的所述待檢測域名的時空特征輸入到預設的機器學習模型組中，得到所述預設的機器學習模型組輸出的所述待檢測域名的初步檢測結果，包括：

將解析出的所述待檢測域名的時空特征輸入到預設的機器學習模型組中的每一個機器學習模型，得到所述預設的機器學習模型組中每一個機器學習模型輸出的所述待檢測域名的初步檢測結果。

可選的，所述預設規則為以下規則中的任意一項：

第一規則：若所述機器學習模型組中包括一個機器學習模型，則最終檢測結果與初步檢測結果相同；

第二規則：若所述機器學習模型組中包括多個機器學習模型，若超過預設數量的機器學習模型輸出的初步檢測結果表示所述待檢測域名為惡意域名，則最終的檢測結果表示所述待檢測域名為惡意域名；

第三規則：若所述機器學習模型組中包括多個機器學習模型，若所有的機器學習模型輸出的初步檢測結果表示所述待檢測域名為惡意域名，則最終的檢測結果表示所述待檢測域名為惡意域名。