[發明專利]異常域名的檢測方法及裝置在審
| 申請號: | 201710011805.X | 申請日: | 2017-01-06 |
| 公開(公告)號: | CN108282450A | 公開(公告)日: | 2018-07-13 |
| 發明(設計)人: | 賀勇 | 申請(專利權)人: | 阿里巴巴集團控股有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L29/12 |
| 代理公司: | 北京博浩百睿知識產權代理有限責任公司 11134 | 代理人: | 宋子良 |
| 地址: | 英屬開曼群島大開*** | 國省代碼: | 開曼群島;KY |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 檢測 離線 異常域名檢測 特征向量 集合 歷史訪問數據 聚類分析 屬性確定 后提取 全面性 誤判 關聯 融合 分析 | ||
1.一種異常域名的檢測方法,其特征在于,包括:
獲取待檢測域名集合中每個待檢測域名的離線特征和在線特征,其中,所述離線特征是通過對每個待檢測域名關聯的歷史訪問數據進行分析后提取得到的,所述在線特征是根據每個待檢測域名的自身屬性確定的;
將所述離線特征和所述在線特征進行融合組成每個待檢測域名的特征向量;
對組成后的全部特征向量進行聚類分析,從所述待檢測域名集合中檢測出異常域名。
2.根據權利要求1所述的方法,其特征在于,所述離線特征包括以下至少之一:
所述待檢測域名下的子域名的生存時間TTL特征;
所述待檢測域名下的子域名的訪問量特征;
所述待檢測域名下的子域名的自身屬性特征;
所述待檢測域名對應的互聯網協議I P地址特征。
3.根據權利要求1所述的方法,其特征在于,所述在線特征包括以下至少之一:
根據預設規則對每個待檢測域名包含的部分或全部字符進行統計分析得到的特征;
通過對預設數量的域名進行訓練,獲取一個或多個連續字符的排列規律或者每相鄰多個字符之間的轉移概率,并根據所述排列規律或所述轉移概率對每個待檢測域名包含的部分或全部字符進行統計分析得到的特征。
4.根據權利要求1所述的方法,其特征在于,將所述離線特征和所述在線特征進行融合組成每個待檢測域名的特征向量包括:
對所述離線特征和所述在線特征進行融合處理,組成每個待檢測域名的待處理特征向量,其中,所述待處理特征向量的向量維度由所述離線特征和所述在線特征所包含的總體特征數量確定的;
對所述待處理特征向量進行歸一化處理,得到每個待檢測域名的特征向量。
5.根據權利要求1所述的方法,其特征在于,對所述組成后的全部特征向量進行聚類分析,從所述待檢測域名集合中檢測出異常域名包括:
根據所述組成后的全部特征向量相互間的相似度對所述組成后的全部特征向量進行聚類處理,將所述組成后的全部特征向量劃分為多個簇;
從所述多個簇中檢測出第一部分特征向量和/或第二部分特征向量,其中,所述第一部分特征向量所歸屬的簇中包含的特征向量的數量小于第一預設閾值,所述第二部分特征向量中的每個特征向量與該特征向量所歸屬的簇中心之間的距離大于第二預設閾值;
根據所述第一部分特征向量和/或所述第二部分特征向量確定所述異常域名。
6.根據權利要求1至5中任一項所述的方法,其特征在于,在獲取所述待檢測域名集合中每個待檢測域名的所述離線特征和所述在線特征之前,還包括:
接收來自于終端的訪問請求,其中,所述訪問請求中攜帶有待訪問域名;
從所述訪問請求中提出所述待訪問域名,添加至所述待檢測域名集合。
7.根據權利要求6中任一項所述的方法,其特征在于,在從所述待檢測域名集合中檢測出所述異常域名之后,還包括:
向所述終端發送通知消息,其中,所述通知消息用于將所述待訪問域名為異常域名的事件通知給所述終端。
8.一種異常域名的檢測裝置,其特征在于,包括:
獲取模塊,用于獲取待檢測域名集合中每個待檢測域名的離線特征和在線特征,其中,所述離線特征是通過對每個待檢測域名關聯的歷史訪問數據進行分析后提取得到的,所述在線特征是根據每個待檢測域名的自身屬性確定的;
融合模塊,用于將所述離線特征和所述在線特征進行融合組成每個待檢測域名的特征向量;
檢測模塊,用于對組成后的全部特征向量進行聚類分析,從所述待檢測域名集合中檢測出異常域名。
9.根據權利要求8所述的裝置,其特征在于,所述離線特征包括以下至少之一:
所述待檢測域名下的子域名的生存時間TTL特征;
所述待檢測域名下的子域名的訪問量特征;
所述待檢測域名下的子域名的自身屬性特征;
所述待檢測域名對應的互聯網協議I P地址特征。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于阿里巴巴集團控股有限公司,未經阿里巴巴集團控股有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201710011805.X/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:多鏈接通信方法、設備和終端
- 下一篇:數據劫持判斷方法、裝置及用戶終端





