本發明公開了一種異常域名的檢測方法及裝置。其中，該方法包括：獲取待檢測域名集合中每個待檢測域名的離線特征和在線特征，其中，離線特征是通過對每個待檢測域名關聯的歷史訪問數據進行分析后提取得到的，在線特征是根據每個待檢測域名的自身屬性確定的；將離線特征和在線特征進行融合組成每個待檢測域名對應的特征向量；對組成后的全部特征向量進行聚類分析，從待檢測域名集合中檢測出異常域名。本發明解決了相關技術中所提供的異常域名檢測方案的檢測手段單一，缺乏全面性，易導致異常域名檢測的誤判與漏判的技術問題。

技術領域

本發明涉及互聯網領域，具體而言，涉及一種異常域名的檢測方法及裝置。

背景技術

近些年來，隨著云計算業務的蓬勃發展，諸多站點為了節省成本，都將其架設在云服務器上，由此造成云服務器上承載有眾多各式各樣的站點，然而，云服務器無法確定其中哪些站點為異常站點，例如：釣魚網站、黃色網站、病毒網站，因此，作為云服務器提供方，需要采取特定的檢測方法對這些不良站點進行檢測分析，進而識別出異常域名，此種檢測方式被稱為異常域名檢測，又被稱為異常域名檢測。

目前，相關技術中所提供的檢測方案主要分為以下兩種：

(1)基于人工配置規則進行檢測，例如：某一時間流量異常，通過人工經驗進行主觀判斷等；

然而，此種檢測方式的缺陷在于：由于判定規則無法窮舉，因此，只能在發現每一個異常域名后增加其對應的檢測規則；而且，基于規則的檢測方式的泛化能力較差，使其無法檢測歷史上未存在的異常；另外，基于規則的檢測方式無法識別異常模式，只能依賴于人工經驗來進行判斷。因為存在上述缺陷，因此，基于規則的檢測方式的檢測效果欠佳，存在遺漏或者大量誤判。

(2)基于流量數據提取部分特征(例如：訪問者的互聯網協議(IP)信息、查詢信息等)來識別異常信息。

然而，此種檢測方式的缺陷在于：僅能夠利用域名的部分離線信息，而無法充分考慮其他更多的離線信息，例如：生存時間(TTL)信息、子域名信息、域名IP特征、請求特征以及域名字符串本身的特征，進而會導致漏判或者誤判。

針對上述的問題，目前尚未提出有效的解決方案。

發明內容

本發明實施例提供了一種異常域名的檢測方法及裝置，以至少解決相關技術中所提供的異常域名檢測方案的檢測手段單一，缺乏全面性，易導致異常域名檢測的誤判與漏判的技術問題。

根據本發明實施例的一個方面，提供了一種異常域名的檢測方法，包括：

獲取待檢測域名集合中每個待檢測域名的離線特征和在線特征，其中，離線特征是通過對每個待檢測域名關聯的歷史訪問數據進行分析后提取得到的，在線特征是根據每個待檢測域名的自身屬性確定的；將離線特征和在線特征進行融合組成每個待檢測域名的特征向量；對組成后的全部特征向量進行聚類分析，從待檢測域名集合中檢測出異常域名。

可選地，離線特征包括以下至少之一：待檢測域名下的子域名的生存時間TTL特征；待檢測域名下的子域名的訪問量特征；待檢測域名下的子域名的自身屬性特征；待檢測域名對應的互聯網協議IP地址特征。

可選地，在線特征包括以下至少之一：根據預設規則對每個待檢測域名包含的部分或全部字符進行統計分析得到的特征；通過對預設數量的域名進行訓練，獲取一個或多個連續字符的排列規律或者每相鄰多個字符之間的轉移概率，并根據排列規律或轉移概率對每個待檢測域名包含的部分或全部字符進行統計分析得到的特征。

可選地，將離線特征和在線特征進行融合組成每個待檢測域名的特征向量包括：對離線特征和在線特征進行融合處理，組成每個待檢測域名的待處理特征向量，其中，待處理特征向量的向量維度由離線特征和在線特征所包含的總體特征數量確定的；對待處理特征向量進行歸一化處理，得到每個待檢測域名的特征向量。