[發明專利]一種可疑域名檢測方法及裝置有效
| 申請號: | 201710972955.7 | 申請日: | 2017-10-18 |
| 公開(公告)號: | CN107666490B | 公開(公告)日: | 2019-09-20 |
| 發明(設計)人: | 朱安南;姜楠;馬錚 | 申請(專利權)人: | 中國聯合網絡通信集團有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L29/12 |
| 代理公司: | 北京中博世達專利商標代理有限公司 11274 | 代理人: | 申健 |
| 地址: | 100033 *** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 可疑 域名 檢測 方法 裝置 | ||
1.一種可疑域名檢測方法,其特征在于,包括:
根據僵尸木馬系統檢測日志獲取活躍僵木IP地址,所述活躍僵木IP地址為在檢測期內被作為僵尸網絡通信中控制端地址的次數大于第一閾值的IP地址;
根據域名系統DNS日志獲取所述檢測期內IP地址與域名的對應關系;根據所述IP地址與域名的對應關系,獲取對應的域名數量大于第二閾值的IP地址;提取所述IP地址對應的每個域名中的關鍵域名字符串,計算字符在預定范圍中的出現頻次,所述預定范圍包括所述IP地址對應的所有域名的關鍵域名字符串;根據所述出現頻次,利用聚類算法對所述IP地址進行聚類,得到N個點簇;
根據各個點簇中所包括的活躍僵木點的數量,確定可疑點簇,其中所述活躍僵木點指在點簇中表示所述活躍僵木IP地址的點;
將所述可疑點簇中包括的IP地址確定為可疑域名對應的IP地址。
2.根據權利要求1所述方法,其特征在于,提取所述IP地址對應的每個域名中的關鍵域名字符串,包括:
提取所述IP地址對應的每個域名中以“.”分隔所得的各個域名段中長度最長的域名段字符串,或者,提取所述IP地址對應的每個域名中去掉域名尾綴后的域名字符串。
3.根據權利要求1所述方法,其特征在于,根據所述出現頻次,利用聚類算法對所述IP地址進行聚類,得到N個點簇,具體包括:
對每個IP地址對應的所述字符的出現頻次進行歸一化處理;
根據所述歸一化處理后所述字符的出現頻次,利用K-Means聚類算法將所述IP地址分為M個點簇,即聚類算法時取K=M;
判斷所述M個點簇是否滿足預定條件,若滿足所述預定條件,則所述M個點簇即為所述N個點簇;
若不滿足所述預定條件,則利用聚類算法將所述IP地址分為M+1個點簇,再次判斷所述M+1個點簇是否滿足預定條件;
所述預定條件包括:所述點簇中,所有點的誤差的總和小于第一誤差閾值,并且每個點簇內所有點的平均誤差小于第二誤差閾值,并且所述點簇中的活躍僵木點的誤差均小于第三誤差閾值;其中,所述點的誤差為點與該點所屬點簇中心的歐式距離。
4.根據權利要求1-3任一項所述方法,其特征在于,所述根據各個點簇中所包括的活躍僵木點的數量,確定可疑點簇,包括:
若所述點簇中包括的活躍僵木點的數量大于預設個數,或者若所述點簇中包括的活躍僵木點所占比例大于預設比例時,確定所述點簇為高度可疑點簇;
所述將所述可疑點簇中的點對應的IP地址確定為可疑域名對應的IP地址,包括:將所述高度可疑點簇中的點對應的IP地址確定為可疑域名對應的IP地址。
5.根據權利要求1-3任一項所述方法,其特征在于,所述方法還包括:
若確定所述點簇中包括有活躍僵木點,且所述活躍僵木點的數量小于或等于預設個數,或者所述活躍僵木點所占比例小于或等于預設比例時,則確定所述點簇為輕度可疑點簇;
確定所述輕度可疑點簇中包括的所有IP地址所對應的域名,獲取所述域名在所述檢測期內的每個時間周期的解析請求量分布情況;根據所述域名在所述檢測期內的解析請求量分布情況,確定所述域名是否具有訪問跳變點,以及所述域名在活躍期內的訪問量曲線與該域名在非活躍期內的訪問量曲線的日間相似度;
若所述輕度可疑點簇內,具有訪問跳變點且所述日間相似度低于第三閾值的域名數量超過第四閾值時,確定所述輕度可疑點簇為高度可疑點簇。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中國聯合網絡通信集團有限公司,未經中國聯合網絡通信集團有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201710972955.7/1.html,轉載請聲明來源鉆瓜專利網。
