本發明公開了一種基于詞法特征的惡意域名快速檢測方法，包括步驟：數據標準化，將待測域名按照長度進行正則化處理；權值計算，通過計算待測域名的權值，將域名詞法特征的提取轉化為數值計算；聚類分組，利用聚類算法將待測域名劃分成組內域名在長度上相似的多個小組；組間排序，利用改進的堆排序算法按照組內權值總和計算各域名小組優先級；域名檢測，按照優先級降序依次計算域名小組中每一域名與黑名單上域名之間的編輯距離，并根據編輯距離的大小快速判斷出惡意域名。與現有技術相比，本發明不依賴在線獲取域名解析數據，可以單獨、快速完成惡意域名檢測，為惡意域名的檢測提供了一種新思路，豐富了惡意域名的檢測手段。

技術領域

本發明涉及網絡信息安全領域，尤其涉及一種基于詞法特征的惡意域名快速檢測方法。

背景技術

互聯網技術的快速發展給人們的工作和生活帶來許多便利，同時，出于不同目的的惡意網絡攻擊事件也層出不窮，如針對域名系統的域名劫持、僵尸網絡、遠控木馬等攻擊。

現有惡意域名檢測方法大多是根據查詢主機活動流量，檢測流量異常DNS(DomainName System)服務器的DNS查詢流，實現惡意域名的識別與攔截。例如，惡意攻擊者通過使用域名生成算法或域名變換技術在短時間內隨機生成大量不存在的域名并發出域名解析請求，這些惡意域名解析請求最終因解析失敗等原因在DNS服務器間多次轉發，增加了網絡帶寬的占用，使得網絡流量在短時間內急劇增長，根據網絡流量在短時間內的異常變化對訪問請求進行攔截。但基于查詢主機活動流量的檢測方法需要在線實時獲取DNS記錄和數據，成本較高，且只對受攻擊服務器的惡意域名查詢流進行檢測，檢測范圍受限。

發明內容

為克服現有惡意域名檢測方法檢測范圍受限，數據采集周期較長、實時性差等不足，本發明提出一種基于詞法特征的惡意域名快速檢測方法，以有效地提高惡意域名的檢測效率。

本發明的技術方案是這樣實現的：

一種基于詞法特征的惡意域名快速檢測方法，包括步驟

S1：數據標準化，將待測域名按照長度進行正則化處理；

S2：權值計算，通過計算待測域名的權值，將域名詞法特征的提取轉化為數值計算；

S3：聚類分組，利用聚類算法將待測域名劃分成組內域名在長度上相似的多個小組；

S4：組間排序，利用改進的堆排序算法按照組內權值總和計算各域名小組優先級；

S5：域名檢測，按照優先級降序依次計算域名小組中每一域名與黑名單上域名之間的編輯距離，并根據編輯距離的大小快速判斷出惡意域名。

進一步地，步驟S1所述的正則化處理是采用max-min準則將每一域名長度值轉化為[0,1]區間中的數值，如公式(1)所示，

其中，s_i為第i個域名標準化后的值，L_i為域名長度，L_max與L_min分別為域名列表中域名長度最大值與最小值。

進一步地，步驟S2所述的權值計算是通過計算待測域名列表中每條域名的權值，將域名詞法特征的提取轉化為數值計算，權值計算如公式(2)所示，

其中，w_i為域名權值，L_i為域名長度，c_i是與第i個域名長度值相同的域名在域名列表中出現的次數，n是經過標準化處理后的域名總數，a和b是條件常數，D是惡意域名與合法域名長度的分界經驗值。

進一步地，步驟S3中所述的聚類分組的實現包括步驟