本發明涉及信息安全技術，解決了現有惡意域名檢測方法檢測效率較低、準確度較低的問題。技術方案概括為：本發明先判斷待檢測域名是否存在與黑白名單中，對于不存在于黑白名單中的待檢測域名，再通過K近鄰算法進行分類識別出惡意域名，對于K近鄰算法識別出的非惡意域名，再通過一種或多種檢測手段分析其危險性，并結合危險性評分機制來識別出惡意域名。有益效果是：本發明通過黑白名單檢測、K近鄰屬性檢測和危險評分檢測的有序組合，形成了一套惡意域名的多級檢測方式，不僅提高了檢測準確度，而且檢測效率較高。

技術領域

本發明涉及信息安全技術，特別涉及域名檢測技術。

背景技術

隨著互聯網的普及，互聯網犯罪事件頻頻發生，嚴重損害了國家、企業和個人利益。在網絡釣魚的過程中，攻擊者利用欺騙性的電子郵件、手機短信等，誘導用戶訪問惡意域名，來進行網絡詐騙活動，用戶在訪問這些惡意域名后暴露個人隱私，甚至給用戶造成一定的經濟損失。現有技術中，對惡意域名的檢測方法一般是基于威脅情報庫、人工分析算法等對惡意域名進行識別，對惡意域名的判定方法單一，不夠準確，并且現有方法在面對數量巨大，釣魚手段多樣的惡意域名時，檢測效率較低。

發明內容

本發明為解決現有惡意域名檢測方法檢測效率較低、準確度較低的問題，提供一種惡意域名檢測方法。

為解決上述問題，本發明采用的技術方案是：

惡意域名檢測方法，包括以下步驟：

步驟一、判斷待檢測域名是否存在于黑名單或白名單中，若存在于黑名單中，則判定待檢測域名為惡意域名，若存在于白名單中，則判定待檢測域名為合法域名，若既不存在于白名單也不存在于黑名單中則執行步驟二；

步驟二、利用預先構造的K近鄰屬性圖對待檢測域名進行分類，若分類結果為釣魚網站，則判定待檢測域名為惡意域名，否則執行步驟三；

步驟三、通過至少一種檢測方式對待檢測域名的危險性進行檢測，并分別計算出各個檢測方式下待檢測域名的危險值，再結合所有檢測方式計算得到的危險值計算出待檢測域名的總危險值，若待檢測域名的總危險值大于或等于預設的危險閾值，則判定待檢測域名為惡意域名，否則判定待檢測域名為合法域名。

作為進一步優化，所述K近鄰屬性圖的構造方法采用：基于半監督學習算法對預設的已標記的釣魚鏈接樣本和未標記的釣魚鏈接樣本進行半監督學習，根據學習結果構造K近鄰屬性圖。

具體的，所述已標記的釣魚鏈接樣本所標記的內容包括：鏈接來源特征和/或鏈接文本特征和/或鏈接行為特征。

作為進一步優化，所述步驟三中的檢測方式包括：通過IP信譽庫獲取待檢測域名所對應IP的至少1個維度的參數信息，并根據各個維度的參數信息分別分析出待檢測域名所對應IP在各個維度的信譽值，再根據待檢測域名所對應IP在各個維度的信譽值計算得到待檢測域名所對應IP的總信譽值，再根據待檢測域名所對應IP的總信譽值計算得到待檢測域名的危險值。

具體的，所述維度包括真人概率和/或辦公概率和/或基站概率和/或活躍度和/或信用污點和/或使用人數和/或住宅小區概率和/或域名注冊信息。

具體的，根據待檢測域名所對應IP在各個維度的信譽值以及預設的各個維度的權值，采用加權平均法計算得到待檢測域名所對應IP的總信譽值。

作為進一步優化，所述步驟三中的檢測方式包括：提取待檢測域名所對應的網頁的頁面視覺特征，然后將提取出的頁面視覺特征與預存的釣魚網站的頁面視覺特征或預存的合法網站的頁面視覺特征進行視覺相似性對比，得到待檢測域名所對應的網頁與釣魚網站的頁面或合法網站的頁面之間的視覺相似度，再根據視覺相似度計算得到待檢測域名的危險值。