本發明公開了一種識別惡意域名的方法，包括步驟：對待識別域名進行預處理，生成待識別域名對應的特征向量；以及利用分類模型處理特征向量，以生成預測結果來指示待識別域名是否為惡意域名，其中，分類模型為以不同域名的特征向量為訓練樣本訓練得出。本發明一并公開了用于執行上述方法的計算設備。

技術領域

本發明涉及計算機技術領域，尤其涉及報文封裝方法、設備及域名解析系統。

背景技術

DNS(Domain Name System，域名解析系統)是互聯網架構中的最基礎、最核心的一項服務，它的作用是實現域名和IP地址的相互映射，使上網者能方便地訪問互聯網，而不用去記憶枯燥繁瑣的IP數串，為眾多網絡應用提供根本性支撐。

然而，DNS服務也經常被惡意利用，例如通過各種攻擊手段，使原本指向正常域名的請求被轉向惡意域名。用戶一旦進入這些網站，便會觸發網站內種植下的木馬、病毒等程序，導致訪問者計算機被感染，面臨丟失帳號或者隱私信息等危險。

為降低DNS系統返回惡意域名的風險，通常在DNS系統中設置域名黑名單或者手工操作，來識別出惡意域名。但是這種方式完全無法應對隨時改變的攻擊手段。例如，通過連接第三方域名庫獲取關于域名的信任評分，由于第三方域名庫普遍做不到實時返回結果，因此無法很好地匹配DNS的高性能需求。另一種常見的識別惡意域名的方案是，爬取某個指定域名的頁面，通過對頁面內容的深入分析，來確定該域名是否為惡意。對于很多惡意域名網站，其已經做到不在第一層級展示核心內容，要識別出惡意域名，就需要深入爬取，這在投入產出并上不劃算。

因此，如何提高DNS系統對惡意域名的判斷速度、縮短對惡意域名的攔截時間間隔，并同時提高判斷準確度，是每個DNS系統都需要考慮的問題。

發明內容

為此，本發明提供了一種新的識別惡意域名的方案，以力圖解決或至少緩解上面存在的至少一個問題。

根據本發明的一個方面，提供了一種識別惡意域名的方法，在計算設備中執行，包括步驟：對待識別域名進行預處理，生成待識別域名對應的特征向量；以及利用分類模型處理特征向量，以生成預測結果來指示待識別域名是否為惡意域名，其中，分類模型為以不同域名的特征向量為訓練樣本訓練得出。

可選地，根據本發明的方法還包括步驟：若預測結果指示待識別域名為惡意域名，則在預設數據庫中匹配待識別域名；以及若在預設數據庫中匹配到待識別域名，則再次確認待識別域名為惡意域名，并攔截待識別域名。

可選地，在根據本發明的方法中，對待識別域名進行預處理，生成待識別域名對應的特征向量的步驟包括：按照待識別域名的層次，將待識別域名轉化為多維矩陣；將多維矩陣中的字符轉換為數字，并將多維矩陣轉換為一維向量，作為待識別域名的特征向量。

可選地，在根據本發明的方法中，將多維矩陣中的字符轉換為數字的步驟包括：確定各字符對應的出現頻次，其中，各字符對應的出現頻次通過預先統計各字符在惡意域名中出現的次數來得到；根據出現頻次將各字符轉換為對應的數字。

可選地，根據本發明的方法還包括步驟：獲取用于訓練的域名；對所獲取的域名進行預處理，生成域名對應的特征向量，作為訓練樣本；以及利用特征向量，訓練生成分類模型。

可選地，在根據本發明的方法中，利用特征向量，訓練生成分類模型的步驟包括：對特征向量進行劃分，生成至少一個特征；對各特征分別進行處理，來生成各特征對應的至少一個取值；構建初始的分類模型；以及根據初始的分類模型中的節點，結合特征及其取值，確定出預測結果。