[發明專利]一種惡意域名的檢測方法及系統在審
| 申請號: | 202010119771.8 | 申請日: | 2020-02-26 |
| 公開(公告)號: | CN113315739A | 公開(公告)日: | 2021-08-27 |
| 發明(設計)人: | 陳揚;閆凡;王大偉 | 申請(專利權)人: | 深信服科技股份有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L29/12;G06K9/62 |
| 代理公司: | 深圳市深佳知識產權代理事務所(普通合伙) 44285 | 代理人: | 王兆林 |
| 地址: | 518055 廣東省深圳市南*** | 國省代碼: | 廣東;44 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 惡意 域名 檢測 方法 系統 | ||
1.一種惡意域名的檢測方法,其特征在于,所述方法包括:
將獲取到的新核心域名執行分組聚類,得到多個域名簇;
分別統計每個域名簇的數據特征;
將所述每個域名簇的數據特征,執行安全場景的惡意特征匹配;
根據匹配結果,將所述每個域名簇劃分為對應安全場景的惡意域名數據簇和/或未知威脅域名數據簇。
2.根據權利要求1所述的方法,其特征在于,在分別統計每個域名簇的數據特征之后,所述方法還包括:
將所述每個域名簇劃分為可解析數據簇和不可解析數據簇;
所述將所述每個域名簇的數據特征,執行安全場景的惡意特征匹配,包括:
將所述可解析數據簇和不可解析數據簇,分別執行安全場景的惡意特征匹配。
3.根據權利要求1所述的方法,其特征在于,在所述將獲取到的新核心域名執行分組聚類之前,所述方法還包括:
判斷所述新核心域名是否符合域名命名規范;
若是,則獲取所述新核心域名中的二級域名,并對所述二級域名執行最長有意義字符串的匹配,統計有意義字符串的占比;
若所述有意義字符串的占比不大于預設閾值時,將所述新核心域名定義為惡意域名。
4.根據權利要求3所述的方法,其特征在于,所述方法還包括:
若所述有意義字符串的占比大于所述預設閾值,則觸發執行將獲取到的新核心域名執行分組聚類的步驟。
5.根據權利要求3所述的方法,其特征在于,在所述判斷所述新核心域名是否符合域名命名規范之前,所述方法還包括:
將獲取到的新核心域名執行白名單過濾,以獲取所述新核心域名中的非白名單數據;
將所述非白名單數據輸入異常域名檢測模型進行預測,以獲取滿足所述檢測模型的新核心域名;
觸發判斷滿足所述檢測模型的新核心域名是否符合域名命名規范的步驟。
6.根據權利要求1至5中任一項所述的方法,其特征在于,所述方法還包括:
利用預設的時間窗口,從域名系統中獲取訪問次數小于預設次數的域名數據,并將其定義為新核心域名。
7.一種惡意域名的檢測系統,其特征在于,所述系統包括:
分組聚類模塊,用于將獲取到的新核心域名執行分組聚類,得到多個域名簇;
統計模塊,用于分別統計每個域名簇的數據特征;
匹配模塊,用于將所述每個域名簇的數據特征,執行安全場景的惡意特征匹配;
域名劃分模塊,用于根據匹配結果,將所述每個域名簇劃分為對應安全場景的惡意域名數據簇和/或未知威脅域名數據簇。
8.根據權利要求7所述的系統,其特征在于,所述域名劃分模塊,還用于:
將所述每個域名簇劃分為可解析數據簇和不可解析數據簇;
所述匹配模塊,具體用于:
將所述可解析數據簇和不可解析數據簇,分別執行安全場景的惡意特征匹配。
9.一種計算機裝置,包括處理器,其特征在于,所述處理器在執行存儲于存儲器上的計算機程序時,用于實現權利要求1至6中任一項所述的惡意域名的檢測方法。
10.一種可讀計算機存儲介質,其上存儲有計算機程序,其特征在于,所述計算機程序被處理器執行時,用于實現權利要求1至6中任一項所述的惡意域名的檢測方法。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于深信服科技股份有限公司,未經深信服科技股份有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010119771.8/1.html,轉載請聲明來源鉆瓜專利網。
