本申請(qǐng)實(shí)施例提供了一種惡意域名的檢測(cè)方法及系統(tǒng)，用于將新核心域名執(zhí)行分組聚類，將單一域名聚類成域名簇，以簇的形式進(jìn)行特征提取，以進(jìn)行惡意特征檢測(cè)，有效提高了域名的檢測(cè)準(zhǔn)確率。本申請(qǐng)實(shí)施例方法包括：將獲取到的新核心域名執(zhí)行分組聚類，得到多個(gè)域名簇；分別統(tǒng)計(jì)每個(gè)域名簇的數(shù)據(jù)特征；將所述每個(gè)域名簇的數(shù)據(jù)特征，執(zhí)行安全場(chǎng)景的惡意特征匹配；根據(jù)匹配結(jié)果，將所述每個(gè)域名簇劃分為對(duì)應(yīng)安全場(chǎng)景的惡意域名數(shù)據(jù)簇和/或未知威脅域名數(shù)據(jù)簇。

技術(shù)領(lǐng)域

本申請(qǐng)涉及數(shù)據(jù)安全技術(shù)領(lǐng)域，尤其涉及一種惡意域名的檢測(cè)方法及系統(tǒng)。

背景技術(shù)

新核心域名，即DNS數(shù)據(jù)中新的核心域名，這里的“新”通常指新注冊(cè)或者新發(fā)現(xiàn)，這屬于一種廣義的安全事件，是未知異常檢測(cè)中的一類。

目前關(guān)于新核心域名這一維度的惡意域名檢測(cè)，業(yè)界主要的方法有兩種：

一種是通過(guò)對(duì)比客戶流量數(shù)據(jù)，判斷該域名是否是新出現(xiàn)的域名，若發(fā)現(xiàn)為新出現(xiàn)的域名，則直接將這些域名加入有時(shí)效的黑名單，拒絕客戶訪問(wèn)，超過(guò)時(shí)效，則從黑名單釋放出來(lái)。

另外一種是當(dāng)發(fā)現(xiàn)客戶第一次使用或解析的域名時(shí)，會(huì)將其的初始信息記錄下來(lái)，并在一段時(shí)間后，利用其它信息發(fā)現(xiàn)方式得到最新信息，并與初始信息對(duì)比，并進(jìn)行檢測(cè)。若發(fā)現(xiàn)是惡意域名，則將加入黑名單，拒絕客戶訪問(wèn)。

上述方案存在以下幾個(gè)問(wèn)題：

1、直接加入黑名單這種方式過(guò)于武斷，容易造成誤報(bào)，從而影響客戶的正常業(yè)務(wù)；

2、上訴兩種方案都利用到了時(shí)間這個(gè)維度，需要通過(guò)一段時(shí)間的變化，來(lái)改變對(duì)新域名的處理方式，然而不同類型的安全事件變化需要的時(shí)間是不一致的，那么這里時(shí)間的利用，容易造成漏報(bào)。

這里做出結(jié)果判斷的單位都是一個(gè)域名，單純使用一個(gè)域名進(jìn)行判斷會(huì)丟失大量行為特征，降低了檢出的準(zhǔn)確率。

發(fā)明內(nèi)容

本申請(qǐng)實(shí)施例提供了一種惡意域名的檢測(cè)方法及系統(tǒng)，用于將新核心域名執(zhí)行分組聚類，將單一域名聚類成域名簇，以簇的形式進(jìn)行特征提取，以進(jìn)行惡意特征檢測(cè)，有效提高了域名的檢測(cè)準(zhǔn)確率。

本申請(qǐng)實(shí)施例第一方面提供了一種惡意域名的檢測(cè)方法，包括：

將獲取到的新核心域名執(zhí)行分組聚類，得到多個(gè)域名簇；

分別統(tǒng)計(jì)每個(gè)域名簇的數(shù)據(jù)特征；

將所述每個(gè)域名簇的數(shù)據(jù)特征，執(zhí)行安全場(chǎng)景的惡意特征匹配；

根據(jù)匹配結(jié)果，將所述每個(gè)域名簇劃分為對(duì)應(yīng)安全場(chǎng)景的惡意域名數(shù)據(jù)簇和/或未知威脅域名數(shù)據(jù)簇。

優(yōu)選的，在分別統(tǒng)計(jì)每個(gè)域名簇的數(shù)據(jù)特征之后，所述方法還包括：

將所述每個(gè)域名簇劃分為可解析數(shù)據(jù)簇和不可解析數(shù)據(jù)簇；

所述將所述每個(gè)域名簇的數(shù)據(jù)特征，執(zhí)行安全場(chǎng)景的惡意特征匹配，包括：

將所述可解析數(shù)據(jù)簇和不可解析數(shù)據(jù)簇，分別執(zhí)行安全場(chǎng)景的惡意特征匹配。

優(yōu)選的，在所述將獲取到的新核心域名執(zhí)行分組聚類之前，所述方法還包括：

判斷所述新核心域名是否符合域名命名規(guī)范；

若是，則獲取所述新核心域名中的二級(jí)域名，并對(duì)所述二級(jí)域名執(zhí)行最長(zhǎng)有意義字符串的匹配，統(tǒng)計(jì)有意義字符串的占比；

若所述有意義字符串的占比不大于預(yù)設(shè)閾值時(shí)，將所述新核心域名定義為惡意域名。

優(yōu)選的，所述方法還包括：

若所述有意義字符串的占比大于所述預(yù)設(shè)閾值，則觸發(fā)執(zhí)行將獲取到的新核心域名執(zhí)行分組聚類的步驟。