本申請實施例提供了一種惡意域名的檢測方法及系統，用于將新核心域名執行分組聚類，將單一域名聚類成域名簇，以簇的形式進行特征提取，以進行惡意特征檢測，有效提高了域名的檢測準確率。本申請實施例方法包括：將獲取到的新核心域名執行分組聚類，得到多個域名簇；分別統計每個域名簇的數據特征；將所述每個域名簇的數據特征，執行安全場景的惡意特征匹配；根據匹配結果，將所述每個域名簇劃分為對應安全場景的惡意域名數據簇和/或未知威脅域名數據簇。

技術領域

本申請涉及數據安全技術領域，尤其涉及一種惡意域名的檢測方法及系統。

背景技術

新核心域名，即DNS數據中新的核心域名，這里的“新”通常指新注冊或者新發現，這屬于一種廣義的安全事件，是未知異常檢測中的一類。

目前關于新核心域名這一維度的惡意域名檢測，業界主要的方法有兩種：

一種是通過對比客戶流量數據，判斷該域名是否是新出現的域名，若發現為新出現的域名，則直接將這些域名加入有時效的黑名單，拒絕客戶訪問，超過時效，則從黑名單釋放出來。

另外一種是當發現客戶第一次使用或解析的域名時，會將其的初始信息記錄下來，并在一段時間后，利用其它信息發現方式得到最新信息，并與初始信息對比，并進行檢測。若發現是惡意域名，則將加入黑名單，拒絕客戶訪問。

上述方案存在以下幾個問題：

1、直接加入黑名單這種方式過于武斷，容易造成誤報，從而影響客戶的正常業務；

2、上訴兩種方案都利用到了時間這個維度，需要通過一段時間的變化，來改變對新域名的處理方式，然而不同類型的安全事件變化需要的時間是不一致的，那么這里時間的利用，容易造成漏報。

這里做出結果判斷的單位都是一個域名，單純使用一個域名進行判斷會丟失大量行為特征，降低了檢出的準確率。

發明內容

本申請實施例提供了一種惡意域名的檢測方法及系統，用于將新核心域名執行分組聚類，將單一域名聚類成域名簇，以簇的形式進行特征提取，以進行惡意特征檢測，有效提高了域名的檢測準確率。

本申請實施例第一方面提供了一種惡意域名的檢測方法，包括：

將獲取到的新核心域名執行分組聚類，得到多個域名簇；

分別統計每個域名簇的數據特征；

將所述每個域名簇的數據特征，執行安全場景的惡意特征匹配；

根據匹配結果，將所述每個域名簇劃分為對應安全場景的惡意域名數據簇和/或未知威脅域名數據簇。

優選的，在分別統計每個域名簇的數據特征之后，所述方法還包括：

將所述每個域名簇劃分為可解析數據簇和不可解析數據簇；

所述將所述每個域名簇的數據特征，執行安全場景的惡意特征匹配，包括：

將所述可解析數據簇和不可解析數據簇，分別執行安全場景的惡意特征匹配。

優選的，在所述將獲取到的新核心域名執行分組聚類之前，所述方法還包括：

判斷所述新核心域名是否符合域名命名規范；

若是，則獲取所述新核心域名中的二級域名，并對所述二級域名執行最長有意義字符串的匹配，統計有意義字符串的占比；

若所述有意義字符串的占比不大于預設閾值時，將所述新核心域名定義為惡意域名。

優選的，所述方法還包括：

若所述有意義字符串的占比大于所述預設閾值，則觸發執行將獲取到的新核心域名執行分組聚類的步驟。