本申請實施例公開了一種惡意域名的識別方法及系統，用于提升對惡意域名的識別率。本申請實施例方法包括：將獲取到的惡意域名執行聚類分組，得到多個域名簇；對所述多個域名簇的各級域名進行處理，以抽取出與每個域名簇對應的惡意域名的正則表達式；對所述正則表達式進行測試，以獲取強正則表達式，所述強正則表達式為置信度及命中率分別大于對應預設閾值的正則表達式；利用所述強正則表達式對惡意域名進行識別。

技術領域

本申請涉及數據安全技術領域，尤其涉及一種惡意域名的識別方法及系統。

背景技術

惡意域名指的是某個域名下的至少一個URL指向一個惡意的資源，使得用戶在訪問該惡意資源時，用戶的財產信息或計算機系統數據遭受一定的安全風險。

當前獲取惡意域名的的主要方法是采用黑名單技術。黑名單實現簡單，理解容易，但是很容易產生漏判，同時在產生黑名單的過程中也會產生漏判，造成的后果就是防御系統容易被繞過。

而如何提升惡意域名的識別率，是亟待解決的一個問題。

發明內容

本申請實施例提供了一種惡意域名的識別方法及系統，用于根據惡意域名的相似性，從其中抽取出具有強泛化能力的正則表達式，并通過強正則表達式對惡意域名進行匹配及識別，以提升惡意域名的識別率。

本申請實施例第一方面提供了一種惡意域名的識別方法，包括：

將獲取到的惡意域名執行聚類分組，得到多個域名簇；

對所述多個域名簇的各級域名進行處理，以抽取出與每個域名簇對應的惡意域名的正則表達式；

對所述正則表達式進行測試，以獲取強正則表達式，所述強正則表達式為置信度及命中率分別大于對應預設閾值的正則表達式；

利用所述強正則表達式對惡意域名進行識別。

優選的，所述將獲取到的惡意域名執行聚類分組，得到多個域名簇，包括：

將獲取到的惡意域名執行域名向量化，以將所述惡意域名映射到向量空間；

將向量化后的惡意域名分別執行域名的粗粒度聚類分組及域名的細粒度聚類分組，以得到所述多個域名簇，其中，所述粗粒度聚類分組包括K-means聚類算法、層次聚類算法及IP聚類算法中的至少一種，所述細粒度聚類分組包括計算字符串的相似度矩陣。

優選的，所述對所述多個域名簇的各級域名進行處理，以抽取出與每個域名簇對應的惡意域名的正則表達式，包括：

對所述多個域名簇執行過濾，以獲取具有相同等級數量的域名；

分別對各級域名進行數值統計，以抽取出各級域名中的高頻字段；

根據所述高頻字段，拼裝出與每個域名簇對應的惡意域名的正則表達式。

優選的，所述置信度通過第一公式進行計算，其中，所述第一公式為：

其中，所述score表示置信度，所述n真表示訓練庫中真實的惡意域名數量，所述N測表示所述強正則表達式在訓練庫中識別的惡意域名的數量；

所述命中率通過第二公式進行計算，其中，所述第二公式為：

其中，所述ratio表示命中率，所述TP表示所述強正則表達式在訓練數據庫中命中黑庫中的條目數，所述FP表示所述強正則表達式在訓練數據庫命中白庫中的條目數。

優選的，所述方法還包括：

對識別出的惡意域名進行歷史子域名的信譽處理，以獲取并輸出與所述信譽處理結果相一致的惡意域名。