[發(fā)明專利]一種使用惡意代碼屬性判斷惡意域名的方法、系統(tǒng)和裝置在審
| 申請?zhí)枺?/td> | 202011495062.6 | 申請日: | 2020-12-17 |
| 公開(公告)號: | CN112738036A | 公開(公告)日: | 2021-04-30 |
| 發(fā)明(設計)人: | 羅赟騫;周昊;郭晶;徐劍;嚴寒冰;丁麗;李志輝;朱天;饒毓;賀錚;呂志泉;韓志輝;馬莉雅;雷君;高川;賈世琳;呂卓航;黃亮;劉偉;郝帥;楊云龍;李婷;候爽 | 申請(專利權)人: | 國家計算機網(wǎng)絡與信息安全管理中心;長安通信科技有限責任公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;G06F21/56;G06F16/955;G06K9/62 |
| 代理公司: | 北京惠智天成知識產(chǎn)權代理事務所(特殊普通合伙) 11681 | 代理人: | 周建 |
| 地址: | 100029*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 使用 惡意代碼 屬性 判斷 惡意 域名 方法 系統(tǒng) 裝置 | ||
1.一種使用惡意代碼屬性判斷惡意域名的方法,其特征在于,所述方法包括:
獲取域名關聯(lián)的惡意代碼以及域名與惡意代碼之間的關系;
提取每一個惡意代碼的惡意代碼屬性,根據(jù)域名關聯(lián)的多個惡意代碼的屬性,基于投票方法確定域名關聯(lián)的惡意代碼屬性;
基于域名關聯(lián)的惡意代碼屬性和域名與惡意代碼之間的關系,得到惡意域名分類。
2.根據(jù)權利要求1所述的使用惡意代碼屬性判斷惡意域名的方法,其特征在于,所述提取惡意代碼屬性的方法包括基于字符串匹配算法的惡意代碼屬性提取方法。
3.根據(jù)權利要求2所述的使用惡意代碼屬性判斷惡意域名的方法,其特征在于,所述字符串匹配算法包括AC算法。
4.根據(jù)權利要求3所述的使用惡意代碼屬性判斷惡意域名的方法,其特征在于,所述采用AC算法提取惡意代碼屬性的方法如下:
構建惡意代碼屬性的關鍵詞列表keywordlist,分析多個反病毒檢測引擎輸出惡意代碼名稱的命名方式,構建惡意代碼名稱的惡意代碼屬性關鍵詞列表;
拼接多個反病毒檢測引擎輸出的惡意代碼名稱,構成惡意代碼名稱文本malwarenametext;
使用關鍵詞列表keywordlist作為AC算法的輸入,構建有限狀態(tài)模式匹配機A;
將惡意代碼名稱文本malwarenametext作為輸入送入有限狀態(tài)模式匹配機A進行匹配,將匹配到的每一個關鍵詞放入關鍵詞結果列表keywordretlist中,如果沒有匹配到任何關鍵詞,那么輸出“other”;
對關鍵詞結果列表keywordretlist中的關鍵詞進行統(tǒng)計計數(shù),將計數(shù)次數(shù)最多的關鍵詞作為“惡意代碼屬性”輸出。
5.根據(jù)權利要求4所述的使用惡意代碼屬性判斷惡意域名的方法,其特征在于,所述惡意代碼屬性包括行為、家族、平臺中的至少一個。
6.根據(jù)權利要求1所述的使用惡意代碼屬性判斷惡意域名的方法,其特征在于,所述惡意域名分類是將惡意域名分為C2域名、惡意代碼站點域名、仿冒域名、SPAM域名。
7.一種使用惡意代碼屬性判斷惡意域名的系統(tǒng),其特征在于,所述系統(tǒng)包括:
惡意代碼以及域名與惡意代碼之間關系獲取模塊,用于獲取域名關聯(lián)的惡意代碼以及域名與惡意代碼之間的關系;
惡意代碼屬性提取模塊,用于提取每一個惡意代碼的惡意代碼屬性,根據(jù)域名關聯(lián)的多個惡意代碼的屬性,基于投票方法確定域名關聯(lián)的惡意代碼屬性;
惡意域名分類模塊,用于基于域名關聯(lián)的惡意代碼屬性和域名與惡意代碼之間的關系,對惡意域名進行分類,得到惡意域名分類。
8.根據(jù)權利要求7所述的使用惡意代碼屬性判斷惡意域名的系統(tǒng),其特征在于,所述惡意代碼屬性提取模塊具體用于:
構建惡意代碼屬性的關鍵詞列表keywordlist,分析多個反病毒檢測引擎輸出惡意代碼名稱的命名方式,構建惡意代碼名稱的惡意代碼屬性關鍵詞列表;
拼接多個反病毒檢測引擎輸出的惡意代碼名稱,構成惡意代碼名稱文本malwarenametext;
使用關鍵詞列表keywordlist作為AC算法的輸入,構建有限狀態(tài)模式匹配機A;
將惡意代碼名稱文本malwarenametext作為輸入送入有限狀態(tài)模式匹配機A進行匹配,將匹配到的每一個關鍵詞放入關鍵詞結果列表keywordretlist中,如果沒有匹配到任何關鍵詞,那么輸出“other”;
對關鍵詞結果列表keywordretlist中的關鍵詞進行統(tǒng)計計數(shù),將計數(shù)次數(shù)最多的關鍵詞作為“惡意代碼屬性”輸出。
9.一種使用惡意代碼屬性判斷惡意域名的裝置,其特征在于,所述裝置包括:數(shù)據(jù)采集單元、處理器和存儲器;
所述數(shù)據(jù)采集單元用于惡意代碼相關數(shù)據(jù)的采集;所述存儲器用于存儲一個或多個程序指令;所述處理器,用于執(zhí)行一個或多個程序指令,用以執(zhí)行如權利要求1-6任一項所述的方法。
10.一種計算機可讀存儲介質(zhì),其特征在于,所述計算機存儲介質(zhì)中包含一個或多個程序指令,所述一個或多個程序指令用于執(zhí)行如權利要求1-6任一項所述的方法。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于國家計算機網(wǎng)絡與信息安全管理中心;長安通信科技有限責任公司,未經(jīng)國家計算機網(wǎng)絡與信息安全管理中心;長安通信科技有限責任公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業(yè)授權和技術合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202011495062.6/1.html,轉載請聲明來源鉆瓜專利網(wǎng)。
