域名的檢測方法及裝置的制造方法
【技術領域】
[0001]本發(fā)明涉及計算機軟件領域����,具體而言,涉及一種域名的檢測方法及裝置��。
【背景技術】
[0002]黑客會采用域名生成工具生成惡意域名,內網主機通過上述惡意域名接入僵尸網絡時�����,內網主機則變?yōu)槭芸刂鳈C����,進而黑客控制整個僵尸網絡,因為固定域名的C&C服務器很容易被安全人員控制接管����,因此黑客往往采用DGA(Domain Generat1n Algorithm)動態(tài)域名生成算法來生成隨機的動態(tài)惡意域名。
[0003]由于動態(tài)惡意域名對互聯網的危害性��,安全人員很有必要對內網主機訪問過的域名進行檢測����,即檢測其為安全域名或惡意域名。
[0004]現有的域名檢測方法往往有如下:通過設置黑名單檢測域名���、通過獲取DGA的核心算法來檢測域名等方案�����。
[0005]需要說明的是��,上述現有的域名檢測方案會出現如下缺點:
[0006](I)檢測的成本高���,速度慢�,且滯后性高��。
[0007](2)分析方法簡單��,生成的域名檢測結果不全面����。
[0008]針對上述現有技術檢測域名的方法簡單導致惡意域名的檢測結果不準確的問題,目前尚未提出有效的解決方案�����。
【發(fā)明內容】
[0009]本發(fā)明實施例提供了一種域名的檢測方法及裝置�,以至少解決現有技術檢測域名的方法簡單導致惡意域名的檢測結果不準確的技術問題。
[0010]根據本發(fā)明實施例的一個方面��,提供了一種域名的檢測方法��,包括:獲取至少一個域名�;將每個域名進行特征提取處理�����,生成每個域名的靜態(tài)特征以及動態(tài)特征,其中����,靜態(tài)特征為域名的字符串特征,動態(tài)特征為域名在域名注冊數據庫中的注冊特征;根據預設的檢測算法對每個域名的靜態(tài)特征以及動態(tài)特征進行檢測處理����,生成每個域名的檢測結果。
[0011]根據本發(fā)明實施例的另一方面�,還提供了一種域名的檢測裝置,包括:第一獲取單元�,用于獲取至少一個域名;第一處理單元����,用于將每個域名進行特征提取處理,生成每個域名的靜態(tài)特征以及動態(tài)特征�����,其中�,靜態(tài)特征為域名的字符串特征,動態(tài)特征為域名在域名注冊數據庫中的注冊特征;第二處理單元��,根據預設的檢測算法對每個域名的靜態(tài)特征以及動態(tài)特征進行檢測處理,生成每個域名的檢測結果�。
[0012]在本發(fā)明實施例中,采用獲取至少一個域名���;將每個域名進行特征提取處理���,生成每個域名的靜態(tài)特征以及動態(tài)特征,其中�����,靜態(tài)特征為域名的字符串特征�,動態(tài)特征為域名在域名注冊數據庫中的注冊特征;根據預設的檢測算法對每個域名的靜態(tài)特征以及動態(tài)特征進行檢測處理,生成每個域名的檢測結果�,解決了現有技術檢測域名的方法簡單導致惡意域名的檢測結果不準確的技術問題。
【附圖說明】
[0013]此處所說明的附圖用來提供對本發(fā)明的進一步理解��,構成本申請的一部分�����,本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明��,并不構成對本發(fā)明的不當限定���。在附圖中:
[0014]圖1是根據本發(fā)明實施例的一種域名的檢測方法的流程圖�����;以及
[0015]圖2是根據本發(fā)明實施例的一種域名的檢測裝置的結構示意圖��。
【具體實施方式】
[0016]為了使本技術領域的人員更好地理解本發(fā)明方案����,下面將結合本發(fā)明實施例中的附圖��,對本發(fā)明實施例中的技術方案進行清楚�����、完整地描述��,顯然����,所描述的實施例僅僅是本發(fā)明一部分的實施例,而不是全部的實施例�����。基于本發(fā)明中的實施例��,本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例�,都應當屬于本發(fā)明保護的范圍。
[0017]需要說明的是����,本發(fā)明的說明書和權利要求書及上述附圖中的術語“第一”、“第二”等是用于區(qū)別類似的對象���,而不必用于描述特定的順序或先后次序�。應該理解這樣使用的數據在適當情況下可以互換���,以便這里描述的本發(fā)明的實施例能夠以除了在這里圖示或描述的那些以外的順序實施��。此外�����,術語“包括”和“具有”以及他們的任何變形,意圖在于覆蓋不排他的包含����,例如,包含了一系列步驟或單元的過程��、方法�����、系統(tǒng)���、產品或設備不必限于清楚地列出的那些步驟或單元�����,而是可包括沒有清楚地列出的或對于這些過程���、方法�、產品或設備固有的其它步驟或單元。
[0018]根據本發(fā)明實施例����,提供了一種域名的檢測方法的實施例�����,需要說明的是��,在附圖的流程圖示出的步驟可以在諸如一組計算機可執(zhí)行指令的計算機系統(tǒng)中執(zhí)行��,并且�,雖然在流程圖中示出了邏輯順序����,但是在某些情況下�,可以以不同于此處的順序執(zhí)行所示出或描述的步驟。
[0019]圖1是根據本發(fā)明實施例的域名的檢測方法的流程圖����,如圖1所示���,該方法包括如下步驟:
[0020]步驟SI 2,獲取至少一個域名���。
[0021]具體地�,在本方案中,可以采用域名檢測終端獲取多個域名,域名檢測終端額可以從內網主機、DNS服務器或者企業(yè)的網關設備獲取上述多個域名�,需要說明的是,上述多個域名中可以同時包含著正常域名以及惡意域名。
[0022]需要說明的是���,本方案可以在企業(yè)網絡的邊界可以看見域名查詢流量的地方部署上述域名檢測終端�����。
[0023]步驟S14�,將每個域名進行特征提取處理,生成每個域名的靜態(tài)特征以及動態(tài)特征,其中���,靜態(tài)特征為域名的字符串特征�����,動態(tài)特征為域名在域名注冊數據庫中的注冊特征��。
[0024]具體地�,在本方案中��,域名檢測終端可以從上述多個域名進行提取����,以提取出每個域名的靜態(tài)特征以及動態(tài)特征��,需要說明的是����,靜態(tài)特征就是基于域名字符串本身的特征�����,每個域名在whois數據庫中都有其注冊屬性���,結合whois查詢���,可以找到域名的動態(tài)特征。
[0025]步驟S16�,根據預設的檢測算法對每個域名的靜態(tài)特征以及動態(tài)特征進行檢測處理,生成每個域名的檢測結果�。
[0026]具體地,在本方案中���,域名檢測終端可以根據預設的檢測算法(例如機器學習算法)來對每個域名的兩個特征維度信息(靜態(tài)特征以及動態(tài)特征)進行分析檢測,以生成每個域名的檢測結果��,需要說明的是�,每個域名的檢測結果可以包括����,域名為正常域名以及域名為惡意域名�����,需要說明的是�,上述惡意域名為通過DGA算法(Domain Generat1nAlgorithm)生成的惡意域名。
[0027]本方案通過獲取至少一個域名���;將每個域名進行特征提取處理�����,生成每個域名的靜態(tài)特征以及動態(tài)特征��,其中���,靜態(tài)特征為域名的字符串特征,動態(tài)特征為域名在數據庫中的注冊特征;根據預設的檢測算法對每個域名的靜態(tài)特征以及動態(tài)特征進行檢測處理����,生成每個域名的檢測結果。容易注意到���,本方案通過提取域名動態(tài)特征與靜態(tài)特征來檢測域名�����,識別的精度大大提升����,因此,本方案解決了上述現有技術檢測域名的方法簡單導致惡意域名的檢測結果不準確的問題���。
[0028]可選地���,步驟S14,生成每個域名的靜態(tài)特征的步驟可以包括:
[0029]步驟S141����,提取每個域名的域名長度、核心域名長度以及頂級域名的分類��。
[0030]具體地����,在上述步驟S141中,域名檢測終端可以從每個域名的字符串中提取每個域名的長度、核心域名長度以及頂級域名的分類�,例如���,google.com的核心域名是google�,而www.sina