本发明专利技术提供一种域名系统(Domain Name System,DNS)中恶意域名的检测方法与检测装置。所述方法包括:获得电子装置的网络连线数据;从所述网络连线数据中获取与至少一域名有关的日志数据;分析所述日志数据以产生与所述至少一域名有关的至少一数值特征;将所述至少一数值特征输入至多类型预测模型,其包括第一类数据模型与第二类数据模型;以及由所述多类型预测模型根据所述至少一数值特征预测所述至少一域名中是否存在与恶意程序或钓鱼网站有关的恶意域名。因此,可有效提高自动化恶意域名检测的检测效率。域名检测的检测效率。域名检测的检测效率。
【技术实现步骤摘要】
域名系统中恶意域名的检测方法与检测装置
[0001]本专利技术涉及一种信息安全技术,尤其涉及一种域名系统(Domain Name System,DNS)中恶意域名的检测方法与检测装置。
技术介绍
[0002]网域名称(亦称为域名)系统是互联网的一项服务,其可作为将域名与互联网协定(Internet Protocol,IP)地址相互对映的一个分散式数据库,使人们更方便地存取互联网。然而,由于域名本身的成长速度太快,每天都有数以万计的域名产生,而这些域名除了大量且正常使用的网域名称(亦称为良性域名)外,同时也会有被用来进行具有危害行为的域名(亦称为恶意域名)。其中恶意域名称常用于钓鱼(Phishing)攻击与恶意程序(Malware)的散播。钓鱼网站通常是指会伪装成银行网站、线上购物或是存储个人重要信息的网站等类型的非官方网站,它试图诱骗用户在钓鱼网站中输入的用户的真实帐号和密码,藉此取得该用户在该网站的存取权限。在攻击成功后将对该用户的个人隐私和财产造成一定的威胁、冲击与伤害。此外,若恶意程序被安装至用户计算机,则攻击者可利用该恶意程序控制受害用户的计算机或取得受害用户的重要信息。
[0003]一般来说,计算机鉴识(Computer Forensics)人员可通过逆向工程(Reverse Engineering)来找寻恶意域名。但通过人工分析与鉴定是需要花费不少的时间成本。即使不断地取得、更新与掌握恶意域名清单,但这样的速度仍然远跟不上产生新的域名的速度。因此,实有需要针对恶意域名提出更为有效的检测机制。/>
技术实现思路
[0004]本专利技术提供一种域名系统中恶意域名的检测方法与检测装置,可有效提高自动化恶意域名检测的检测效率。
[0005]本专利技术的实施例提供一种域名系统中恶意域名的检测方法,其包括:获得电子装置的网络连线数据;从所述网络连线数据中获取与至少一域名有关的日志数据;分析所述日志数据以产生与所述至少一域名有关的至少一数值特征;将所述至少一数值特征输入至多类型预测模型,其包括第一类数据模型与第二类数据模型,其中第一类数据模型是基于与恶意程序有关的第一类恶意特征所建立,且第二类数据模型是基于与钓鱼网站有关的第二类恶意特征所建立;以及由所述多类型预测模型根据所述至少一数值特征预测所述至少一域名中是否存在与所述恶意程序或所述钓鱼网站有关的恶意域名。
[0006]本专利技术的实施例另提供一种检测装置,其用以检测域名系统中的恶意域名。所述检测装置包括网络界面与处理器。所述网络界面用以获得电子装置的网络连线数据。所述处理器连接至所述网络界面。所述处理器用以从所述网络连线数据中获取与至少一域名有关的日志数据。所述处理器还用以分析所述日志数据以产生与所述至少一域名有关的至少一数值特征。所述处理器还用以还用以将所述至少一数值特征输入至多类型预测模型,其包括第一类数据模型与第二类数据模型。所述第一类数据模型是基于与恶意程序有关的第
一类恶意特征所建立。所述第二类数据模型是基于与钓鱼网站有关的第二类恶意特征所建立。所述处理器还用以运行所述多类型预测模型以根据所述至少一数值特征预测所述至少一域名中是否存在与所述恶意程序或所述钓鱼网站有关的恶意域名。
[0007]基于上述,在获得电子装置的网络连线数据后,与至少一域名有关的日志数据可从所述网络连线数据中获取出来。接着,可对述日志数据进行分析以产生与所述至少一域名有关的至少一数值特征并将所述数值特征输入至多类型预测模型。特别是,所述多类型预测模型包括第一类数据模型与第二类数据模型。所述第一类数据模型是基于与恶意程序有关的第一类恶意特征所建立。所述第二类数据模型是基于与钓鱼网站有关的第二类恶意特征所建立。接着,所述多类型预测模型可根据所述至少一数值特征预测所述至少一域名中是否存在与所述恶意程序或所述钓鱼网站有关的恶意域名。藉此,可有效提高自动化恶意域名检测的检测效率。
附图说明
[0008]图1是根据本专利技术的一实施例所示出的域名分析系统的示意图;
[0009]图2是根据本专利技术的一实施例所示出的分析网络连线数据的示意图;
[0010]图3是根据本专利技术的一实施例所示出的根据数值特征产生预测结果的示意图;
[0011]图4是根据本专利技术的实施例所示出的域名系统中恶意域名的检测方法的流程图。
具体实施方式
[0012]现将详细地参考本专利技术的示范性实施例,示范性实施例的实例说明于附图中。只要有可能,相同元件符号在附图和描述中用来表示相同或相似部分。
[0013]图1是根据本专利技术的一实施例所示出的域名分析系统的示意图。请参照图1,域名分析系统包括检测装置1与电子装置12。电子装置12可经由互联网101连接至服务器13(1)~13(n)的至少其中之一。特别是,电子装置12可通过一或多个域名来连接至服务器13(1)~13(n)的至少其中之一。一个域名可以是一串用一或多个点所分隔的字元组成(例如www.google.com)。
[0014]当电子装置12欲连接至某一个域名时,通过域名系统的解析,此域名可以被指向服务器13(1)~13(n)中的某一个服务器13(i)的IP地址。此时,电子装置12可根据此IP地址连接至服务器13(i)。相较于存储服务器13(i)的IP地址,服务器13(i)所使用的域名可更方便用户存储。
[0015]在一实施例中,检测装置1可自动分析电子装置12的网络连线数据。然后,检测装置1可根据分析结果自动预测服务器13(1)~13(n)中的任一者所使用的域名是否为恶意域名。需注意的是,在图1的实施例中,检测装置1与电子装置12是各自独立的电子装置(或计算机装置)。然而,在另一实施例中,检测装置1亦可以通过软件或硬件的型式设置于电子装置12内部。
[0016]在一实施例中,检测装置1包括网络界面111、存储装置112、处理器113及预测模型114。网络界面111可用以连接至电子装置12,以获得电子装置12的网络连线数据。例如,网络界面111可包括网络界面卡。存储装置112用以存储所获得的网络连线数据与预测模型114。例如,存储装置112可包括易失性存储电路与非易失性存储电路。易失性存储电路可包
括随机存取存储器(Random Access Memory,RAM)。非易失性存储电路可包括快闪存储器或传统硬盘(Hard Disc Drive,HDD)。
[0017]预测模型114可包括一或多个人工智能模型、一或多个机器学习模型和/或一或多个深度学习模型。例如,预测模型114可包括XGBoost模型等多决策树模型或其他类型的算法模型。预测模型114可用以自动根据从电子装置12的网络连线数据中获取出来的数据检测某一域名是否为恶意域名。在一实施例中,预测模型114可进一步识别所测得的恶意域名的类型是属于恶意程序或钓鱼网站。若某一恶意域名属于恶意程序,则电子装置12连接至使用此恶意域名的服务器后就可能从此服务器下载一或多个恶意程序而成为受感染的装置。尔后,电子装置12随时可能成为殭尸计算机而本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种域名系统中恶意域名的检测方法,其特征在于,包括:获得电子装置的网络连线数据;从所述网络连线数据中获取与至少一域名有关的日志数据;分析所述日志数据以产生与所述至少一域名有关的至少一数值特征;将所述至少一数值特征输入至多类型预测模型,其包括第一类数据模型与第二类数据模型,其中所述第一类数据模型是基于与恶意程序有关的第一类恶意特征所建立,且所述第二类数据模型是基于与钓鱼网站有关的第二类恶意特征所建立;以及由所述多类型预测模型根据所述至少一数值特征预测所述至少一域名中是否存在与所述恶意程序或所述钓鱼网站有关的恶意域名。2.根据权利要求1所述的检测方法,其中从所述网络连线数据中获取与所述至少一域名有关的所述日志数据的步骤包括:过滤所述日志数据中的A记录与AAAA记录,其中所述A记录反映至少一互联网通信协定第四版(IPv4)的地址数据,且所述AAAA记录反映至少一互联网通信协定第六版(IPv6)的地址数据。3.根据权利要求1所述的检测方法,其中分析所述日志数据以产生与所述至少一域名有关的所述至少一数值特征的步骤包括:分析所述日志数据中与所述至少一域名的查询行为、所述至少一域名与至少一互联网协定地址的映射、所述至少一域名的字元组成、所述至少一域名的互联网协定地址的变化及所述至少一域名的存活时间的至少其中之一有关的数据,以获得与所述至少一域名有关的所述至少一数值特征。4.根据权利要求1所述的检测方法,其中所述至少一数值特征包括至少一查询行为评估值,且所述至少一查询行为评估值反映所述电子装置对所述至少一域名的查询行为的统计特性。5.根据权利要求1所述的检测方法,其中所述至少一数值特征包括至少一映射评估值,且所述至少一映射评估值反映所述至少一域名与至少一互联网协定地址之间的映射的统计特性。6.根据权利要求1所述的检测方法,其中所述至少一数值特征包括至少一域名评估值,且所述至少一域名评估值反映所述至少一域名中的字元组成的统计特性。7.根据权利要求1所述的检测方法,其中所述至少一数值特征包括至少一存活时间评估值,且所述至少一存活时间评估值反映所述至少一域名的存活时间的统计特性。8.根据权利要求1所述的检测方法,其中所述至少一数值特征包括至少一地址变化评估值,且所述至少一地址变化评估值反映所述至少一域名的互联网协定地址的变化的统计特性。9.根据权利要求1所述的检测方法,其中由所述多类型预测模型根据所述至少一数值特征预测所述至少一域名中是否存在与所述恶意程序或所述钓鱼网站有关的所述恶意域名的步骤包括:由所述预测模型根据所述至少一数值特征识别可能存在的所述恶意域名的类型属于所述恶意程序或所述钓鱼网站。10.一种检测装置,用以检测域名系统中的恶意域名,所述检测装置包括:
网络界面,用以获得电...
【专利技术属性】
技术研发人员:黄琼莹,曾奕中,孙明功,蔡东霖,
申请(专利权)人:安碁资讯股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。