本公开提供的一种恶意域名检测方法、设备、电子设备及存储介质,包括:确定待检测域名的域名信息及绝对路径信息;对域名信息进行特征统计,对绝对路径信息进行数据切分;基于参照域名列表,进行域名差异判断,判断待检测域名是否为相似域名;若是,基于第三方检测工具对待检测域名进行恶意判断;输出判断结果,并对待检测域名执行信任操作或隔离操作。本公开利用了恶意相似域名的判定特征,为待检测域名和参照域名列表设计匹配规则,让待检测域名能够快速的匹配出可能被仿冒的合法域名,为实时检测网络流量中的恶意相似域名提供了快速检测方案,适用于大部分的恶意相似流量检测工程,覆盖程度高,且方法简单有效,高效率的同时便于实施操作。便于实施操作。便于实施操作。
【技术实现步骤摘要】
恶意域名检测方法、设备、电子设备及存储介质
[0001]本公开涉及计算机
,尤其涉及一种恶意域名检测方法、设备、电子设备及存储介质。
技术介绍
[0002]恶意域名是指具有恶意链接的网址,这种网址通常利用应用软件或浏览器的漏洞,在网站内植入木马、病毒程序等恶意代码,并利用伪装的网站服务内容来诱导用户访问,从而攻击用户的终端设备,获取用户的隐私信息;因此,恶意域名具有较大的网络安全隐患,需要对其进行检测。
[0003]恶意域名对网络用户和知名互联网品牌的危害比较大,随着科技的发展,恶意域名的相似种类越来越多,但现有的检测方法能够检测的恶意域名种类数量少,覆盖程度不高,检测的效率也较为低下。
技术实现思路
[0004]有鉴于此,本公开的目的在于提出一种恶意域名检测方法、设备、电子设备及存储介质。
[0005]基于上述目的,本公开提供了一种恶意域名检测方法,包括:
[0006]获取待检测域名,确定所述待检测域名对应的域名信息及绝对路径信息;
[0007]对所述域名信息进行特征统计,生成特征数据,对所述绝对路径信息进行数据切分,生成切分数据;
[0008]基于预设的参照域名列表,对所述特征数据及所述切分数据进行域名差异判断,判断所述待检测域名是否为相似域名;
[0009]响应于所述待检测域名为相似域名,基于第三方检测工具对所述待检测域名进行恶意判断;
[0010]输出判断结果,并基于所述判断结果对所述待检测域名执行信任操作或隔离操作。
[0011]基于同一构思,本公开还提供了一种恶意域名检测设备,包括:
[0012]获取模块,用于获取待检测域名,确定所述待检测域名对应的域名信息及绝对路径信息;
[0013]处理模块,用于对所述域名信息进行特征统计,生成特征数据,对所述绝对路径信息进行数据切分,生成切分数据;
[0014]判断模块,用于基于预设的参照域名列表,对所述特征数据及所述切分数据进行域名差异判断,判断所述待检测域名是否为相似域名;
[0015]检测模块,用于响应于所述待检测域名为相似域名,基于第三方检测工具对所述待检测域名进行恶意判断;
[0016]输出模块,用于输出判断结果,并基于所述判断结果对所述待检测域名执行信任
操作或隔离操作。
[0017]基于同一构思,本公开还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上任一项所述的方法。
[0018]基于同一构思,本公开还提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机实现如上任一项所述的方法。
[0019]从上面所述可以看出,本公开提供的一种恶意域名检测方法、设备、电子设备及存储介质,包括:获取待检测域名,确定待检测域名的域名信息及绝对路径信息;对域名信息进行特征统计,生成特征数据,对绝对路径信息进行数据切分,生成切分数据;基于参照域名列表,对特征数据及切分数据进行域名差异判断,判断待检测域名是否为相似域名;响应于所述待检测域名为相似域名,基于第三方检测工具对待检测域名进行恶意判断;输出判断结果,并对待检测域名执行信任操作或隔离操作。本公开利用了恶意相似域名的判定特征,为待检测域名和参照域名列表设计匹配规则,让待检测域名能够快速的匹配出可能被仿冒的合法域名,为实时检测网络流量中的恶意相似域名提供了快速检测方案,适用于大部分的恶意相似流量检测工程,覆盖程度高,且方法简单有效,高效率的同时便于实施操作。
附图说明
[0020]为了更清楚地说明本公开实施例或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0021]图1为本公开实施例提出的一种恶意域名检测方法的流程示意图;
[0022]图2为本公开实施例提出的一种恶意域名检测方法在具体应用场景中的工作过程流程示意图;
[0023]图3为本公开实施例提出的一种恶意域名检测设备的结构示意图;
[0024]图4为本公开实施例提出的电子设备结构示意图。
具体实施方式
[0025]为使本说明书的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本说明书进一步详细说明。
[0026]需要说明的是,除非另外定义,本公开实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本公开实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件、物件或者方法步骤涵盖出现在该词后面列举的元件、物件或者方法步骤及其等同,而不排除其他元件、物件或者方法步骤。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位
置关系,当被描述对象的绝对位置改变后,则该相对位置关系也可能相应地改变。
[0027]如
技术介绍
部分所述,HTTP(Hyper Text Transfer Protocol,超文本传输协议)使用统一资源定位符来和服务器建立连接和传输数据。一条符合规范的统一资源定位符对应的是某一服务器的特定资源,而统一资源定位符中的服务器地址和文件路径是用户经常关注的部分。恶意攻击者就是利用以上两个部分与合法域名制造差异创建恶意相似域名来迷惑普通用户上当受骗。比如域名抢注行为,就是注册和现有品牌和商标混淆的域名行为,这种域名抢注行为已非常普遍,例如冒充原始网站以窃取流量、获取用户的敏感信息、分发广告和恶意软件,从而给用户和目标品牌造成麻烦。另外还有恶意组合抢注域名,恶意域名制造者通过向目标域名字符(也就是服务器的地址)添加其他关键词的方式注册新的域名,又或者将目标域名的字符添加在URL(Uniform Resource Locator,统一资源定位器)的文件路径中来迷惑普通用户访问恶意相关域名。这种域名可以用于钓鱼、恶意软件传播、APT攻击(Advanced Persistent Threat,定向威胁攻击)和品牌滥用等行为,这样的域名规模庞大、达到了百万量级,并且活跃的时间不短。案例分析表明,已有一些恶意相似域名被用于恶意攻击行为。
[0028]从恶意相似域名的现状来看,恶意相似域名的检测方法,具体如下。
[0029]根据待检测域名利用模型生成可疑相似域名字符来检测的方法。这类检测方法通常根据待检测域名的二级域名信息,进行指定编辑距离的字符替换、删除、重复、互换顺序和少点操作来生成可疑抢注域名列表,再根据可疑抢注域名列表信息进行域名的验证工作。一方面该方法的变化方式固定,本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种恶意域名检测方法,包括:获取待检测域名,确定所述待检测域名对应的域名信息及绝对路径信息;对所述域名信息进行特征统计,生成特征数据,对所述绝对路径信息进行数据切分,生成切分数据;基于预设的参照域名列表,对所述特征数据及所述切分数据进行域名差异判断,判断所述待检测域名是否为相似域名;响应于所述待检测域名为相似域名,基于第三方检测工具对所述待检测域名进行恶意判断;输出判断结果,并基于所述判断结果对所述待检测域名执行信任操作或隔离操作。2.根据权利要求1所述的方法,其中,所述获取待检测域名,包括:判断当前时间是否在预设时间段内;响应于当前时间在预设时间段内,监控超文本传输协议流量,在所述超文本传输协议流量中抓取所述待检测域名。3.根据权利要求2所述的方法,其中,所述获取待检测域名之后,还包括:基于预设的白名单列表及黑名单列表,检测所述待检测域名是否属于所述白名单列表或所述黑名单列表;响应于所述待检测域名属于所述白名单列表,对所述待检测域名执行信任操作;响应于所述待检测域名属于所述黑名单列表,对所述待检测域名执行隔离操作。4.根据权利要求1所述的方法,其中,所述对所述域名信息进行特征统计,生成特征数据,包括:统计所述域名信息中字符的字符长度、每个字符的种类及字符间的相对位置关系,以此生成所述特征数据。5.根据权利要求4所述的方法,其中,所述基于预设的参照域名列表,对所述特征数据及所述切分数据进行域名差异判断,判断所述待检测域名是否为相似域名,包括:确定所述特征数据与所述参照域名列表中的每个参照域名之间的字符长度差异、字符变换差异及最小编辑距离;当所述字符长度差异、所述字...
【专利技术属性】
技术研发人员:秦素娟,夏方龙,高飞,金正平,赵春辉,
申请(专利权)人:北京邮电大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。