域名判别方法、装置、存储介质及电子设备制造方法及图纸

本申请公开了一种域名判别方法、装置、存储介质及电子设备。该方法包括：获取待识别的第一域名，包括：至少一个第一子域名；依据至少一个第一子域名确定第一域名的第一特征信息，第一特征信息中包括以下至少之一：第一子域名的第一数量、各个第一子域名之间的第一相似度、解析每个第一子域名得到的互联网协议地址的第二数量以及第二数量的互联网协议地址之间的第二相似度；基于第一特征信息确定第一特征向量，并将第一特征向量输入至域名判别模型中，得到域名判别模型输出的第一预测属性标签。本申请解决了由于相关技术难以准确识别未知域名是否属于可添加子域名的动态域名，导致网络安全厂商无法对网络安全事件及时、准确做出反应的技术问题。出反应的技术问题。出反应的技术问题。

【技术实现步骤摘要】
域名判别方法、装置、存储介质及电子设备


[0001]本申请涉及网络安全
，具体而言，涉及一种域名判别方法、装置、存储介质及电子设备。

技术介绍

[0002]在网络安全领域，威胁情报的质量对于网络安全厂商是否可以及时、准确对网络安全事件做出反应至关重要，而在威胁情报工作中，准确识别失陷指标(Indicators of Compromise，IOC)的类别可以有效提升威胁情报的质量。
[0003]通常，由于域名解析服务商会提供静态域名解析服务或者动态域名解析服务，且某些服务商允许用户在其提供的公开域名中选取添加属于用户的子域名。举个例子，若sample.com是某服务商提供的一个公开域名，用户可以在该公开域名的基础上随意添加，得到该域名的子域名，如a.sample.com，然后要求服务商为这个子域名提供静态域名解析服务或动态域名解析服务，此时，用户便拥有了一个可访问的子域名，且用户可以利用该子域名进行各种活动。而用户使用该子域名进行的各种活动与服务商或原始域名拥有者无关，这样就导致了某些恶意用户可以通过上述方法添加可访问的子域名，如b.sample.com，并利用该子域名进行恶意活动，导致在威胁情报识别工作中可能因b.sample.com的恶意行为而将与其相似的原域名sample.com也判为恶意，进而产生大量误报。
[0004]针对上述的问题，目前尚未提出有效的解决方案。

技术实现思路

[0005]本申请实施例提供了一种域名判别方法、装置、存储介质及电子设备，以至少解决由于相关技术难以准确识别未知域名是否属于可添加子域名的动态域名，导致网络安全厂商无法对网络安全事件及时、准确做出反应的技术问题。
[0006]根据本申请实施例的一个方面，提供了一种域名判别方法，包括：获取待识别的第一域名，其中，第一域名中包括：至少一个第一子域名；依据至少一个第一子域名确定第一域名的第一特征信息，其中，第一特征信息中包括以下至少之一：第一子域名的第一数量、对各个第一子域名之间的第一相似度、解析每个第一子域名解析得到的互联网协议地址的第二数量、第一子域名解析得到的以及第二数量的互联网协议地址之间的第二相似度；基于第一特征信息确定第一域名的第一特征向量，并将第一特征向量输入至预训练的域名判别模型中，得到域名判别模型输出的第一预测属性标签，其中，第一预测属性标签用于标识第一域名是否为动态域名。
[0007]可选地，依据至少一个第一子域名确定第一域名的第一特征信息，包括：获取第一域名中的第一子域名的第一数量，并通过第一距离算法确定各个第一子域名之间的第一相似度；对于每个第一子域名，通过对第一子域名进行域名解析，得到第二数量的互联网协议地址，并通过第二距离算法确定第一子域名解析得到的互联网协议地址之间的第二相似度；通过第一子域名的第一数量、各个第一子域名之间的第一相似度、解析每个第一子域名
得到的互联网协议地址的第二数量以及第二数量的互联网协议地址之间的第二相似度组成第一域名的第一特征信息。
[0008]可选地，域名判别模型通过以下方式训练得到：构建初始分类模型；获取多组样本数据，多组样本数据中包括：至少一组正样本数据和至少一组负样本数据，其中，每组正样本数据中包括：第二动态域名的第二特征向量和第二动态域名对应的第二属性标签，每组负样本数据中包括：第二静态域名的第三特征向量和第二静态域名对应的第三属性标签；将多组样本数据依次输入至初始分类模型中进行迭代训练，得到域名判别模型。
[0009]可选地，获取多组样本数据，包括：获取多个第二动态域名以及多个第二静态域名，其中，第二动态域名中包括：至少一个第二子域名，第二静态域名中包括：至少一个第三子域名；对于每个第二动态域名，依据至少一个第二子域名确定第二动态域名的第二特征信息，并基于第二特征信息确定第二动态域名的第二特征向量；由各个第二动态域名的第二特征向量和第二动态域名对应的第二属性标签构成多组正样本数据；对于每个第二静态域名，依据至少一个第三子域名确定第二静态域名的第三特征信息，并基于第三特征信息第二静态域名的第三特征向量；由各个第二静态域名的第三特征向量和第二静态域名对应的第三属性标签构成多组负样本数据。
[0010]可选地，将多组样本数据依次输入至初始分类模型中进行迭代训练，得到域名判别模型，包括：对多组样本数据进行预处理操作，其中，预处理操作包括：数据清洗、归一化处理；将预处理后的多组样本数据划分为训练集和测试集；基于训练集对初始分类模型进行迭代训练，调整初始分类模型的模型参数，其中，模型参数包括：权重参数和偏置常量；基于测试集对域名判别模型进行测试，校验域名判别模型的模型精度是否满足预设模型精度阈值，其中，在模型精度满足模型精度阈值的情况下，停止基于训练集对域名判别模型进行迭代训练；在模型精度不满足模型精度阈值的情况下，继续基于训练集对域名判别模型进行迭代训练。
[0011]可选地，基于训练集对初始分类模型进行迭代训练，调整初始分类模型的模型参数，包括：将每组正样本数据中的第二特征向量输入至初始分类模型中，得到初始分类模型输出的第二预测属性标签，并将每组负样本数据中的第三特征向量输入至初始分类模型中，得到初始分类模型输出的第三预测属性标签；基于第二预测属性标签和第二属性标签，以及第三预测属性标签和第三属性标签确定目标损失函数，其中，目标损失函数用于反映第二预测属性标签和第二属性标签，以及第三预测属性标签和第三属性标签之间的差异；使用梯度下降算法计算目标损失函数的最小值，并依据最小值调整初始分类模型的模型参数，得到域名判别模型。
[0012]可选地，在输出第一域名的第一预测属性标签之后，该方法还包括：在第一预测属性标签为动态域名的情况下，将第一域名加入目标白名单中，其中，目标白名单用于记录属性标签为动态域名的第一域名。
[0013]根据本申请实施例的另一方面，还提供了一种域名判别装置，包括：获取模块，用于获取待识别的第一域名，其中，第一域名中包括：至少一个第一子域名；确定模块，用于依据至少一个第一子域名确定第一域名的第一特征信息，其中，第一特征信息中包括以下至少之一：第一子域名的第一数量、各个第一子域名之间的第一相似度、解析每个第一子域名得到的互联网协议地址的第二数量以及第二数量的互联网协议地址之间的第二相似度；判
别模块，用于基于第一特征信息确定第一域名的第一特征向量，并将第一特征向量输入至预训练的域名判别模型中，得到域名判别模型输出的第一预测属性标签，其中，第一预测属性标签用于标识第一域名是否为动态域名。
[0014]根据本申请实施例的另一方面，还提供了一种非易失性存储介质，该计算机可读存储介质中存储有计算机程序，其中，计算机程序被设置为运行时执行上述的域名判别方法。
[0015]根据本申请实施例的另一方面，还提供了一种电子设备，该电子设备包括一个或多个处理器；存储器，用于存储一个或多个程序，当一个或多个程序被一个或多个处理器执行时，使得一个或多个处理器实现用于运行程序，其中，程序被设置为运本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种域名判别方法，其特征在于，包括：获取待识别的第一域名，其中，所述第一域名中包括：至少一个第一子域名；依据至少一个所述第一子域名确定所述第一域名的第一特征信息，其中，所述第一特征信息中包括以下至少之一：所述第一子域名的第一数量、各个所述第一子域名之间的第一相似度、解析每个所述第一子域名得到的互联网协议地址的第二数量以及所述第二数量的互联网协议地址之间的第二相似度；基于所述第一特征信息确定所述第一域名的第一特征向量，并将所述第一特征向量输入至预训练的域名判别模型中，得到所述域名判别模型输出的第一预测属性标签，其中，所述第一预测属性标签用于标识所述第一域名是否为动态域名。2.根据权利要求1所述的方法，其特征在于，依据至少一个所述第一子域名确定所述第一域名的第一特征信息，包括：获取所述第一域名中的第一子域名的第一数量，并通过第一距离算法确定各个所述第一子域名之间的所述第一相似度；对于每个所述第一子域名，通过对所述第一子域名进行域名解析，得到第二数量的所述互联网协议地址，并通过第二距离算法确定所述第一子域名解析得到的所述互联网协议地址之间的第二相似度；通过所述第一子域名的第一数量、各个所述第一子域名之间的所述第一相似度、解析每个所述第一子域名得到的互联网协议地址的第二数量以及所述第二数量的互联网协议地址之间的第二相似度组成所述第一域名的第一特征信息。3.根据权利要求1所述的方法，其特征在于，所述域名判别模型通过以下方式训练得到：构建初始分类模型；获取多组样本数据，所述多组样本数据中包括：至少一组正样本数据和至少一组负样本数据，其中，每组所述正样本数据中包括：第二动态域名的第二特征向量和所述第二动态域名对应的第二属性标签，每组所述负样本数据中包括：第二静态域名的第三特征向量和所述第二静态域名对应的第三属性标签；将多组所述样本数据依次输入至所述初始分类模型中进行迭代训练，得到所述域名判别模型。4.根据权利要求3所述的方法，其特征在于，获取多组样本数据，包括：获取多个所述第二动态域名以及多个所述第二静态域名，其中，所述第二动态域名中包括：至少一个第二子域名，所述第二静态域名中包括：至少一个第三子域名；对于每个所述第二动态域名，依据至少一个所述第二子域名确定所述第二动态域名的第二特征信息，并基于所述第二特征信息确定所述第二动态域名的所述第二特征向量；由各个所述第二动态域名的所述第二特征向量和所述第二动态域名对应的所述第二属性标签构成多组所述正样本数据；对于每个所述第二静态域名，依据至少一个所述第三子域名确定所述第二静态域名的第三特征信息，并基于所述第三特征信息所述第二静态域名的所述第三特征向量；由各个所述第二静态域名的所述第三特征向量和所述第二静态域名对应的所述第三属性标签构成多组所述负样本数据。
5.根据权利要求3所述的方法，其特征在于，将多组所述样本数据依次输入至所述初始分类模型中进行迭代训练，得到所述域名判别模型，包括：对多组所述样本数据进行预处理操作，其中...

【专利技术属性】
技术研发人员：张志祥，韦云川，陈攀，陈健，黄冲，
申请(专利权)人：山石网科通信技术股份有限公司，
类型：发明
国别省市：