一种基于恶意域名检测方法的网络安全防御系统技术方案

本发明专利技术提供了一种基于恶意域名检测方法的网络安全防御系统，涉及网络安全防御技术领域，包括：获取域名参数，随机匹配查询方法列表，且基于证书透明度协议，得到搜索引擎的检测规则；基于搜索引擎

【技术实现步骤摘要】
一种基于恶意域名检测方法的网络安全防御系统


[0001]本专利技术涉及网络安全防御
，特别涉及一种基于恶意域名检测方法的网络安全防御系统
。

技术介绍

[0002]目前，随着科学技术的发展，网络技术水平的发展也越来越快速
。
随之而来的是网络安全问题，网络攻击层出不穷，攻击者使用的域名和网站，称为恶意域名
。
恶意域名检测方法，经历了正则匹配和深度学习检测方法的演进，取得一定效果
。
为了规避上述已有检测方法，攻击者使用相对独立账户在多个的域名注册商处购买域名，每个域名使用一个单独的帐户，这些域名从特征
、
邮箱
、
联系方式方面都不具备关联性
。
通常攻击者在一段时间注册多个恶意域名，同时域名更新时间也具有相关性
。
[0003]因此，本专利技术提供一种基于恶意域名检测方法的网络安全防御系统
。

技术实现思路

[0004]本专利技术提供一种基于恶意域名检测方法的网络安全防御系统，用以通过对攻击者的一个或多个域名，设置过滤规则，通过正则匹配，分析查询证书透明度中证书生成时间
、
更新时间
、
证书序号
、
证书签署结束时间
、
预证书的时间戳存在关联度，比较域名网站承载的内容，计算网页内容相似度，关联匹配模块对证书
、
域名
、
时间戳
、
序号信息和网页相似度分值进行加权处理，生成域名关联度分值，从而发现恶意域名之间关联关系，及时发出警报，防御恶意域名的攻击
。
[0005]本专利技术提供一种基于恶意域名检测方法的网络安全防御系统，包括：预备模块：获取域名参数，随机匹配查询方法列表，且基于证书透明度协议，得到搜索引擎的检测规则；检测模块：基于搜索引擎
censys
提供的
API
查询函数以及所述检测规则，得到相对应的域名详细信息；分析模块：获取域名以及返回域名相对应的网页内容，进行网页内容相似分析，得到网页内容相似度特征值；设置模块：基于所述域名详细信息以及网页内容相似度特征值，进行权重设置处理，得到域名关联度分值；关联模块：基于所述域名关联度分值以及预设关联门限值，分析恶意域名是否存在关联关系
。
[0006]优选的，本专利技术提供一种基于恶意域名检测方法的网络安全防御系统，预备模块，包括：域名类型获取单元：获取域名参数并分析，得到域名类型；查询规则获取单元：基于所述域名类型以及类型
‑
查询规则对照表，得到相对应的全部查询规则；
查询列表获取单元：随机排列全部查询规则，得到查询方法列表
。
[0007]优选的，本专利技术提供一种基于恶意域名检测方法的网络安全防御系统，预备模块，还包括：证书参数获取单元：基于证书透明度协议以及域名参数，得到相对应的证书参数；安全验证单元：对证书参数进行安全验证，得到安全验证结果；规则构建单元：若安全验证结果通过，则根据所述查询方法列表中每个查询规则相对应的查询参数，构建搜索引擎的检测规则
。
[0008]优选的，本专利技术提供一种基于恶意域名检测方法的网络安全防御系统，还包括：请求获取单元：基于所述检测规则中的每个查询参数，得到相对应的请求信息；搜索单元：在搜索引擎
censys
提供的
API
查询函数中输入请求信息，得到相对应的域名详细信息
。
[0009]优选的，本专利技术提供一种基于恶意域名检测方法的网络安全防御系统，分析模块，包括：文本抓取单元：基于任意两个输入界面的同输入域名所对应的返回域名的网页的网页内容进行抓取，得到相对应的第一文本内容以及第二文本内容；文本筛选单元：基于结构文本数据库，匹配第一文本内容以及第二文本内容中的第一结构文本以及第二结构文本并删除；分句单元：基于处理后的第一文本内容以及第二文本内容的标点符号，进行初步分句，得到相对应的第一子句集合以及第二子句集合；子串提取单元：按照预设子串长度，获取第一子句集合中每个第一子句中相同长度的第一子串；词典匹配单元：将每个第一子串与词典进行词语匹配；子串处理单元：将直接匹配成功的第一子串保留，同时，去掉直接匹配不成功的第一子串的最后一个字符，且再次与词典进行词语匹配，直到匹配成功并保留去掉字符后的子串；分词集合构建单元：基于所保留的所有子串，构建第一分词集合；语法分析单元：将所述第一分词集合中的每个第一分词依次输入至移入
‑
规约语法分析器进行
LR(k)
文法解析，得到相对应的第一语法分析结果；分词筛选单元： 删除第一分词集合中第一语法分析结果不合格的第一分词；向量获取单元：基于处理后的第一分词集合以及相应匹配的输入界面的分词
‑
空间对照表，得到相对应的第一向量集合；第二分析单元：同时，获取所述第二子句集合的第二向量集合；向量组构建单元：基于第一向量集合以及第二向量集合，匹配距离最近的第一向量以及第二向量，构建向量组；距离计算单元：基于每个向量组，计算相对应的切比雪夫距离；特征值计算单元：基于每个切比雪夫距离，计算得到两个网页内容相似度特征值
。
[0010]优选的，本专利技术提供一种基于恶意域名检测方法的网络安全防御系统，特征值计算单元，包括：
；其中，表示网页内容相似度特征值；指的是第组向量组中第一向量；指的是第组向量组中第二向量；表示全部向量组的数量；表示全部向量组中第组向量组的切比雪夫距离；表示向量组的特征系数；表示全部向量组中第组向量组的向量权重，表示第组向量组中的第一向量经过相对应的向量权重的调整得到的新向量；表示第组向量组中的第二向量经过相对应的向量权重的调整得到的新向量；表示切比雪夫距离的定义函数；
log
表示对数函数符号
。
[0011]优选的，本专利技术提供一种基于恶意域名检测方法的网络安全防御系统，设置模块，包括：配置选项获取单元：基于所述域名详细信息以及网页内容相似度特征值，确定配置选项；权重设置单元：向每个配置选项进行权重设置处理，得到域名关联度分值
V
；；其中，表示域名关联度值，为域名关联配置项数
,
表示第个配置选项加权值；表示第
i
个配置选项的关联项取值；其中，配置选项与证书序号
、
证书签署结束时间
、
预证书的时间戳
、
网页相似度
、
证书更新时间以及证书生成时间相关
。
[0012]优选的，本专利技术提供一种基于恶意域名检测方法的网络安全防御系统，量化模块，用于：门限值判断单元：若域名关联度值大于预设关联门限值，则域名以及返回域名有关联关系，判定有关联关系的域名和返回域名为恶意域名；警报发送单元：发送恶意域名至系统管理员，拒绝恶意域名的访问
。
[0013]本专利技术的其它本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种基于恶意域名检测方法的网络安全防御系统，其特征在于，包括：预备模块：获取域名参数，随机匹配查询方法列表，且基于证书透明度协议，得到搜索引擎的检测规则；检测模块：基于搜索引擎
censys
提供的
API
查询函数以及所述检测规则，得到相对应的域名详细信息；分析模块：获取域名以及返回域名相对应的网页内容，进行网页内容相似分析，得到网页内容相似度特征值；设置模块：基于所述域名详细信息以及网页内容相似度特征值，进行权重设置处理，得到域名关联度分值；关联模块：基于所述域名关联度分值以及预设关联门限值，分析恶意域名是否存在关联关系
。2.
根据权利要求1所述的系统，其特征在于，预备模块，包括：域名类型获取单元：获取域名参数并分析，得到域名类型；查询规则获取单元：基于所述域名类型以及类型
‑
查询规则对照表，得到相对应的全部查询规则；查询列表获取单元：随机排列全部查询规则，得到查询方法列表
。3.
根据权利要求2所述的系统，其特征在于，预备模块，还包括：证书参数获取单元：基于证书透明度协议以及域名参数，得到相对应的证书参数；安全验证单元：对证书参数进行安全验证，得到安全验证结果；规则构建单元：若安全验证结果通过，则根据所述查询方法列表中每个查询规则相对应的查询参数，构建搜索引擎的检测规则
。4.
根据权利要求1所述的系统，其特征在于，检测模块，还包括：请求获取单元：基于所述检测规则中的每个查询参数，得到相对应的请求信息；搜索单元：在搜索引擎
censys
提供的
API
查询函数中输入请求信息，得到相对应的域名详细信息
。5.
根据权利要求1所述的系统，其特征在于，分析模块，包括：文本抓取单元：基于任意两个输入界面的同输入域名所对应的返回域名的网页的网页内容进行抓取，得到相对应的第一文本内容以及第二文本内容；文本筛选单元：基于结构文本数据库，匹配第一文本内容以及第二文本内容中的第一结构文本以及第二结构文本并删除；分句单元：基于处理后的第一文本内容以及第二文本内容的标点符号，进行初步分句，得到相对应的第一子句集合以及第二子句集合；子串提取单元：按照预设子串长度，获取第一子句集合中每个第一子句中相同长度的第一子串；词典匹配单元：将每个第一子串与词典进行词语匹配；子串处理单元：将直接匹配成功的第一子串保留，同时，去掉直接匹配不成功的第一子串的最后一个字符，且再次与词典进行词语匹配，...

【专利技术属性】
技术研发人员：黄铁军，常庭懋，
申请(专利权)人：北京启天安信科技有限公司，
类型：发明
国别省市：