【技术实现步骤摘要】
一种基于恶意域名检测方法的网络安全防御系统
[0001]本专利技术涉及网络安全防御
,特别涉及一种基于恶意域名检测方法的网络安全防御系统
。
技术介绍
[0002]目前,随着科学技术的发展,网络技术水平的发展也越来越快速
。
随之而来的是网络安全问题,网络攻击层出不穷,攻击者使用的域名和网站,称为恶意域名
。
恶意域名检测方法,经历了正则匹配和深度学习检测方法的演进,取得一定效果
。
为了规避上述已有检测方法,攻击者使用相对独立账户在多个的域名注册商处购买域名,每个域名使用一个单独的帐户,这些域名从特征
、
邮箱
、
联系方式方面都不具备关联性
。
通常攻击者在一段时间注册多个恶意域名,同时域名更新时间也具有相关性
。
[0003]因此,本专利技术提供一种基于恶意域名检测方法的网络安全防御系统
。
技术实现思路
[0004]本专利技术提供一种基于恶意域名检测方法的网络安全防御系统,用以通过对攻击者的一个或多个域名,设置过滤规则,通过正则匹配,分析查询证书透明度中证书生成时间
、
更新时间
、
证书序号
、
证书签署结束时间
、
预证书的时间戳存在关联度,比较域名网站承载的内容,计算网页内容相似度,关联匹配模块对证书
、
域名
、
时间戳
、
序号信息和网页相似 ...
【技术保护点】
【技术特征摘要】
1.
一种基于恶意域名检测方法的网络安全防御系统,其特征在于,包括:预备模块:获取域名参数,随机匹配查询方法列表,且基于证书透明度协议,得到搜索引擎的检测规则;检测模块:基于搜索引擎
censys
提供的
API
查询函数以及所述检测规则,得到相对应的域名详细信息;分析模块:获取域名以及返回域名相对应的网页内容,进行网页内容相似分析,得到网页内容相似度特征值;设置模块:基于所述域名详细信息以及网页内容相似度特征值,进行权重设置处理,得到域名关联度分值;关联模块:基于所述域名关联度分值以及预设关联门限值,分析恶意域名是否存在关联关系
。2.
根据权利要求1所述的系统,其特征在于,预备模块,包括:域名类型获取单元:获取域名参数并分析,得到域名类型;查询规则获取单元:基于所述域名类型以及类型
‑
查询规则对照表,得到相对应的全部查询规则;查询列表获取单元:随机排列全部查询规则,得到查询方法列表
。3.
根据权利要求2所述的系统,其特征在于,预备模块,还包括:证书参数获取单元:基于证书透明度协议以及域名参数,得到相对应的证书参数;安全验证单元:对证书参数进行安全验证,得到安全验证结果;规则构建单元:若安全验证结果通过,则根据所述查询方法列表中每个查询规则相对应的查询参数,构建搜索引擎的检测规则
。4.
根据权利要求1所述的系统,其特征在于,检测模块,还包括:请求获取单元:基于所述检测规则中的每个查询参数,得到相对应的请求信息;搜索单元:在搜索引擎
censys
提供的
API
查询函数中输入请求信息,得到相对应的域名详细信息
。5.
根据权利要求1所述的系统,其特征在于,分析模块,包括:文本抓取单元:基于任意两个输入界面的同输入域名所对应的返回域名的网页的网页内容进行抓取,得到相对应的第一文本内容以及第二文本内容;文本筛选单元:基于结构文本数据库,匹配第一文本内容以及第二文本内容中的第一结构文本以及第二结构文本并删除;分句单元:基于处理后的第一文本内容以及第二文本内容的标点符号,进行初步分句,得到相对应的第一子句集合以及第二子句集合;子串提取单元:按照预设子串长度,获取第一子句集合中每个第一子句中相同长度的第一子串;词典匹配单元:将每个第一子串与词典进行词语匹配;子串处理单元:将直接匹配成功的第一子串保留,同时,去掉直接匹配不成功的第一子串的最后一个字符,且再次与词典进行词语匹配,...
【专利技术属性】
技术研发人员:黄铁军,常庭懋,
申请(专利权)人:北京启天安信科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。