【技术实现步骤摘要】
本申请涉及网络服务,尤其涉及一种检测及处置域名请求的方法、装置及电子设备。
技术介绍
1、当前,dga(domain generation algorithm,域生成算法)域名被广泛应用于现代僵尸网络中,用于生成大量随机域名以增强其隐蔽性和抗封锁能力,对网络安全构成了新的威胁。首先,dga使得僵尸网络能够通过不断变化的域名和命令与控制(c&c)服务器进行通信,从而绕过了传统的基于黑名单的检测方法。其次,dga还可能导致恶意软件数据集的时效性不足,因为需要不断更新恶意软件数据集以识别新的dga变体。
2、近年来,dga域名检测技术取得了显著进展,从依赖手工提取特征到自动提取特征的深度学习模型方法,并且不断有新的检测模型被提出以提高检测效果。但是现有dga域名的研究着重于分类和检测,并没有针对如何在dns服务器上对dga域名做高效实施处置的研究。结果就是,尽管dga域名检测算法效果非常出色,但无法实时地发挥作用。检测模型无法实时检测海量的域名请求,进而其中的dga域名便仍能够在dns服务器上被持续正常解析应答,只有在利用dga域名实施的攻击发生一段时间后,检测模型才能异步地检测出域名请求中的dga请求,并采取对应的处置措施,模型检测压力大,处理时效性不足。
技术实现思路
1、本申请的目的在于提供一种检测及处置域名请求的方法、装置及电子设备,以实现对dga域名请求的快速检测和实时处置。
2、第一方面,本申请提供了一种检测及处置域名请求的方法,所述方法包括:
3、根据源端产生的域名请求的频域特征,采用预先构建的检测模型,检测所述域名请求的目标域名是否为dga域名;
4、若所述目标域名不为dga域名,则对所述域名请求进行放行;
5、若所述目标域名为dga域名,则确定所述源端在预设周期内请求dga域名的次数是否小于预设值;
6、当所述源端在预设周期内请求dga域名的次数大于等于所述预设值时,对所述域名请求进行阻断。
7、采用构建的检测模型,根据域名请求的频域特征来判断域名请求是否为dga域名,检测效率更快,能够实现对域名请求的实时检测。根据源端在预设周期内请求dga域名的次数来决定放行或阻断本次域名请求,实现了对域名请求的同步检测和实时处置,提高了处理时效性。
8、在一种可能的设计中,所述根据源端产生的域名请求的频域特征,采用预先构建的检测模型,检测所述域名请求的目标域名是否为dga域名,包括:确定所述源端产生的所述域名请求的目标域名是否存在于放行域和阻断域中,其中,所述放行域中缓存有正常域名,所述阻断域中缓存有dga域名;当所述放行域中存在所述目标域名时,对所述域名请求进行放行;当所述放行域中不存在所述目标域名,但所述阻断域中存在所述目标域名时,对所述域名请求进行阻断;当所述放行域和所述阻断域中均不存在所述目标域名时,根据所述域名请求的频域特征,采用预先构建的检测模型,检测所述域名请求的目标域名是否为dga域名。
9、在采用检测模型检测域名请求之前,设置放行域和阻断域对源端产生的域名请求先进行初筛,提高了检测域名请求的效率,并且能够避免能源浪费。
10、在一种可能的设计中,在所述确定所述源端在预设周期内请求dga域名的次数是否小于预设值之后,还包括:将所述域名请求上报至研判中心,通过研判中心判定所述域名请求的目标域名是否为dga域名;当判定所述目标域名不为dga域名时,将所述目标域名添加至所述放行域中;当判定所述目标域名为dga域名时,将所述目标域名添加至所述阻断域中。
11、通过研判中心再对检测模型检测出的疑似dga域名进行判定,在确保快速检测域名请求的同时,提高检测域名请求的准确性。且将检测出的dga域名添加至阻断域中,可以在下次的域名请求中更快的检测出该dga域名,提高检测效率。
12、在一种可能的设计中,在所述根据源端产生的域名请求的频域特征,采用预先构建的检测模型,检测所述域名请求的目标域名是否为dga域名之前,还包括:获取域名样本集,其中,所述域名样本集由包含多个dga域名的正样本集和包含多个正常域名的负样本集组成;提取各个样本的目标字符串,将各个目标字符串转换为数值序列;对各个数值序列做频域变换,得到各个频域特征;采用所述各个频域特征进行模型训练,得到所述检测模型。
13、在一种可能的设计中,所述对各个数值序列做频域变换,得到各个频域特征,包括:采用快速傅里叶变换fft算法,对各个数值序列做变换,得到各个复数序列;分别提取各个复数序列的幅度序列和相位序列,根据各个幅度序列和各个相位序列,得到各个复数序列各自对应的fft变换特征序列;将各个fft变换特征序列作为所述各个频域特征。
14、第二方面,本申请提供了一种检测及处置域名请求的装置,所述装置包括:
15、检测模块,根据源端产生的域名请求的频域特征,采用预先构建的检测模型,检测所述域名请求的目标域名是否为dga域名;
16、放行模块,若所述目标域名不为dga域名,则对所述域名请求进行放行;
17、确定模块,若所述目标域名为dga域名,则确定所述源端在预设周期内请求dga域名的次数是否小于预设值;
18、阻断模块,当所述源端在预设周期内请求dga域名的次数大于等于所述预设值时,对所述域名请求进行阻断。
19、在一种可能的设计中,所述检测模块,具体用于:确定所述源端产生的所述域名请求的目标域名是否存在于放行域和阻断域中,其中,所述放行域中缓存有正常域名,所述阻断域中缓存有dga域名;当所述放行域中存在所述目标域名时,对所述域名请求进行放行;当所述放行域中不存在所述目标域名,但所述阻断域中存在所述目标域名时,对所述域名请求进行阻断;当所述放行域和所述阻断域中均不存在所述目标域名时,根据所述域名请求的频域特征,采用预先构建的检测模型,检测所述域名请求的目标域名是否为dga域名。
20、在一种可能的设计中,所述装置还用于:将所述域名请求上报至研判中心,通过研判中心判定所述域名请求的目标域名是否为dga域名;当判定所述目标域名不为dga域名时,将所述目标域名添加至所述放行域中;当判定所述目标域名为dga域名时,将所述目标域名添加至所述阻断域中。
21、在一种可能的设计中,所述装置还用于:获取域名样本集,其中,所述域名样本集由包含多个dga域名的正样本集和包含多个正常域名的负样本集组成;提取各个样本的目标字符串,将各个目标字符串转换为数值序列;对各个数值序列做频域变换,得到各个频域特征;采用所述各个频域特征进行模型训练,得到所述检测模型。
22、在一种可能的设计中,所述装置还用于:采用快速傅里叶变换fft算法,对各个数值序列做变换,得到各个复数序列;分别提取各个复数序列的幅度序列和相位序列,根据各个幅度序列和各个相位序列,得到各个复数序列各自对应的fft变换特征序列;将各个fft变换特征序列作为所述各本文档来自技高网...
【技术保护点】
1.一种检测及处置域名请求的方法,其特征在于,所述方法包括:
2.如权利要求1所述的方法,其特征在于,所述根据源端产生的域名请求的频域特征,采用预先构建的检测模型,检测所述域名请求的目标域名是否为DGA域名,包括:
3.如权利要求1所述的方法,其特征在于,在所述确定所述源端在预设周期内请求DGA域名的次数是否小于预设值之后,还包括:
4.如权利要求1所述的方法,其特征在于,在所述根据源端产生的域名请求的频域特征,采用预先构建的检测模型,检测所述域名请求的目标域名是否为DGA域名之前,还包括:
5.如权利要求4所述的方法,其特征在于,所述对各个数值序列做频域变换,得到各个频域特征,包括:
6.一种检测及处置域名请求的装置,其特征在于,所述装置包括:
7.如权利要求6所述的装置,其特征在于,所述检测模块,具体用于:
8.如权利要求6所述的装置,其特征在于,所述装置还用于:
9.一种电子设备,其特征在于,包括:
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存
...【技术特征摘要】
1.一种检测及处置域名请求的方法,其特征在于,所述方法包括:
2.如权利要求1所述的方法,其特征在于,所述根据源端产生的域名请求的频域特征,采用预先构建的检测模型,检测所述域名请求的目标域名是否为dga域名,包括:
3.如权利要求1所述的方法,其特征在于,在所述确定所述源端在预设周期内请求dga域名的次数是否小于预设值之后,还包括:
4.如权利要求1所述的方法,其特征在于,在所述根据源端产生的域名请求的频域特征,采用预先构建的检测模型,检测所述域名请求的目标域名是否为dga域名之前,还包括:
...【专利技术属性】
技术研发人员:郝逸航,佟欣哲,杨成,常力元,宋悦,白旭,郭俊言,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。