恶意域名分析方法及系统
文献发布时间:2023-06-19 11:14:36
技术领域
本发明属于网络安全技术领域,涉及恶意域名分析方法及系统。
背景技术
计算机技术与互联网技术的飞速发展以及信息技术应用的普及,互联网已经成为人们交流和信息共享的主要工具及重要平台。据统计,截至2017年12月,我国网民规模达7.72亿,全年共计新增网民4074万人。互联网普及率为55 .8%,较2016年底提升2 .6个百分点。我国个人互联网应用保持快速发展,各类应用用户规模均呈上升趋势。
伴随互联网迅速的发展,互联网的安全问题也随之而来,为了解决这一问题,出现了很多恶意域名的检测方法,这些方法能够起到一定的筛选作用,但检测准确度仍有待提高。
发明内容
本发明提出恶意域名分析方法及系统,解决了现有技术中恶意域名检测方法准确度低的问题。
本发明的技术方案是这样实现的:
第一方面,恶意域名分析方法,包括
获得样本集,样本集包括非恶意域名和恶意域名;
提取每个样本的特征数据,作为数据样本;
提取待测域名的特征数据,加入样本数据中进行聚类分析;
根据聚类分析结果,得到待测域名所在的簇,以待测域名为圆心,以R为半径做圆,得到N个域名,如果N个域名中非恶意域名的个数大于M,则判定待测域名为非恶意域名。
第二方面,恶意域名分析系统,包括
第一获得单元,用于获得样本集,样本集包括非恶意域名和恶意域名;
第一处理单元,用于提取每个样本的特征数据,作为数据样本;
第二处理单元,提取待测域名的特征数据,加入样本数据中进行聚类分析;
第一判断单元,用于根据聚类分析结果,得到待测域名所在的簇,以待测域名为圆心,以R为半径做圆,得到N个域名,如果N个域名中非恶意域名的个数大于M,则判定待测域名为非恶意域名。
第三方面,恶意域名分析系统,包括
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序实现如权利要求1-4任一项所述的恶意域名分析方法的步骤。
第四方面,一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1-4任一项所述的恶意域名分析方法的步骤。
本发明的工作原理及有益效果为:
恶意域名会有相似的行为特征,通过对各样本的特征数据的提取、并进行聚类分析,特征相近的域名最后会聚在一起。因此,通过对待测域名附近恶意域名个数和非恶意域名个数的统计,可以确定待测域名是否为恶意域名,例如,在待测域名附近的100个域名中,有90个以上都是非恶意域名,则可以判定待测域名为非恶意域名。传统的聚类方法是将多个域名分为两个簇,一个是非恶意域名,一个是恶意域名,这样位于簇边缘的质点会有分歧,造成分类不准确,采用本发明的方法,能够避免这一问题,得到准确的恶意域名检测结果。
附图说明
下面结合附图和具体实施方式对本发明作进一步详细的说明。
图1为本发明恶意域名分析方法流程图;
图2为本发明恶意域名分析系统结构示意图;
图3为本发明恶意域名分析系统又一实施例结构示意图;
图中:300-总线,301-接收器,302-处理器,303-发送器,304-存储器,306-总线接口。
具体实施方式
下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本实施例提出了恶意域名分析方法,包括
获得样本集,样本集包括非恶意域名和恶意域名;
提取每个样本的特征数据,作为数据样本;
提取待测域名的特征数据,加入样本数据中进行聚类分析;
根据聚类分析结果,得到待测域名所在的簇,以待测域名为圆心,以R为半径做圆,得到N个域名,如果N个域名中非恶意域名的个数大于M,则判定待测域名为非恶意域名。
恶意域名会有相似的行为特征,通过对各样本的特征数据的提取、并进行聚类分析,特征相近的域名最后会聚在一起。因此,通过对待测域名附近恶意域名个数和非恶意域名个数的统计,可以确定待测域名是否为恶意域名,为保证检测结果的准确性,这里N≥100,M=N*90%,例如,在待测域名附近的100个域名中,有90个以上都是非恶意域名,则可以判定待测域名为非恶意域名。传统的聚类方法是将多个域名分为两个簇,一个是非恶意域名,一个是恶意域名,这样位于簇边缘的质点会有分歧,造成分类不准确,采用本实施例的方法,能够避免这一问题,得到准确的恶意域名检测结果。
进一步,还包括
如果N个域名中非恶意域名的个数在M个以内,则判定为恶意域名。
进一步,还包括
保存恶意域名检测报告、并进行显示,向用户提供用于人工审核的控件;
接收用户通过所述控件发出的审核结果;
如果审核结果表明该域名为非恶意域名,则将该域名加入样本集中,并标注为非恶意域名。
为避免将非恶意域名错判为恶意域名,本实施例中将恶意域名检测报告显示给用户,由用户再进行一次人工审核,当确定为非恶意域名时,将该域名加入白名单,且允许访问。
进一步,每个样本的特征数据包括内部特征和外部特征,内部特征包括域名是否随机生成、每日请求次数和平均TTL值,外部特征包括IP地址所属的ASN的数量、注册国家。
本实施例通过将内部特征和外部特征相结合,能够客观反映域名的特征,有利于提高恶意域名检测的准确性。
如图2所示,为恶意域名分析系统的一个实施例结构示意图,包括
第一获得单元,用于获得样本集,样本集包括非恶意域名和恶意域名;
第一处理单元,用于提取每个样本的特征数据,作为数据样本;
第二处理单元,提取待测域名的特征数据,加入样本数据中进行聚类分析;
第一判断单元,用于根据聚类分析结果,得到待测域名所在的簇,以待测域名为圆心,以R为半径做圆,得到N个域名,如果N个域名中非恶意域名的个数大于M,则判定待测域名为非恶意域名。
进一步,还包括
第二判断单元,如果N个域名中非恶意域名的个数在M个以内,则判定为恶意域名。
进一步,还包括
第一输出单元,用于保存恶意域名检测报告、并进行显示,向用户提供用于人工审核的控件;
第一接收单元,用于接收用户通过所述控件发出的审核结果;
第三处理单元,如果审核结果表明该域名为非恶意域名,则将该域名加入样本集中,并标注为非恶意域名。
恶意域名分析系统的工作过程在方法实施例中已有详细的阐述,这里不再赘述。
如图3所示,为恶意域名分析系统的又一实施例结构示意图,包括
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序实现如权利要求1-4任一项所述的恶意域名分析方法的步骤。
其中,在图3中,总线架构(用总线300来代表),总线300可以包括任意数量的互联的总线和桥,总线300将包括由处理器302代表的一个或多个处理器和存储器304代表的存储器的各种电路链接在一起。总线300还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口306在总线300和接收器301和发送器303之间提供接口。接收器301和发送器303可以是同一个元件,即收发机,提供用于在传输介质上与各种其他装置通信的单元。处理器302负责管理总线300和通常的处理,而存储器304可以被用于存储处理器302在执行操作时所使用的数据。
以上仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
- 恶意域名分析方法及系统
- 一种利用域名共现关系的恶意域名检测方法及系统