CN106713312A - 检测非法域名的方法及装置 - Google Patents
检测非法域名的方法及装置 Download PDFInfo
- Publication number
- CN106713312A CN106713312A CN201611195849.4A CN201611195849A CN106713312A CN 106713312 A CN106713312 A CN 106713312A CN 201611195849 A CN201611195849 A CN 201611195849A CN 106713312 A CN106713312 A CN 106713312A
- Authority
- CN
- China
- Prior art keywords
- domain name
- randomness
- characteristic value
- illegal
- degree
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种检测非法域名的方法,该方法流程包括:获取待检测的域名,对所述域名中的字符组成进行分析以获取域名的特征值,根据所述特征值获取所述域名的随机度;若所述域名的随机度大于预设阈值,则判定所述域名为非法域名。本发明还提出一种检测非法域名的装置。本发明解决了现有的僵尸网络监测技术中无法检测新出现的非法域名的技术问题,提高检测非法域名的准确率。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种检测非法域名的方法及装置。
背景技术
僵尸网络病毒是当前重要的病毒种类之一,僵尸网络能够发起DDoS(DistributedDenial of Service,分布式拒绝服务)攻击、钓鱼邮件、下载和传播病毒软件等恶意行为。被僵尸网络病毒控制的主机需要和僵尸网络控制服务器进行通信,以获取新的攻击目标、下载新的病毒、获取新的攻击指令、上传文件等,被僵尸网络控制的主机称为肉机。
肉机和C&C服务器进行通信,就必须知道C&C服务器(Command and ControlServer,远程命令和控制服务器)的IP地址,早期僵尸网络病毒把C&C服务器的IP地址直接写入病毒程序中,但是直接使用IP地址通信易被应用防火墙检测。
当前大部分僵尸网络程序不使用IP地址直接通信,也不会使用固定域名进行通信,因为,如果把固定域名编码到僵尸网络病毒程序中,专业人员能通过逆向分析得到C&C服务器的域名。因此,僵尸网络而是控制服务器生成大量DGA(Domain GeneratedAlgorithm,域名生成算法)域名,选择注册其中一个或者几个域名。肉机同样发出大量DGA域名的DNS请求,其中一个或者几个服务器会返回IP地址,肉机通过DNS响应的IP地址与C&C服务器通信。肉机使用DGA域名与C&C控制服务器通信一定程度上能够躲避WAF检测和专业人员逆向分析,C&C服务器使用DGA算法生成的域名还能快速更换域名和IP,使得应用防火墙对于僵尸网络的检测变得更困难。
现有的检测僵尸网络的方式主要是,利用域名或者IP地址的黑名单进行过滤,由领域专家通过分析僵尸网络病毒获取僵尸网络控制服务器的IP地址或者域名,预先建立黑名单,应用防火墙检测到主机与相应黑名单通信时进行阻止。这种方法不仅投入人力多、成本高;并且只能够检测已有的僵尸网络病毒,无法检测新出现的僵尸网络,即无法检测到新出现的非法域名,导致非法域名的检测准确率低。
发明内容
本发明提供一种检测非法域名的方法及装置,其主要目的在于解决现有的僵尸网络监测技术中无法检测新出现的非法域名的技术问题,提高检测非法域名的准确率。
为实现上述目的,本发明提供一种检测非法域名的方法,该检测非法域名的方法包括:
获取待检测的域名,对所述域名中的字符组成进行分析以获取域名的特征值,根据所述特征值获取所述域名的随机度;
若所述域名的随机度大于预设阈值,则判定所述域名为非法域名。
可选地,所述获取待检测的域名,对所述域名中的字符组成进行分析以获取域名的特征值,根据所述特征值获取所述域名的随机度的步骤包括:
抓取DNS日志中的域名作为待检测的域名;
基于预先设置的随机性检测规则对所述字符组成进行分析,生成与所述随机性检测规则对应的特征值;
将生成的所述特征值作为所述域名的随机度。
可选地,当所述特征值有多个时,所述获取待检测的域名,对所述域名中的字符组成进行分析以获取域名的特征值,根据所述特征值获取所述域名的随机度的步骤包括:
抓取DNS日志中的域名作为待检测的域名;
基于预先设置的随机性检测规则对所述字符组成进行分析,生成与所述随机性检测规则对应的多个特征值;
根据分类模型将所述多个特征值归一化处理,得到所述随机度,其中,基于所述随机性检测规则以及所述预设阈值训练分类器生成所述分类模型,且所述分类模型中包含有分别与所述多个特征值一一对应的多个特征系数。
可选地,当所述随机性检测规则包括1维至N维转移概率矩阵时,,基于所述1维至N维转移概率矩阵生成N个特征值,且生成的所述分类模型中包含有N个特征系数;
所述根据分类模型将所述多个特征值归一化处理,得到所述随机度的步骤包括:
将所述N个特征值分别与对应的特征系数相乘,将乘积之和作为所述域名的随机度。
可选地,所述判定所述域名为非法域名的步骤之前,所述检测非法域名的方法还包括:
若所述域名的随机度大于预设阈值,则判断是否当前网络内的设备在预设周期内访问所述域名的次数大于预设次数,且所述网络内访问所述域名的设备数量大于预设数量;
若是,则判定所述域名为非法域名,并将所述域名添加至域名黑名单;
若否,则判定所述域名为合法域名。
可选地,所述判断是否当前网络内的设备在预设周期内访问所述域名的次数大于预设次数,且所述网络内访问所述域名的设备数量大于预设数量的步骤之前,所述检测非法域名的方法还包括:
若所述域名的随机度大于预设阈值,则判断所述域名是否符合预置的字符组合规则;
若不符合,则执行判断是否当前网络内的设备在预设周期内访问所述域名的次数大于预设次数,且所述网络内访问所述域名的设备数量大于预设数量的步骤;
若符合,则判定所述域名为合法域名。
可选地,所述对所述域名中的字符组成进行分析以获取域名的特征值的步骤之前,所述检测非法域名的方法包括:
在获取到待检测的域名后,检测所述域名是否存在于所述域名黑名单或者域名白名单中;
若否,则执行所述对所述域名中的字符组成进行分析以获取域名的特征值的步骤。
此外,为实现上述目的,本发明还提供一种检测非法域名的装置,该检测非法域名的装置包括:
随机度获取模块,用于获取待检测的域名,对所述域名中的字符组成进行分析以获取域名的特征值,根据所述特征值获取所述域名的随机度;
域名判断模块,用于若所述域名的随机度大于预设阈值,则判定所述域名为非法域名。
可选地,当所述特征值有多个时,所述随机度获取模块包括:
域名获取单元,用于抓取DNS日志中的域名作为待检测的域名;
特征值获取单元,用于基于预先设置的随机性检测规则对所述字符组成进行分析,生成与所述随机性检测规则对应的多个特征值;
归一化单元,用于根据分类模型将所述多个特征值归一化处理,得到所述随机度,其中,基于所述随机性检测规则以及所述预设阈值训练分类器生成所述分类模型,且所述分类模型中包含有分别与所述多个特征值一一对应的多个特征系数。
可选地,所述检测非法域名的装置还包括访问检测模块和名单管理模块;
所述访问检测模块用于:若所述域名的随机度大于预设阈值,则判断是否当前网络内的设备在预设周期内访问所述域名的次数大于预设次数,且所述网络内访问所述域名的设备数量大于预设数量;
所述域名判断模块还用于:在前网络内的设备在预设周期内访问所述域名的次数大于预设次数,且所述网络内访问所述域名的设备数量大于预设数量时,判定所述域名为非法域名,否则,判定域名为合法域名;
所述名单管理模块用于:将域名判断模块判定为非法域名的域名添加至域名黑名单。
本发明提出的检测非法域名的方法及装置,获取待检测的域名,对该域名中的字符组成进行分析以获取域名的特征值,根据获取到的特征值获取域名的随机度,在随机度大于预设阈值时,判定域名为非法域名,通过本发明的方案,不仅可以检测已有的非法域名,即使出现了新的僵尸网络并产生了新的非法域名,也可以对该域名本身的字符组成进行分析,检测出该非法域名,解决了现有的僵尸网络监测技术中无法检测新出现的非法域名的技术问题,提高了检测非法域名的准确率。
附图说明
图1为本发明检测非法域名的方法第一实施例的流程图;
图2为本发明检测非法域名的方法第一实施例中随机度获取步骤的细化流程流程图;
图3为本发明检测非法域名的方法第二实施例的流程图;
图4为本发明检测非法域名的装置第一实施例的功能模块示意图;
图5为本发明检测非法域名的装置第一实施例中随机度获取模块的细化功能模块示意图;
图6为本发明检测非法域名的装置第二实施例的功能模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明提供一种检测非法域名的方法。参照图1所示,为本发明检测非法域名的方法第一实施例的流程图。
在本实施例中,该检测非法域名的方法包括:
步骤S10,获取待检测的域名,对所述域名中的字符组成进行分析以获取域名的特征值,根据所述特征值获取所述域名的随机度。
步骤S20,若所述域名的随机度大于预设阈值,则判定所述域名为非法域名。
本发明实施例提出的检测非法域名的方法可以应用于各种网关设备,例如,交换机、路由器、防火墙设备等。以局域网为例进行说明,网关设备对应的局域网内的主机访问过的域名会记录在DNS日志中。可以每间隔预设时间间隔从新产生的DNS日志中抓取域名,对抓取到的域名进行检测,判断是否为非法域名,进而判断访问该域名的主机是否感染了僵尸病毒,其中,非法域名可以是DGA域名;或者,在其他的实施例中,也可以从其他渠道获取局域网内的主机访问的域名,将获取到的域名作为待检测的域名。
由于基于DGA生成的域名通常是随机选择若干字符组成,如bdqjkxk.cn、stxhyxvyiws.ws等;而合法域名,如bookstore.com、stackoverflow.com,为了方便用户记忆,其字符组成一般具有一定的意义或规律。因此,在本实施例中,对域名中的字符组成进行分析以获取域名的特征值,特征值为度量所述域名随机性的指标,能够反映出该域名的随机程度,域名的随机程度越高,则该域名为DGA域名的可能性就越高,由于正常的合法域名中的字符组成一般具有一定的意义或规律,故随机程度比较低。
在该实施例中,对待检测的域名中的字符组成进行分析获取到的特征值可以有一个或者多个。
一)、当获取到的特征值只有一个时,步骤S10可以包括以下细化步骤:抓取DNS日志中的域名作为待检测的域名;基于预先设置的随机性检测规则对所述字符组成进行分析,生成与所述随机性检测规则对应的特征值;将生成的所述特征值作为所述域名的随机度。
其中,上述随机性检测规则可以是任何能够反映域名的随机程度的计算规则,例如一元语言模型、信息熵等。可以根据一元语言模型计算该域名的特征值,假设该域名中包含有m个字符,则分别获取每个字符出现的概率,将获取到的m个概率值相乘后得到的值,再开m次方,则得到该域名基于一元语言模型的特征值,其中,各个字符在域名中出现的概率可以通过对合法域名的数据集进行学习得到,所有可能出现在域名中的字符的概率值之和为1。特征值越低,该域名的随机程度越高,则该域名为非法域名的可能性越高。或者,计算该域名的信息熵,将信息熵作为该域名的特征值,信息熵反映该域名的不确定程度,信息熵的值越大,则该域名的不确定程度越高,该域名为非法域名的可能性也越高。
在该实施方式中,可以将计算得到的特征值作为域名的随机度,并且,可以预先设置一个阈值作为判断基准,即预设阈值,当计算得到的特征值小于该预设阈值,则认为该域名为非法域名,否则,判定域名为合法域名。
二)、作为另一种实施方式,在获取到的特征值有多个时,根据获取到的多个特征值获取域名的随机度。预先设置随机性检测规则,根据该随机性检测规则可以得到域名的多个特征值。以下列举两种随机性检测规则进行说明。
1)、随机性检测规则包括1维至N维转移概率矩阵,N≥2,即该随机性检测规则中一共包含有从1维到N维多个转移概率矩阵,其中,N维转移概率矩阵对应于多元语言模型,一般二元语言模型被称作一阶马尔科夫链,对应于二维转移概率矩阵;三元语言模型称作二阶马尔科夫链,对应于三维转移概率矩阵;四元语言模型称作三阶马尔科夫链,对应于四维转移概率矩阵,以此类推。
下面以域名的字符串由a至z这26个英文字母中的多个字母构成为例,说明多维转移概率矩阵中概率值的构成,该多维转移概率矩阵的第一维度反映a至z这26个英文字母分别出现在字符串中的概率值,共有26个概率值,其和为1;第二维度反映当上一个字符分别为a至z时,与其相邻的下一个字符分别为a至z的概率值,共有676个概率值,其和为1;第三维度反映当相邻的两个字符分别为aa至zz(aa、ab、ac……ba、bb、bc……za、zb、zc……zz)时,与其相邻的下一个字符分别为a至z的概率值,共有17567个概率值,其和为1;以此类推。转移概率矩阵的维度越高,最终对于域名的随机程度的判断的准确性越高,而且,需要的计算量也越大。在本实施例中,优选地,将随机性检测规则设置为1维至4维转移概率矩阵。
需要说明的是,随机性检测规则包括1维至N维转移概率矩阵时,需要分别计算该域名从1维到N维转移概率矩阵对应的特征值,也就是说,得到的域名的特征值有N个,其中,1维转移概率矩阵对应的特征值也就是根据一元语言模型计算得到的特征值。此外,多维转移概率矩阵中的概率值可以通过对常用的单词、英文名、地名、拼音、缩写以及合法的域名构成的数据集进行学习得到。
以下以域名的字符串由a至z这26个英文字母中的多个字母构成为例,说明该域名在N维转移概率矩阵的第二维度上的特征值。
第1行:域名的字符串中上一个字符为a时,与其相邻的下一个字符为分别为a-z的概率值,共有26个概率值。
第2行:域名的字符串中上一个字符为b时,与其相邻的下一个字符为分别为a-z的概率值,共有26个概率值。
以此类推,第26行:域名的字符串中上一个字符为z时,与其相邻的下一个字符为别为a-z的概率值,共有26个概率值。
以google.com为例说明计算域名在N维转移概率矩阵的第二维度上的特征值的方式,分别从上述二维转移概率矩阵中获取与g相邻的下一个字符为o的概率、与o相邻的下一个字符为o的概率、与o相邻的下一个字符为g的概率、与g相邻的下一个字符为l的概率、与l相邻的下一个字符为e的概率,将获取到的上述5个概率值相乘后开5次方,得到的数值即为该域名在N维转移概率矩阵的第二维度上的特征值。从上述过程可以看出,在计算特征值时,从转移概率矩阵中获取到的概率个数以及开方的次数均等于域名中的字符的数量。
可以理解的是,上述概率值以及字母均为举例说明,在实际应用中,构成域名的字符不限于上述26个英文字母,还可以是其他的字符或者英文字母与其他类型字符的组合等,例如数字。
2)、随机性检测规则包括如下计算规则:计算所述域名的信息熵、所述域名中的字母占比、所述域名中的数字占比;根据上述计算规则获取域名的信息熵、字母占比以及数字占比,将信息熵、字母占比以及数字占比作为所述域名的特征值,在其他的实施例中,可以添加更多的字符组合概率值的计算规则,例如,计算元音占比、计算辅音占比等等。
在该实施方式中,将计算得到的特征值本身作为随机度,并根据预先为每一个随机度设置的预设阈值,判断域名的多个特征值中是否均大于预设阈值,若是,则判定域名为非法域名。
进一步地,在特征值有多个时,为了更加准确地判断域名是否为非法域名,采用归一化算法将多个特征值归一化为一个值,将该值作为域名的随机度。例如,采用加权算法,或者,采用分类器的分类模型将多个特征值归一化处理等。
以下以分类器为例,参照图2所示,步骤S10可以包括以下细化步骤:
步骤S11,抓取DNS日志中的域名作为待检测的域名;
步骤S12,基于预先设置的随机性检测规则对所述字符组成进行分析,生成与所述随机性检测规则对应的多个特征值;
步骤S13,根据分类模型将所述多个特征值归一化处理,得到所述随机度,其中,基于所述随机性检测规则以及所述预设阈值训练分类器生成所述分类模型,且所述分类模型中包含有分别与所述多个特征值一一对应的多个特征系数。
将已知的非法域名作为正样本、已知的合法域名作为负样本,根据所述随机性检测规则分别提取所述正样本和负样本的特征值,基于所述正样本和负样本的特征值,以及预设阈值训练分类器并生成特征系数,所述特征系数构成所述分类模型,且分类模型中的特征系数的个数与根据随机性检测规则得到的特征值的个数相等。在得到多个特征值之后,根据该分类器的分类模型将多个特征值归一化处理,得到域名的随机度,根据随机度判断域名是否为非法域名,训练分类器生成的分类模型中的特征系数与预设阈值是匹配的。
当所述随机性检测规则包括1维至N维转移概率矩阵时,基于所述1维至N维转移概率矩阵生成N个特征值,且生成的所述分类模型中包含有N个特征系数;所述步骤S13包括:将所述N个特征值分别与对应的特征系数相乘,将乘积之和作为所述域名的随机度。
以四维转移概率矩阵为例,根据四维转移概率矩阵计算域名的特征值,会得到四个特征值,分别为P1、P2、P3、P4,为分类器设置四个特征系数,分别为A1、A2、A3、A4,根据以下公式计算域名的随机度E:
E=P1×A1+P2×A2+P3×A3+P3×A3
根据四维转移概率矩阵分别对正样本和负样本进行特征提取,并将作为判断基准的预设阈值设置为0,以“E>0为非法域名、E≤0为合法域名”以及提取到的正、负样本的特征值来训练分类器,得到A1、A2、A3、A4的值,将得到的四个特征系数的值构成分类模型。
进一步地,作为一种实施方式,在判定域名为非法域名后,将该域名添加至预先建立的域名黑名单中,并对局域网内的主机对域名黑名单中域名的访问作拦截处理;若域名的随机度小于或者大于预设阈值,则判定域名为合法域名。
进一步地,作为一种实施方式,预先建立域名黑名单和域名白名单,将已知的非法域名添加至域名黑名单,将已知的合法域名添加至域名白名单,在获取到待检测的域名后,先检测所述域名是否存在于所述域名黑名单或者域名白名单中,以初步判断域名是否合法,当待检测的域名均既不在域名黑名单中,也不在域名白名单中时,执行步骤S10,若域名在域名白名单中,则判定其为合法域名,不作拦截处理,若域名在域名黑名单中,则判定域名为非法域名,拦截主机对于该域名的访问。
进一步地,可以定期地根据域名白名单的更新对多维转移概率矩阵中的概率值进行更新;或者,根据更新的域名白名单和域名黑名单对分类器进行训练,以更新分类模型,以进一步提高检测非法域名的准确率。
本实施例提出的检测非法域名的方法,获取待检测的域名,对该域名中的字符组成进行分析以获取域名的特征值,根据获取到的特征值获取域名的随机度,在随机度大于预设阈值时,判定域名为非法域名,通过本发明的方案,不仅可以检测已有的非法域名,即使出现了新的僵尸网络并产生了新的非法域名,也可以对该域名本身的字符组成进行分析,检测出该非法域名,解决了现有的僵尸网络监测技术中无法检测新出现的非法域名的技术问题,提高了检测非法域名的准确率。
基于第一实施例提出本发明检测非法域名的方法的第二实施例。参照图3所示,在本实施例中,在步骤S20之前,该检测非法域名的方法还包括:
若所述域名的随机度大于预设阈值,则判断是否当前网络内的设备在预设周期内访问所述域名的次数大于预设次数,且所述网络内访问所述域名的设备数量大于预设数量;
步骤S20,若是,则判定所述域名为非法域名;
步骤S40,将所述域名添加至域名黑名单;
步骤S50,若否,则判定所述域名为合法域名。
在该实施例中,为了减少对非法域名的误判,进一步提高非法域名判断的准确率,在检测到域名的随机度大于预设阈值后,根据局域网内的主机对于该域名的访问情况进一步判断域名是否为非法域名,例如,当局域网内单台主机在一定的时间间隔内访问该域名的次数超过了预设次数;该局域网内的访问该域名的主机数量超过了预设数量,当出现了上述两种情况中的任意一种,则判定该域名为非法域名。此外,在判定局域网内的访问该域名的主机数量超过了预设数量时,还可以判断这些访问上述域名主机是否都有DNS请求返回,若有,在判定域名为非法域名的同时,判定返回的IP地址为僵尸网络控制服务器的IP,将返回的IP添加至预先建立的IP黑名单中,后续可以对局域网中的主机对该IP地址的访问作拦截处理。
进一步地,作为一种实施方式,为了更进一步地减少对非法域名的误判,在步骤S30之前,该方法还包括:
若所述域名的随机度大于预设阈值,则判断所述域名是否符合预置的字符组合规则;
若不符合,则执行判断是否当前网络内的设备在预设周期内访问所述域名的次数大于预设次数,且所述网络内访问所述域名的设备数量大于预设数量的步骤;
若符合,则判定所述域名为合法域名。
由于域名可能有多种不同类型的字符组合而成,例如由不同语言的字母、数字等组合而成,但是不同语言的字母、数字之间的转移概率较低,因此,在该实施方式中,为了减少对非法域名的误判,在检测到域名的随机度大于预设阈值后,检测域名是否符合预置的字符组合规则,例如,字符组合规则可以包括:域名由常见的单词、拼音、数字等组合而成。在检测到域名符合预置的字符组合规则时,判定域名为合法域名,否则,判定域名为非法域名,或者,进一步地执行步骤S30,根据局域网内主机对于该域名的访问判断域名是否为非法域名。
本发明还提出一种检测非法域名的装置。
参照图4所示,为本发明检测非法域名的装置第一实施例的功能模块示意图。
在该实施例中,该检测非法域名的装置包括:
随机度获取模块10,用于获取待检测的域名,对所述域名中的字符组成进行分析以获取域名的特征值,根据所述特征值获取所述域名的随机度;
域名判断模块20,用于若所述域名的随机度大于预设阈值,则判定所述域名为非法域名。
本发明实施例提出的检测非法域名的装置可以应用于各种网关设备,例如,交换机、路由器、防火墙设备等。以局域网为例进行说明,网关设备对应的局域网内的主机访问过的域名会记录在DNS日志中。可以每间隔预设时间间隔从新产生的DNS日志中抓取域名,对抓取到的域名进行检测,判断是否为非法域名,进而判断访问该域名的主机是否感染了僵尸病毒,其中,非法域名可以是DGA域名;或者,在其他的实施例中,也可以从其他渠道获取局域网内的主机访问的域名,将获取到的域名作为待检测的域名。
由于基于DGA生成的域名通常是随机选择若干字符组成,如bdqjkxk.cn、stxhyxvyiws.ws等;而合法域名,如bookstore.com、stackoverflow.com,为了方便用户记忆,其字符组成一般具有一定的意义或规律。因此,在本实施例中,对域名中的字符组成进行分析以获取域名的特征值,特征值为度量所述域名随机性的指标,能够反映出该域名的随机程度,域名的随机程度越高,则该域名为DGA域名的可能性就越高,由于正常的合法域名中的字符组成一般具有一定的意义或规律,故随机程度比较低。
在该实施例中,对待检测的域名中的字符组成进行分析获取到的特征值可以有一个或者多个。
一)、当获取到的特征值只有一个时,随机度获取模块10还用于:抓取DNS日志中的域名作为待检测的域名;基于预先设置的随机性检测规则对所述字符组成进行分析,生成与所述随机性检测规则对应的特征值;将生成的所述特征值作为所述域名的随机度。
其中,上述随机性检测规则可以是任何能够反映域名的随机程度的计算规则,例如一元语言模型、信息熵等。可以根据一元语言模型计算该域名的特征值,假设该域名中包含有m个字符,则分别获取每个字符出现的概率,将获取到的m个概率值相乘后得到的值,再开m次方,则得到该域名基于一元语言模型的特征值,其中,各个字符在域名中出现的概率可以通过对合法域名的数据集进行学习得到,所有可能出现在域名中的字符的概率值之和为1。特征值越低,该域名的随机程度越高,则该域名为非法域名的可能性越高。或者,计算该域名的信息熵,将信息熵作为该域名的特征值,信息熵反映该域名的不确定程度,信息熵的值越大,则该域名的不确定程度越高,该域名为非法域名的可能性也越高。
在该实施方式中,可以将计算得到的特征值作为域名的随机度,并且,可以预先设置一个阈值作为判断基准,即预设阈值,当计算得到的特征值小于该预设阈值,则认为该域名为非法域名,否则,判定域名为合法域名。
二)、作为另一种实施方式,在获取到的特征值有多个时,根据获取到的多个特征值获取域名的随机度。预先设置随机性检测规则,根据该随机性检测规则可以得到域名的多个特征值。以下列举两种随机性检测规则进行说明。
1)、随机性检测规则包括1维至N维转移概率矩阵,N≥2,即该随机性检测规则中一共包含有从1维到N维多个转移概率矩阵,其中,N维转移概率矩阵对应于多元语言模型,一般二元语言模型被称作一阶马尔科夫链,对应于二维转移概率矩阵;三元语言模型称作二阶马尔科夫链,对应于三维转移概率矩阵;四元语言模型称作三阶马尔科夫链,对应于四维转移概率矩阵,以此类推。
下面以域名的字符串由a至z这26个英文字母中的多个字母构成为例,说明多维转移概率矩阵中概率值的构成,该多维转移概率矩阵的第一维度反映a至z这26个英文字母分别出现在字符串中的概率值,共有26个概率值,其和为1;第二维度反映当上一个字符分别为a至z时,与其相邻的下一个字符分别为a至z的概率值,共有676个概率值,其和为1;第三维度反映当相邻的两个字符分别为aa至zz(aa、ab、ac……ba、bb、bc……za、zb、zc……zz)时,与其相邻的下一个字符分别为a至z的概率值,共有17567个概率值,其和为1;以此类推。转移概率矩阵的维度越高,最终对于域名的随机程度的判断的准确性越高,而且,需要的计算量也越大。在本实施例中,优选地,将随机性检测规则设置为1维至4维转移概率矩阵。
需要说明的是,随机性检测规则包括1维至N维转移概率矩阵时,需要分别计算该域名从1维到N维转移概率矩阵对应的特征值,也就是说,得到的域名的特征值有N个,其中1维转移概率矩阵对应的特征值也就是根据一元语言模型计算得到的特征值。此外,多维转移概率矩阵中的概率值可以通过对常用的单词、英文名、地名、拼音、缩写以及合法的域名构成的数据集进行学习得到。
以下以域名的字符串由a至z这26个英文字母中的多个字母构成为例,说明该域名在N维转移概率矩阵的第二维度上的特征值。
第1行:域名的字符串中上一个字符为a时,与其相邻的下一个字符为分别为a-z的概率值,共有26个概率值。
第2行:域名的字符串中上一个字符为b时,与其相邻的下一个字符为分别为a-z的概率值,共有26个概率值。
以此类推,第26行:域名的字符串中上一个字符为z时,与其相邻的下一个字符为别为a-z的概率值,共有26个概率值。
以google.com为例说明计算域名在N维转移概率矩阵的第二维度上的特征值的方式,分别从上述二维转移概率矩阵中获取与g相邻的下一个字符为o的概率、与o相邻的下一个字符为o的概率、与o相邻的下一个字符为g的概率、与g相邻的下一个字符为l的概率、与l相邻的下一个字符为e的概率,将获取到的上述5个概率值相乘后开5次方,得到的数值即为该域名在N维转移概率矩阵的第二维度上的特征值。从上述过程可以看出,在计算特征值时,从转移概率矩阵中获取到的概率个数以及开方的次数均等于域名中的字符的数量。
可以理解的是,上述概率值以及字母均为举例说明,在实际应用中,构成域名的字符不限于上述26个英文字母,还可以是其他的字符或者英文字母与其他类型字符的组合等,例如数字。
2)、随机性检测规则包括如下计算规则:计算所述域名的信息熵、所述域名中的字母占比、所述域名中的数字占比;根据上述计算规则获取域名的信息熵、字母占比以及数字占比,将信息熵、字母占比以及数字占比作为所述域名的特征值,在其他的实施例中,可以添加更多的字符组合概率值的计算规则,例如,计算元音占比、计算辅音占比等等。
在该实施方式中,随机度获取模块10还用于将计算得到的特征值本身作为随机度,域名判断模块20由于根据预先为每一个随机度设置的预设阈值,判断域名的多个特征值中是否均大于预设阈值,若是,则判定域名为非法域名。
进一步地,在特征值有多个时,为了更加准确地判断域名是否为非法域名,采用归一化算法将多个特征值归一化为一个值,将该值作为域名的随机度。例如,采用加权算法,或者,采用分类器的分类模型将多个特征值归一化处理等。
以下以分类器为例,参照图5所示,随机度获取模块10包括以下单元:
域名获取单元11,用于抓取DNS日志中的域名作为待检测的域名;
特征值获取单元12,用于基于预先设置的随机性检测规则对所述字符组成进行分析,生成与所述随机性检测规则对应的多个特征值;
归一化单元13,用于根据分类模型将所述多个特征值归一化处理,得到所述随机度,其中,基于所述随机性检测规则以及所述预设阈值训练分类器生成所述分类模型,且所述分类模型中包含有分别与所述多个特征值一一对应的多个特征系数。
将已知的非法域名作为正样本、已知的合法域名作为负样本,根据所述随机性检测规则分别提取所述正样本和负样本的特征值,基于所述正样本和负样本的特征值,以及预设阈值训练分类器并生成特征系数,所述特征系数构成所述分类模型,且分类模型中的特征系数的个数与根据随机性检测规则得到的特征值的个数相等。在得到多个特征值之后,根据该分类器的分类模型将多个特征值归一化处理,得到域名的随机度,根据随机度判断域名是否为非法域名,训练分类器生成的分类模型中的特征系数与预设阈值是匹配的。
当所述随机性检测规则包括1维至N维转移概率矩阵时,基于所述1维至N维转移概率矩阵生成N个特征值,且生成的所述分类模型中包含有N个特征系数;归一化单元13还用于:将所述N个特征值分别与对应的特征系数相乘,将乘积之和作为所述域名的随机度。
以四维转移概率矩阵为例,根据四维转移概率矩阵计算域名的特征值,会得到四个特征值,分别为P1、P2、P3、P4,为分类器设置四个特征系数,分别为A1、A2、A3、A4,根据以下公式计算域名的随机度E:
E=P1×A1+P2×A2+P3×A3+P3×A3
根据四维转移概率矩阵分别对正样本和负样本进行特征提取,并将作为判断基准的预设阈值设置为0,以“E>0为非法域名、E≤0为合法域名”以及提取到的正、负样本的特征值来训练分类器,得到A1、A2、A3、A4的值,将得到的四个特征系数的值构成分类模型。
进一步地,作为一种实施方式,该装置在判定域名为非法域名后,将该域名添加至预先建立的域名黑名单中,并对局域网内的主机对域名黑名单中域名的访问作拦截处理;若域名的随机度小于或者大于预设阈值,则判定域名为合法域名。
进一步地,作为一种实施方式,预先建立域名黑名单和域名白名单,将已知的非法域名添加至域名黑名单,将已知的合法域名添加至域名白名单,该装置还包括名单过滤模块,用于在获取到待检测的域名后,检测所述域名是否存在于所述域名黑名单或者域名白名单中,以初步判断域名是否合法,当待检测的域名均既不在域名黑名单中,也不在域名白名单中时,随机度获取模块10对所述域名中的字符组成进行分析以获取域名的特征值,根据所述特征值获取所述域名的随机度,若域名在域名白名单中,则域名判断模块20判定其为合法域名,不作拦截处理,若域名在域名黑名单中,则域名判断模块20判定域名为非法域名,拦截主机对于该域名的访问。
进一步地,可以定期地根据更新的域名白名单对多维转移概率矩阵中的概率值进行更新;或者,根据更新的域名白名单和域名黑名单对分类器进行训练,以更新分类模型,以进一步提高检测非法域名的准确率。
本实施例提出的检测非法域名的装置,获取待检测的域名,对该域名中的字符组成进行分析以获取域名的特征值,根据获取到的特征值获取域名的随机度,在随机度大于预设阈值时,判定域名为非法域名,通过本发明的方案,不仅可以检测已有的非法域名,即使出现了新的僵尸网络并产生了新的非法域名,也可以对该域名本身的字符组成进行分析,检测出该非法域名,解决了现有的僵尸网络监测技术中无法检测新出现的非法域名的技术问题,提高了检测非法域名的准确率。
基于第一实施例提出本发明检测非法域名的装置的第二实施例。参照图6所示,在本实施例中,该检测非法域名的装置还包括访问检测模块30和名单管理模块40,其中,
访问检测模块30用于:若所述域名的随机度大于预设阈值,则判断是否当前网络内的设备在预设周期内访问所述域名的次数大于预设次数,且所述网络内访问所述域名的设备数量大于预设数量;
域名判断模块20还用于:在前网络内的设备在预设周期内访问所述域名的次数大于预设次数,且所述网络内访问所述域名的设备数量大于预设数量时,判定所述域名为非法域名,否则,判定域名为合法域名;
名单管理模块40用于:将域名判断模块20判定为非法域名的域名添加至域名黑名单。
在该实施例中,为了减少对非法域名的误判,进一步提高非法域名判断的准确率,在检测到域名的随机度大于预设阈值后,根据局域网内的主机对于该域名的访问情况进一步判断域名是否为非法域名,例如,当局域网内单台主机在一定的时间间隔内访问该域名的次数超过了预设次数;该局域网内的访问该域名的主机数量超过了预设数量,当出现了上述两种情况中的任意一种,则判定该域名为非法域名。此外,在判定局域网内的访问该域名的主机数量超过了预设数量时,还可以判断这些访问上述域名主机是否都有DNS请求返回,若有,在判定域名为非法域名的同时,判定返回的IP地址为僵尸网络控制服务器的IP,将返回的IP添加至预先建立的IP黑名单中,后续可以对局域网中的主机对该IP地址的访问作拦截处理。
进一步地,作为一种实施方式,为了更进一步地减少对非法域名的误判,该装置还包括:
规则判断模块,用于若所述域名的随机度大于预设阈值,则判断所述域名是否符合预置的字符组合规则;
访问检测模块30还用于:若不符合,则判断是否当前网络内的设备在预设周期内访问所述域名的次数大于预设次数,且所述网络内访问所述域名的设备数量大于预设数量;
域名判断模块20还用于:在判定域名符合预置的字符组合规则时,判定域名为合法域名。
由于域名可能有多种不同类型的字符组合而成,例如由不同语言的字母、数字等组合而成,但是不同语言的字母、数字之间的转移概率较低,因此,在该实施方式中,为了减少对非法域名的误判,在检测到域名的随机度大于预设阈值后,检测域名是否符合预置的字符组合规则,例如,字符组合规则可以包括:域名由常见的单词、拼音、数字等组合而成。在检测到域名符合预置的字符组合规则时,判定域名为合法域名,否则,判定域名为非法域名,或者,进一步由访问检测模块30根据局域网内主机对于该域名的访问判断域名是否为非法域名。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种检测非法域名的方法,其特征在于,所述检测非法域名的方法包括:
获取待检测的域名,对所述域名中的字符组成进行分析以获取域名的特征值,根据所述特征值获取所述域名的随机度;
若所述域名的随机度大于预设阈值,则判定所述域名为非法域名。
2.根据权利要求1所述的检测非法域名的方法,其特征在于,所述获取待检测的域名,对所述域名中的字符组成进行分析以获取域名的特征值,根据所述特征值获取所述域名的随机度的步骤包括:
抓取域名系统DNS日志中的域名作为待检测的域名;
基于预先设置的随机性检测规则对所述字符组成进行分析,生成与所述随机性检测规则对应的特征值;
将生成的所述特征值作为所述域名的随机度。
3.根据权利要求1所述的检测非法域名的方法,其特征在于,当所述特征值有多个时,所述获取待检测的域名,对所述域名中的字符组成进行分析以获取域名的特征值,根据所述特征值获取所述域名的随机度的步骤包括:
抓取DNS日志中的域名作为待检测的域名;
基于预先设置的随机性检测规则对所述字符组成进行分析,生成与所述随机性检测规则对应的多个特征值;
根据分类模型将所述多个特征值归一化处理,得到所述随机度,其中,基于所述随机性检测规则以及所述预设阈值训练分类器生成所述分类模型,且所述分类模型中包含有分别与所述多个特征值一一对应的多个特征系数。
4.根据权利要求3所述的检测非法域名的方法,其特征在于,当所述随机性检测规则包括1维至N维转移概率矩阵时,基于所述1维至N维转移概率矩阵生成N个特征值,且生成的所述分类模型中包含有N个特征系数;
所述根据分类模型将所述多个特征值归一化处理,得到所述随机度的步骤包括:
将所述N个特征值分别与对应的特征系数相乘,将乘积之和作为所述域名的随机度。
5.根据权利要求1至4中任一项所述的检测非法域名的方法,其特征在于,所述判定所述域名为非法域名的步骤之前,所述检测非法域名的方法还包括:
若所述域名的随机度大于预设阈值,则判断是否当前网络内的设备在预设周期内访问所述域名的次数大于预设次数,且所述网络内访问所述域名的设备数量大于预设数量;
若是,则判定所述域名为非法域名,并将所述域名添加至域名黑名单;
若否,则判定所述域名为合法域名。
6.根据权利要求5所述的检测非法域名的方法,其特征在于,所述判断是否当前网络内的设备在预设周期内访问所述域名的次数大于预设次数,且所述网络内访问所述域名的设备数量大于预设数量的步骤之前,所述检测非法域名的方法还包括:
若所述域名的随机度大于预设阈值,则判断所述域名是否符合预置的字符组合规则;
若不符合,则执行判断是否当前网络内的设备在预设周期内访问所述域名的次数大于预设次数,且所述网络内访问所述域名的设备数量大于预设数量的步骤;
若符合,则判定所述域名为合法域名。
7.根据权利要求6所述的检测非法域名的方法,其特征在于,所述对所述域名中的字符组成进行分析以获取域名的特征值的步骤之前,所述检测非法域名的方法包括:
在获取到待检测的域名后,检测所述域名是否存在于所述域名黑名单或者域名白名单中;
若否,则执行所述对所述域名中的字符组成进行分析以获取域名的特征值的步骤。
8.一种检测非法域名的装置,其特征在于,所述检测非法域名的装置包括:
随机度获取模块,用于获取待检测的域名,对所述域名中的字符组成进行分析以获取域名的特征值,根据所述特征值获取所述域名的随机度;
域名判断模块,用于若所述域名的随机度大于预设阈值,则判定所述域名为非法域名。
9.根据权利要求8所述的检测非法域名的装置,其特征在于,当所述特征值有多个时,所述随机度获取模块包括:
域名获取单元,用于抓取DNS日志中的域名作为待检测的域名;
特征值获取单元,用于基于预先设置的随机性检测规则对所述字符组成进行分析,生成与所述随机性检测规则对应的多个特征值;
归一化单元,用于根据分类模型将所述多个特征值归一化处理,得到所述随机度,其中,基于所述随机性检测规则以及所述预设阈值训练分类器生成所述分类模型,且所述分类模型中包含有分别与所述多个特征值一一对应的多个特征系数。
10.根据权利要求8或9所述的检测非法域名的装置,其特征在于,所述检测非法域名的装置还包括访问检测模块和名单管理模块;
所述访问检测模块用于:若所述域名的随机度大于预设阈值,则判断是否当前网络内的设备在预设周期内访问所述域名的次数大于预设次数,且所述网络内访问所述域名的设备数量大于预设数量;
所述域名判断模块还用于:在前网络内的设备在预设周期内访问所述域名的次数大于预设次数,且所述网络内访问所述域名的设备数量大于预设数量时,判定所述域名为非法域名,否则,判定域名为合法域名;
所述名单管理模块用于:将域名判断模块判定为非法域名的域名添加至域名黑名单。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611195849.4A CN106713312A (zh) | 2016-12-21 | 2016-12-21 | 检测非法域名的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611195849.4A CN106713312A (zh) | 2016-12-21 | 2016-12-21 | 检测非法域名的方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106713312A true CN106713312A (zh) | 2017-05-24 |
Family
ID=58938746
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611195849.4A Pending CN106713312A (zh) | 2016-12-21 | 2016-12-21 | 检测非法域名的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106713312A (zh) |
Cited By (46)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107645503A (zh) * | 2017-09-20 | 2018-01-30 | 杭州安恒信息技术有限公司 | 一种基于规则的恶意域名所属dga家族的检测方法 |
| CN107682348A (zh) * | 2017-10-19 | 2018-02-09 | 杭州安恒信息技术有限公司 | 基于机器学习的dga域名快速判别方法及装置 |
| CN108337259A (zh) * | 2018-02-01 | 2018-07-27 | 南京邮电大学 | 一种基于HTTP请求Host信息的可疑网页识别方法 |
| CN108449349A (zh) * | 2018-03-23 | 2018-08-24 | 新华三大数据技术有限公司 | 防止恶意域名攻击的方法及装置 |
| CN109246074A (zh) * | 2018-07-23 | 2019-01-18 | 北京奇虎科技有限公司 | 识别可疑域名的方法、装置、服务器及可读存储介质 |
| CN109391599A (zh) * | 2017-08-10 | 2019-02-26 | 蓝盾信息安全技术股份有限公司 | 一种基于https流量特征分析的僵尸网络通讯信号的检测系统 |
| CN109391602A (zh) * | 2017-08-11 | 2019-02-26 | 北京金睛云华科技有限公司 | 一种僵尸主机检测方法 |
| CN109889616A (zh) * | 2018-05-21 | 2019-06-14 | 新华三信息安全技术有限公司 | 一种识别域名的方法及装置 |
| CN109936560A (zh) * | 2018-12-27 | 2019-06-25 | 上海银行股份有限公司 | 恶意软件防护方法及装置 |
| CN110233830A (zh) * | 2019-05-20 | 2019-09-13 | 中国银行股份有限公司 | 域名识别和域名识别模型生成方法、装置及存储介质 |
| CN110392064A (zh) * | 2019-09-04 | 2019-10-29 | 中国工商银行股份有限公司 | 风险识别方法、装置、计算设备以及计算机可读存储介质 |
| CN110401632A (zh) * | 2019-06-20 | 2019-11-01 | 国网辽宁省电力有限公司信息通信分公司 | 一种恶意域名感染主机溯源方法 |
| US10581880B2 (en) | 2016-09-19 | 2020-03-03 | Group-Ib Tds Ltd. | System and method for generating rules for attack detection feedback system |
| CN111078860A (zh) * | 2019-11-27 | 2020-04-28 | 北京小米移动软件有限公司 | 文本筛选方法、文本筛选装置及电子设备 |
| CN111181937A (zh) * | 2019-12-20 | 2020-05-19 | 北京丁牛科技有限公司 | 一种域名检测方法、装置、设备和系统 |
| US10721271B2 (en) | 2016-12-29 | 2020-07-21 | Trust Ltd. | System and method for detecting phishing web pages |
| US10721251B2 (en) | 2016-08-03 | 2020-07-21 | Group Ib, Ltd | Method and system for detecting remote access during activity on the pages of a web resource |
| US10762352B2 (en) | 2018-01-17 | 2020-09-01 | Group Ib, Ltd | Method and system for the automatic identification of fuzzy copies of video content |
| CN111654504A (zh) * | 2020-06-10 | 2020-09-11 | 北京天融信网络安全技术有限公司 | 一种dga域名检测方法及装置 |
| US10778719B2 (en) | 2016-12-29 | 2020-09-15 | Trust Ltd. | System and method for gathering information to detect phishing activity |
| CN111935097A (zh) * | 2020-07-16 | 2020-11-13 | 上海斗象信息科技有限公司 | 一种检测dga域名的方法 |
| US10958684B2 (en) | 2018-01-17 | 2021-03-23 | Group Ib, Ltd | Method and computer device for identifying malicious web resources |
| CN112771523A (zh) * | 2018-08-14 | 2021-05-07 | 北京嘀嘀无限科技发展有限公司 | 用于检测生成域的系统和方法 |
| US11005779B2 (en) | 2018-02-13 | 2021-05-11 | Trust Ltd. | Method of and server for detecting associated web resources |
| CN112929370A (zh) * | 2021-02-08 | 2021-06-08 | 丁牛信息安全科技(江苏)有限公司 | 域名系统隐蔽信道检测方法及装置 |
| CN113098989A (zh) * | 2020-01-09 | 2021-07-09 | 深信服科技股份有限公司 | 字典生成方法、域名检测方法、装置、设备及介质 |
| CN113329035A (zh) * | 2021-06-29 | 2021-08-31 | 深信服科技股份有限公司 | 一种攻击域名的检测方法、装置、电子设备及存储介质 |
| US11122061B2 (en) | 2018-01-17 | 2021-09-14 | Group IB TDS, Ltd | Method and server for determining malicious files in network traffic |
| US11153351B2 (en) | 2018-12-17 | 2021-10-19 | Trust Ltd. | Method and computing device for identifying suspicious users in message exchange systems |
| US11151581B2 (en) | 2020-03-04 | 2021-10-19 | Group-Ib Global Private Limited | System and method for brand protection based on search results |
| US11250129B2 (en) | 2019-12-05 | 2022-02-15 | Group IB TDS, Ltd | Method and system for determining affiliation of software to software families |
| CN114285627A (zh) * | 2021-12-21 | 2022-04-05 | 安天科技集团股份有限公司 | 流量检测方法及装置、电子设备和计算机可读存储介质 |
| CN114363060A (zh) * | 2021-12-31 | 2022-04-15 | 深信服科技股份有限公司 | 一种域名检测方法、系统、设备及计算机可读存储介质 |
| US11356470B2 (en) | 2019-12-19 | 2022-06-07 | Group IB TDS, Ltd | Method and system for determining network vulnerabilities |
| US11431749B2 (en) | 2018-12-28 | 2022-08-30 | Trust Ltd. | Method and computing device for generating indication of malicious web resources |
| US11451580B2 (en) | 2018-01-17 | 2022-09-20 | Trust Ltd. | Method and system of decentralized malware identification |
| US11503044B2 (en) | 2018-01-17 | 2022-11-15 | Group IB TDS, Ltd | Method computing device for detecting malicious domain names in network traffic |
| US11526608B2 (en) | 2019-12-05 | 2022-12-13 | Group IB TDS, Ltd | Method and system for determining affiliation of software to software families |
| CN116599861A (zh) * | 2023-07-18 | 2023-08-15 | 海马云(天津)信息技术有限公司 | 检测云服务异常的方法、服务器设备和存储介质 |
| US11755700B2 (en) | 2017-11-21 | 2023-09-12 | Group Ib, Ltd | Method for classifying user action sequence |
| US11847223B2 (en) | 2020-08-06 | 2023-12-19 | Group IB TDS, Ltd | Method and system for generating a list of indicators of compromise |
| US11934498B2 (en) | 2019-02-27 | 2024-03-19 | Group Ib, Ltd | Method and system of user identification |
| US11947572B2 (en) | 2021-03-29 | 2024-04-02 | Group IB TDS, Ltd | Method and system for clustering executable files |
| US11985147B2 (en) | 2021-06-01 | 2024-05-14 | Trust Ltd. | System and method for detecting a cyberattack |
| US12088606B2 (en) | 2021-06-10 | 2024-09-10 | F.A.C.C.T. Network Security Llc | System and method for detection of malicious network resources |
| US12135786B2 (en) | 2020-03-10 | 2024-11-05 | F.A.C.C.T. Network Security Llc | Method and system for identifying malware |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101702660A (zh) * | 2009-11-12 | 2010-05-05 | 中国科学院计算技术研究所 | 异常域名检测方法及系统 |
| US20130232574A1 (en) * | 2012-03-02 | 2013-09-05 | Cox Communications, Inc. | Systems and Methods of DNS Grey Listing |
| CN105577660A (zh) * | 2015-12-22 | 2016-05-11 | 国家电网公司 | 基于随机森林的dga域名检测方法 |
| CN105827594A (zh) * | 2016-03-08 | 2016-08-03 | 北京航空航天大学 | 一种基于域名可读性及域名解析行为的可疑性检测方法 |
-
2016
- 2016-12-21 CN CN201611195849.4A patent/CN106713312A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101702660A (zh) * | 2009-11-12 | 2010-05-05 | 中国科学院计算技术研究所 | 异常域名检测方法及系统 |
| US20130232574A1 (en) * | 2012-03-02 | 2013-09-05 | Cox Communications, Inc. | Systems and Methods of DNS Grey Listing |
| CN105577660A (zh) * | 2015-12-22 | 2016-05-11 | 国家电网公司 | 基于随机森林的dga域名检测方法 |
| CN105827594A (zh) * | 2016-03-08 | 2016-08-03 | 北京航空航天大学 | 一种基于域名可读性及域名解析行为的可疑性检测方法 |
Cited By (58)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10721251B2 (en) | 2016-08-03 | 2020-07-21 | Group Ib, Ltd | Method and system for detecting remote access during activity on the pages of a web resource |
| US10581880B2 (en) | 2016-09-19 | 2020-03-03 | Group-Ib Tds Ltd. | System and method for generating rules for attack detection feedback system |
| US10778719B2 (en) | 2016-12-29 | 2020-09-15 | Trust Ltd. | System and method for gathering information to detect phishing activity |
| US10721271B2 (en) | 2016-12-29 | 2020-07-21 | Trust Ltd. | System and method for detecting phishing web pages |
| CN109391599A (zh) * | 2017-08-10 | 2019-02-26 | 蓝盾信息安全技术股份有限公司 | 一种基于https流量特征分析的僵尸网络通讯信号的检测系统 |
| CN109391602B (zh) * | 2017-08-11 | 2021-04-09 | 北京金睛云华科技有限公司 | 一种僵尸主机检测方法 |
| CN109391602A (zh) * | 2017-08-11 | 2019-02-26 | 北京金睛云华科技有限公司 | 一种僵尸主机检测方法 |
| CN107645503B (zh) * | 2017-09-20 | 2020-01-24 | 杭州安恒信息技术股份有限公司 | 一种基于规则的恶意域名所属dga家族的检测方法 |
| CN107645503A (zh) * | 2017-09-20 | 2018-01-30 | 杭州安恒信息技术有限公司 | 一种基于规则的恶意域名所属dga家族的检测方法 |
| CN107682348A (zh) * | 2017-10-19 | 2018-02-09 | 杭州安恒信息技术有限公司 | 基于机器学习的dga域名快速判别方法及装置 |
| US11755700B2 (en) | 2017-11-21 | 2023-09-12 | Group Ib, Ltd | Method for classifying user action sequence |
| US10762352B2 (en) | 2018-01-17 | 2020-09-01 | Group Ib, Ltd | Method and system for the automatic identification of fuzzy copies of video content |
| US11503044B2 (en) | 2018-01-17 | 2022-11-15 | Group IB TDS, Ltd | Method computing device for detecting malicious domain names in network traffic |
| US11122061B2 (en) | 2018-01-17 | 2021-09-14 | Group IB TDS, Ltd | Method and server for determining malicious files in network traffic |
| US11451580B2 (en) | 2018-01-17 | 2022-09-20 | Trust Ltd. | Method and system of decentralized malware identification |
| US11475670B2 (en) | 2018-01-17 | 2022-10-18 | Group Ib, Ltd | Method of creating a template of original video content |
| US10958684B2 (en) | 2018-01-17 | 2021-03-23 | Group Ib, Ltd | Method and computer device for identifying malicious web resources |
| CN108337259A (zh) * | 2018-02-01 | 2018-07-27 | 南京邮电大学 | 一种基于HTTP请求Host信息的可疑网页识别方法 |
| US11005779B2 (en) | 2018-02-13 | 2021-05-11 | Trust Ltd. | Method of and server for detecting associated web resources |
| CN108449349B (zh) * | 2018-03-23 | 2021-01-26 | 新华三大数据技术有限公司 | 防止恶意域名攻击的方法及装置 |
| CN108449349A (zh) * | 2018-03-23 | 2018-08-24 | 新华三大数据技术有限公司 | 防止恶意域名攻击的方法及装置 |
| CN109889616A (zh) * | 2018-05-21 | 2019-06-14 | 新华三信息安全技术有限公司 | 一种识别域名的方法及装置 |
| CN109246074A (zh) * | 2018-07-23 | 2019-01-18 | 北京奇虎科技有限公司 | 识别可疑域名的方法、装置、服务器及可读存储介质 |
| CN112771523A (zh) * | 2018-08-14 | 2021-05-07 | 北京嘀嘀无限科技发展有限公司 | 用于检测生成域的系统和方法 |
| US11153351B2 (en) | 2018-12-17 | 2021-10-19 | Trust Ltd. | Method and computing device for identifying suspicious users in message exchange systems |
| CN109936560A (zh) * | 2018-12-27 | 2019-06-25 | 上海银行股份有限公司 | 恶意软件防护方法及装置 |
| US11431749B2 (en) | 2018-12-28 | 2022-08-30 | Trust Ltd. | Method and computing device for generating indication of malicious web resources |
| US11934498B2 (en) | 2019-02-27 | 2024-03-19 | Group Ib, Ltd | Method and system of user identification |
| CN110233830A (zh) * | 2019-05-20 | 2019-09-13 | 中国银行股份有限公司 | 域名识别和域名识别模型生成方法、装置及存储介质 |
| CN110401632A (zh) * | 2019-06-20 | 2019-11-01 | 国网辽宁省电力有限公司信息通信分公司 | 一种恶意域名感染主机溯源方法 |
| CN110401632B (zh) * | 2019-06-20 | 2022-02-15 | 国网辽宁省电力有限公司信息通信分公司 | 一种恶意域名感染主机溯源方法 |
| CN110392064A (zh) * | 2019-09-04 | 2019-10-29 | 中国工商银行股份有限公司 | 风险识别方法、装置、计算设备以及计算机可读存储介质 |
| CN110392064B (zh) * | 2019-09-04 | 2022-03-15 | 中国工商银行股份有限公司 | 风险识别方法、装置、计算设备以及计算机可读存储介质 |
| CN111078860A (zh) * | 2019-11-27 | 2020-04-28 | 北京小米移动软件有限公司 | 文本筛选方法、文本筛选装置及电子设备 |
| CN111078860B (zh) * | 2019-11-27 | 2023-04-11 | 北京小米移动软件有限公司 | 文本筛选方法、文本筛选装置及电子设备 |
| US11526608B2 (en) | 2019-12-05 | 2022-12-13 | Group IB TDS, Ltd | Method and system for determining affiliation of software to software families |
| US11250129B2 (en) | 2019-12-05 | 2022-02-15 | Group IB TDS, Ltd | Method and system for determining affiliation of software to software families |
| US11356470B2 (en) | 2019-12-19 | 2022-06-07 | Group IB TDS, Ltd | Method and system for determining network vulnerabilities |
| CN111181937A (zh) * | 2019-12-20 | 2020-05-19 | 北京丁牛科技有限公司 | 一种域名检测方法、装置、设备和系统 |
| CN113098989B (zh) * | 2020-01-09 | 2023-02-03 | 深信服科技股份有限公司 | 字典生成方法、域名检测方法、装置、设备及介质 |
| CN113098989A (zh) * | 2020-01-09 | 2021-07-09 | 深信服科技股份有限公司 | 字典生成方法、域名检测方法、装置、设备及介质 |
| US11151581B2 (en) | 2020-03-04 | 2021-10-19 | Group-Ib Global Private Limited | System and method for brand protection based on search results |
| US12135786B2 (en) | 2020-03-10 | 2024-11-05 | F.A.C.C.T. Network Security Llc | Method and system for identifying malware |
| CN111654504A (zh) * | 2020-06-10 | 2020-09-11 | 北京天融信网络安全技术有限公司 | 一种dga域名检测方法及装置 |
| CN111935097A (zh) * | 2020-07-16 | 2020-11-13 | 上海斗象信息科技有限公司 | 一种检测dga域名的方法 |
| CN111935097B (zh) * | 2020-07-16 | 2022-07-19 | 上海斗象信息科技有限公司 | 一种检测dga域名的方法 |
| US11847223B2 (en) | 2020-08-06 | 2023-12-19 | Group IB TDS, Ltd | Method and system for generating a list of indicators of compromise |
| CN112929370A (zh) * | 2021-02-08 | 2021-06-08 | 丁牛信息安全科技(江苏)有限公司 | 域名系统隐蔽信道检测方法及装置 |
| CN112929370B (zh) * | 2021-02-08 | 2022-10-18 | 丁牛信息安全科技(江苏)有限公司 | 域名系统隐蔽信道检测方法及装置 |
| US11947572B2 (en) | 2021-03-29 | 2024-04-02 | Group IB TDS, Ltd | Method and system for clustering executable files |
| US11985147B2 (en) | 2021-06-01 | 2024-05-14 | Trust Ltd. | System and method for detecting a cyberattack |
| US12088606B2 (en) | 2021-06-10 | 2024-09-10 | F.A.C.C.T. Network Security Llc | System and method for detection of malicious network resources |
| CN113329035A (zh) * | 2021-06-29 | 2021-08-31 | 深信服科技股份有限公司 | 一种攻击域名的检测方法、装置、电子设备及存储介质 |
| CN114285627B (zh) * | 2021-12-21 | 2023-12-22 | 安天科技集团股份有限公司 | 流量检测方法及装置、电子设备和计算机可读存储介质 |
| CN114285627A (zh) * | 2021-12-21 | 2022-04-05 | 安天科技集团股份有限公司 | 流量检测方法及装置、电子设备和计算机可读存储介质 |
| CN114363060B (zh) * | 2021-12-31 | 2024-08-20 | 深信服科技股份有限公司 | 一种域名检测方法、系统、设备及计算机可读存储介质 |
| CN114363060A (zh) * | 2021-12-31 | 2022-04-15 | 深信服科技股份有限公司 | 一种域名检测方法、系统、设备及计算机可读存储介质 |
| CN116599861A (zh) * | 2023-07-18 | 2023-08-15 | 海马云(天津)信息技术有限公司 | 检测云服务异常的方法、服务器设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106713312A (zh) | 检测非法域名的方法及装置 | |
| CN111428231B (zh) | 基于用户行为的安全处理方法、装置及设备 | |
| CN106790019B (zh) | 基于特征自学习的加密流量识别方法及装置 | |
| CN105827594B (zh) | 一种基于域名可读性及域名解析行为的可疑性检测方法 | |
| CN107579956B (zh) | 一种用户行为的检测方法和装置 | |
| CN111262722A (zh) | 一种用于工业控制系统网络的安全监测方法 | |
| CN112019651B (zh) | 利用深度残差网络和字符级滑动窗口的dga域名检测方法 | |
| CN106790023A (zh) | 网络安全联合防御方法和装置 | |
| CN110830490B (zh) | 基于带对抗训练深度网络的恶意域名检测方法及系统 | |
| CN107360145B (zh) | 一种多节点蜜罐系统及其数据分析方法 | |
| CN106961419A (zh) | WebShell检测方法、装置及系统 | |
| CN109005145A (zh) | 一种基于自动特征抽取的恶意url检测系统及其方法 | |
| CN105072214B (zh) | 基于域名特征的c&c域名识别方法 | |
| CN104615760A (zh) | 钓鱼网站识别方法和系统 | |
| CN110149266A (zh) | 垃圾邮件识别方法及装置 | |
| CN112073550B (zh) | 融合字符级滑动窗口和深度残差网络的dga域名检测方法 | |
| CN113905016A (zh) | 一种dga域名检测方法、检测装置及计算机存储介质 | |
| CN112073551A (zh) | 基于字符级滑动窗口和深度残差网络的dga域名检测系统 | |
| CN110365636B (zh) | 工控蜜罐攻击数据来源的判别方法及装置 | |
| CN115021997B (zh) | 一种基于机器学习的网络入侵检测系统 | |
| CN114553523A (zh) | 基于攻击检测模型的攻击检测方法及装置、介质、设备 | |
| CN117478433B (zh) | 一种网络与信息安全动态预警系统 | |
| CN111224941A (zh) | 一种威胁类型识别方法及装置 | |
| Harbola et al. | Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set | |
| CN110855716B (zh) | 一种面向仿冒域名的自适应安全威胁分析方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170524 |
|
| RJ01 | Rejection of invention patent application after publication |