CN112929370A - 域名***隐蔽信道检测方法及装置 - Google Patents

Abstract

本发明公开了一种域名***隐蔽信道检测方法及装置，获取待检测的域名***流量；检测待检测的域名***流量的子域名是否存在结构性特征，结构性特征表征利用域名***数据泄露时域名采用的目标结构；如果存在结构性特征，分析待检测的域名***流量的子域名是否存在随机性特征，随机性特征表征利用域名***子域名进行数据泄露时编码字段的随机特性；如果是，生成域名***异常的检测结果；若待检测的域名***流量的子域名不存在结构性特征，或者子域名不存在随机性特征，生成域名***正常的检测结果。本发明利用了域名***数据泄露本身的攻击特征进行检测，提升了检测的精准性。

Description

域名***隐蔽信道检测方法及装置

技术领域

本发明涉及域名检测技术领域，特别是涉及一种域名***隐蔽信道检测方法及装置。

背景技术

域名***(DNS，Domain Name System)是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库，能够使人更方便地访问互联网。使用域名***实现数据泄露也存在于各个领域，域名***泄密仍然是安全领域关注的热点。

目前，域名***泄密检测的方法主要体现在使用检测特征、数据集、算法上的演变。其中，检测特征的提取为检测过程中重要的部分。而研究人员提取的特征分为基于单域名、多域名的特征，特征选取虽然基于了一般恶意域名的少数特征，但没有根据真实DNS隐蔽信道攻击本身进行分析提取特征，会导致误报率高，检测效果不佳。

发明内容

针对于上述问题，本发明提供一种域名***隐蔽信道检测方法及装置，提升了域名***隐蔽信道检测的精准性。

为了实现上述目的，本发明提供了如下技术方案：

一种域名***隐蔽信道检测方法，包括：

获取待检测的域名***流量；

检测所述待检测的域名***流量的子域名是否存在结构性特征，所述结构性特征表征利用域名***数据泄露时域名采用的目标结构；

如果存在结构性特征，检测所述待检测的域名***流量的子域名是否存在随机性特征，所述随机性特征表征利用域名***子域名进行数据泄露时编码字段的随机特性；

如果是，生成域名***异常的检测结果；

若所述待检测的域名***流量的子域名不存在结构性特征，或者所述子域名不存在随机性特征，生成所述域名***正常的检测结果。

可选地，所述获取待检测的域名***流量，包括：

获取域名***流量；

对所述域名***流量进行过滤，得到过滤后的流量；

对所述过滤后的流量进行截取，获得待检测的域名***的流量。

可选地，所述检测所述待检测的域名***流量的子域名是否存在结构性特征，包括：

对所述待检测的域名***流量的子域名进行结构性检测，得到第一检测结果；

若所述第一检测结果满足第一目标条件，检测得到所述待检测的域名***流量的子域名存在结构性特征，所述第一目标条件包括所述子域名具备公共子串和/或所述子域名具备递增子串。

可选地，所述检测所述待检测的域名***流量的子域名是否存在随机性特征，包括：

检测所述待检测的域名***流量的子域名中是否存在随机字串；

如果是，判定所述待检测的域名***流量的子域名存在随机性特征。

可选地，所述对所述过滤后的流量进行截取，获得待检测的域名***的流量，包括：

利用目标截取分析单元对所述过滤后的流量进行截取，获得待检测的域名***的流量；

响应于当前所述待检测的域名***的流量获得检测结果，基于下一个目标截取分析单元获取下一待检测的域名***的流量，以对所述下一待检测的域名***的流量进行异常检测。

一种域名***隐蔽信道检测装置，包括：

获取单元，用于获取待检测的域名***流量；

第一检测单元，用于检测所述待检测的域名***流量的子域名是否存在结构性特征，所述结构性特征表征利用域名***数据泄露时域名采用的目标结构；

第二检测单元，用于如果存在结构性特征，检测所述待检测的域名***流量的子域名是否存在随机性特征，所述随机性特征表征利用域名***子域名进行数据泄露时编码字段的随机特性；

第一生成单元，用于如果是，生成域名***异常的检测结果；

第二生成单元，用于若所述待检测的域名***流量的子域名不存在结构性特征，或者所述子域名不存在随机性特征，生成所述域名***正常的检测结果。

可选地，所述获取单元包括：

获取子单元，用于获取域名***流量；

过滤子单元，用于对所述域名***流量进行过滤，得到过滤后的流量；

截取子单元，用于对所述过滤后的流量进行截取，获得待检测的域名***的流量。

可选地，所述第一检测单元具体用于：

对所述待检测的域名***流量的子域名进行结构性检测，得到第一检测结果；

若所述第一检测结果满足第一目标条件，检测得到所述待检测的域名***流量的子域名存在结构性特征，所述第一目标条件包括所述子域名具备公共子串和/或所述子域名具备递增子串。

可选地，所述第二检测单元具体用于：

检测所述待检测的域名***流量的子域名中是否存在随机字串；

如果是，判定所述待检测的域名***流量的子域名存在随机性特征。

可选地，所述截取子单元具体用于：

利用目标截取分析单元对所述过滤后的流量进行截取，获得待检测的域名***的流量；

响应于当前所述待检测的域名***的流量获得检测结果，基于下一个目标截取分析单元获取下一待检测的域名***的流量，以对所述下一待检测的域名***的流量进行异常检测。

相较于现有技术，本发明提供了一种域名***隐蔽信道检测方法及装置，获取待检测的域名***流量；检测待检测的域名***流量的子域名是否存在结构性特征，结构性特征表征利用域名***数据泄露时域名采用的目标结构；如果存在结构性特征，分析待检测的域名***流量的子域名是否存在随机性特征，随机性特征表征利用域名***子域名进行数据泄露时编码字段的随机特性；如果是，生成域名***异常的检测结果；若待检测的域名***流量的子域名不存在结构性特征，或者子域名不存在随机性特征，生成域名***正常的检测结果。本发明利用了域名***数据泄露本身的攻击特征进行检测，提升了检测的精准性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本发明实施例提供的一种域名***隐蔽信道检测方法的流程示意图；

图2为本发明实施例提供的一种APT34的DNS查询请求域名的示意图；

图3为本发明实施例提供的一种域名***隐蔽信道检测装置的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的说明书和权利要求书及上述附图中的术语“第一”和“第二”等是用于区别不同的对象，而不是用于描述特定的顺序。此外术语“包括”和“具有”以及他们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、***、产品或设备没有设定于已列出的步骤或单元，而是可包括没有列出的步骤或单元。

在本发明实施例中提供了一种域名***隐蔽信道检测方法，参见图1，该方法可以包括以下步骤：

S101、获取待检测的域名***流量。

域名***的稳定运行是实现互联网正常服务的前提，由于DNS(域名***)服务器是通过对其所接收的DNS查询请求进行应答实现对外域名解析服务的，DNS查询数据流直接反映了DNS服务器对外服务的整个过程。因此，通常通过检测DNS流量的情况来有效评估DNS服务器的服务状态，进而实现对域名***异常行为的检测，即检测域名***是否存在数据泄露的异常情况。

因此，为了实现对域名***的异常检测，首先需要获取待检测的域名***流量，可以将实时监测获得的DNS流量作为待检测的域名***流量。也可以为了降低运算资源的占用，以及提升实时检测的效率，例如，可以对于已经确定没有异常风险的域名进行过滤，也可以是采用固定的截取区间，对该截取区间的流量进行检测。

S102、检测所述待检测的域名***流量的子域名是否存在结构性特征，如果是执行S103，如果否执行S105；

S103、检测所述待检测的域名***流量的子域名是否存在随机性特征，如果是执行S104，如果否执行S105；

S104、生成域名***异常的检测结果；

S105、生成域名***正常的检测结果。

其中，结构性特征表征利用域名***数据泄露时域名采用的目标结构，随机性特征表征利用域名***子域名进行数据泄露时编码字段的随机特征。也可以将结构性特征和随机性特征统称为域名结构性及随机性，即域名结构性及随机性指的是用于做DNS数据泄露的子域名特征的结构特征，包括结构性及随机性。结构性是指，在一次攻击中，用来做泄露的一批域名具备相似的结构，例如具备相同的公共子串及递增的标记位；随机性是指，利用DNS子域名进行数据泄露时，泄露信息会编码在域名中，使其编码文件的字段具备一定的随机性。

参见图2，其示出了本发明实施例提供的一种APT34的DNS查询请求域名的示意图，其中，域名件具备相似的结构，如矩形框中相同的功能字串“5624b81f”，递增的编号字串“001”、“002”，同一文件名字串(如椭圆框中)“33333210100A”这些区别于一般恶意域名如DGA域名及正常域名的特征，即为结构性特征。图2中中间方框部分为传输文件信息编码，编码后呈现一定的随机性而非日常可读信息，即为随机性特征。

结构性特征及随机性特征是两大重要特征，一个用来辅助传输，一个用来编码传输真正的信息。本发明实施例中对待检测的域名***流量的子域名中的结构性及随机性进行检测，若两者都具备，则符合DNS数据泄露特点判断为异常，反之则正常。从而做到对DNS数据泄露异常的准确、及时发现。需要说明的是，只要不存在结构特征或者不存在随机性特征均可以判断域名***正常。

本发明利用DNS数据泄露本身的攻击特点进行检测，使得检测更具针对性，从而提升了检测的准确率；通过分析子域名异常来进行判断，使检测更具效率；该方法可以应用于其他应用层协议泄露或数据泄露检测中。

下面对本发明实施例中可以实现上述检测的具体过程进行说明。

其中，获取待检测的域名***流量包括：

获取域名***流量；

对所述域名***流量进行过滤，得到过滤后的流量；

对所述过滤后的流量进行截取，获得待检测的域名***的流量。

通过DNS探针对网络流量进行过滤从而得到待检测的DNS流量，同时可以使用白名单过滤器进行过滤，通过相应的过滤方式进行过滤后，得到过滤后的DNS流量，这里的DNS流量可以是实时流量也可以是离线流量。然后可以利用目标截取分析单元对所述过滤后的流量进行截取，获得待检测的域名***的流量。这样，响应于当前所述待检测的域名***的流量获得检测结果，基于下一个目标截取分析单元获取下一待检测的域名***的流量，以对所述下一待检测的域名***的流量进行异常检测。例如，设置合适窗口，截取分析单元，伴随着待检测流量的输入，设置一个大小合适的窗口接收输入，该窗口可以容纳多条流量，流量流过，每次截取窗口大小为一个分析单元。后续分析单元处理方式一致，随着流量的移动，继续对下一个分析单元进行判断。

具体的，所述检测所述待检测的域名***流量的子域名是否存在结构性特征，包括：对所述待检测的域名***流量的子域名进行结构性检测，得到第一检测结果；若所述第一检测结果满足第一目标条件，检测得到所述待检测的域名***流量的子域名存在结构性特征，所述第一目标条件包括所述子域名具备公共子串和/或所述子域名具备递增子串。

所述检测所述待检测的域名***流量的子域名是否存在随机性特征，包括：检测所述待检测的域名***流量的子域名中是否存在随机字串；如果是，判定所述待检测的域名***流量的子域名存在随机性特征。

仍以通过分析单元截取待检测的域名***流量为例，对分析单元中流量的子域名进行提取、比对，确定是否具备结构性。若该分析单元中的子域名具备公共子串或者具备递增字串或者两者都具备，则其具备结构性，若全不具备则判断为不具备结构性，直接输出正常。公共子串是指例如两个域名具备相同的子串，如图2中第一个矩形框；递增字串是指传输信息的过程中保证信息逐个传输不丢包同时接收端可以按顺序拼接回复而形成的字串，如图2中第二矩形框(即第一排中间最长的矩形框)。

其中，在检测所述待检测的域名***流量的子域名中是否存在随机字符串可以根据n-gram字符频率分析法来判断，需要说明的是，本发明实施例中并不对检测是否存在随机字符串的具体方式进行限制。仍以上述为例，若该分析单元具备结构性，则继续对子域随机性的存在性进行判断。判断域名中除了公共子串外，是否具备随机字串。对余下部分使用n-gram字符频率分析法，自然语言遵循Zipf定律，而随机字串的字符频率分布更均匀，来判断其是否具备随机性。若具备则输出异常，否则输出正常。

若该分析单元子域名同时具备结构性及随机性，则判定该域名为可以域名，输出预警及日志；否则，为正常域名，输出日志。

本发明提供了一种域名***隐蔽信道检测方法，获取待检测的域名***流量；检测待检测的域名***流量的子域名是否存在结构性特征，结构性特征表征利用域名***数据泄露时域名采用的目标结构；如果存在结构性特征，分析待检测的域名***流量的子域名是否存在随机性特征，随机性特征表征利用域名***子域名进行数据泄露时编码字段的随机特性；如果是，生成域名***异常的检测结果；若待检测的域名***流量的子域名不存在结构性特征，或者子域名不存在随机性特征，生成域名***正常的检测结果。本发明利用了域名***数据泄露本身的攻击特征进行检测，提升了检测的精准性。

参见图3，其示出了本发明实施例提供的一种域名***隐蔽信道检测装置，其特征在于，包括：

获取单元10，用于获取待检测的域名***流量；

第一检测单元20，用于检测所述待检测的域名***流量的子域名是否存在结构性特征，所述结构性特征表征利用域名***数据泄露时域名采用的目标结构；

第二检测单元30，用于如果存在结构性特征，检测所述待检测的域名***流量的子域名是否存在随机性特征，所述随机性特征表征利用域名***子域名进行数据泄露时编码字段的随机特性；

第一生成单元40，用于如果是，生成域名***异常的检测结果；

第二生成单元50，用于若所述待检测的域名***流量的子域名不存在结构性特征，或者所述子域名不存在随机性特征，生成所述域名***正常的检测结果。

在上述实施例的基础上，所述获取单元包括：

获取子单元，用于获取域名***流量；

过滤子单元，用于对所述域名***流量进行过滤，得到过滤后的流量；

截取子单元，用于对所述过滤后的流量进行截取，获得待检测的域名***的流量。

可选地，所述第一检测单元具体用于：

对所述待检测的域名***流量的子域名进行结构性检测，得到第一检测结果；

若所述第一检测结果满足第一目标条件，检测得到所述待检测的域名***流量的子域名存在结构性特征，所述第一目标条件包括所述子域名具备公共子串和/或所述子域名具备递增子串。

可选地，所述第二检测单元具体用于：

检测所述待检测的域名***流量的子域名中是否存在随机字串；

如果是，判定所述待检测的域名***流量的子域名存在随机性特征。

可选地，所述截取子单元具体用于：

利用目标截取分析单元对所述过滤后的流量进行截取，获得待检测的域名***的流量；

响应于当前所述待检测的域名***的流量获得检测结果，基于下一个目标截取分析单元获取下一待检测的域名***的流量，以对所述下一待检测的域名***的流量进行异常检测。

本发明提供了一种域名***隐蔽信道检测装置，获取单元获取待检测的域名***流量；第一检测单元，用于检测待检测的域名***流量的子域名是否存在结构性特征，结构性特征表征利用域名***数据泄露时域名采用的目标结构；第二检测单元，用于如果存在结构性特征，分析待检测的域名***流量的子域名是否存在随机性特征，随机性特征表征利用域名***子域名进行数据泄露时编码字段的随机特性；第一生成单元用于如果是，生成域名***异常的检测结果；第二生成单元用于若待检测的域名***流量的子域名不存在结构性特征，或者子域名不存在随机性特征，生成域名***正常的检测结果。本发明利用了域名***数据泄露本身的攻击特征进行检测，提升了检测的精准性。

基于前述实施例，本申请的实施例提供一种计算机可读存储介质，计算机可读存储介质存储有一个或者多个程序，该一个或者多个程序可被一个或者多个处理器执行，以实现如上任一项的一种域名***隐蔽信道检测方法的步骤。

本发明实施例还提供了一种电子设备，包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，处理器执行程序时实现的一种域名***隐蔽信道检测方法的步骤。具体的，处理器执行程序时可以实现：

获取待检测的域名***流量；

检测所述待检测的域名***流量的子域名是否存在结构性特征，所述结构性特征表征利用域名***数据泄露时域名采用的目标结构；

如果存在结构性特征，检测所述待检测的域名***流量的子域名是否存在随机性特征，所述随机性特征表征利用域名***子域名进行数据泄露时编码字段的随机特性；

如果是，生成域名***异常的检测结果；

若所述待检测的域名***流量的子域名不存在结构性特征，或者所述子域名不存在随机性特征，生成所述域名***正常的检测结果。

进一步，所述获取待检测的域名***流量，包括：

获取域名***流量；

对所述域名***流量进行过滤，得到过滤后的流量；

对所述过滤后的流量进行截取，获得待检测的域名***的流量。

进一步，所述检测所述待检测的域名***流量的子域名是否存在结构性特征，包括：

对所述待检测的域名***流量的子域名进行结构性检测，得到第一检测结果；

若所述第一检测结果满足第一目标条件，检测得到所述待检测的域名***流量的子域名存在结构性特征，所述第一目标条件包括所述子域名具备公共子串和/或所述子域名具备递增子串。

进一步，所述检测所述待检测的域名***流量的子域名是否存在随机性特征，包括：

检测所述待检测的域名***流量的子域名中是否存在随机字串；

如果是，判定所述待检测的域名***流量的子域名存在随机性特征。

进一步，所述对所述过滤后的流量进行截取，获得待检测的域名***的流量，包括：

利用目标截取分析单元对所述过滤后的流量进行截取，获得待检测的域名***的流量；

响应于当前所述待检测的域名***的流量获得检测结果，基于下一个目标截取分析单元获取下一待检测的域名***的流量，以对所述下一待检测的域名***的流量进行异常检测。

需要说明的是，上述处理器或CPU可以为特定用途集成电路(ApplicationSpecific Integrated Circuit，ASIC)、数字信号处理器(Digital Signal Processor，DSP)、数字信号处理装置(Digital SignalProcessing Device，DSPD)、可编程逻辑装置(Programmable Logic Device，PLD)、现场可编程门阵列(Field Programmable GateArray，FPGA)、中央处理器(Central Processing Unit，CPU)、控制器、微控制器、微处理器中的至少一种。可以理解地，实现上述处理器功能的电子器件还可以为其它，本申请实施例不作具体限定。

需要说明的是，上述计算机存储介质/存储器可以是只读存储器(Read OnlyMemory，ROM)、可编程只读存储器(Programmable Read-Only Memory，PROM)、可擦除可编程只读存储器(Erasable Programmable Read-Only Memory，EPROM)、电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory，EEPROM)、磁性随机存取存储器(Ferromagnetic Random Access Memory，FRAM)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(Compact Disc Read-Only Memory，CD-ROM)等存储器；也可以是包括上述存储器之一或任意组合的各种终端，如移动电话、计算机、平板设备、个人数字助理等。

在本申请所提供的几个实施例中，应该理解到，所揭露的设备和方法，可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个***，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。

上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元，即可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。

另外，在本申请各实施例中的各功能单元可以全部集成在一个处理模块中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

本申请所提供的几个方法实施例中所揭露的方法，在不冲突的情况下可以任意组合，得到新的方法实施例。

本申请所提供的几个产品实施例中所揭露的特征，在不冲突的情况下可以任意组合，得到新的产品实施例。

本申请所提供的几个方法或设备实施例中所揭露的特征，在不冲突的情况下可以任意组合，得到新的方法实施例或设备实施例。

以上，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以权利要求的保护范围为准。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种域名***隐蔽信道检测方法，其特征在于，包括：

获取待检测的域名***流量；

检测所述待检测的域名***流量的子域名是否存在结构性特征，所述结构性特征表征利用域名***数据泄露时域名采用的目标结构；

如果存在结构性特征，检测所述待检测的域名***流量的子域名是否存在随机性特征，所述随机性特征表征利用域名***子域名进行数据泄露时编码字段的随机特性；

如果是，生成域名***异常的检测结果；

若所述待检测的域名***流量的子域名不存在结构性特征，或者所述子域名不存在随机性特征，生成所述域名***正常的检测结果。

2.根据权利要求1所述的方法，其特征在于，所述获取待检测的域名***流量，包括：

获取域名***流量；

对所述域名***流量进行过滤，得到过滤后的流量；

对所述过滤后的流量进行截取，获得待检测的域名***的流量。

3.根据权利要求1所述的方法，其特征在于，所述检测所述待检测的域名***流量的子域名是否存在结构性特征，包括：

对所述待检测的域名***流量的子域名进行结构性检测，得到第一检测结果；

若所述第一检测结果满足第一目标条件，检测得到所述待检测的域名***流量的子域名存在结构性特征，所述第一目标条件包括所述子域名具备公共子串和/或所述子域名具备递增子串。

4.根据权利要求1所述的方法，其特征在于，所述检测所述待检测的域名***流量的子域名是否存在随机性特征，包括：

检测所述待检测的域名***流量的子域名中是否存在随机字串；

如果是，判定所述待检测的域名***流量的子域名存在随机性特征。

5.根据权利要求2所述的方法，其特征在于，所述对所述过滤后的流量进行截取，获得待检测的域名***的流量，包括：

利用目标截取分析单元对所述过滤后的流量进行截取，获得待检测的域名***的流量；

响应于当前所述待检测的域名***的流量获得检测结果，基于下一个目标截取分析单元获取下一待检测的域名***的流量，以对所述下一待检测的域名***的流量进行异常检测。

6.一种域名***隐蔽信道检测装置，其特征在于，包括：

获取单元，用于获取待检测的域名***流量；

第一检测单元，用于检测所述待检测的域名***流量的子域名是否存在结构性特征，所述结构性特征表征利用域名***数据泄露时域名采用的目标结构；

第二检测单元，用于如果存在结构性特征，检测所述待检测的域名***流量的子域名是否存在随机性特征，所述随机性特征表征利用域名***子域名进行数据泄露时编码字段的随机特性；

第一生成单元，用于如果是，生成域名***异常的检测结果；

第二生成单元，用于若所述待检测的域名***流量的子域名不存在结构性特征，或者所述子域名不存在随机性特征，生成所述域名***正常的检测结果。

7.根据权利要求6所述的装置，其特征在于，所述获取单元包括：

获取子单元，用于获取域名***流量；

过滤子单元，用于对所述域名***流量进行过滤，得到过滤后的流量；

截取子单元，用于对所述过滤后的流量进行截取，获得待检测的域名***的流量。

8.根据权利要求6所述的***，其特征在于，所述第一检测单元具体用于：

对所述待检测的域名***流量的子域名进行结构性检测，得到第一检测结果；

若所述第一检测结果满足第一目标条件，检测得到所述待检测的域名***流量的子域名存在结构性特征，所述第一目标条件包括所述子域名具备公共子串和/或所述子域名具备递增子串。

9.根据权利要求6所述的***，其特征在于，所述第二检测单元具体用于：

检测所述待检测的域名***流量的子域名中是否存在随机字串；

如果是，判定所述待检测的域名***流量的子域名存在随机性特征。

10.根据权利要求7所述的***，其特征在于，所述截取子单元具体用于：

利用目标截取分析单元对所述过滤后的流量进行截取，获得待检测的域名***的流量；

响应于当前所述待检测的域名***的流量获得检测结果，基于下一个目标截取分析单元获取下一待检测的域名***的流量，以对所述下一待检测的域名***的流量进行异常检测。

Images