CN116455620A - 一种恶意域名访问分析及确定方法 - Google Patents

一种恶意域名访问分析及确定方法 Download PDF

Info

Publication number
CN116455620A
CN116455620A CN202310342943.1A CN202310342943A CN116455620A CN 116455620 A CN116455620 A CN 116455620A CN 202310342943 A CN202310342943 A CN 202310342943A CN 116455620 A CN116455620 A CN 116455620A
Authority
CN
China
Prior art keywords
domain name
malicious
behavior
access
analyzing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310342943.1A
Other languages
English (en)
Inventor
范伟宁
戚红建
韩硕
王宇飞
徐蕾
宋成风
张强
秦绪帅
李亚楠
师凤瑞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Bidding Branch Of China Huaneng Group Co ltd
Huaneng Information Technology Co Ltd
Original Assignee
Beijing Bidding Branch Of China Huaneng Group Co ltd
Huaneng Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Bidding Branch Of China Huaneng Group Co ltd, Huaneng Information Technology Co Ltd filed Critical Beijing Bidding Branch Of China Huaneng Group Co ltd
Priority to CN202310342943.1A priority Critical patent/CN116455620A/zh
Publication of CN116455620A publication Critical patent/CN116455620A/zh
Pending legal-status Critical Current

Links

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种恶意域名访问分析及确定方法,其包括:收集恶意域名和恶意行为,建立恶意域名黑名单和恶意行为模型库;提取流量数据包内的DNS流量数据包;对DNS流量数据包进行解析得到域名记录集;根据恶意域名黑名单对域名记录集中的每一个域名进行分析得到域名分析结果,并根据恶意行为模型库对域名记录集中的每一个域名对应的访问行为进行分析得到访问行为分析结果;根据域名分析结果和访问行为分析结果综合判断确定域名记录集中的恶意域名,并进行警告。本发明通过对域名和域名对应的行为进行综合分析来确定域名是否为恶意域名,提高恶意域名确认的精确度,避免恶意域名逃脱检测,并且对恶意域名进行警告标识,保证恶意域名能够及时被发现。

Description

一种恶意域名访问分析及确定方法
技术领域
本发明涉及网络安全技术领域,特别是涉及一种恶意域名访问分析及确定方法。
背景技术
域名***是当前互联网重要的基础设施之一,大量的网络服务依赖于域名服务来开展。域名解析服务(DNS)将抽象的IP地址映射为易于记忆的域名,使互联网用户更加方便地访问各种网络资源,是互联网体系结构中重要的基础服务之一。其中恶意域名也叫恶意网站,是指该网站利用浏览器或者应用软件的漏洞,嵌入恶意代码,在用户不知情的情况下,对用户的机器进行篡改或破坏的网站。对于弹出插件或提示用户是否将其设为首页的网站,因为需要用户确认,则不被定义为恶意域名。对于内容不合法、不健康的网站,如果它并未对用户的机器进行篡改或破坏,也不被定义为恶意域名。但是对于仿冒其他网站比如银行网站、电子商务网站的,虽然未对用户的机器进行篡改或破坏,但是也被定义为恶意域名。
目前,随着网络技术的飞速发展和网络时代的到来,互联网规模的不断扩大,互联网应用已经深入到人们生活的方方面面,互联网成为了推动社会进步和经济发展的巨大动力。尤其是近年来,智能手机的广泛普及,让人类的生活与互联网紧密相连。但互联网在带给广大公众跨越时空、快速便捷和互动交流的同时,也给网络攻击、网络犯罪、信息泄漏、窥探隐私提供了可能。由于域名***并不对依托于其开展的服务行为进行检测,DNS服务缺少恶意行为检测能力,因此常常被恶意程序利用,网络中有相当一部分已知恶意程序采用域名关联的方式进行网络信息的窃取,当计算机被植入恶意程序后,会主动的向恶意程序的植入方所指定的域名源源不断的发送信息,为了减少这些恶意事件的发生,需要对恶意域名进行分析并确定。
发明内容
本发明要解决的技术问题是:现有技术难以对恶意域名访问进行分析以及无法确定恶意域名的问题。
为了解决上述技术问题,本发明提供了一种恶意域名访问分析及确定方法,包括:
收集恶意域名和恶意行为,分别建立恶意域名黑名单和恶意行为模型库;
获取网卡捕获的全部流量数据包,并提取所述流量数据包内的DNS流量数据包;
对所述DNS流量数据包进行解析得到域名记录集;
根据所述恶意域名黑名单对域名记录集中的每一个域名进行分析得到域名分析结果,并根据所述恶意行为模型库对域名记录集中的每一个域名对应的访问行为进行分析得到访问行为分析结果;
根据所述域名分析结果和访问行为分析结果综合判断,确定域名记录集中的恶意域名,并对恶意域名进行警告标识。
进一步的,所述收集恶意域名和恶意行为,分别建立恶意域名黑名单和恶意行为模型库,具体包括:
利用大数据挖掘技术对公开的威胁情报源进行搜集并及时更新,利用大数据分析处理搜集到的威胁情报中的域名和行为;
判断搜集到的威胁情报中的域名是否为恶意域名,判断搜集到的威胁情报中的行为是否为恶意行为;
若威胁情报中的域名是恶意域名,提取出威胁情报中的恶意域名,建立恶意域名黑名单;
若威胁情报中的行为是恶意行为,提取出威胁情报中的恶意行为,建立恶意行为模型库。
进一步的,所述获取网卡捕获的全部流量数据包,并提取所述流量数据包内的DNS流量数据包,具体包括:
将所述网卡捕获的全部流量数据包以镜像的方式保存至内部储存中;
确定所述网卡捕获的全部流量数据包内的DNS流量数据包;
将DNS流量数据包从所述网卡捕获的全部流量数据包内分离出来。
进一步的,所述对所述DNS流量数据包进行解析得到域名记录集,具体包括:
对所述DNS流量数据包进行解析得到DNS解析数据;
对所述DNS解析数据进行数据清洗,将所述DNS解析数据中没有影响的字段去掉,保留有影响统的字段;
从有影响统的字段内提取所有的域名,集合后得到所有的域名记录集。
进一步的,所述根据所述恶意域名黑名单对域名记录集中的每一个域名进行分析得到域名分析结果,具体包括:
获取每一个域名,将每一个域名与所述恶意域名黑名单中的域名进行匹配得到一个匹配度值;
根据所述匹配度值与预设匹配度值的大小判断所述域名是否为疑似恶意域名;
若所述匹配度值小于等于所述预设匹配度值,则所述域名不是疑似恶意域名,继续对下一域名行为进行判断;
若所述访问域名是异常访问域名,则将所述域名为疑似恶意域名记录到所述域名分析结果内。
进一步的,所述根据所述匹配值与预设匹配值的大小判断所述域名是否为疑似恶意域名,具体包括:
调用所述恶意域名黑名单中的恶意域名模型,以及将所述域名与所述恶意域名模型的匹配度值进行计算以判断所述域名是否为疑似恶意域名。
进一步的,所述并根据所述恶意行为模型库对域名记录集中的每一个域名对应的访问行为进行分析得到访问行为分析结果,具体包括:
获取每一个域名对应的访问行为,提取所述访问行为的特征信息;
将所述特征信息进行熵值量化,将量化后得到的熵值向量输入至分类器,得到与所述访问行为对应的行为类型;
根据所述行为类型判断所述访问行为是否为异常访问行为;
若所述访问行为不是异常访问行为,则继续对下一域名对应的访问行为进行判断;
若所述访问行为是异常访问行为,则将所述访问行为异常访问行为记录到所述行为分析结果内。
进一步的,所述根据所述行为类型判断所述访问行为是否为异常访问行为,具体包括:
调用所述恶意行为模型库中的恶意行为模型,以及将所述访问行为与所述恶意行为模型进行匹配以判断所述访问行为是否为异常访问行为。
进一步的,所述根据所述域名分析结果和访问行为分析结果综合判断,确定域名记录集中的恶意域名,并对恶意域名进行警告标识,具体包括:
根据所述域名分析结果和访问行为分析结果的重要度,给所述域名分析结果分配第一权重值,给所述访问行为分析结果分配第二权重值;
将所述第一权重值与第二权重值相加得到恶意值;
若所述恶意值未超过预设恶意值,则所述域名记录集中的域名不是恶意域名;
若所述恶意值超过预设恶意值,则所述域名记录集中的域名是恶意域名,并对恶意域名通过颜色标识进行警告。
本发明的一种恶意域名访问分析及确定方法与现有技术相比,其有益效果在于:
本发明通过对域名和域名对应的行为进行综合分析来确定域名是否为恶意域名,提高恶意域名确认的精确度,避免恶意域名逃脱检测,并且对恶意域名进行警告标识,保证恶意域名能够及时被发现。
附图说明
图1是本发明实施例中一种恶意域名访问分析及确定方法的总流程示意图;
图2是本发明实施例中一种恶意域名访问分析及确定方法的部分流程示意图;
图3是本发明实施例中一种恶意域名访问分析及确定方法的部分流程示意图;
图4是本发明实施例中一种恶意域名访问分析及确定方法的部分流程示意图;
图5是本发明实施例中一种恶意域名访问分析及确定方法的部分流程示意图;
图6是本发明实施例中一种恶意域名访问分析及确定方法的部分流程示意图;
图7是本发明实施例中一种恶意域名访问分析及确定方法的部分流程示意图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
在本申请的描述中,需要理解的是,术语“中心”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本申请和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本申请的限制。
术语“”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。
在本申请的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本申请中的具体含义。
如图1所示,在本申请的实施例中,提供了一种恶意域名访问分析及确定方法,包括:收集恶意域名和恶意行为,分别建立恶意域名黑名单和恶意行为模型库;获取网卡捕获的全部流量数据包,并提取所述流量数据包内的DNS流量数据包;对所述DNS流量数据包进行解析得到域名记录集;根据所述恶意域名黑名单对域名记录集中的每一个域名进行分析得到域名分析结果,并根据所述恶意行为模型库对域名记录集中的每一个域名对应的访问行为进行分析得到访问行为分析结果;根据所述域名分析结果和访问行为分析结果综合判断,确定域名记录集中的恶意域名,并对恶意域名进行警告标识。
进一步的,通过对域名和域名对应的行为进行综合分析来确定域名是否为恶意域名,提高恶意域名确认的精确度,避免恶意域名逃脱检测,并且对恶意域名进行警告标识,保证恶意域名能够及时被发现。
如图2所示,在本申请的实施例中,提供一种恶意域名访问分析及确定方法,所述收集恶意域名和恶意行为,分别建立恶意域名黑名单和恶意行为模型库,具体包括:利用大数据挖掘技术对公开的威胁情报源进行搜集并及时更新,利用大数据分析处理搜集到的威胁情报中的域名和行为;判断搜集到的威胁情报中的域名是否为恶意域名,判断搜集到的威胁情报中的行为是否为恶意行为;若威胁情报中的域名是恶意域名,提取出威胁情报中的恶意域名,建立恶意域名黑名单;若威胁情报中的行为是恶意行为,提取出威胁情报中的恶意行为,建立恶意行为模型库。
具体的,通过大数据挖掘技术对现有的,已经公开的威胁情报源进行搜集并及时更新,再利用大数据分析和处理搜集到的威胁情报,并判断其中的域名和行为是否为恶意域名和恶意行为,如果是的话就将其提取出来,分别建立建立恶意域名黑名单和恶意行为模型库,为之后域名和行为的判断提供前期的数据支撑。
如图3所示,在本申请的实施例中,提供一种恶意域名访问分析及确定方法,所述获取网卡捕获的全部流量数据包,并提取所述流量数据包内的DNS流量数据包,具体包括:将所述网卡捕获的全部流量数据包以镜像的方式保存至内部储存中;确定所述网卡捕获的全部流量数据包内的DNS流量数据包;将DNS流量数据包从所述网卡捕获的全部流量数据包内分离出来。
具体的,通过所述网卡从预设网络设备中捕获待识别的流量数据包,对捕获的全部流量数据包进行牵引或者镜像,从而可以引入待识别的流量数据包,并从所述待识别的流量数据包中分离出DNS数据包,其中,对所述待识别的流量数据包进行OSI参考模型的第七层应用层预处理,以获取来自53端口的UDP请求数据,对于其他数据包可以抛弃或者转交给其他协议模块进行处理。
如图4所示,在本申请的实施例中,提供一种恶意域名访问分析及确定方法,所述对所述DNS流量数据包进行解析得到域名记录集,具体包括:对所述DNS流量数据包进行解析得到DNS解析数据;对所述DNS解析数据进行数据清洗,将所述DNS解析数据中没有影响的字段去掉,保留有影响统的字段;从有影响统的字段内提取所有的域名,集合后得到所有的域名记录集。
具体的,对所述通信数据进行解析,以提取出所述DNS流量数据包中涉及到的源主机的IP、所述源主机所查询的域名以及查询所源主机所查询的域名以及查询所述域名的时间。
如图5所示,在本申请的实施例中,提供一种恶意域名访问分析及确定方法,所述根据所述恶意域名黑名单对域名记录集中的每一个域名进行分析得到域名分析结果,具体包括:获取每一个域名,将每一个域名与所述恶意域名黑名单中的域名进行匹配得到一个匹配度值;根据所述匹配度值与预设匹配度值的大小判断所述域名是否为疑似恶意域名;若所述匹配度值小于等于所述预设匹配度值,则所述域名不是疑似恶意域名,继续对下一域名行为进行判断;若所述访问域名是异常访问域名,则将所述域名为疑似恶意域名记录到所述域名分析结果内。
具体的,对获取每一个域名都与所述恶意域名黑名单中的域名进行匹配来判断所述域名是不是疑似恶意域名,若所述访问域名是异常访问域名,则将所述域名为疑似恶意域名记录到所述域名分析结果内。
在本申请的实施例中,提供一种恶意域名访问分析及确定方法,所述根据所述匹配值与预设匹配值的大小判断所述域名是否为疑似恶意域名,具体包括:调用所述恶意域名黑名单中的恶意域名模型,以及将所述域名与所述恶意域名模型的匹配度值进行计算以判断所述域名是否为疑似恶意域名。
具体的,在所述恶意域名黑名单中建立一个恶意域名模型,通过调用所述恶意域名黑名单中的恶意域名模型,并通过计算所述域名与所述恶意域名模型的匹配度值,如果匹配度达到预设值后则判断所述域名是疑似恶意域名。
如图6所示,在本申请的实施例中,提供一种恶意域名访问分析及确定方法,所述并根据所述恶意行为模型库对域名记录集中的每一个域名对应的访问行为进行分析得到访问行为分析结果,具体包括:获取每一个域名对应的访问行为,提取所述访问行为的特征信息;将所述特征信息进行熵值量化,将量化后得到的熵值向量输入至分类器,得到与所述访问行为对应的行为类型;根据所述行为类型判断所述访问行为是否为异常访问行为;若所述访问行为不是异常访问行为,则继续对下一域名对应的访问行为进行判断;若所述访问行为是异常访问行为,则将所述访问行为异常访问行为记录到所述行为分析结果内。
具体的,每一个域名都有其对应的访问行为,通过提取所述访问行为的特征信息,将所述特征信息进行熵值量化,将量化后得到的熵值向量输入至分类器,得到与所述访问行为对应的行为类型,其中行为类型就可以确定所述访问行为是否为异常访问行为,行为类型是判断所述访问行为是否为异常访问行为的标志,若所述访问行为是异常访问行为,则将所述访问行为异常访问行为记录到所述行为分析结果内。
在本申请的实施例中,提供一种恶意域名访问分析及确定方法,所述根据所述行为类型判断所述访问行为是否为异常访问行为,具体包括:调用所述恶意行为模型库中的恶意行为模型,以及将所述访问行为与所述恶意行为模型进行匹配以判断所述访问行为是否为异常访问行为。
在所述恶意行为模型库中建立一个恶意行为模型,通过调用所述恶意行为模型库中的恶意行为模型,并通过计算所述访问行为与所述恶意行为模型的匹配度值,如果匹配度达到预设值后则判断所述访问行为是异常访问行为。
如图7所示,在本申请的实施例中,提供一种恶意域名访问分析及确定方法,所述根据所述域名分析结果和访问行为分析结果综合判断,确定域名记录集中的恶意域名,并对恶意域名进行警告标识,具体包括:根据所述域名分析结果和访问行为分析结果的重要度,给所述域名分析结果分配第一权重值,给所述访问行为分析结果分配第二权重值;将所述第一权重值与第二权重值相加得到恶意值;若所述恶意值未超过预设恶意值,则所述域名记录集中的域名不是恶意域名;若所述恶意值超过预设恶意值,则所述域名记录集中的域名是恶意域名,并对恶意域名通过颜色标识进行警告。
具体的,对所述域名分析结果和访问行为分析结果对应的分配第一权重值和第二权重值,将第一权重值与第二权重值进行相加得到恶意值,根据恶意值与预设恶意值的大小关系来判断域名是不是恶意域名,对恶意域名通过颜色标识进行警告。
综上,本发明实施例提供一种恶意域名访问分析及确定方法,其包括:收集恶意域名和恶意行为,分别建立恶意域名黑名单和恶意行为模型库;获取网卡捕获的全部流量数据包,并提取流量数据包内的DNS流量数据包;对DNS流量数据包进行解析得到域名记录集;根据恶意域名黑名单对域名记录集中的每一个域名进行分析得到域名分析结果,并根据恶意行为模型库对域名记录集中的每一个域名对应的访问行为进行分析得到访问行为分析结果;根据域名分析结果和访问行为分析结果综合判断,确定域名记录集中的恶意域名,并对恶意域名进行警告标识。本发明通过对域名和域名对应的行为进行综合分析来确定域名是否为恶意域名,提高恶意域名确认的精确度,避免恶意域名逃脱检测,并且对恶意域名进行警告标识,保证恶意域名能够及时被发现。
最后应说明的是:显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
以上所述仅为本发明的一个实施例子,但不能以此限制本发明的范围,凡依据本发明所做的结构上的变化,只要不失本发明的要义所在,都应视为落入本发明保护范围之内受到制约。所属技术领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***的具体工作过程及有关说明,可以参考前述方法实施例中的对应过程,在此不再赘述。
术语“包括”或者任何其它类似用语旨在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备/装置不仅包括那些要素,而且还包括没有明确列出的其它要素,或者还包括这些过程、方法、物品或者设备/装置所固有的要素。
至此,已经结合附图所示的进一步实施方式描述了本发明的技术方案,但是,本领域技术人员容易理解的是,本发明的保护范围显然不局限于这些具体实施方式。在不偏离本发明的原理的前提下,本领域技术人员可以对相关技术特征作出等同的更改或替换,这些更改或替换之后的技术方案都将落入本发明的保护范围之内。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。

Claims (9)

1.一种恶意域名访问分析及确定方法,其特征在于,包括:
收集恶意域名和恶意行为,分别建立恶意域名黑名单和恶意行为模型库;
获取网卡捕获的全部流量数据包,并提取所述流量数据包内的DNS流量数据包;
对所述DNS流量数据包进行解析得到域名记录集;
根据所述恶意域名黑名单对域名记录集中的每一个域名进行分析得到域名分析结果,并根据所述恶意行为模型库对域名记录集中的每一个域名对应的访问行为进行分析得到访问行为分析结果;
根据所述域名分析结果和访问行为分析结果综合判断,确定域名记录集中的恶意域名,并对恶意域名进行警告标识。
2.根据权利要求1所述的一种恶意域名访问分析及确定方法,其特征在于,所述收集恶意域名和恶意行为,分别建立恶意域名黑名单和恶意行为模型库,具体包括:
利用大数据挖掘技术对公开的威胁情报源进行搜集并及时更新,利用大数据分析处理搜集到的威胁情报中的域名和行为;
判断搜集到的威胁情报中的域名是否为恶意域名,判断搜集到的威胁情报中的行为是否为恶意行为;
若威胁情报中的域名是恶意域名,提取出威胁情报中的恶意域名,建立恶意域名黑名单;
若威胁情报中的行为是恶意行为,提取出威胁情报中的恶意行为,建立恶意行为模型库。
3.根据权利要求1所述的一种恶意域名访问分析及确定方法,其特征在于,所述获取网卡捕获的全部流量数据包,并提取所述流量数据包内的DNS流量数据包,具体包括:
将所述网卡捕获的全部流量数据包以镜像的方式保存至内部储存中;
确定所述网卡捕获的全部流量数据包内的DNS流量数据包;
将DNS流量数据包从所述网卡捕获的全部流量数据包内分离出来。
4.根据权利要求1所述的一种恶意域名访问分析及确定方法,其特征在于,所述对所述DNS流量数据包进行解析得到域名记录集,具体包括:
对所述DNS流量数据包进行解析得到DNS解析数据;
对所述DNS解析数据进行数据清洗,将所述DNS解析数据中没有影响的字段去掉,保留有影响统的字段;
从有影响统的字段内提取所有的域名,集合后得到所有的域名记录集。
5.根据权利要求1所述的一种恶意域名访问分析及确定方法,其特征在于,所述根据所述恶意域名黑名单对域名记录集中的每一个域名进行分析得到域名分析结果,具体包括:
获取每一个域名,将每一个域名与所述恶意域名黑名单中的域名进行匹配得到一个匹配度值;
根据所述匹配度值与预设匹配度值的大小判断所述域名是否为疑似恶意域名;
若所述匹配度值小于等于所述预设匹配度值,则所述域名不是疑似恶意域名,继续对下一域名行为进行判断;
若所述访问域名是异常访问域名,则将所述域名为疑似恶意域名记录到所述域名分析结果内。
6.根据权利要求1所述的一种恶意域名访问分析及确定方法,其特征在于,所述根据所述匹配值与预设匹配值的大小判断所述域名是否为疑似恶意域名,具体包括:
调用所述恶意域名黑名单中的恶意域名模型,以及将所述域名与所述恶意域名模型的匹配度值进行计算以判断所述域名是否为疑似恶意域名。
7.根据权利要求1所述的一种恶意域名访问分析及确定方法,其特征在于,所述并根据所述恶意行为模型库对域名记录集中的每一个域名对应的访问行为进行分析得到访问行为分析结果,具体包括:
获取每一个域名对应的访问行为,提取所述访问行为的特征信息;
将所述特征信息进行熵值量化,将量化后得到的熵值向量输入至分类器,得到与所述访问行为对应的行为类型;
根据所述行为类型判断所述访问行为是否为异常访问行为;
若所述访问行为不是异常访问行为,则继续对下一域名对应的访问行为进行判断;
若所述访问行为是异常访问行为,则将所述访问行为异常访问行为记录到所述行为分析结果内。
8.根据权利要求7所述的一种恶意域名访问分析及确定方法,其特征在于,所述根据所述行为类型判断所述访问行为是否为异常访问行为,具体包括:
调用所述恶意行为模型库中的恶意行为模型,以及将所述访问行为与所述恶意行为模型进行匹配以判断所述访问行为是否为异常访问行为。
9.根据权利要求1所述的一种恶意域名访问分析及确定方法,其特征在于,所述根据所述域名分析结果和访问行为分析结果综合判断,确定域名记录集中的恶意域名,并对恶意域名进行警告标识,具体包括:
根据所述域名分析结果和访问行为分析结果的重要度,给所述域名分析结果分配第一权重值,给所述访问行为分析结果分配第二权重值;
将所述第一权重值与第二权重值相加得到恶意值;
若所述恶意值未超过预设恶意值,则所述域名记录集中的域名不是恶意域名;
若所述恶意值超过预设恶意值,则所述域名记录集中的域名是恶意域名,并对恶意域名通过颜色标识进行警告。
CN202310342943.1A 2023-03-31 2023-03-31 一种恶意域名访问分析及确定方法 Pending CN116455620A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310342943.1A CN116455620A (zh) 2023-03-31 2023-03-31 一种恶意域名访问分析及确定方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310342943.1A CN116455620A (zh) 2023-03-31 2023-03-31 一种恶意域名访问分析及确定方法

Publications (1)

Publication Number Publication Date
CN116455620A true CN116455620A (zh) 2023-07-18

Family

ID=87129569

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310342943.1A Pending CN116455620A (zh) 2023-03-31 2023-03-31 一种恶意域名访问分析及确定方法

Country Status (1)

Country Link
CN (1) CN116455620A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116886414A (zh) * 2023-08-09 2023-10-13 华能信息技术有限公司 一种dga域名检测方法、***及存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105024969A (zh) * 2014-04-17 2015-11-04 北京启明星辰信息安全技术有限公司 一种实现恶意域名识别的方法及装置
CN105915555A (zh) * 2016-06-29 2016-08-31 北京奇虎科技有限公司 网络异常行为的检测方法及***
CN109450886A (zh) * 2018-10-30 2019-03-08 杭州安恒信息技术股份有限公司 一种域名识别方法、***及电子设备和存储介质
CN112929326A (zh) * 2019-12-05 2021-06-08 华为技术有限公司 恶意域名访问的检测方法、装置及计算机可读存储介质
CN113691540A (zh) * 2021-08-25 2021-11-23 杭州安恒信息技术股份有限公司 一种异常域名检测方法、***及相关组件
CN114050912A (zh) * 2021-09-30 2022-02-15 中国科学院信息工程研究所 一种基于深度强化学习的恶意域名检测方法和装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105024969A (zh) * 2014-04-17 2015-11-04 北京启明星辰信息安全技术有限公司 一种实现恶意域名识别的方法及装置
CN105915555A (zh) * 2016-06-29 2016-08-31 北京奇虎科技有限公司 网络异常行为的检测方法及***
CN109450886A (zh) * 2018-10-30 2019-03-08 杭州安恒信息技术股份有限公司 一种域名识别方法、***及电子设备和存储介质
CN112929326A (zh) * 2019-12-05 2021-06-08 华为技术有限公司 恶意域名访问的检测方法、装置及计算机可读存储介质
CN113691540A (zh) * 2021-08-25 2021-11-23 杭州安恒信息技术股份有限公司 一种异常域名检测方法、***及相关组件
CN114050912A (zh) * 2021-09-30 2022-02-15 中国科学院信息工程研究所 一种基于深度强化学习的恶意域名检测方法和装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116886414A (zh) * 2023-08-09 2023-10-13 华能信息技术有限公司 一种dga域名检测方法、***及存储介质

Similar Documents

Publication Publication Date Title
EP3125147B1 (en) System and method for identifying a phishing website
US11399288B2 (en) Method for HTTP-based access point fingerprint and classification using machine learning
WO2007089943A2 (en) Detecting online abuse in images
EP3101580B1 (en) Website information extraction device, system, website information extraction method, and website information extraction program
CN111786966A (zh) 浏览网页的方法和装置
CN112491864A (zh) 检测网络诈骗的深度受害用户的方法、装置、设备及介质
CN116455620A (zh) 一种恶意域名访问分析及确定方法
CN111478892A (zh) 基于浏览器指纹的攻击者画像多维度分析方法
CN111147490A (zh) 一种定向钓鱼攻击事件发现方法及装置
CN113328990A (zh) 基于多重过滤的网间路由劫持检测方法及电子设备
CN111756874A (zh) 一种dns隧道上层协议的类型的识别方法和装置
CN112685255A (zh) 一种接口监控方法、装置、电子设备及存储介质
CN115314271B (zh) 一种访问请求的检测方法、***及计算机存储介质
CN115987687A (zh) 网络攻击取证方法、装置、设备及存储介质
JP5639535B2 (ja) 良性ドメイン名除外装置、良性ドメイン名除外方法、及びプログラム
CN113726826B (zh) 一种威胁情报生成方法及装置
CN113364780B (zh) 网络攻击受害者确定方法、设备、存储介质及装置
CN115913634A (zh) 一种基于深度学习的网络安全异常的检测方法及***
CN115883258B (zh) Ip信息处理方法、装置、电子设备和存储介质
CN113132340B (zh) 一种基于视觉与主机特征的钓鱼网站识别方法及电子装置
CN109391626B (zh) 一种判定网络攻击结果未遂的方法和相关装置
KR100687725B1 (ko) 지문 데이터 보안 인증 방법 및 그 장치
EP2114050A1 (en) Method and system for allocating resources of a Web-server based on classified usage behavior also for identifying and blocking bot generated HTTP-GET attacks
US20220109688A1 (en) Method for assessing the quality of network-related indicators of compromise
CN115001868B (zh) Apt攻击同源分析方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination