一種域名檢測(cè)方法及裝置制造方法及圖紙

本發(fā)明專(zhuān)利技術(shù)的實(shí)施例提供一種域名檢測(cè)方法及裝置，涉及通信領(lǐng)域，能夠解決現(xiàn)有技術(shù)中無(wú)法識(shí)別使用DGA算法生成的域名的問(wèn)題。包括：獲取待檢測(cè)域名的特征碼以及正常域名的特征碼，特征碼用于指示域名中字母的分布或字母及數(shù)字的分布；計(jì)算待檢測(cè)域名的特征碼與正常域名的特征碼之間的特征差距，特征差距用于指示待檢測(cè)域名的特征碼與正常域名的特征碼之間的相似程度；根據(jù)特征差距確定被訪問(wèn)的域名是否為使用域名生成DGA算法生成的域名。本發(fā)明專(zhuān)利技術(shù)用于檢測(cè)域名。

【技術(shù)實(shí)現(xiàn)步驟摘要】
一種域名檢測(cè)方法及裝置
本專(zhuān)利技術(shù)涉及通信領(lǐng)域，尤其涉及一種域名檢測(cè)方法及裝置。
技術(shù)介紹
隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)已經(jīng)融入了人們生活的方方面面。然而，黑客入侵作為互聯(lián)網(wǎng)技術(shù)發(fā)展的衍生物，也變得無(wú)孔不入，日益嚴(yán)峻地威脅著網(wǎng)絡(luò)安全。其中，通過(guò)在接入網(wǎng)絡(luò)的終端上植入能夠被遠(yuǎn)程控制的惡意程序例如木馬等，黑客可以達(dá)到控制該終端的目的。為了應(yīng)對(duì)黑客的入侵，可以通過(guò)防火墻監(jiān)控并阻止黑客控制終端上被植入的惡意程序。但隨著技術(shù)的發(fā)展，越來(lái)越多的惡意程序能夠主動(dòng)發(fā)起連接，這種連接通常使用HTTP協(xié)議的方式實(shí)現(xiàn)，能夠繞過(guò)防火墻的阻擋連接到遠(yuǎn)程服務(wù)器，以實(shí)現(xiàn)黑客對(duì)終端的遠(yuǎn)程控制。為了解決上述問(wèn)題，現(xiàn)有技術(shù)中提供了一種通過(guò)基于黑名單的域名檢測(cè)方法，其中，當(dāng)用戶(hù)通過(guò)終端所訪問(wèn)的域名與黑名單中的域名匹配時(shí)，禁止用戶(hù)通過(guò)終端繼續(xù)訪問(wèn)該域名。上述方法雖然能夠阻止一部分黑客所植入惡意程序主動(dòng)發(fā)起的連接，但越來(lái)越多的惡意程序開(kāi)始使用特定的域名生成(英文全稱(chēng)：DomainGenerationAlgorithm，英文簡(jiǎn)稱(chēng)：DGA)算法生成域名。由于現(xiàn)有技術(shù)中基于黑名單的域名檢測(cè)方法無(wú)法識(shí)別使用DGA算法生成的域名，而使用DGA算法生成域名的速度較高，每天可以自動(dòng)生成超過(guò)50,000個(gè)隨機(jī)的域名，黑名單中的域名通常遠(yuǎn)少于DGA算法生成的域名，因此惡意程序能夠繞過(guò)現(xiàn)有技術(shù)中對(duì)于域名的檢測(cè)，降低了現(xiàn)有技術(shù)中對(duì)非正常域名檢測(cè)的成功率。
技術(shù)實(shí)現(xiàn)思路
本申請(qǐng)?zhí)峁┮环N域名檢測(cè)方法及裝置，能夠解決現(xiàn)有技術(shù)中無(wú)法識(shí)別使用DGA算法生成的域名的問(wèn)題。第一方面，本專(zhuān)利技術(shù)的實(shí)施例提供了一種域名檢測(cè)方法，包括：獲取待檢測(cè)域名的特征碼以及正常域名的特征碼，特征碼用于指示域名中字母的分布或字母及數(shù)字的分布；計(jì)算待檢測(cè)域名的特征碼與正常域名的特征碼之間的特征差距，特征差距用于指示待檢測(cè)域名的特征碼與正常域名的特征碼之間的相似程度；根據(jù)特征差距確定被訪問(wèn)的域名是否為使用域名生成DGA算法生成的域名。第二方面，本專(zhuān)利技術(shù)的實(shí)施例提供了一種域名檢測(cè)裝置。包括：處理模塊，用于獲取待檢測(cè)域名的特征碼以及正常域名的特征碼，特征碼用于指示域名中字母的分布或字母及數(shù)字的分布；處理模塊還用于計(jì)算待檢測(cè)域名的特征碼與正常域名的特征碼之間的特征差距，特征差距用于指示待檢測(cè)域名的特征碼與正常域名的特征碼之間的相似程度；檢測(cè)模塊，用于根據(jù)特征差距確定被訪問(wèn)的域名是否為使用域名生成DGA算法生成的域名。本專(zhuān)利技術(shù)的實(shí)施例提供了一種域名檢測(cè)方法及裝置，通過(guò)獲取待檢測(cè)域名的特征碼以及正常域名的特征碼，并計(jì)算待檢測(cè)域名的特征碼與正常域名的特征碼之間的特征差距，由于特征碼用于指示域名中字母或字母及數(shù)字的分布，因此根據(jù)待檢測(cè)域名的特征碼與正常域名的特征碼之間的特征差距可以確定待檢測(cè)域名的特征碼與正常域名的特征碼的相似度，由于當(dāng)待檢測(cè)域名的特征碼與正常域名的特征碼的相似度差距較大時(shí)，該待檢測(cè)域名為使用域名生成DGA算法生成的域名的可能性較高，因此可以根據(jù)特征差距確定被訪問(wèn)的域名是否為使用域名生成DGA算法生成的域名。因此本專(zhuān)利技術(shù)實(shí)施例提供的域名檢測(cè)方法解決了現(xiàn)有技術(shù)中無(wú)法識(shí)別使用DGA算法生成的域名的問(wèn)題，提高了對(duì)非正常域名檢測(cè)的成功率，改善了用戶(hù)體驗(yàn)。附圖說(shuō)明為了更清楚地說(shuō)明本專(zhuān)利技術(shù)實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)實(shí)施例描述中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見(jiàn)地，下面描述中的附圖僅僅是本專(zhuān)利技術(shù)的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。圖1為本專(zhuān)利技術(shù)的實(shí)施例所提供的一種由DGA算法生成的域名中字符分布概率的示意圖；圖2為本專(zhuān)利技術(shù)的實(shí)施例所提供的一種正常域名中字符分布概率的示意圖；圖3為本專(zhuān)利技術(shù)的實(shí)施例所提供的一種域名檢測(cè)方法的示意性流程圖；圖4為本專(zhuān)利技術(shù)的另一實(shí)施例所提供的一種域名檢測(cè)方法的示意性流程圖；圖5為本專(zhuān)利技術(shù)的實(shí)施例所提供的一種域名檢測(cè)裝置的示意性結(jié)構(gòu)圖；圖6為本專(zhuān)利技術(shù)的另一實(shí)施例所提供的一種域名檢測(cè)裝置的示意性結(jié)構(gòu)圖。具體實(shí)施方式下面將結(jié)合本專(zhuān)利技術(shù)實(shí)施例中的附圖，對(duì)本專(zhuān)利技術(shù)實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本專(zhuān)利技術(shù)一部分實(shí)施例，而不是全部的實(shí)施例。基于本專(zhuān)利技術(shù)中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本專(zhuān)利技術(shù)保護(hù)的范圍。為了便于清楚描述本專(zhuān)利技術(shù)實(shí)施例的技術(shù)方案，在本專(zhuān)利技術(shù)的實(shí)施例中，采用了“第一”、“第二”等字樣對(duì)功能和作用基本相同的相同項(xiàng)或相似項(xiàng)進(jìn)行區(qū)分，本領(lǐng)域技術(shù)人員可以理解“第一”、“第二”等字樣并不是在對(duì)數(shù)量和執(zhí)行次序進(jìn)行限定。作為互聯(lián)網(wǎng)技術(shù)發(fā)展的衍生物，黑客主導(dǎo)的惡意攻擊行為嚴(yán)重的影響著人們的生活。其中，其中，通過(guò)在接入網(wǎng)絡(luò)的終端上植入能夠被遠(yuǎn)程控制的惡意程序例如木馬等，黑客可以達(dá)到控制該終端的目的。現(xiàn)有的惡意程序例如木馬、僵尸等一般可以通過(guò)監(jiān)聽(tīng)某個(gè)網(wǎng)絡(luò)端口，等待遠(yuǎn)程的控制服務(wù)器對(duì)其進(jìn)行連接，以接受黑客的遠(yuǎn)程控制。為了防范黑客攻擊，可以通過(guò)設(shè)置防火墻阻擋惡意程序與遠(yuǎn)程服務(wù)器的連接。但隨著技術(shù)的發(fā)展，惡意程序?yàn)榱吮苊獗话l(fā)現(xiàn)或檢測(cè)出來(lái)，開(kāi)始從網(wǎng)絡(luò)內(nèi)部主動(dòng)發(fā)起連接，上述主動(dòng)發(fā)起的連接通常使用HTTP協(xié)議的方式實(shí)現(xiàn)，可以繞過(guò)防火墻的阻擋連接到遠(yuǎn)程服務(wù)器，達(dá)到接受遠(yuǎn)程控制的目的。為了解決上述問(wèn)題，現(xiàn)有技術(shù)中提供了一種通過(guò)基于黑名單的域名檢測(cè)方法，其中，當(dāng)用戶(hù)通過(guò)終端所訪問(wèn)的域名與黑名單中的域名匹配時(shí)，禁止用戶(hù)通過(guò)終端繼續(xù)訪問(wèn)該域名。這種方式確實(shí)可以有效阻擋一部分惡意程序接受遠(yuǎn)程控制的問(wèn)題，但由于上述域名檢測(cè)方法較為簡(jiǎn)單，對(duì)黑名單的依賴(lài)性較高，同時(shí)惡意程序例如具有代表性的Zeus和Conficker逐漸開(kāi)始使用特定的域名生成(英文全稱(chēng)：DomainGenerationAlgorithm，英文簡(jiǎn)稱(chēng)：DGA)算法定期地、自動(dòng)地生成域名，并主動(dòng)訪問(wèn)該生成的域名。由于使用DGA算法生成域名的速度較高，例如Conficker的一個(gè)變種最高每天可以自動(dòng)生成超過(guò)50,000個(gè)隨機(jī)的域名，與之相比，黑名單中的域名通常遠(yuǎn)少于DGA算法生成的域名，因此惡意程序能夠繞過(guò)現(xiàn)有技術(shù)中對(duì)于域名的檢測(cè)，降低了現(xiàn)有技術(shù)中域名檢測(cè)方法的成功率。針對(duì)上述問(wèn)題，申請(qǐng)人注意到通常使用的域名中絕大部分的字符都是數(shù)字和字母，之所以會(huì)使用這些數(shù)字和字母來(lái)組成這樣的一個(gè)域名，是為了便于記憶，并通過(guò)遍布全球的DNS服務(wù)來(lái)將這些便于記憶的域名轉(zhuǎn)換成為IP地址進(jìn)行訪問(wèn)。因此當(dāng)域名并非為DGA算法生成的正常域名時(shí)，該域名中為了便于記憶而選取的字符必然是一些有實(shí)際含義的單詞或者短語(yǔ)。而惡意程序例如木馬等使用DGA算法生成域名是為了繞過(guò)現(xiàn)有的檢測(cè)系統(tǒng)，由DGA算法生成的域名大多數(shù)是隨機(jī)選取。因此正常域名與由DGA算法生成的域名的字符組成存在一定的差異。如附圖1所示，本專(zhuān)利技術(shù)的實(shí)施例提供了一種由DGA算法生成的域名中字符分布概率的示意圖，如附圖2所示，本專(zhuān)利技術(shù)的實(shí)施例提供了一種正常域名中字符分布概率的示意圖，在附圖1、附圖2中，橫軸表示的是全部數(shù)字和字母以及“-”，上述數(shù)字和字母以及“-”都是組成域名最常見(jiàn)的字符。縱軸表示的是在全部統(tǒng)計(jì)的樣本中出現(xiàn)的概率。根據(jù)附圖1以及附圖2所示可知，由DGA算法生成的域名中數(shù)字和字母出現(xiàn)的概率相對(duì)比較平均，某些常本文檔來(lái)自技高網(wǎng)...

【技術(shù)保護(hù)點(diǎn)】
一種域名檢測(cè)方法，其特征在于，包括：獲取待檢測(cè)域名的特征碼以及正常域名的特征碼，所述特征碼用于指示域名中字母的分布或字母及數(shù)字的分布；計(jì)算所述待檢測(cè)域名的特征碼與所述正常域名的特征碼之間的特征差距，所述特征差距用于指示所述待檢測(cè)域名的特征碼與所述正常域名的特征碼之間的相似程度；根據(jù)所述特征差距確定所述被訪問(wèn)的域名是否為使用域名生成DGA算法生成的域名。

【技術(shù)特征摘要】
1.一種域名檢測(cè)方法，其特征在于，包括：獲取待檢測(cè)域名的特征碼以及正常域名的特征碼，所述特征碼用于指示域名中字母的分布或字母及數(shù)字的分布；計(jì)算所述待檢測(cè)域名的特征碼與所述正常域名的特征碼之間的特征差距，所述特征差距用于指示所述待檢測(cè)域名的特征碼與所述正常域名的特征碼之間的相似程度；根據(jù)所述特征差距確定所述被訪問(wèn)的域名是否為使用域名生成DGA算法生成的域名。2.根據(jù)權(quán)利要求1所述的域名檢測(cè)方法，其特征在于，所述獲取待檢測(cè)域名的特征碼以及正常域名的特征碼前，所述方法還包括：獲取web訪問(wèn)日志，并解析所述web訪問(wèn)日志以獲取所述待檢測(cè)域名。3.根據(jù)權(quán)利要求1所述的域名檢測(cè)方法，其特征在于，所述獲取待檢測(cè)域名的特征碼以及正常域名的特征碼前，所述方法還包括：將所述待檢測(cè)域名以及正常域名的頂級(jí)域名后綴LTD以及國(guó)家頂級(jí)域名后綴ccTLD去除；和/或，將所述待檢測(cè)域名以及正常域名的前綴”www”去除；和/或，將所述待檢測(cè)域名以及正常域名中除0-9、a-z、“.”、“_”以及“-”以外的字符去除。4.根據(jù)權(quán)利要求1所述的域名檢測(cè)方法，其特征在于，所述計(jì)算所述待檢測(cè)域名的特征碼與所述正常域名的特征碼之間的特征差距，包括：當(dāng)特征碼用于指示域名中字母的分布或字母及數(shù)字的分布時(shí)，計(jì)算所述待檢測(cè)域名的特征碼與所述正常域名的特征碼之間的杰卡德相似性度，所述杰卡德相似性度為所述待檢測(cè)域名的特征碼與所述正常域名的特征碼之間的特征差距；和/或，當(dāng)特征碼用于指示域名中字母及數(shù)字的分布時(shí)，根據(jù)Damerau-Levenshtein距離算法計(jì)算所述待檢測(cè)域名的特征碼與所述正常域名的特征碼的Damerau-Levenshtein距離,所述Damerau-Levenshtein距離為所述待檢測(cè)域名的特征碼與所述正常域名的特征碼之間的特征差距。5.根據(jù)權(quán)利要求4所述的域名檢測(cè)方法，其特征在于，所述根據(jù)所述特征差距確定所述被訪問(wèn)的域名是否為使用域名生成DGA算法生成的域名，包括：當(dāng)根據(jù)用于指示域名中字母及數(shù)字的分布的特征碼獲取的所述杰卡德相似性度大于或等于0.8時(shí)，確定所述被訪問(wèn)的域名為使用DGA算法生成的域名；和/或，當(dāng)杰卡德差值與根據(jù)用于指示域名中字母及數(shù)字的分布的特征碼獲取的所述杰卡德相似性度的比率小于0.1時(shí)，確定所述被訪問(wèn)的域名為使用DGA算法生成的域名，所述杰卡德差值為根據(jù)用于指示域名中字母的分布的特征碼獲取的所述杰卡德相似性度與根據(jù)用于指示域名中字母及數(shù)字的分布的特征碼獲取的所述杰卡德相似性度之間的差值的絕對(duì)值；和/或，當(dāng)所述Damerau-Levenshtein距離大于或等于0.9時(shí)，確定所述被訪問(wèn)的域名為使用DGA算法生成的域名。6.根據(jù)權(quán)利要求1-5中任一項(xiàng)所述的域名檢測(cè)方法，其特征在于，所述方法還包括：對(duì)終端的訪問(wèn)記錄中的域名與確定為使用DGA算法生成的域名進(jìn)行匹配；當(dāng)所述終端的訪問(wèn)記錄中的域名與所述確定為使用DGA算法生成的域名滿足感染匹配條件時(shí)，確定所述終端為感染終端；和/或，當(dāng)所述終端的訪問(wèn)記錄中的域名與所述確定為使用DGA算法生成的域名滿足刪除匹配條件時(shí)，將滿足...

【專(zhuān)利技術(shù)屬性】
技術(shù)研發(fā)人員：曹磊，徐業(yè)禮，童寧，吳湘寧，徐江明，
申請(qǐng)(專(zhuān)利權(quán))人：成都亞信網(wǎng)絡(luò)安全產(chǎn)業(yè)技術(shù)研究院有限公司，
類(lèi)型：發(fā)明
國(guó)別省市：四川,51