本申請公開了一種域名檢測方法、系統、設備及計算機可讀存儲介質,獲取目標設備對各個域名的訪問時間序列;在訪問時間序列中,根據預設時間段將訪問時間序列劃分為至少一訪問子時間序列;對訪問子時間序列進行訪問特征分析,確定對應的時序特征;基于時序特征分析域名是否為惡意域名,得到對應的檢測結果。本申請中,可以根據目標設備對域名的訪問時間序列的分析結果,來確定目標設備在各個時間段下訪問域名的時序特征,并基于該時序特征分析域名是否為惡意域名,擴充了惡意域名的檢測方式,因為設備訪問惡意域名的時序特征在各個時間段下具有共性,所以基于各個時間段下時序特征進行域名檢測的話,能夠提高域名檢測的準確性。性。性。
【技術實現步驟摘要】
一種域名檢測方法、系統、設備及計算機可讀存儲介質
[0001]本申請涉及網絡安全
,更具體地說,涉及一種域名檢測方法、系統、設備及計算機可讀存儲介質。
技術介紹
[0002]在服務器等設備的運行過程中,攻擊者會對設備進行攻擊,比如通過僵尸網絡等對設備進行攻擊,僵尸網絡指采用一種或多種傳播手段,將大量主機感染bot程序(僵尸程序)病毒,從而在控制者和被感染主機之間所形成的一個可一對多控制的網絡。因此,為了保護設備安全,便需要對僵尸網絡等的域名進行檢測,以便基于相應的域名進行安全防護。
[0003]比如可以通過對沙箱釋放流量的異常進行分析來提取出惡意域名,但受限于沙箱環境以及樣本本身對抗手段,如加殼、代碼混淆、執行環節檢查等方式,會使得沙箱對于文件樣本的流量釋放情況不準確,從而無法準確對域名進行檢測。
[0004]綜上所述,如何提高域名檢測的準確性是目前本領域技術人員亟待解決的問題。
技術實現思路
[0005]本申請的目的是提供一種域名檢測方法,其能在一定程度上解決如何提高域名檢測的準確性的技術問題。本申請還提供了一種域名檢測系統、電子設備及計算機可讀存儲介質。
[0006]為了實現上述目的,本申請提供如下技術方案:
[0007]一種域名檢測方法,包括:
[0008]獲取目標設備對各個域名的訪問時間序列;
[0009]在所述訪問時間序列中,針對每一所述訪問時間序列,根據預設時間段將所述訪問時間序列劃分為至少一訪問子時間序列;
[0010]對所述訪問子時間序列進行訪問特征分析,確定對應的時序特征;
[0011]基于所述時序特征分析所述域名是否為惡意域名,得到對應的檢測結果。
[0012]優選的,所述對所述訪問子時間序列進行訪問特征分析,確定對應的時序特征,包括:
[0013]將所述訪問子時間序列中時間戳的總數量作為所述目標設備在所述時間段下訪問所述域名的總次數值;
[0014]和/或,將所述訪問子時間序列拆分為各個第一連續時間區間,將各個所述第一連續時間區間下時間戳的總數量與所述第一連續時間區間的時長的比值,作為所述目標設備在所述第一連續時間區間下訪問所述域名的第一頻率值;
[0015]和/或,以單位時長作為連續時間區間的拆分閾值,將所述訪問子時間序列拆分為各個第二連續時間區間,將各個所述第二連續時間區間下時間戳的總數量與所述第二連續時間區間的時長的比值,作為所述目標設備在所述第二連續時間區間下訪問所述域名的第二頻率值;
[0016]若所述總次數值大于第一預設值,和/或大于預設時長的所述第一連續時間區間的所述第一頻率值超過第一預設頻率值,和/或所述第二頻率值的最大值超過第二預設頻率值,則確定在所述訪問子時間序列對應的所述時間段下,所述時序特征為所述目標設備持續高頻訪問域名;
[0017]其中,所述連續時間區間為:由時間間隔在所述拆分閾值內的所有相鄰時間戳組成的時間區間。
[0018]優選的,所述對所述訪問子時間序列進行訪問特征分析,確定對應的時序特征,包括:
[0019]對所述訪問子時間序列進行去重處理,得到去重訪問子時間序列;
[0020]確定所述去重訪問子時間序列對應的連續時間區間的拆分閾值;
[0021]按照所述拆分閾值,將所述去重訪問子時間序列拆分為各個第三連續時間區間;
[0022]若時間序列長度超過第二預設值的所述第三連續時間區間滿足時間周期性,則確定在所述訪問子時間序列對應的所述時間段下,所述時序特征為所述目標設備局部周期性訪問域名;
[0023]其中,連續時間區間為:由時間間隔在所述拆分閾值內的所有相鄰時間戳組成的時間區間。
[0024]優選的,所述拆分閾值通過以下方式確定:
[0025]對所述去重訪問子時間序列進行擬合,得到第一擬合函數;
[0026]將所述第一擬合函數的斜率與預設值的乘積值作為所述拆分閾值。
[0027]優選的,所述對所述訪問子時間序列進行訪問特征分析,確定對應的時序特征,包括:
[0028]將所述訪問子時間序列拆分為各個第四連續時間區間,將各個所述第四連續時間區間下時間戳的總數量與所述第四連續時間區間的時長的比值,作為所述目標設備在所述第四連續時間區間下訪問所述域名的第三頻率值;
[0029]確定各個所述第四連續時間區間的平均時間戳值,將所有的所述平均時間戳值組成第五連續時間區間;
[0030]若存在時間戳數量值大于第四預設值且所述第三頻率值超過第三預設頻率值的所述第四連續時間區間,且所述第五連續時間區間滿足時間周期性,則判定在所述訪問子時間序列對應的所述時間段下,所述時序特征為所述目標設備整體周期性且局部高頻性訪問域名;
[0031]其中,連續時間區間為:由時間間隔在所述拆分閾值內的所有相鄰時間戳組成的時間區間。
[0032]優選的,判斷所述連續時間區間是否滿足時間周期性,包括:
[0033]對所述連續時間區間進行擬合,得到目標擬合函數,并基于所述目標擬合函數計算時間戳的目標標準差值;
[0034]若所述目標標準差值大于目標預設值,則確定所述連續時間區間不滿足所述時間周期性,若所述目標標準差值小于等于所述目標預設值,則確定所述連續時間區間滿足所述時間周期性。
[0035]優選的,所述基于所述時序特征分析所述域名是否為惡意域名,得到對應的檢測
結果,包括:
[0036]若所述目標設備在各個所述時間段下對同一所述域名的所述時序特征均相同,則得到表征所述域名為惡意域名的所述檢測結果。
[0037]一種域名檢測系統,包括:
[0038]時間序列獲取模塊,用于獲取目標設備對各個域名的訪問時間序列;
[0039]子時間序列獲取模塊,用于在所述訪問時間序列中,針對每一所述訪問時間序列,根據預設時間段將所述訪問時間序列劃分為至少一訪問子時間序列;
[0040]時序特征分析模塊,用于對所述訪問子時間序列進行訪問特征分析,確定對應的時序特征;
[0041]檢測模塊,用于基于所述時序特征分析所述域名是否為惡意域名,得到對應的檢測結果。
[0042]一種電子設備,包括:
[0043]存儲器,用于存儲計算機程序;
[0044]處理器,用于執行所述計算機程序時實現如上任一所述域名檢測方法的步驟。
[0045]一種計算機可讀存儲介質,所述計算機可讀存儲介質中存儲有計算機程序,所述計算機程序被處理器執行時實現如上任一所述域名檢測方法的步驟。
[0046]本申請提供的一種域名檢測方法,獲取目標設備對各個域名的訪問時間序列;在訪問時間序列中,根據預設時間段將訪問時間序列劃分為至少一訪問子時間序列;對訪問子時間序列進行訪問特征分析,確定對應的時序特征;基于時序特征分析域名是否為惡意域名,得到對應的檢測結果。本申請中,可以根據目標設備對域名的訪問時間序列的分析結果,來確定目標設備在各個時本文檔來自技高網...
【技術保護點】
【技術特征摘要】
1.一種域名檢測方法,其特征在于,包括:獲取目標設備對各個域名的訪問時間序列;在所述訪問時間序列中,針對每一所述訪問時間序列,根據預設時間段將所述訪問時間序列劃分為至少一訪問子時間序列;對所述訪問子時間序列進行訪問特征分析,確定對應的時序特征;基于所述時序特征分析所述域名是否為惡意域名,得到對應的檢測結果。2.根據權利要求1所述的方法,其特征在于,所述對所述訪問子時間序列進行訪問特征分析,確定對應的時序特征,包括:將所述訪問子時間序列中時間戳的總數量作為所述目標設備在所述時間段下訪問所述域名的總次數值;和/或,將所述訪問子時間序列拆分為各個第一連續時間區間,將各個所述第一連續時間區間下時間戳的總數量與所述第一連續時間區間的時長的比值,作為所述目標設備在所述第一連續時間區間下訪問所述域名的第一頻率值;和/或,以單位時長作為連續時間區間的拆分閾值,將所述訪問子時間序列拆分為各個第二連續時間區間,將各個所述第二連續時間區間下時間戳的總數量與所述第二連續時間區間的時長的比值,作為所述目標設備在所述第二連續時間區間下訪問所述域名的第二頻率值;若所述總次數值大于第一預設值,和/或大于預設時長的所述第一連續時間區間的所述第一頻率值超過第一預設頻率值,和/或所述第二頻率值的最大值超過第二預設頻率值,則確定在所述訪問子時間序列對應的所述時間段下,所述時序特征為所述目標設備持續高頻訪問域名;其中,所述連續時間區間為:由時間間隔在所述拆分閾值內的所有相鄰時間戳組成的時間區間。3.根據權利要求1所述的方法,其特征在于,所述對所述訪問子時間序列進行訪問特征分析,確定對應的時序特征,包括:對所述訪問子時間序列進行去重處理,得到去重訪問子時間序列;確定所述去重訪問子時間序列對應的連續時間區間的拆分閾值;按照所述拆分閾值,將所述去重訪問子時間序列拆分為各個第三連續時間區間;若時間序列長度超過第二預設值的所述第三連續時間區間滿足時間周期性,則確定在所述訪問子時間序列對應的所述時間段下,所述時序特征為所述目標設備局部周期性訪問域名;其中,連續時間區間為:由時間間隔在所述拆分閾值內的所有相鄰時間戳組成的時間區間。4.根據權利要求3所述的方法,其特征在于,所述拆分閾值通過以下方式確定:對所述去重訪問子時間序列進行擬合,得到第一擬合函數;將所述第一擬合函數的斜率與預設值的乘積值作為所述拆分閾值。5.根據權利...
【專利技術屬性】
技術研發人員:孟翔,王緒寒,金星,曾才非,
申請(專利權)人:深信服科技股份有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。