[发明专利]一种检测隧道域名的方法及装置

权利要求书

1.一种检测隧道域名的方法，其特征在于，包括：

获取待检测域名在预设时段内的特征参数；

将所述特征参数与预设标准参数相比较；其中，所述预设标准参数是根据正常域名的正常特征参数的数值和类别确定的；

根据比较结果，确定所述待检测域名是否为隧道域名；

所述特征参数包括域名请求重复率；其中，所述域名请求重复率是对应相同一级域名的所有域名请求字符串的重复率；

所述特征参数包括域名请求的平均应答时间，其中，所述平均应答时间是每个域名请求的请求发送时刻与应答时刻之间的时间间隔之和的平均值。

2.根据权利要求1所述的方法，其特征在于，根据如下公式计算所述域名请求重复率：

1－域名请求字符串的类别数/每类域名请求字符串的重复次数之和。

3.根据权利要求1所述的方法，所述特征参数包括域名请求的平均域名请求字符串长度，其中，所述平均域名请求字符串长度是每类域名请求字符串的长度之和的平均值。

4.根据权利要求1至3任一所述的方法，所述正常特征参数的类别包括正常域名请求重复率或正常域名请求的正常平均域名请求字符串长度或正常域名请求的正常平均应答时间；相应的，所述预设标准参数的确定，包括：

根据如下公式确定第一预设标准参数：

所述第一预设标准参数＝α×所述正常域名请求重复率；

其中，α为0～1之间的数值；

根据如下公式确定第二预设标准参数：

所述第二预设标准参数＝β×所述正常平均域名请求字符串长度；

其中，β为大于1的数值；

根据如下公式确定第三预设标准参数：

所述第三预设标准参数＝γ×正常平均应答时间；

其中，γ为大于1的数值。

5.根据权利要求4所述的方法，所述特征参数包括域名请求重复率或域名请求的平均域名请求字符串长度或域名请求的平均应答时间；相应的，所述根据比较结果，确定所述待检测域名是否为隧道域名，包括：

若判断获知所述域名请求重复率小于所述第一预设标准参数，则确定所述待检测域名为所述隧道域名；

若判断获知所述平均域名请求字符串长度大于所述第二预设标准参数，则确定所述待检测域名为所述隧道域名；

若判断获知所述平均应答时间大于所述第三预设标准参数，则确定所述待检测域名为所述隧道域名。

6.根据权利要求4所述的方法，所述特征参数包括域名请求重复率、域名请求的平均域名请求字符串长度和域名请求的平均应答时间；相应的，所述方法还包括：

还获取所述待检测域名在所述预设时段内的已发送的域名请求数量；

若判断获知所述域名请求数量大于等于预设域名请求数量、且所述域名请求重复率小于所述第一预设标准参数、且所述平均域名请求字符串长度大于所述第二预设标准参数、且所述平均应答时间大于所述第三预设标准参数，则确定所述待检测域名为所述隧道域名。

7.一种检测隧道域名的装置，其特征在于，包括：

获取单元，用于获取待检测域名在预设时段内的特征参数；

比较单元，用于将所述特征参数与预设标准参数相比较；其中，所述预设标准参数是根据正常域名的正常特征参数的数值和类别确定的；

检测单元，用于根据比较结果，确定所述待检测域名是否为隧道域名；

所述特征参数包括域名请求重复率；其中，所述域名请求重复率是对应相同一级域名的所有域名请求字符串的重复率；

所述特征参数包括域名请求的平均应答时间，其中，所述平均应答时间是每个域名请求的请求发送时刻与应答时刻之间的时间间隔之和的平均值。

8.根据权利要求7所述的装置，其特征在于，根据如下公式计算所述域名请求重复率：

1－域名请求字符串的类别数/每类域名请求字符串的重复次数之和。