[发明专利]一种DGA域名的检测方法及装置

说明书

本发明实施例提供一种DGA域名的检测方法及装置，所述方法包括：对域名进行聚类，以获取若干个包含有同类特征域名的域名集合；对所述域名集合中的域名进行域名生成算法DGA检测；若判断获知检测结果为存在DGA域名，则确定所述DGA域名对应的域名请求发送方为被植入恶意代码的终端。所述装置执行上述方法。本发明实施例提供的DGA域名的检测方法及装置，能够高效、准确地对DGA域名进行检测，从而确定DGA域名对应的域名请求发送方是否为被植入恶意代码的终端。

技术领域

本发明实施例涉及网络安全技术领域，具体涉及一种DGA域名的检测方法及装置。

背景技术

DGA(域名生成算法)是一种利用随机字符来生成CC域名，从而逃避域名黑名单检测的技术手段。例如：一个由恶意软件Cryptolocker创建的DGA生成域xeogrhxquuubt.com，如果我们的进程尝试建立其它连接，那么我们的机器就可能感染Cryptolocker勒索病毒。域名黑名单通常用于检测和阻断这些域的连接，但对于不断更新的DGA算法并不奏效。现有技术的方法还基于机器学习，构建分类器检测DGA域名，但是该类方法主要存在以下不足：一是需要预先收集训练数据，即耗时耗力；二是不在训练集中的DGA类型就不会被检测出来，即检测结果不准确。

因此，如何避免上述缺陷，能够高效、准确地对DGA域名进行检测，从而确定DGA域名对应的域名请求发送方是否存在安全隐患，成为亟须解决的问题。

发明内容

针对现有技术存在的问题，本发明实施例提供一种DGA域名的检测方法及装置。

第一方面，本发明实施例提供一种DGA域名的检测方法，所述方法包括：

对域名进行聚类，以获取若干个包含有同类特征域名的域名集合；

对所述域名集合中的域名进行域名生成算法DGA检测；

若判断获知检测结果为存在DGA域名，则确定所述DGA域名对应的域名请求发送方为被植入恶意代码的终端。

第二方面，本发明实施例提供一种DGA域名的检测装置，所述装置包括：

聚类单元，用于对域名进行聚类，以获取若干个包含有同类特征域名的域名集合；

检测单元，用于对所述域名集合中的域名进行域名生成算法DGA检测；

确定单元，用于若判断获知检测结果为存在DGA域名，则确定所述DGA域名对应的域名请求发送方为被植入恶意代码的终端。

第三方面，本发明实施例提供一种电子设备，包括：处理器、存储器和总线，其中，

所述处理器和所述存储器通过所述总线完成相互间的通信；

所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行如下方法：

对域名进行聚类，以获取若干个包含有同类特征域名的域名集合；

对所述域名集合中的域名进行域名生成算法DGA检测；

若判断获知检测结果为存在DGA域名，则确定所述DGA域名对应的域名请求发送方为被植入恶意代码的终端。

第四方面，本发明实施例提供一种非暂态计算机可读存储介质，包括：

所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行如下方法：

对域名进行聚类，以获取若干个包含有同类特征域名的域名集合；

对所述域名集合中的域名进行域名生成算法DGA检测；

若判断获知检测结果为存在DGA域名，则确定所述DGA域名对应的域名请求发送方为被植入恶意代码的终端。