[发明专利]检测域名的同形异义词

权利要求书

1.一种系统，包括：

处理器，其配置为：

接收DNS数据流，其中所述DNS数据流包括DNS查询和对于所述DNS查询的解析的DNS响应；

为所述DNS数据流中的每个域应用同形异义词检测器；以及

使用所述同形异义词检测器检测所述DNS数据流中域名的同形异义词；以及

存储器，其耦合到所述处理器并被配置为向所述处理器提供指令。

2.根据权利要求1所述的系统，其中所述DNS数据流是有效DNS数据流。

3.根据权利要求1所述的系统，其中所述同形异义词检测器自动检测一个或多个目标域名的同形异义词。

4.根据权利要求1所述的系统，其中所述同形异义词检测器使用基于字符的映射自动检测一个或多个目标域名的同形异义词。

5.根据权利要求1所述的系统，其中使用深度神经网络和训练数据生成所述同形异义词检测器。

6.根据权利要求1所述的系统，其中所述处理器还被配置为：

基于检测所述域名的所述同形异义词来执行缓解动作。

7.根据权利要求1所述的系统，其中所述处理器还被配置为：

阻止所述DNS响应以阻碍客户端和与所述域名的所述同形异义词相关联的IP地址进行通信。

8.根据权利要求1所述的系统，其中对于所述DNS查询的解析的所述DNS响应包括IP地址，并且其中所述处理器还被配置为：

将与所述域名的所述同形异义词相关联的所述IP地址添加到黑名单或将同形异义词域添加到黑名单馈送。

9.根据权利要求1所述的系统，其中对于所述DNS查询的解析的所述DNS响应包括IP地址，并且其中所述处理器还被配置为：

将与所述域名的所述同形异义词相关联的所述IP地址发送到防火墙。

10.根据权利要求1所述的系统，其中所述处理器还被配置为执行一个或多个缓解动作，所述一个或多个缓解动作包括：

基于与所述域名的所述同形异义词相关联的IP地址生成防火墙规则；

配置网络设备以阻止和与所述域名的所述同形异义词相关联的所述IP地址的网络通信；

隔离受感染的主机，其中所述受感染的主机是基于和与所述域名的所述同形异义词相关联的所述IP地址的关联而被确定为受感染的；以及

将所述域名的所述同形异义词添加到信誉馈送。

11.一种方法，包括：

接收DNS数据流，其中所述DNS数据流包括DNS查询和对于所述DNS查询的解析的DNS响应；

为所述DNS数据流中的每个域应用同形异义词检测器；以及

使用所述同形异义词检测器检测所述DNS数据流中域名的同形异义词。

12.根据权利要求11所述的方法，其中所述DNS数据流是有效DNS数据流。

13.根据权利要求11所述的方法，其中所述同形异义词检测器自动检测一个或多个目标域名的同形异义词。

14.根据权利要求11所述的方法，其中所述同形异义词检测器使用基于字符的映射自动检测一个或多个目标域名的同形异义词。

15.根据权利要求11所述的方法，其中使用深度神经网络和训练数据生成所述同形异义词检测器。

16.根据权利要求11所述的方法，还包括：

基于检测所述域名的所述同形异义词来执行缓解动作。