[发明专利]检测域名的同形异义词

说明书

公开了用于检测域名的同形异义词的各种技术。在一些实施例中，用于检测域名的同形异义词的系统、过程、和/或计算机程序产品包括：接收DNS数据流，其中DNS数据流包括DNS查询和对于DNS查询的解析的DNS响应；为DNS数据流中的每个域应用同形异义词检测器；以及使用同形异义词检测器检测DNS数据流中域名的同形异义词。

背景技术

网络安全是用于保护网络和用户经由网络(诸如因特网)访问资源的越来越具有挑战性的技术问题。使用虚假或误导性域名是由恶意软件、网络钓鱼攻击、在线品牌攻击频繁采用的机制、和/或对于其他恶意活动而言的频繁采用的机制，所述其他恶意活动经常试图诱骗用户浏览/访问与虚假或误导性域名相关联的网站/服务。

附图说明

在以下详细描述和附图中公开了本发明的各种实施例。

图1提供了可以使用同形异义词示例及其相关联的Punycode编码进行哄骗的目标域名的示例。

图2是图示根据一些实施例的用于提供用于检测域名的同形异义词的在线平台的架构的功能框图。

图3图示了根据一些实施例的用于同形异义词分类器训练的卷积神经网络(CNN)架构。

图4是根据一些实施例的用于对字符的输入图像执行卷积核训练以生成到ASCII字符映射的过程。

图5是图示根据一些实施例的用于检测域名的同形异义词的在线过程的流程图。

图6是图示根据一些实施例的用于生成用于检测域名的同形异义词的模型的离线过程的流程图。

具体实施方式

本发明可以以多种方式实现，包括作为过程；装置；系统；物质的组成；体现在计算机可读存储介质上的计算机程序产品；和/或处理器，诸如被配置为执行在耦合到处理器的存储器上存储的指令和/或由耦合到处理器的存储器提供的指令的处理器。在本说明书中，这些实施方式或本发明可以采用的任何其他形式可以称为技术。通常，在本发明的范围内可以更改所公开过程的步骤的顺序。除非另有说明，被描述为被配置为执行任务的诸如处理器或存储器之类的部件可以被实现为被临时配置为在给定时间执行任务的通用部件或被制造为执行任务的特定部件。如本文中所使用的那样，术语“处理器”是指配置为处理数据(诸如计算机程序指令)的一个或多个设备、电路和/或处理核。

下文提供对本发明的一个或多个实施例的详细描述连同图示本发明原理的附图。结合这样的实施例描述了本发明，但本发明不限于任何实施例。本发明的范围仅由权利要求限定，并且本发明包含许多替代方案、修改和等同物。在以下描述中阐述了许多具体细节以便提供对本发明的透彻理解。这些细节是出于示例的目的而提供的，并且本发明可以在没有这些具体细节中的一些或全部的情况下根据权利要求来实践。出于清楚性的目的，没有详细描述在与本发明相关的技术领域中已知的技术材料，使得不会不必要地使本发明模糊不清。

网络安全是保护网络和经由网络(诸如因特网)访问资源的用户的越来越具有挑战性的技术问题。使用虚假或误导性域名(例如，哄骗(spoofed)域名)是由恶意软件、网络钓鱼攻击、在线品牌攻击频繁采用的机制、和/或对于其他恶意和/或未授权活动而言的频繁采用的机制，所述活动经常试图诱骗用户浏览/访问与虚假或误导性域名相关联的网站/服务(例如，统一资源定位符(URL))。

通常，国际化域名(IDN)使用至少一个多字节Unicode字符作为标签。域名的国际化使世界上大多数的书写系统能够使用其本地字母来形成域名，所述字母对来自Unicode标准的脚本可用。为了与DNS协议和系统兼容，使用Punycode系统将IDN域编码为ASCII。