[发明专利]一种域名检测方法、装置和存储介质

权利要求书

1.一种域名检测方法，其特征在于，所述方法包括：

获取域名系统DNS数据，从所述DNS数据中提取域名访问序列；所述域名访问序列包括至少一个域名；

运用预设的数据处理模型识别所述至少一个域名，得到所述至少一个域名中各域名对应的向量；

根据所述各域名对应的向量，将各域名与预设的高级可持续威胁攻击APT相似域名库中各种子域名进行比较，根据比较结果从所述至少一个域名中确定符合相似度要求的第一目标域名；

根据所述第一目标域名更新所述APT相似域名库。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：生成所述预设的数据处理模型；

所述生成所述预设的数据处理模型，包括：

获取至少一个训练域名访问序列；

根据所述至少一个训练域名访问序列训练word2vec模型，得到训练后的word2vec模型作为所述预设的数据处理模型。

3.根据权利要求1所述的方法，其特征在于，所述运用预设的数据处理模型识别所述至少一个域名，得到所述至少一个域名中各域名对应的向量，包括：

对所述域名访问序列进行切分，得到所述域名访问序列包括的至少一个域名；

运用所述预设的数据处理模块识别所述至少一个域名中各域名，得到各域名对应的向量。

4.根据权利要求1所述的方法，其特征在于，所述根据所述各域名对应的向量，将各域名与预设的高级可持续威胁攻击APT相似域名库中各种子域名进行比较，包括：

确定所述预设的APT相似域名库中各种子域名对应的向量；

将所述各域名对应的向量与所述各种子域名对应的向量进行相似度计算，确定所述各域名对应的向量与所述各种子域名对应的向量的相似度。

5.根据权利要求1所述的方法，其特征在于，所述根据所述第一目标域名更新所述APT相似域名库，包括：

从所述第一目标域名中确定满足以下至少之一条件的域名：

确定与任一所述种子域名为同型近义的域名；

确定稀有度超过第一预设阈值的域名；

确定随机性超过第二预设阈值的域名；

确定命中开源情报的域名；

以及，根据确定的满足条件的域名更新所述APT相似域名库。

6.一种域名检测装置，其特征在于，所述装置包括：第一处理模块、第二处理模块、第三处理模块和第四处理模块；其中，

所述第一处理模块，用于获取域名系统DNS数据，从所述DNS数据中提取域名访问序列；所述域名访问序列包括至少一个域名；

所述第二处理模块，用于运用预设的数据处理模型识别所述至少一个域名，得到所述至少一个域名中各域名对应的向量；

所述第三处理模块，用于根据所述各域名对应的向量，将各域名与预设的高级可持续威胁攻击APT相似域名库中各种子域名进行比较，根据比较结果从所述至少一个域名中确定符合相似度要求的第一目标域名；

所述第四处理模块，用于根据所述第一目标域名更新所述APT相似域名库。

7.根据权利要求6所述的装置，其特征在于，所述装置还包括：预处理模块，用于获取至少一个训练域名访问序列；

根据所述至少一个训练域名访问序列训练word2vec模型，得到训练后的word2vec模型作为所述预设的数据处理模型。

8.根据权利要求6所述的装置，其特征在于，所述第二处理模块，用于对所述域名访问序列进行切分，得到所述域名访问序列包括的至少一个域名；

运用所述预设的数据处理模块识别所述至少一个域名中各域名，得到各域名对应的向量。

9.根据权利要求6所述的装置，其特征在于，所述第三处理模块，用于确定所述预设的APT相似域名库中各种子域名对应的向量；

将所述各域名对应的向量与所述各种子域名对应的向量进行相似度计算，确定所述各域名对应的向量与所述各种子域名对应的向量的相似度。