[发明专利]一种恶意域名的识别方法、系统和设备

权利要求书

1.一种恶意域名的识别方法，其特征在于，包括：

将待识别域名划分为域名前缀、主域名和域名后缀；

所述域名后缀根据国际通用TLD确定，根据与所述域名后缀的距离确定所述域名前缀和主域名；

通过预先构建的域名识别模型对域名前缀和/或主域名进行恶意域名检测，并对所述域名后缀进行域名后缀信誉度查询；

根据上述检测和查询结论，判断所述待识别域名是否为恶意域名。

2.如权利要求1所述的恶意域名的识别方法，其特征在于，所述预先构建的域名识别模型包括：

对域名前缀和/或主域名进行DGA域名识别、和/或CC域名识别、和/或仿冒知名域名识别的域名识别模型；

其中，所述CC域名是指使用CC服务器的恶意加密流量中所涉及的域名。

3.如权利要求2所述的恶意域名的识别方法，其特征在于，所述进行DGA域名识别的域名识别模型，包括：

基于LSTM神经网络构建的DGA域名识别模型，将域名前缀和/或主域名输入所述DGA域名识别模型，得到所述域名前缀和/或主域名是否是DGA域名。

4.如权利要求2所述的恶意域名的识别方法，其特征在于，所述进行CC域名识别的域名识别模型，包括：

基于随机森林算法构建的CC域名识别模型，提取域名前缀和/或主域名的特征，所述域名前缀和/或主域名的特征包括：字符串与数字之间的切换比例和/或是否含有特殊的字符串，将所述特征输入所述CC域名识别模型，得到所述域名前缀和/或主域名是否是CC域名。

5.如权利要求2所述的恶意域名的识别方法，其特征在于，所述进行仿冒知名域名识别的域名识别模型，包括：

仿冒域名识别模型，将域名前缀和/或主域名输入所述仿冒域名识别模型，与仿冒域名识别模型中预设的知名域名库中的知名域名进行编辑距离计算，得到所述域名前缀和/或主域名是否是仿冒知名域名。

6.如权利要求1所述的恶意域名的识别方法，其特征在于，所述通过预先构建的域名识别模型对域名前缀和/或主域名进行恶意域名检测，并对所述域名后缀进行域名后缀信誉度查询后，还包括：

对所述域名前缀进行冒用知名网站匹配，预先构建知名网站列表，将域名前缀在所述知名网站列表中进行匹配，根据匹配结果确定域名前缀是否是冒用知名域名。

7.如权利要求1所述的恶意域名的识别方法，其特征在于，所述域名后缀根据国际通用TLD确定，根据与所述域名后缀的距离确定所述域名前缀和主域名后，还包括：

域名后缀之前的一级为主域名，主域名之前的所有级为域名前缀。

8.如权利要求3所述的恶意域名的识别方法，其特征在于，所述基于LSTM神经网络构建DGA域名识别模型的过程，包括：

构建DGA域名训练集，所述DGA域名训练集中的样本包括已公开DGA域名列表和/或通过已公开DGA域名生成算法生成的DGA域名，所述DGA域名训练集用于通过处理所述样本得到有效字符串编码集，并将所述样本通过有效字符串编码集转换为数值类型；

构建DGA域名识别模型，基于LSTM神经网络构建DGA域名识别模型，通过所述DGA域名训练集对所述DGA域名识别模型进行训练。

9.如权利要求4所述的恶意域名的识别方法，其特征在于，所述基于随机森林算法构建CC域名识别模型的过程，包括：

构建CC域名训练集，收集已公开的CC域名列表得到CC域名的集合，通过特征工程选取集合中需分析的域名前缀和/或主域名的所述特征，来建立CC域名训练集；

构建CC域名识别模型，基于所述CC域名训练集，利用随机森林算法对所述CC域名识别模型进行训练。

10.如权利要求1所述的恶意域名的识别方法，其特征在于，所述对所述域名后缀进行域名后缀信誉度查询，包括：

预先构建域名后缀信誉表，将域名后缀在预设的域名后缀信誉表中进行信誉度排名查询。