[发明专利]一种恶意域名的识别方法、系统和设备

说明书

本发明公开了一种恶意域名的识别方法、系统和设备，包括：将待识别域名划分为域名前缀、主域名和域名后缀；通过预先构建的域名识别模型对域名前缀和/或主域名进行恶意域名检测，并对所述域名后缀进行域名后缀信誉度查询；根据上述检测和查询结论，判断所述待识别域名是否为恶意域名。本发明对域名识别采用了分段处理的方式，将待检测域名划分为域名前缀、主域名、域名后缀三部分，对不同部分分别采用不同的检测方法，对域名前缀和/或主域名分别建立各自的模型来检测，对域名后缀采用比较域名后缀信誉度的方式来检测，综合评分，可以准确高效地识别出恶意域名。

技术领域

本发明涉及网络安全技术领域，特别是涉及一种恶意域名的识别方法、系统和设备。

背景技术

TLS加密流量的识别与分类是目前的研究热点，如何识别恶意的TLS加密流量目前已有一些研究成果，对于TLS恶意加密流量的识别的误报率是目前比较头疼的问题。

恶意域名是指一类具有恶意链接的网址，攻击者通过这些域名诱使用户进入网站，达到获取用户的私人信息或者控制用户计算机等目的。恶意域名的攻击有很多种方式，有些恶意域名是攻击者通过抢注某些已有的公司名或人名的域名，或者注册与知名网站非常相似的域名，有些恶意域名是通过DGA算法生成，常用于僵尸程序与其控制者的CC服务器通讯，有些恶意域名是利用用户在输入知名域名时可能会犯的输入错误进行注册，有些域名通过向知名网站添加其他关键词的方式构造并注册新的域名进行恶意行为。

在TLS加密流量中往往存在SNI、DNS、CN这些域名信息，若可以直接识别这些域名是否是恶意域名，则可对TLS加密流量的识别与分类提供明确依据。

恶意域名的识别是网络安全检测的一个难题和瓶颈，而实现恶意域名的识别能极大的提高网络安全的可靠性。

发明内容

本发明的目的是提供一种能准确识别恶意域名的方法、系统和设备，以解决恶意域名的识别问题。

为解决上述技术问题，本发明提供一种识别恶意域名的方法，包括以下步骤：

将待识别域名划分为域名前缀、主域名和域名后缀；

所述域名后缀根据国际通用TLD确定，根据与所述域名后缀的距离确定所述域名前缀和主域名；

通过预先构建的域名识别模型对域名前缀和/或主域名进行恶意域名检测，并对所述域名后缀进行域名后缀信誉度查询；

根据上述检测和查询结论，判断所述待识别域名是否为恶意域名。

可选地，所述预先构建的域名识别模型包括：

对域名前缀和/或主域名进行DGA域名识别、和/或CC域名识别、和/或仿冒知名域名识别的域名识别模型；

其中，所述CC域名是指使用CC服务器的恶意加密流量中所涉及的域名。

可选地，所述进行DGA域名识别的域名识别模型，包括：

基于LSTM神经网络构建的DGA域名识别模型，将域名前缀和/或主域名输入所述DGA域名识别模型，得到所述域名前缀和/或主域名是否是DGA域名。

可选地，所述进行CC域名识别的域名识别模型，包括：

基于随机森林算法构建的CC域名识别模型，提取域名前缀和/或主域名的特征，所述域名前缀和/或主域名的特征包括：字符串与数字之间的切换比例和/或是否含有特殊的字符串，将所述特征输入所述CC域名识别模型，得到所述域名前缀和/或主域名是否是CC域名。

可选地，所述进行仿冒知名域名识别的域名识别模型，包括：