[发明专利]一种对恶意域名的识别方法、装置以及存储介质

权利要求书

1.一种对恶意域名的识别方法，其特征在于，所述方法包括：

获取待检测域名，对所述待检测域名进行病毒流量匹配，得到第一匹配结果；

若所述第一匹配结果表征所述病毒流量匹配失败，则采用多个维度的匹配方式，对所述待检测域名进行匹配，得到第二匹配结果；所述多个维度包括属性维度、规则维度和第三方信息维度；所述第三方信息维度包括不同来源的外部威胁信息维度；

所述采用多个维度的匹配方式，对所述待检测域名进行匹配，得到第二匹配结果，包括：获取针对所述待检测域名的不同来源的多个外部威胁信息；每个外部威胁信息表征所述待检测域名的分类信息；对所述多个外部威胁信息进行统计，得到所述待检测域名的情报匹配结果；将所述情报匹配结果作为第二匹配结果；

所述对所述多个外部威胁信息进行统计，得到所述待检测域名的情报匹配结果，包括：将所述多个外部威胁信息进行拆解，得到多个拆解后的分类信息；将所述多个拆解后的分类信息去别名化，得到多个家族名称；对所述多个家族名称进行统计，得到统计概率最大的目标家族名称；将所述目标家族名称作为所述待检测域名的情报匹配结果；

当所述第二匹配结果表征匹配成功时，基于所述第二匹配结果，对所述待检测域名进行标记，得到最终识别结果；

当所述第二匹配结果表征匹配失败时，对所述待检测域名留待下一次再次识别。

2.根据权利要求1所述的方法，其特征在于，所述属性维度包括类型维度，所述规则维度包括特征维度。

3.根据权利要求2所述的方法，其特征在于，所述采用多个维度的匹配方式，对所述待检测域名进行匹配，得到第二匹配结果，包括：

确定所述待检测域名的当前域名类型；

若所述当前域名类型非动态域名，则判断所述待检测域名对应的父域名是否为已识别恶意域名，得到属性匹配结果；

若所述属性匹配结果为已识别恶意域名，则将已识别属性匹配结果作为所述第二匹配结果。

4.根据权利要求2所述的方法，其特征在于，所述采用多个维度的匹配方式，对所述待检测域名进行匹配，得到第二匹配结果，包括：

获取所述待检测域名的当前特征；其中，所述当前特征包括：当前域名特征和当前地址信息特征；

判断预设恶意特征库是否命中所述当前特征，得到特征匹配结果；

若所述特征匹配结果表征命中所述当前域名特征和当前地址信息特征中的任意一个，则将所述特征匹配结果作为第二匹配结果。

5.根据权利要求1所述的方法，其特征在于，所述获取针对所述待检测域名的不同来源的多个外部威胁信息，包括：

获取针对所述待检测域名的不同来源的多个样本信息；

对所述多个样本信息进行分类信息匹配，得到所述多个外部威胁信息。

6.根据权利要求2所述的方法，其特征在于，所述采用多个维度的匹配方式，对所述待检测域名进行匹配，得到第二匹配结果，包括：

当采用属性维度的匹配方式对所述待检测域名进行类型维度的匹配，得到的属性匹配结果表征匹配失败时，采用规则维度的匹配方式对所述待检测域名进行特征维度的匹配得到特征匹配结果，将所述特征匹配结果作为第二匹配结果，或，采用第三方信息维度的匹配方式对所述待检测域名进行不同来源的外部威胁信息维度的匹配得到情报匹配结果，将所述情报匹配结果作为第二匹配结果。

7.根据权利要求2所述的方法，其特征在于，所述采用多个维度的匹配方式，对所述待检测域名进行匹配，得到第二匹配结果，包括：

当采用规则维度的匹配方式对所述待检测域名进行特征维度的匹配，得到的特征匹配结果表征匹配失败时，采用第三方信息维度的匹配方式对所述待检测域名进行不同来源的外部威胁信息维度的匹配得到情报匹配结果，将所述情报匹配结果作为所述第二匹配结果。