[发明专利]一种对恶意域名的识别方法、装置以及存储介质

说明书

本申请提供了一种对恶意域名的识别方法，通过获取待检测域名，对待检测域名进行病毒流量匹配，得到第一匹配结果，若第一匹配结果表征病毒流量匹配失败，则采用至少一个维度的匹配方式，对待检测域名进行匹配，得到第二匹配结果，至少一种维度包括属性维度、规则维度或者第三方信息维度，当第二匹配结果表征匹配成功时，基于第二匹配结果，对待检测域名进行标记，得到最终识别结果，根据待检测域名自身的属性判断其是否为恶意域名，避免在判定属于某种病毒家族时举证信息的提供，使用多维度、多种识别方式对待检测域名进行识别，使得最终识别结果更加可靠，简化了识别流程，提高了识别效率。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种对恶意域名的识别方法、装置以及存储介质。

背景技术

当恶意网络域名被引擎判定为恶意后，可能缺乏一些举证信息来确认这个域名是何种病毒家族的通讯域名，对于威胁情报来说，有时候情报的检出需要有举证信息才更具备说服力，所以单纯的判定域名是否恶意已经不能够满足用户的需求。目前域名的病毒家族主要通过通讯的病毒样本信息进行确认，以及反病毒鉴定引擎对样本中的特征进行识别，然而，大部分的厂商运用的技术偏向于对域名单个样本进行分析后，得出情报流量来识别家族信息，这种方法的缺点在于处理的流程繁琐，可复用性差，无法对大量的数据甚至无样本来源的数据进行家族标记。

发明内容

本申请实施例期望提供一种对恶意域名的识别方法、装置以及存储介质，能够避免在判定待检测域名属于某种病毒家族时举证信息的提供，使用多维度、多种识别方式对待检测域名进行识别，使得最终识别结果更加可靠，简化了识别流程，提高了识别效率。

本申请的技术方案是这样实现的：

一种对恶意域名的识别方法，包括：

获取待检测域名，对所述待检测域名进行病毒流量匹配，得到第一匹配结果；

若所述第一匹配结果表征所述病毒流量匹配失败，则采用至少一个维度的匹配方式，对所述待检测域名进行匹配，得到第二匹配结果；所述至少一种维度包括属性维度、规则维度或者第三方信息维度；

当所述第二匹配结果表征匹配成功时，基于所述第二匹配结果，对所述待检测域名进行标记，得到最终识别结果。

在上述方案中，所述属性维度包括类型维度，所述规则维度包括特征维度，所述第三方信息维度不同来源的外部威胁信息维度。

在上述方案中，当所述至少一个维度为属性维度时，所述采用至少一个维度的匹配方式，对所述待检测域名进行匹配，得到第二匹配结果，所述方法包括：

确定所述待检测域名的当前域名类型；

若所述当前域名类型非动态域名，则判断所述待检测域名对应的父域名是否为已识别恶意域名，得到所述属性匹配结果；

若所述属性匹配结果为已识别恶意域名，则将所述已识别恶意域名作为所述第二匹配结果。

在上述方案中，当所述至少一个维度为规则维度时，所述采用至少一个维度的匹配方式，对所述待检测域名进行匹配，得到第二匹配结果，所述方法包括：

获取所述待检测域名的当前特征；其中，所述当前特征包括：当前域名特征和当前地址信息特征；

判断预设恶意特征库是否命中所述当前特征，得到所述特征匹配结果；

若所述特征匹配结果表征命中所述当前域名特征和当前地址信息特征中的任意一个，则将所述特征匹配结果作为第二匹配结果。

在上述方案中，当所述至少一个维度为第三方信息维度时，所述采用至少一个维度的匹配方式，对所述待检测域名进行匹配，得到第二匹配结果，所述方法包括：

获取针对所述待检测域名的不同来源的多个外部威胁信息；每个外部威胁信息表征所述待检测域名的分类信息；