[发明专利]一种攻击域名的检测方法、装置、电子设备及存储介质

权利要求书

1.一种攻击域名的检测方法，其特征在于，所述方法包括：

获得请求流量；所述请求流量中包括N1个域名；

利用域名黑名单和域名白名单对所述请求流量中包括的N1个域名进行过滤，得到过滤后的N2个域名；

对所述N2个域名中的每个域名进行解码；对于所述N2个域名中解码成功的N3个域名，利用第一命令集合执行所述N3个域名中的每个域名；所述第一命令集合中包括至少一个执行命令；将所述N3个域名中利用所述第一命令集合执行成功的域名确定为攻击域名；对于所述N2个域名中未解码成功的N4个域名，按照第二规则确定所述N4个域名中的每个域名是否为攻击域名。

2.根据权利要求1所述的方法，其特征在于，所述按照第二规则确定所述N4个域名中的每个域名是否为攻击域名，包括：

确定所述N4个域名中的N5个可访问域名和N6个不可访问域名；

针对所述N5个可访问域名，按照第三规则确定所述N5个可访问域名中的每个域名是否为攻击域名；

针对所述N6个不可访问域名，按照第四规则确定所述N6个不可访问域名中的每个域名是否为攻击域名。

3.根据权利要求2所述的方法，其特征在于，所述确定所述N4个域名中的N5个可访问域名和N6个不可访问域名之前，所述方法还包括：

确定所述N4个域名中访问频率高于第一频率阈值的N7个域名，将所述N7个域名确定为非攻击域名。

4.根据权利要求2所述的方法，其特征在于，所述按照第三规则确定所述N5个可访问域名中的每个域名是否为攻击域名，包括：

利用第二命令集合执行所述N5个域名中的每个域名，确定执行结果中包括高危明文字符的N8个域名，以及执行结果中不包括高危明文字符的N9个域名；所述第二命令集合中包括至少一个执行命令；

对执行结果中包括高危明文字符的N8个域名的访问请求进行网络流量查询，得到所述N8个域名的访问请求中只存在域名请求流量的N10个域名，以及所述N8个域名的访问请求中除域名请求流量外还存在非域名请求流量的N11个域名；

将所述N10个域名确定为攻击域名，并按照第五规则确定所述N9个域名以及所述N11个域名是否为攻击域名。

5.根据权利要求4所述的方法，其特征在于，所述按照第五规则确定所述N9个域名以及所述N11个域名是否为攻击域名，包括：

利用字符关联性算法模型确定出所述N9个域名以及所述N11个域名中不符合所述字符关联性算法模型的N12个域名，将所述N12个域名确定为攻击域名。

6.根据权利要求5所述的方法，其特征在于，所述利用字符关联性算法模型确定出所述N9个域名以及所述N11个域名中不符合所述字符关联性算法模型的N12个域名之前，所述方法还包括：

确定所述N9个域名以及所述N11个域名中解析到同一IP的至少一个域名集合；所述至少一个域名集合中的每个域名集合中的域名对应同一解析互联网协议IP地址，所述至少一个域名集合中的各域名集合之间对应的解析IP不同；

确定所述至少一个域名集合中包括的域名数量大于第一数量阈值的M1个域名集合，以及，所述至少一个域名集合中包括的域名数量小于等于第一数量阈值的M2个域名集合；所述M2个域名集合中共包括N13个域名；

将所述M1个域名集合中的每个域名确定为攻击域名；

所述利用字符关联性算法模型确定出所述N9个域名以及所述N11个域名中不符合所述字符关联性算法模型的N12个域名，将所述N12个域名确定为攻击域名，包括：

利用字符关联性算法模型确定出所述N13个域名中不符合所述字符关联性算法模型的N14个域名，将所述N14个域名确定为攻击域名。