[发明专利]一种攻击域名的检测方法、装置、电子设备及存储介质

说明书

本申请公开了一种攻击域名的检测方法、装置、电子设备及存储介质，其中，所述方法包括：获得请求流量；所述请求流量中包括N1个域名；利用域名黑名单和域名白名单对所述请求流量中包括的N1个域名进行过滤，得到过滤后的N2个域名；对所述N2个域名中的每个域名进行解码；对于所述N2个域名中解码成功的N3个域名，按照第一规则确定所述N3个域名中的每个域名是否为攻击域名；对于所述N3个域名中未解码成功的N4个域名，按照第二规则确定所述N4个域名中的每个域名是否为攻击域名。

技术领域

本申请实施例涉及通信领域，尤其涉及一种攻击域名的检测方法、装置、电子设备及存储介质。

背景技术

域名系统日志（DNSLOG，Domain Name System Log）技术广泛应用于无法直接进行命令执行回显以及判断服务器是否能够出网等攻击场景，尤其是反序列化漏洞的数量越来越多，利用DNSLOG进行反序列化漏洞探测这样的攻击行为也越来越常见。因此，亟需设计实现一个DNSLOG攻击行为的检测方法来覆盖这些攻击场景。目前已有的技术方案大多都是通过黑名单的方式进行，这种简单的检测方式较容易产生正常访问行为的误报，且对于非黑名单内的攻击行为无法检测，存在较高的漏报。

发明内容

为解决上述技术问题，本申请实施例提供了一种攻击域名的检测方法、装置、电子设备及存储介质。

本申请实施例提供了一种攻击域名的检测方法，所述方法包括：

获得请求流量；所述请求流量中包括N1个域名；

利用域名黑名单和域名白名单对所述请求流量中包括的N1个域名进行过滤，得到过滤后的N2个域名；

对所述N2个域名中的每个域名进行解码；对于所述N2个域名中解码成功的N3个域名，按照第一规则确定所述N3个域名中的每个域名是否为攻击域名；对于所述N2个域名中未解码成功的N4个域名，按照第二规则确定所述N4个域名中的每个域名是否为攻击域名。

本申请一可选实施方式中，所述按照第一规则确定所述N3个域名中的每个域名是否为攻击域名，包括：

利用第一命令集合执行所述N3个域名中的每个域名；所述第一命令集合中包括至少一个执行命令；

将所述N3个域名中利用所述第一命令集合执行成功的域名确定为攻击域名。

本申请一可选实施方式中，所述按照第二规则确定所述N4个域名中的每个域名是否为攻击域名，包括：

确定所述N4个域名中的N5个可访问域名和N6个不可访问域名；

针对所述N5个可访问域名，按照第三规则确定所述N5个可访问域名中的每个域名是否为攻击域名；

针对所述N6个不可访问域名，按照第四规则确定所述N6个不可访问域名中的每个域名是否为攻击域名。

本申请一可选实施方式中，所述确定所述N4个域名中的N5个可访问域名和N6个不可访问域名之前，所述方法还包括：

确定所述N4个域名中访问频率高于第一频率阈值的N7个域名，将所述N7个域名确定为非攻击域名。

本申请一可选实施方式中，所述按照第三规则确定所述N5个可访问域名中的每个域名是否为攻击域名，包括：

利用第二命令集合执行所述N5个域名中的每个域名，确定执行结果中包括高危明文字符的N8个域名，以及执行结果中不包括高危明文字符的N9个域名；所述第二命令集合中包括至少一个执行命令；

对执行结果中包括高危明文字符的N8个域名的访问请求进行网络流量查询，得到所述N8个域名的访问请求中只存在域名请求流量的N10个域名，以及所述N8个域名的访问请求中除域名请求流量外还存在非域名请求流量的N11个域名；