[发明专利]基于恶意域名检测的APT攻击检测方法及装置

摘要

本发明提供了基于恶意域名检测的APT攻击检测方法及装置。该APT攻击检测方法包括：获取网络中的通信数据；对通信数据进行解析，以提取出通信数据中涉及到的源主机的IP、源主机所查询的域名以及查询域名的时间；查询域名风险等级数据库，以确定源主机所查询的域名是否存在于域名风险等级数据库中，如果存在，则从域名风险等级数据库中取出并呈现与域名相对应的风险等级结果，如果不存在，则对域名进行风险等级评估并呈现风险等级评估结果，以用于确定源主机是否受到APT攻击，其中，该风险等级评估包括异常心跳分析和子域名语义分析。本发明所提供的APT攻击检测方法及装置能够准确检测未知恶意域名，从而及时检测到APT攻击，减少APT攻击造成的后果。

主权项

1.一种基于恶意域名检测的APT攻击检测方法，其特征在于，所述APT攻击检测方法包括：获取网络中的通信数据；对所述通信数据进行解析，以提取出所述通信数据中涉及到的源主机的IP、所述源主机所查询的域名以及查询所述域名的时间；以及查询域名风险等级数据库，以确定所述源主机所查询的域名是否存在于所述域名风险等级数据库中，如果存在，则从所述域名风险等级数据库中取出并呈现与所述域名相对应的风险等级结果，如果不存在，则对所述域名进行风险等级评估并呈现风险等级评估结果，以用于确定所述源主机是否受到APT攻击，所述域名风险等级数据库包括已发生的攻击事件的恶意域名及其相对应的风险等级；其中，所述风险等级评估包括异常心跳分析和子域名语义分析，所述异常心跳分析和所述子域名语义分析分别被分配第一权重和第二权重，所述异常心跳分析判定所述源主机在单位时间间隔内对所述域名的查询请求是否存在规律性并基于判定结果和所述第一权重计算所述域名的第一风险分值，所述子域名语义分析判定所述源主机所查询的域名的子域名是否具有实际意义并基于判定结果和所述第二权重计算所述域名的第二风险分值，所述风险等级评估结果的计算基于所述第一风险分值和所述第二风险分值，所述风险等级评估还包括域名注册信息关联分析，所述域名注册信息关联分析被分配第三权重，所述域名注册信息关联分析判定所述域名的注册信息的全面性和/或真实性并基于判定结果和所述第三权重计算所述域名的第三风险分值，并且所述风险等级评估结果的计算还基于所述第三风险分值，其中所述注册信息包括所述域名的名称、域名注册人、注册邮箱、注册手机、注册组织、注册国家、注册地址信息、域名注册时间、最近更新时间、域名到期时间、域名状态、管理联系人姓名、管理联系人单位、管理联系人邮箱、管理联系人电话、技术联系人姓名、技术联系人单位、技术联系人电子邮件、技术联系人电话以及是否启用隐私保护。