一种异常域名检测方法、系统及相关组件与流程

专利检索2022-05-10  188


本发明涉及网络安全监测领域,特别涉及一种异常域名检测方法、系统及相关组件。

背景技术

随着互联网的不断发展,互联网安全也受到越来越高的关注,非法网站的监测是防御网络攻击的核心之一,及时发现非法网站并对其进行管控,能够降低非法网站的出现频率,从而降低其所造成的威胁。

传统的非法网站的监测,通常以域名判断为主,通过提取网站的WHOIS信息,解析其中是否存在恶意域名,这种手段只能确定部分异常域名,判断条件单一,很容易漏掉WHOIS信息未判定的异常域名,安全性尚不够高。

因此,如何提供一种解决上述技术问题的方案是目前本领域技术人员需要解决的问题。



技术实现要素:

有鉴于此,本发明的目的在于提供一种可靠全面的异常域名检测方法、系统及相关组件。其具体方案如下:

一种异常域名检测方法,包括:

获取网络流量数据,并对所述网络流量数据进行解析,得到解析数据;

将所述解析数据按照域名分组,得到多个解析数据组;

分析每个所述解析数据组中所述域名的访问动作信息,根据所述访问动作信息判断所述域名是否满足访问条件集中的多条访问条件,以确定所述域名对应每条所述访问条件的访问告警值;

分析每个所述解析数据组中所述域名的注册信息,根据所述注册信息判断所述域名是否满足注册条件集中的多条注册条件,以确定所述域名对应每条所述注册条件的注册告警值;

对每个所述域名的所有所述访问告警值和所有所述注册告警值进行加权求和,得到所述域名的异常告警值;

根据每个所述域名的所述异常告警值,确定所述域名的异常等级。

优选的,所述访问条件集中的多条所述访问条件包括:

所述域名的访问周期不固定,

和/或,所述域名在预设工作时间段内访问。

优选的,所述访问条件集中的多条所述访问条件还包括:

所述域名的总流量未超出预设流量,

和/或,所述域名的流量密度未超出预设流量密度,

和/或,所述域名的访问报文为预设格式,

和/或,所述域名的访问报文的大小为预设数值。

优选的,所述注册条件集中的所述注册条件包括:

所述域名位于域名白名单中。

优选的,所述注册条件集中的多条所述注册条件还包括:

所述域名的注册时间超出预设注册时间段,

和/或,所述域名的注册地址超出预设注册区域,

和/或,所述域名的历史捆绑记录中无恶意域名。

优选的,所述对所述网络流量数据进行解析,得到解析数据的过程,包括:

对所述网络流量数据进行HTTP协议、和/或HTTPS协议、和/或TCP/IP协议解析,得到解析数据。

优选的,所述获取网络流量数据的过程,包括:

通过对流量镜像处理,获取网络流量数据。

相应的,本申请还公开了一种异常域名检测系统,包括:

获取模块,用于获取网络流量数据,并对所述网络流量数据进行解析,得到解析数据;

分组模块,用于将所述解析数据按照域名分组,得到多个解析数据组;

第一分析模块,用于分析每个所述解析数据组中所述域名的访问动作信息,根据所述访问动作信息判断所述域名是否满足访问条件集中的多条访问条件,以确定所述域名对应每条所述访问条件的访问告警值;

第二分析模块,用于分析每个所述解析数据组中所述域名的注册信息,根据所述注册信息判断所述域名是否满足注册条件集中的多条注册条件,以确定所述域名对应每条所述注册条件的注册告警值;

告警分析模块,用于对每个所述域名的所有所述访问告警值和所有所述注册告警值进行加权求和,得到所述域名的异常告警值,并根据每个所述域名的所述异常告警值,确定所述域名的异常等级。

相应的,本申请还公开了一种异常域名检测装置,包括:

存储器,用于存储计算机程序;

处理器,用于执行所述计算机程序时实现如上文任一项所述异常域名检测方法的步骤。

相应的,本申请还公开了一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上文任一项所述异常域名检测方法的步骤。

本申请公开了一种异常域名检测方法,包括:获取网络流量数据,并对所述网络流量数据进行解析,得到解析数据;将所述解析数据按照域名分组,得到多个解析数据组;分析每个所述解析数据组中所述域名的访问动作信息,根据所述访问动作信息判断所述域名是否满足访问条件集中的多条访问条件,以确定所述域名对应每条所述访问条件的访问告警值;分析每个所述解析数据组中所述域名的注册信息,根据所述注册信息判断所述域名是否满足注册条件集中的多条注册条件,以确定所述域名对应每条所述注册条件的注册告警值;对每个所述域名的所有所述访问告警值和所有所述注册告警值进行加权求和,得到所述域名的异常告警值;根据每个所述域名的所述异常告警值,确定所述域名的异常等级。本申请中异常域名检测方法通过分析每个域名的访问动作信息和注册信息是否满足访问条件和注册条件,从多个不同方向分析确定了域名的异常告警值,以判断该域名的异常等级,这种判断更为可靠全面,可以更为准确地检测出异常域名。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。

图1为本发明实施例中一种异常域名检测方法的步骤流程图;

图2为本发明实施例中一种异常域名检测系统的结构分布图。

具体实施方式

下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。

传统的非法网站的监测,通常以域名判断为主,通过提取网站的WHOIS信息,解析其中是否存在恶意域名,这种手段只能确定部分异常域名,判断条件单一,很容易漏掉WHOIS信息未判定的异常域名,安全性尚不够高。

本申请中异常域名检测方法通过分析每个域名的访问动作信息和注册信息是否满足访问条件和注册条件,从多个不同方向分析确定了域名的异常告警值,以判断该域名的异常等级,这种判断更为可靠全面,可以更为准确地检测出异常域名。

本发明实施例公开了一种异常域名检测方法,参见图1所示,包括:

S1:获取网络流量数据,并对网络流量数据进行解析,得到解析数据;

具体的,步骤S1获取网络流量数据的过程不应对正常的流量访问产生干扰,因此该步骤具体可包括:通过对流量镜像处理,获取网络流量数据。

进一步的,对网络流量数据进行解析,得到解析数据的过程,包括:对网络流量数据进行HTTP协议、和/或HTTPS协议、和/或TCP/IP协议解析,得到解析数据。可以理解的是,进行解析的过程涉及到域名DNS解析对应的IP记录、其他协议解析过程中的IP记录等。

S2:将解析数据按照域名分组,得到多个解析数据组;

S3:分析每个解析数据组中域名的访问动作信息,根据访问动作信息判断域名是否满足访问条件集中的多条访问条件,以确定域名对应每条访问条件的访问告警值;

可以理解的是,对同一个域名对应的解析数据组,分析其访问动作信息,包括该域名的访问动作时刻、每次访问流量,从而判断该域名是否能够满足访问条件,访问条件集中包括多条访问条件,每个访问条件满足或不满足对应一定的访问告警值,访问告警值在一定程度上能够体现域名的异常程度。

具体的,访问条件集中的多条访问条件包括:

域名的访问周期不固定,

和/或,域名在预设工作时间段内访问。

进一步的,访问条件集中的多条访问条件还包括:

域名的总流量未超出预设流量,

和/或,域名的流量密度未超出预设流量密度,

和/或,域名的访问报文为预设格式,

和/或,域名的访问报文的大小为预设数值。

可以理解的是,如果某个域名的访问周期呈现一定的规律性,也即访问周期固定,或访问周期在小范围内波动,则该域名有可能是设置了自动访问程序的异常域名,因此对应该访问条件的访问告警值取非零值;如果某个域名在非预设工作时间段内访问,则该域名的访问违反了预设时间段内访问的原则,存在域名异常的嫌疑,因此对该访问条件的访问告警值取非零值;同理,每个访问条件的设置均是考虑该域名是否在访问动作上表现出异常,例如总流量超出预设流量和/或流量密度超出预设流量密度,又例如访问报文不是预设格式和/或访问报文的大小不是预设数值,如果要求常规的访问报文为预设格式、访问报文的大小为预设数值,则违反该要求的域名存在异常现已。具体的,访问条件的内容根据实际访问协议调整,以上仅为举例。

S4:分析每个解析数据组中域名的注册信息,根据注册信息判断域名是否满足注册条件集中的多条注册条件,以确定域名对应每条注册条件的注册告警值;

可以理解的是,每个域名的注册信息也即WHOIS信息,利用注册信息分析该域名是否满足注册条件集中的多条注册条件,每条注册条件满足或不满足均对应一定的注册告警值,注册告警值在一定程度上体现域名的异常程度。

具体的,注册条件集中的注册条件包括:

域名位于域名白名单中。

可以理解的是,域名白名单为工作人员预先设置于程序中的、可靠域名的域名合集,一旦该域名位于域名白名单中,则可以基本确定该域名正常,也即该条注册条件对应的注册告警值取零。

进一步的,注册条件集中的多条注册条件还包括:

域名的注册时间超出预设注册时间段,

和/或,域名的注册地址超出预设注册区域,

和/或,域名的历史捆绑记录中无恶意域名。

可以理解的是,如果域名的注册信息体现出域名的临时性,则存在域名异常的嫌疑,例如可设置预设注册时间段为一年以上,则距今一年内注册的域名可能异常,该注册条件对应的注册告警值取非零值;域名的注册地址与域名白名单类似,如果注册地址在预设注册区域外的其他区域,则该注册条件对应的注册告警值取非零值;域名的历史捆绑记录中,一旦出现恶意域名,则存在域名异常的嫌疑,将该注册条件对应的注册告警值取非零值。

可以理解的是,不论是注册告警值还是访问告警值,其数值除了判断出域名在该条件下完全正常时取零外,其他情况下可按照严重程度分级取值,例如根据诈骗案件通报情况,对全球的注册区域分级,不同的注册区域对应不同的注册告警值,其他判断条件同理。

S5:对每个域名的所有访问告警值和所有注册告警值进行加权求和,得到域名的异常告警值;

可以理解的是,不同的访问条件和注册条件,对于域名是否异常的判断权重不同,根据实际情况设置访问告警值和注册告警值的权重。

S6:根据每个域名的异常告警值,确定域名的异常等级。

可以理解的是,域名的异常等级可按照异常告警值分为若干级,以便向用户提供必要的域名的异常等级参考。同时,如果用户端设置了异常保护,用户端可同时根据异常保护的级别和每个域名的异常等级,来判断是否发出该域名的异常告警信息,以提示用户关注异常域名。

本申请公开了一种异常域名检测方法,包括:获取网络流量数据,并对所述网络流量数据进行解析,得到解析数据;将所述解析数据按照域名分组,得到多个解析数据组;分析每个所述解析数据组中所述域名的访问动作信息,根据所述访问动作信息判断所述域名是否满足访问条件集中的多条访问条件,以确定所述域名对应每条所述访问条件的访问告警值;分析每个所述解析数据组中所述域名的注册信息,根据所述注册信息判断所述域名是否满足注册条件集中的多条注册条件,以确定所述域名对应每条所述注册条件的注册告警值;对每个所述域名的所有所述访问告警值和所有所述注册告警值进行加权求和,得到所述域名的异常告警值;根据每个所述域名的所述异常告警值,确定所述域名的异常等级。本申请中异常域名检测方法通过分析每个域名的访问动作信息和注册信息是否满足访问条件和注册条件,从多个不同方向分析确定了域名的异常告警值,以判断该域名的异常等级,这种判断更为可靠全面,可以更为准确地检测出异常域名。

相应的,本申请实施例还公开了一种异常域名检测系统,参见图2所示,包括:

获取模块1,用于获取网络流量数据,并对所述网络流量数据进行解析,得到解析数据;

分组模块2,用于将所述解析数据按照域名分组,得到多个解析数据组;

第一分析模块3,用于分析每个所述解析数据组中所述域名的访问动作信息,根据所述访问动作信息判断所述域名是否满足访问条件集中的多条访问条件,以确定所述域名对应每条所述访问条件的访问告警值;

第二分析模块4,用于分析每个所述解析数据组中所述域名的注册信息,根据所述注册信息判断所述域名是否满足注册条件集中的多条注册条件,以确定所述域名对应每条所述注册条件的注册告警值;

告警分析模块5,用于对每个所述域名的所有所述访问告警值和所有所述注册告警值进行加权求和,得到所述域名的异常告警值,并根据每个所述域名的所述异常告警值,确定所述域名的异常等级。

本实施例通过分析每个域名的访问动作信息和注册信息是否满足访问条件和注册条件,从多个不同方向分析确定了域名的异常告警值,以判断该域名的异常等级,这种判断更为可靠全面,可以更为准确地检测出异常域名。

在一些具体的实施例中,所述访问条件集中的多条所述访问条件包括:

所述域名的访问周期不固定,

和/或,所述域名在预设工作时间段内访问。

在一些具体的实施例中,所述访问条件集中的多条所述访问条件还包括:

所述域名的总流量未超出预设流量,

和/或,所述域名的流量密度未超出预设流量密度,

和/或,所述域名的访问报文为预设格式,

和/或,所述域名的访问报文的大小为预设数值。

在一些具体的实施例中,所述注册条件集中的所述注册条件包括:

所述域名位于域名白名单中。

在一些具体的实施例中,所述注册条件集中的多条所述注册条件还包括:

所述域名的注册时间超出预设注册时间段,

和/或,所述域名的注册地址超出预设注册区域,

和/或,所述域名的历史捆绑记录中无恶意域名。

在一些具体的实施例中,获取模块1具体用于:

对所述网络流量数据进行HTTP协议、和/或HTTPS协议、和/或TCP/IP协议解析,得到解析数据。

在一些具体的实施例中,获取模块1具体用于:

通过对流量镜像处理,获取网络流量数据。

相应的,本申请实施例还公开了一种异常域名检测装置,包括处理器和存储器;其中,所述处理器执行所述存储器中保存的计算机程序时实现以下步骤:

获取网络流量数据,并对所述网络流量数据进行解析,得到解析数据;

将所述解析数据按照域名分组,得到多个解析数据组;

分析每个所述解析数据组中所述域名的访问动作信息,根据所述访问动作信息判断所述域名是否满足访问条件集中的多条访问条件,以确定所述域名对应每条所述访问条件的访问告警值;

分析每个所述解析数据组中所述域名的注册信息,根据所述注册信息判断所述域名是否满足注册条件集中的多条注册条件,以确定所述域名对应每条所述注册条件的注册告警值;

对每个所述域名的所有所述访问告警值和所有所述注册告警值进行加权求和,得到所述域名的异常告警值;

根据每个所述域名的所述异常告警值,确定所述域名的异常等级。

本实施例通过分析每个域名的访问动作信息和注册信息是否满足访问条件和注册条件,从多个不同方向分析确定了域名的异常告警值,以判断该域名的异常等级,这种判断更为可靠全面,可以更为准确地检测出异常域名。

在一些具体的实施例中,所述访问条件集中的多条所述访问条件包括:

所述域名的访问周期不固定,

和/或,所述域名在预设工作时间段内访问。

在一些具体的实施例中,所述访问条件集中的多条所述访问条件还包括:

所述域名的总流量未超出预设流量,

和/或,所述域名的流量密度未超出预设流量密度,

和/或,所述域名的访问报文为预设格式,

和/或,所述域名的访问报文的大小为预设数值。

在一些具体的实施例中,所述注册条件集中的所述注册条件包括:

所述域名位于域名白名单中。

在一些具体的实施例中,所述注册条件集中的多条所述注册条件还包括:

所述域名的注册时间超出预设注册时间段,

和/或,所述域名的注册地址超出预设注册区域,

和/或,所述域名的历史捆绑记录中无恶意域名。

在一些具体的实施例中,所述处理器执行所述存储器中保存的计算机子程序时,具体可以实现以下步骤:

对所述网络流量数据进行HTTP协议、和/或HTTPS协议、和/或TCP/IP协议解析,得到解析数据。

在一些具体的实施例中,所述处理器执行所述存储器中保存的计算机子程序时,具体可以实现以下步骤:

通过对流量镜像处理,获取网络流量数据。

进一步的,本申请实施例还公开了一种可读存储介质,这里所说的可读存储介质包括随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动硬盘、CD-ROM或技术领域内所公知的任意其他形式的存储介质。可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:

获取网络流量数据,并对所述网络流量数据进行解析,得到解析数据;

将所述解析数据按照域名分组,得到多个解析数据组;

分析每个所述解析数据组中所述域名的访问动作信息,根据所述访问动作信息判断所述域名是否满足访问条件集中的多条访问条件,以确定所述域名对应每条所述访问条件的访问告警值;

分析每个所述解析数据组中所述域名的注册信息,根据所述注册信息判断所述域名是否满足注册条件集中的多条注册条件,以确定所述域名对应每条所述注册条件的注册告警值;

对每个所述域名的所有所述访问告警值和所有所述注册告警值进行加权求和,得到所述域名的异常告警值;

根据每个所述域名的所述异常告警值,确定所述域名的异常等级。

本实施例通过分析每个域名的访问动作信息和注册信息是否满足访问条件和注册条件,从多个不同方向分析确定了域名的异常告警值,以判断该域名的异常等级,这种判断更为可靠全面,可以更为准确地检测出异常域名。

在一些具体的实施例中,所述访问条件集中的多条所述访问条件包括:

所述域名的访问周期不固定,

和/或,所述域名在预设工作时间段内访问。

在一些具体的实施例中,所述访问条件集中的多条所述访问条件还包括:

所述域名的总流量未超出预设流量,

和/或,所述域名的流量密度未超出预设流量密度,

和/或,所述域名的访问报文为预设格式,

和/或,所述域名的访问报文的大小为预设数值。

在一些具体的实施例中,所述注册条件集中的所述注册条件包括:

所述域名位于域名白名单中。

在一些具体的实施例中,所述注册条件集中的多条所述注册条件还包括:

所述域名的注册时间超出预设注册时间段,

和/或,所述域名的注册地址超出预设注册区域,

和/或,所述域名的历史捆绑记录中无恶意域名。

在一些具体的实施例中,所述可读存储介质中存储的计算机子程序被处理器执行时,具体可以实现以下步骤:

对所述网络流量数据进行HTTP协议、和/或HTTPS协议、和/或TCP/IP协议解析,得到解析数据。

在一些具体的实施例中,所述可读存储介质中存储的计算机子程序被处理器执行时,具体可以实现以下步骤:

通过对流量镜像处理,获取网络流量数据。

最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上对本发明所提供的一种异常域名检测方法、系统及相关组件进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

转载请注明原文地址:https://win.8miu.com/read-26.html

最新回复(0)