[发明专利]异常域名检测方法及系统

权利要求书

1.一种异常域名检测方法，其特征在于，包括：

步骤1，接收并解析DNS响应报文，以预设的统计时间间隔为统计周期进 行统计，在所述统计周期内生成包含DNS响应报文的信息和个数统计值的DNS 解析统计向量集；

步骤2，以预设的检测时间间隔为检测周期进行检测，在所述检测周期内 按预设的检测特征对所述检测周期内生成的DNS解析统计向量集中的DNS解析 统计向量进行检测特征统计，生成检测特征向量集，所述检测特征向量集中每 个检测特征向量同一个域名对应；

步骤3，对检测特征向量集中的检测特征向量进行检测，生成异常域名。

2.如权利要求1所述的异常域名检测方法，其特征在于，

所述步骤1进一步为，

步骤21，设置所述DNS解析统计向量集的DNS解析统计向量记录的信息 包括DNS响应报文的类型信息、域名信息、IP地址信息和个数统计值；

步骤22，在所述统计周期内接收所述DNS响应报文，解析出所述DNS响 应报文包含的类型信息、域名信息和IP地址信息；

步骤23，判断所述DNS响应报文包含的类型是否为IP地址类型，如果是， 则执行步骤24，否则，对所述DNS响应报文不做统计；

步骤24，如果在所述DNS解析统计向量集中已存在包含解析的DNS响应 报文的域名信息和IP地址信息的DNS解析统计向量，则将所述DNS解析统计 向量的个数统计值加一；如果不存在，则在所述DNS解析统计向量集中增加一 个DNS解析统计向量，所述DNS解析统计向量的类型信息、域名信息、IP地 址信息为所述DNS响应报文的类型信息、域名信息、IP地址信息，所述DNS 解析统计向量的个数统计值为1。

3.如权利要求1所述的异常域名检测方法，其特征在于，

所述预设的检测特征包括：域名名字长度，域名名字中存在的特殊字符数， 域名对应的IP地址为特殊地址的个数，域名对应的解析次数的突变度，域名 解析次数的周期性，域名对应的IP地址所属的网段的个数，域名解析出的不同 网段IP地址的最近变化时间属于相应预设特定时段的次数，和域名对应的IP 地址所属的网段的变化次数，中的一种或多种。

4.如权利要求2所述的异常域名检测方法，其特征在于，

所述检测特征为域名对应的解析次数的突变度时，所述步骤2进一步为，

步骤41，对于每个所述检测时间间隔内生成的DNS解析统计向量集，计 算所述DNS解析统计向量集中包含所述域名的DNS解析统计向量的个数统计值 的加和，所述加和为所述域名在所述DNS解析统计向量集对应的统计周期内的 解析次数；

步骤42，计算所述检测时间间隔内所述域名在相邻统计周期的解析次数 的差值；

步骤43，查找出所述差值中最大值和最小值，如果最小值为0，将最小值 加1，以所述最大值除以最小值的商为所述检测时间间隔内所述域名对应的解 析次数的突变度。

5.如权利要求2所述的异常域名检测方法，其特征在于，

所述检测特征为域名对应的IP地址所属的网段的个数时，所述步骤2进 一步为，

步骤51，在所述检测周期内生成的DNS解析统计向量集中查找包含所述 域名的DNS解析统计向量，将所有所述DNS解析统计向量的IP地址组合成所 述域名对应的IP地址集合；

步骤52，由所述IP地址集合计算IP地址所属网段的个数。