[发明专利]一种恶意域名检测处理方法及装置

权利要求书

1.一种恶意域名检测处理方法，其特征在于，包括：

获取预设时间段内的待检测域名的域名信息；

根据所述域名信息，按照预设规则计算所述待检测域名至少一个维度的特征值；

根据所述特征值通过预设分类器模型对所述待检测域名进行恶意域名检测处理；其中，所述预设分类器模型为通过训练样本进行机器分类学习获得的；

所述获取预设时间段内的待检测域名的域名信息，包括：

接收DNS应答数据包，并对所述DNS应答数据包进行解析，获取所述DNS应答数据包中包括的域名及其对应的IP；其中，所述域名包括全域名和二级域名；

根据所述域名及其对应的IP，通过黑白名单过滤进行恶意域名检测处理，并获取所述待检测域名；所述待检测域名为未被所述黑白名单过滤识别的所述域名；获取所述待检测域名的域名信息；

其中，所述根据所述域名及其对应的IP，通过黑白名单过滤进行恶意域名检测处理，并获取所述待检测域名；所述待检测域名为未被所述黑白名单过滤识别的所述域名，包括：

S203、判断全域名是否在黑名单中；根据解析所述DNS应答数据包获得的所述域名判断所述域名对应的全域名是否在黑名单中，若是，则判定所述域名为恶意域名，否则，执行步骤S204；

S204、判断二级域名是否在黑名单中；根据解析所述DNS应答数据包获得的所述域名判断所述域名对应的二级域名是否在黑名单中，若是，则判定所述域名为恶意域名，否则，执行步骤S205；

S205、判断域名对应IP是否在黑名单中；根据解析所述DNS应答数据包获得的所述域名判断所述域名对应的IP是否在黑名单中，若是，则判定所述域名为恶意域名，否则，执行步骤S206；

S206、判断全域名是否在白名单中；根据解析所述DNS应答数据包获得的所述域名判断所述域名对应的全域名是否在白名单中，若是，则判定所述域名为正常域名，否则，执行步骤S207；

S207、判断二级域名是否在白名单中；根据解析所述DNS应答数据包获得的所述域名判断所述域名对应的二级域名是否在白名单中，若是，则判定所述域名为正常域名，否则，执行步骤S208；

S208、判定为待检测域名；将未被所述黑白名单过滤识别的所述域名判定为待检测域名，并将所述待检测域名储存在所述待检测域名数据库中；

其中，所述根据所述特征值通过预设分类器模型对所述待检测域名进行恶意域名检测处理；其中，所述预设分类器模型为通过训练样本进行机器分类学习获得的，包括：

获取正常域名数据库包括的各个正常域名对应的预设维度上的特征值，以及恶意域名数据库包括的各个恶意域名对应的预设维度上的特征值，将获取到的所述各个正常域名对应的预设维度上的特征值和所述各个恶意域名对应的预设维度上的特征值作为训练样本，输入支持向量机(SVM)模型，对所述训练样本进行机器分类学习，获得所述预设分类器模型；将计算获得的所述待检测域名的特征值输入所述预设分类器模型，则可以检测识别出所述待检测域名为正常域名或恶意域名的分类结果；

所述待检测域名的所述特征值包括以下任意一项或其组合：

IP-域名特征值、域名-IP特征值、域名名称特征值、TTL特征值、动态特征值和特殊特征值；其中，所述动态特征值至少包括第一动态特征值和第二动态特征值，所述特殊特征值至少包括第一特殊特征值和第二特殊特征值；

所述域名信息包括所述待检测域名与IP之间的映射关系；相应地，所述根据所述域名信息，按照预设规则计算所述待检测域名至少一个维度的特征值，包括：

根据所述待检测域名与IP之间的映射关系，统计每一个所述IP对应的所述待检测域名的个数；

根据所述待检测域名与IP之间的映射关系，计算每一个所述IP对应的多个所述待检测域名的相似度值；所述相似度是根据所述待检测域名按照预设字符匹配算法计算获得的；

根据每一个所述IP对应的所述待检测域名的个数和所述相似度值计算所述待检测域名的IP-域名特征值；

所述域名信息包括所述待检测域名与IP之间的映射关系；相应地，所述根据所述域名信息，按照预设规则计算所述待检测域名至少一个维度的特征值，包括：

根据所述待检测域名与IP之间的映射关系，统计每一个所述待检测域名对应的所述IP的个数；

根据所述待检测域名与IP之间的映射关系，统计每一个所述待检测域名对应的各所述IP的ANS分布率；

根据所述待检测域名与IP之间的映射关系，统计每一个所述待检测域名对应的各所述IP的国家码分布率；

根据每一个所述待检测域名对应的所述IP的个数、各所述IP的ANS分布率、各所述IP的国家码分布率计算所述待检测域名的域名-IP特征值；

所述域名信息包括所述待检测域名对应的字符串；相应地，所述根据所述域名信息，按照预设规则计算所述待检测域名至少一个维度的特征值，包括：

根据所述待检测域名对应的字符串，计算所述待检测域名的字符串长度；

根据所述待检测域名对应的字符串，获取所述字符串包括的字符以及各所述字符出现的次数，并根据所述字符和各所述字符出现的次数计算所述待检测域名的域名字符熵值；

根据所述待检测域名的字符串长度和所述域名字符熵值，计算所述待检测域名的域名名称特征值；

所述域名信息包括所述待检测域名对应的多个TTL值；相应地，所述根据所述域名信息，按照预设规则计算所述待检测域名至少一个维度的特征值，包括：

根据所述待检测域名对应的多个TTL值，获取所述TTL值的最大值和最小值；

根据所述待检测域名对应的多个TTL值，计算所述多个TTL值的平均值和标准差值；

根据所述最大值、最小值、平均值和标准差值计算所述待检测域名的TTL特征值；

所述域名信息包括所述待检测域名的NXDOMAIN请求信息和MX请求信息，以及所述待检测域名与IP之间的映射关系；相应地，所述根据所述域名信息，按照预设规则计算所述待检测域名至少一个维度的特征值，包括：

根据所述待检测域名的NXDOMAIN请求信息和所述待检测域名与IP之间的映射关系，统计每一个所述待检测域名对应的NXDOMAIN请求的个数和每一个所述IP对应的NXDOMAIN请求的个数；

根据所述待检测域名的MX请求信息和所述待检测域名与IP之间的映射关系，统计每一个所述待检测域名对应的MX请求的个数和每一个所述IP对应的MX请求的个数；

根据所述每一个所述待检测域名对应的NXDOMAIN请求的个数和每一个所述IP对应的NXDOMAIN请求的个数，计算所述待检测域名的第一动态特征值；并且根据所述每一个所述待检测域名对应的MX请求的个数和每一个所述IP对应的MX请求的个数，计算所述待检测域名的第二动态特征值；

所述域名信息包括所述待检测域名的子域空间信息，以及所述待检测域名与IP之间的映射关系；相应地，所述根据所述域名信息，按照预设规则计算所述待检测域名的至少一个维度的特征值，包括：

根据所述待检测域名的子域空间信息，若判断获知所述子域空间大于预设阈值，则判定所述待检测域名的第一特殊特征值为1，否则，判定所述待检测域名的第一特殊特征值为0；

根据所述待检测域名与IP之间的映射关系，若判断获知所述待检测域名对应的所述IP为预设IP，则判定所述待检测域名的第二特殊特征值为1，否则，判定所述待检测域名的第二特殊特征值为0。

2.一种恶意域名检测处理装置，其特征在于，包括：

获取单元，用于获取预设时间段内的待检测域名的域名信息；

计算单元，用于根据所述域名信息，按照预设规则计算所述待检测域名至少一个维度的特征值；

检测单元，用于根据所述特征值通过预设分类器模型对所述待检测域名进行恶意域名检测处理；其中，所述预设分类器模型为通过训练样本进行机器分类学习获得的；

所述获取预设时间段内的待检测域名的域名信息，包括：

接收DNS应答数据包，并对所述DNS应答数据包进行解析，获取所述DNS应答数据包中包括的域名及其对应的IP；其中，所述域名包括全域名和二级域名；

根据所述域名及其对应的IP，通过黑白名单过滤进行恶意域名检测处理，并获取所述待检测域名；所述待检测域名为未被所述黑白名单过滤识别的所述域名；获取所述待检测域名的域名信息；

其中，所述根据所述域名及其对应的IP，通过黑白名单过滤进行恶意域名检测处理，并获取所述待检测域名；所述待检测域名为未被所述黑白名单过滤识别的所述域名，包括：

S203、判断全域名是否在黑名单中；根据解析所述DNS应答数据包获得的所述域名判断所述域名对应的全域名是否在黑名单中，若是，则判定所述域名为恶意域名，否则，执行步骤S204；

S204、判断二级域名是否在黑名单中；根据解析所述DNS应答数据包获得的所述域名判断所述域名对应的二级域名是否在黑名单中，若是，则判定所述域名为恶意域名，否则，执行步骤S205；

S205、判断域名对应IP是否在黑名单中；根据解析所述DNS应答数据包获得的所述域名判断所述域名对应的IP是否在黑名单中，若是，则判定所述域名为恶意域名，否则，执行步骤S206；

S206、判断全域名是否在白名单中；根据解析所述DNS应答数据包获得的所述域名判断所述域名对应的全域名是否在白名单中，若是，则判定所述域名为正常域名，否则，执行步骤S207；

S207、判断二级域名是否在白名单中；根据解析所述DNS应答数据包获得的所述域名判断所述域名对应的二级域名是否在白名单中，若是，则判定所述域名为正常域名，否则，执行步骤S208；

S208、判定为待检测域名；将未被所述黑白名单过滤识别的所述域名判定为待检测域名，并将所述待检测域名储存在所述待检测域名数据库中；

其中，所述根据所述特征值通过预设分类器模型对所述待检测域名进行恶意域名检测处理；其中，所述预设分类器模型为通过训练样本进行机器分类学习获得的，包括：

获取正常域名数据库包括的各个正常域名对应的预设维度上的特征值，以及恶意域名数据库包括的各个恶意域名对应的预设维度上的特征值，将获取到的所述各个正常域名对应的预设维度上的特征值和所述各个恶意域名对应的预设维度上的特征值作为训练样本，输入支持向量机(SVM)模型，对所述训练样本进行机器分类学习，获得所述预设分类器模型；将计算获得的所述待检测域名的特征值输入所述预设分类器模型，则可以检测识别出所述待检测域名为正常域名或恶意域名的分类结果；

所述待检测域名的所述特征值包括以下任意一项或其组合：

IP-域名特征值、域名-IP特征值、域名名称特征值、TTL特征值、动态特征值和特殊特征值；其中，所述动态特征值至少包括第一动态特征值和第二动态特征值，所述特殊特征值至少包括第一特殊特征值和第二特殊特征值；

所述域名信息包括所述待检测域名与IP之间的映射关系；相应地，所述根据所述域名信息，按照预设规则计算所述待检测域名至少一个维度的特征值，包括：

根据所述待检测域名与IP之间的映射关系，统计每一个所述IP对应的所述待检测域名的个数；

根据所述待检测域名与IP之间的映射关系，计算每一个所述IP对应的多个所述待检测域名的相似度值；所述相似度是根据所述待检测域名按照预设字符匹配算法计算获得的；

根据每一个所述IP对应的所述待检测域名的个数和所述相似度值计算所述待检测域名的IP-域名特征值；

所述域名信息包括所述待检测域名与IP之间的映射关系；相应地，所述根据所述域名信息，按照预设规则计算所述待检测域名至少一个维度的特征值，包括：

根据所述待检测域名与IP之间的映射关系，统计每一个所述待检测域名对应的所述IP的个数；

根据所述待检测域名与IP之间的映射关系，统计每一个所述待检测域名对应的各所述IP的ANS分布率；

根据所述待检测域名与IP之间的映射关系，统计每一个所述待检测域名对应的各所述IP的国家码分布率；

根据每一个所述待检测域名对应的所述IP的个数、各所述IP的ANS分布率、各所述IP的国家码分布率计算所述待检测域名的域名-IP特征值；

所述域名信息包括所述待检测域名对应的字符串；相应地，所述根据所述域名信息，按照预设规则计算所述待检测域名至少一个维度的特征值，包括：

根据所述待检测域名对应的字符串，计算所述待检测域名的字符串长度；

根据所述待检测域名对应的字符串，获取所述字符串包括的字符以及各所述字符出现的次数，并根据所述字符和各所述字符出现的次数计算所述待检测域名的域名字符熵值；

根据所述待检测域名的字符串长度和所述域名字符熵值，计算所述待检测域名的域名名称特征值；

所述域名信息包括所述待检测域名对应的多个TTL值；相应地，所述根据所述域名信息，按照预设规则计算所述待检测域名至少一个维度的特征值，包括：

根据所述待检测域名对应的多个TTL值，获取所述TTL值的最大值和最小值；

根据所述待检测域名对应的多个TTL值，计算所述多个TTL值的平均值和标准差值；

根据所述最大值、最小值、平均值和标准差值计算所述待检测域名的TTL特征值；

所述域名信息包括所述待检测域名的NXDOMAIN请求信息和MX请求信息，以及所述待检测域名与IP之间的映射关系；相应地，所述根据所述域名信息，按照预设规则计算所述待检测域名至少一个维度的特征值，包括：

根据所述待检测域名的NXDOMAIN请求信息和所述待检测域名与IP之间的映射关系，统计每一个所述待检测域名对应的NXDOMAIN请求的个数和每一个所述IP对应的NXDOMAIN请求的个数；

根据所述待检测域名的MX请求信息和所述待检测域名与IP之间的映射关系，统计每一个所述待检测域名对应的MX请求的个数和每一个所述IP对应的MX请求的个数；

根据所述每一个所述待检测域名对应的NXDOMAIN请求的个数和每一个所述IP对应的NXDOMAIN请求的个数，计算所述待检测域名的第一动态特征值；并且根据所述每一个所述待检测域名对应的MX请求的个数和每一个所述IP对应的MX请求的个数，计算所述待检测域名的第二动态特征值；

所述域名信息包括所述待检测域名的子域空间信息，以及所述待检测域名与IP之间的映射关系；相应地，所述根据所述域名信息，按照预设规则计算所述待检测域名的至少一个维度的特征值，包括：

根据所述待检测域名的子域空间信息，若判断获知所述子域空间大于预设阈值，则判定所述待检测域名的第一特殊特征值为1，否则，判定所述待检测域名的第一特殊特征值为0；

根据所述待检测域名与IP之间的映射关系，若判断获知所述待检测域名对应的所述IP为预设IP，则判定所述待检测域名的第二特殊特征值为1，否则，判定所述待检测域名的第二特殊特征值为0。