[发明专利]仿冒域名检测方法、装置、电子设备及存储介质

说明书

本发明的实施例公开了一种仿冒域名检测方法、装置、电子设备及存储介质，涉及网络安全检测技术领域。所述仿冒域名检测方法包括：获取待检测域名；使用布隆过滤器判断所述待检测域名是否存在于仿冒域名集中，其中所述仿冒域名集是根据仿冒域名的生成模式在域名白名单的基础上生成得到；若所述待检测域名存在于仿冒域名集中，则判定所述待检测域名为仿冒域名。本发明实施例具有预防新的仿冒域名攻击的能力，提升了检测能力；并且通过使用布隆过滤器，大大提升了检测效率。

技术领域

本发明涉及网络安全检测技术领域，尤其涉及一种仿冒域名检测方法、装置、电子设备及存储介质。

背景技术

随着科技的普及化，网络通讯技术以不可取代的地位深入各个领域，而网络安全问题也日益严峻，其中以网络钓鱼问题尤为突出。

网络钓鱼，是指通过发送垃圾电子邮件等方式，将收信用户引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上，并获取收信人在此网站上输入的个人敏感信息的网络犯罪行为。由于电子商务和互联网应用的普及和发展，网络钓鱼造成的损失日益严重。

由于域名是网站面向终端用户的入口，网络钓鱼行为常常要采用和目标域名相似的域名，来使得用户误以为钓鱼网站为正规的目标网站。因此，域名仿冒行为是钓鱼攻击的一个重要特征，所以在进行钓鱼网站和邮件的检测时，需要进行URL(Uniform ResourceLocator，统一资源定位符)的域名部分的相似性分析，即仿冒域名检测。

传统仿冒域名检测方法，都是先发现仿冒域名，然后再针对该仿冒域名进行防御，这样的方案不能提前预防新的仿冒域名攻击；并且，传统检测方法需要一个庞大的黑名单去与主机访问的域名进行匹配，在时间效率上非常低。

发明内容

有鉴于此，本发明实施例提供一种能够预防新的仿冒域名、检测效果高的仿冒域名检测方法、装置、电子设备及存储介质。

第一方面，本发明实施例提供一种仿冒域名检测方法，包括：

获取待检测域名；

使用布隆过滤器判断所述待检测域名是否存在于仿冒域名集中，其中所述仿冒域名集是根据仿冒域名的生成模式在域名白名单的基础上生成得到；

若所述待检测域名存在于仿冒域名集中，则判定所述待检测域名为仿冒域名。

结合第一方面，在第一方面的一种实施方式中，所述仿冒域名的生成模式是将仿冒域名与仿冒原型域名进行对照，总结仿冒域名的生成方式得出，所述仿冒域名的生成模式包括：字符替换、字符重复、字符缺失、插入随机字符、替换后缀、词义伪装或复合模式。

结合第一方面，在第一方面的另一种实施方式中，所述若所述待检测域名存在于仿冒域名集中，则判定所述待检测域名为仿冒域名之后，包括：

获取所述待检测域名的生成特点；

将所述待检测域名的生成特点与APT组织的仿冒域名生成偏好进行比对，找出相符合的APT组织；

判定所述待检测域名归属于所述相符合的APT组织。

结合第一方面，在第一方面的再一种实施方式中，所述仿冒域名生成偏好包括：某一字符替换为特定字符、特定字符重复、删除特定字符、插入特定字符、替换特定后缀或增加特定词语。

结合第一方面，在第一方面的又一种实施方式中，如果某APT组织使用具有某一生成特点的仿冒域名生成模式超过预设阈值，则将所述具有某一生成特点的仿冒域名生成模式作为所述APT组织的仿冒域名生成偏好；

和/或，如果具有某一生成特点的仿冒域名生成模式只有一个APT组织使用过，则将所述具有某一生成特点的仿冒域名生成模式作为所述APT组织的仿冒域名生成偏好。

第二方面，本发明实施例提供一种仿冒域名检测装置，包括：