[发明专利]一种僵尸网络中的攻击域名的确定方法及装置

说明书

本申请提供一种僵尸网络中的攻击域名的确定方法及装置，该方法包括：获取N个主机分别通过各自的网络协议IP地址请求访问的域名，N为正整数。然后将N个主机请求访问的域名进行聚类，得到至少一个聚类集合，一个聚类集合包括多个域名，一个聚类集合中的域名之间的关联度满足预设条件。确定每个聚类集合分别对应的攻击域名家族，一个攻击域名家族包括多个具有相同域名特征的域名。本方案中，关联度满足预设条件的域名即为一个攻击域名家族内的两个速变域名，将这些关联度满足预设条件的域名聚类再一起，并根据每个聚类集合内的域名的特征确定每个聚类集合分别对应的攻击域名家族，可以更准确高效地确定出僵尸网络中的攻击域名。

技术领域

本申请涉及网络安全领域，尤其涉及一种僵尸网络中的攻击域名的确定方法及装置。

背景技术

互联网中，攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而同一个僵尸网络中被感染的主机将通过同一个方式接收攻击者的指令。

受到控制的主机，通常会发起大量的域名请求，找到真正可用的域名，以和攻击者的主机进行通信，获取攻击指令。确定出这些攻击域名之后，可以进一步地确定攻击者的主机，之后可以阻断用户的主机和攻击者的主机之间的通信，进而对用户的主机进行保护。而如何有效地确定这些攻击域名，是目前需要解决的问题。

发明内容

本申请提供一种僵尸网络中的攻击域名的确定方法及装置，用以准确高效地确定出僵尸网络中的攻击域名。

第一方面，本申请提供一种僵尸网络中的攻击域名的确定方法，包括：获取N个主机分别通过各自的网络协议IP地址请求访问的域名，N为正整数。然后将N个主机请求访问的域名进行聚类，得到至少一个聚类集合，一个聚类集合包括多个域名，一个聚类集合中的域名之间的关联度满足预设条件。确定每个聚类集合分别对应的攻击域名家族，一个攻击域名家族包括多个具有相同域名特征的域名。本方案中，关联度满足预设条件的域名即为一个攻击域名家族内的两个速变域名，将这些关联度满足预设条件的域名聚类再一起，并根据每个聚类集合内的域名的特征确定每个聚类集合分别对应的攻击域名家族，可以更准确高效地确定出僵尸网络中的攻击域名。

在一种可能的实现方式中，上述确定每个聚类集合分别对应的攻击域名家族，包括：针对一个聚类集合，确定聚类集合中的域名的域名特征，若聚类集合中的域名的域名特征与攻击域名家族集合中的第一攻击域名家族的域名特征相同，则确定聚类集合对应的攻击域名家族为第一攻击域名家族。若聚类集合中的域名的域名特征与攻击域名家族集合中的所有攻击域名家族的域名特征均不同，则根据聚类集合中的域名的域名特征确定聚类集合对应的攻击域名家族。攻击域名家族集合包括至少一个攻击域名家族，一个攻击域名家族对应一个域名特征。该方案中，攻击域名家族集合为一些已知的攻击域名家族的集合，每个攻击域名家族内的域名都有着各自家族的域名特征，若一个聚类集合内的域名与已知的一个已知的攻击域名家族钟的域名有相同的域名特征，则将该聚类集合内的域名确定成该已知的攻击域名家族，否则将该聚类集合内的域名标记为一种新的攻击域名家族。

在一种可能的实现方式中，上述将N个主机请求访问的域名进行聚类，得到至少一个聚类集合，可以通过以下步骤实现:

步骤A1：重复执行以下步骤B1至步骤B2，得到L个临时聚类集合，一个临时聚类集合内的域名的域名特征相同，i取遍1至K，K为N个主机请求访问的域名的总个数：

步骤B1：针对N个主机请求访问的域名中的第i域名，确定与第i域名之间的关联度最大的第j域名；

步骤B2：将第i域名划分到第j域名所在的聚类集合，j为不大于K的正整数；

步骤A2：若所述步骤A1得到一个临时聚类集合时，则确定该一个临时聚类集合为得到的至少一个聚类集合。

步骤A3：若所述步骤A1得到至少两个临时聚类集合时,则重复执行以下步骤C1至步骤C2，得到至少一个聚类集合，一个聚类集合内的域名属于一个攻击域名家族,p取遍1至L：