[发明专利]一种恶意域名的检测方法及系统

说明书

本申请实施例提供了一种恶意域名的检测方法及系统，用于将新核心域名执行分组聚类，将单一域名聚类成域名簇，以簇的形式进行特征提取，以进行恶意特征检测，有效提高了域名的检测准确率。本申请实施例方法包括：将获取到的新核心域名执行分组聚类，得到多个域名簇；分别统计每个域名簇的数据特征；将所述每个域名簇的数据特征，执行安全场景的恶意特征匹配；根据匹配结果，将所述每个域名簇划分为对应安全场景的恶意域名数据簇和/或未知威胁域名数据簇。

技术领域

本申请涉及数据安全技术领域，尤其涉及一种恶意域名的检测方法及系统。

背景技术

新核心域名，即DNS数据中新的核心域名，这里的“新”通常指新注册或者新发现，这属于一种广义的安全事件，是未知异常检测中的一类。

目前关于新核心域名这一维度的恶意域名检测，业界主要的方法有两种：

一种是通过对比客户流量数据，判断该域名是否是新出现的域名，若发现为新出现的域名，则直接将这些域名加入有时效的黑名单，拒绝客户访问，超过时效，则从黑名单释放出来。

另外一种是当发现客户第一次使用或解析的域名时，会将其的初始信息记录下来，并在一段时间后，利用其它信息发现方式得到最新信息，并与初始信息对比，并进行检测。若发现是恶意域名，则将加入黑名单，拒绝客户访问。

上述方案存在以下几个问题：

1、直接加入黑名单这种方式过于武断，容易造成误报，从而影响客户的正常业务；

2、上诉两种方案都利用到了时间这个维度，需要通过一段时间的变化，来改变对新域名的处理方式，然而不同类型的安全事件变化需要的时间是不一致的，那么这里时间的利用，容易造成漏报。

这里做出结果判断的单位都是一个域名，单纯使用一个域名进行判断会丢失大量行为特征，降低了检出的准确率。

发明内容

本申请实施例提供了一种恶意域名的检测方法及系统，用于将新核心域名执行分组聚类，将单一域名聚类成域名簇，以簇的形式进行特征提取，以进行恶意特征检测，有效提高了域名的检测准确率。

本申请实施例第一方面提供了一种恶意域名的检测方法，包括：

将获取到的新核心域名执行分组聚类，得到多个域名簇；

分别统计每个域名簇的数据特征；

将所述每个域名簇的数据特征，执行安全场景的恶意特征匹配；

根据匹配结果，将所述每个域名簇划分为对应安全场景的恶意域名数据簇和/或未知威胁域名数据簇。

优选的，在分别统计每个域名簇的数据特征之后，所述方法还包括：

将所述每个域名簇划分为可解析数据簇和不可解析数据簇；

所述将所述每个域名簇的数据特征，执行安全场景的恶意特征匹配，包括：

将所述可解析数据簇和不可解析数据簇，分别执行安全场景的恶意特征匹配。

优选的，在所述将获取到的新核心域名执行分组聚类之前，所述方法还包括：

判断所述新核心域名是否符合域名命名规范；

若是，则获取所述新核心域名中的二级域名，并对所述二级域名执行最长有意义字符串的匹配，统计有意义字符串的占比；

若所述有意义字符串的占比不大于预设阈值时，将所述新核心域名定义为恶意域名。

优选的，所述方法还包括：

若所述有意义字符串的占比大于所述预设阈值，则触发执行将获取到的新核心域名执行分组聚类的步骤。