[发明专利]一种域名合法性检测方法及装置

权利要求书

1.一种域名合法性检测方法，其特征在于，该方法包括：

获取待检测域名；

确定所述待检测域名的特征向量；其中，所述特征向量中的每个元素为所述待检测域名的每种特征的特征值；

基于确定的所述特征向量，以及预先训练出的用于判断域名合法性的分类模型，确定所述待检测域名的合法性。

2.如权利要求1所述的方法，其特征在于，基于以下步骤训练所述分类模型：

获取域名样本中每个域名的特征向量和该域名的属性信息；所述属性信息用于指示该域名是否合法；

将域名样本中每个域名的特征向量作为待训练的分类模型的输入值，将该域名的属性信息作为待训练的分类模型的输出值，训练所述分类模型。

3.如权利要求1或2所述的方法，其特征在于，域名的特征包括以下两类特征中的一类或两类：

域名的伪装特征；域名的跳变特征。

4.如权利要求3所述的方法，其特征在于，所述域名的伪装特征包括以下特征中的一种或多种：

域名长度；域名中是否包含符合IP地址格式的字符串；域名中的分隔符个数；域名中的特殊字符个数；域名中的数字字符个数；域名中的数字字符个数与域名长度的比例；域名中的数字字符与字母字符之间的转换频率；域名中的大写字母个数；域名分隔符间字符串的最大长度；域名中连续数字的最大长度；域名中连续字母的最大长度。

5.如权利要求3所述的方法，其特征在于，所述域名的跳变特征包括以下特征中的一种或多种：

域名请求数据包的生存时间TTL平均值；域名所属网段的个数；域名解析出的IP地址个数、自治系统AS个数；域名服务NS个数；NS分散度；NS请求数据包对应的TTL平均值；域名的注册时间；域名解析出的IP地址所属的国家数量。

6.一种域名合法性检测装置，其特征在于，该装置包括：

获取模块，用于获取待检测域名；

特征向量确定模块，用于确定所述待检测域名的特征向量；其中，所述特征向量中的每个元素为所述待检测域名的每种特征的特征值；

域名合法性确定模块，用于基于确定的所述特征向量，以及预先训练出的用于判断域名合法性的分类模型，确定所述待检测域名的合法性。

7.如权利要求6所述的装置，其特征在于，所述装置还包括：

分类模型训练模块，用于获取域名样本中每个域名的特征向量和该域名的属性信息；所述属性信息用于指示该域名是否合法；将域名样本中每个域名的特征向量作为待训练的分类模型的输入值，将该域名的属性信息作为待训练的分类模型的输出值，训练所述分类模型。

8.如权利要求6或7所述的装置，其特征在于，所述特征向量确定模块具体用于：

确定以下两类特征中的一类或两类：域名的伪装特征；域名的跳变特征。

9.如权利要求8所述的装置，其特征在于，所述特征向量确定模块具体用于：

确定以下伪装特征中的一种或多种：

域名长度；域名中是否包含符合IP地址格式的字符串；域名中的分隔符个数；域名中的特殊字符个数；域名中的数字字符个数；域名中的数字字符个数与域名长度的比例；域名中的数字字符与字母字符之间的转换频率；域名中的大写字母个数；域名分隔符间字符串的最大长度；域名中连续数字的最大长度；域名中连续字母的最大长度。

10.如权利要求8所述的装置，其特征在于，所述特征向量确定模块具体用于：

确定以下跳变特征中的一种或多种：

域名请求数据包的生存时间TTL平均值；域名所属网段的个数；域名解析出的IP地址个数、自治系统AS个数；域名服务NS个数；NS分散度；NS请求数据包对应的TTL平均值；域名的注册时间；域名解析出的IP地址所属的国家数量。