[发明专利]一种域名检测方法、装置和存储介质

说明书

本发明公开了一种域名检测方法、装置和存储介质，其中，方法包括：获取DNS数据，从所述DNS数据中提取域名访问序列；所述域名访问序列包括至少一个域名；运用预设的数据处理模型识别所述至少一个域名，得到所述至少一个域名中各域名对应的向量；根据所述各域名对应的向量，将各域名与预设的APT相似域名库中各种子域名进行比较，根据比较结果从所述至少一个域名中确定符合相似度要求的第一目标域名；根据所述第一目标域名更新所述APT相似域名库。

技术领域

本发明涉及信息安全技术，尤其涉及一种域名检测方法、装置和计算机可读存储介质。

背景技术

域名系统(DNS，Domain Name System)安全中，高级威胁一直以来都是业界比较关注但较难的一个检测方向。相关技术中，获取高级威胁的方式为通过情报能力将高级可持续威胁攻击(APT，Advanced Persistent Threat)域名收录到情报库中，上述方法往往都是依赖于外部能力，是一个被动的行为，无法主动的获取APT域名的线索和检测能力。

发明内容

有鉴于此，本发明的主要目的在于提供一种域名检测方法、装置和计算机可读存储介质。

为达到上述目的，本发明的技术方案是这样实现的：

本发明实施例提供了一种域名检测方法，所述方法包括：

获取DNS数据，从所述DNS数据中提取域名访问序列；所述域名访问序列包括至少一个域名；

运用预设的数据处理模型识别所述至少一个域名，得到所述至少一个域名中各域名对应的向量；

根据所述各域名对应的向量，将各域名与预设的APT相似域名库中各种子域名进行比较，根据比较结果从所述至少一个域名中确定符合相似度要求的第一目标域名；

根据所述第一目标域名更新所述APT相似域名库。

上述方案中，所述方法还包括：生成所述预设的数据处理模型；

所述生成所述预设的数据处理模型，包括：

获取至少一个训练域名访问序列；

根据所述至少一个训练域名访问序列训练word2vec模型，得到训练后的word2vec模型作为所述预设的数据处理模型。

上述方案中，所述运用预设的数据处理模型识别所述至少一个域名，得到所述至少一个域名中各域名对应的向量，包括：

对所述域名访问序列进行切分，得到所述域名访问序列包括的至少一个域名；

运用所述预设的数据处理模块识别所述至少一个域名中各域名，得到各域名对应的向量。

上述方案中，所述根据所述各域名对应的向量，将各域名与预设的APT相似域名库中各种子域名进行比较，包括：

确定所述预设的APT相似域名库中各种子域名对应的向量；

将所述各域名对应的向量与所述各种子域名对应的向量进行相似度计算，确定所述各域名对应的向量与所述各种子域名对应的向量的相似度。

上述方案中，所述根据所述第一目标域名更新所述APT相似域名库，包括：

从所述第一目标域名中确定满足以下至少之一条件的域名：

确定与任一所述种子域名为同型近义的域名；

确定稀有度超过第一预设阈值的域名；

确定随机性超过第二预设阈值的域名；

确定命中开源情报的域名；

以及，根据确定的满足条件的域名更新所述APT相似域名库。