[发明专利]一种异常域名的识别方法、装置、计算机设备及介质

说明书

本发明实施例公开了一种异常域名的识别方法、装置、计算机设备及介质。其中，该方法包括：获取待识别域名，并提取所述待识别域名中的主域名；将所述主域名与预先的建立的异常拼接字符串库进行匹配，检测所述主域名是否能通过异常拼接字符串库中的设定数量的异常拼接字符串拼接得到；若是，则将所述待识别域名确定为通过域名生成算法生成的异常域名。本发明实施例，通过上述方法，解决了由异常拼接字符串组成的域名漏检和漏报的问题，实现了对异常域名检测准确率的提高，从而避免了漏检异常域名对服务器的攻击，减少异常域名攻击服务器造成的损失。

技术领域

本发明实施例涉及计算机数据处理技术，尤其涉及一种异常域名的识别方法、装置、计算机设备及介质。

背景技术

恶意软件如今已经发展为威胁网络安全的头号公敌，为了逃避安全设施的检测，其制作过程也越来越复杂，其中一个典型做法是在软件中集成域名生成算法(DomainGeneration Algorithm，DGA)算法，产生速变域名。该方式作为备用或者主要的与C2服务器通信的手段，可以构造更加鲁棒的僵尸网络。

按照检测方法的不同，DGA域名检测大致可以分为以下两种：基于文本分析和基于行为分析。其中，基于文本分析可以是通过分析DGA域名与正常域名之间字符分布的差异，对IP产生的域名进行批量分类，或者通过LSTM算法分析DGA域名与正常域名之间的差异，可以判定每个域名是否为DGA域名。

发明人在实现本发明的过程中，发现现有技术主要存在如下缺陷：在对DGA域名进行检测时，如果单纯用深度学习模型，会出现大量漏报恶意域名的情况。而对于漏报的恶意域名，分析发现大部分属于多个英文单词拼接而成。因此，漏检异常域名可以对服务器进行攻击，会造成财产的损失。

发明内容

本发明实施例提供了一种异常域名的识别方法、装置、计算机设备及介质，以实现对由异常拼接字符串组成的域名检测的问题，实现了对异常域名检测准确率的提高。

第一方面，本发明实施例提供了一种异常域名的识别方法，其中，包括：

获取待识别域名，并提取所述待识别域名中的主域名；

将所述主域名与预先的建立的异常拼接字符串库进行匹配，检测所述主域名是否能通过异常拼接字符串库中的设定数量的异常拼接字符串拼接得到；

若是，则将所述待识别域名确定为通过DGA生成的异常域名。

进一步地，将所述主域名与预先的建立的异常拼接字符串库进行匹配，检测所述主域名是否能通过异常拼接字符串库中的设定数量的异常拼接字符串拼接得到，包括：如果确定在所述主域名中识别到至少一个连接符，则根据所述连接符，将所述主域名拆分为多个目标字符串；分别将每个目标字符串与所述异常拼接字符串库进行匹配；如果确定全部目标字符串均能命中异常拼接字符串库中的异常拼接字符串，则确定所述主域名能通过异常拼接字符串库中的设定数量的异常拼接字符串拼接得到。

进一步地，将所述主域名与预先的建立的异常拼接字符串库进行匹配，检测所述主域名是否能通过异常拼接字符串库中的设定数量的异常拼接字符串拼接得到，包括：如果确定未在所述主域名中识别到任一连接符，则按照预设的枚举比对算法，从所述主域名中顺序枚举得到至少一个拼接备选字符串组；其中，每个拼接备选字符串组中的各拼接备选字符串首尾相连构成所述主域名；在各所述拼接备选字符串组中筛选得到满足设定数量要求的备选异常拼接字符串；如果确定目标备选拼接备选字符串组中包括的各拼接备选字符串能命中异常拼接字符串库中的异常拼接字符串，则确定所述主域名能通过异常拼接字符串库中的设定数量的异常拼接字符串拼接得到。

进一步地，在将所述主域名与预先的建立的异常拼接字符串库进行匹配之前，还包括：在网络安全网站收集异常拼接字符串，建立成异常拼接字符串库；所述方法还包括：实时在网络安全网站中收集所述异常拼接字符串，并将所述异常拼接字符串与所述异常拼接字符串库中的异常拼接字符串进行比较，更新所述异常拼接字符串库。