域名系统中恶意域名的检测方法与检测装置与流程

技术特征：

1.一种域名系统中恶意域名的检测方法，其特征在于，包括：

获得电子装置的网络连线数据；

从所述网络连线数据中获取与至少一域名有关的日志数据；

分析所述日志数据以产生与所述至少一域名有关的至少一数值特征；

将所述至少一数值特征输入至多类型预测模型，其包括第一类数据模型与第二类数据模型，其中所述第一类数据模型是基于与恶意程序有关的第一类恶意特征所建立，且所述第二类数据模型是基于与钓鱼网站有关的第二类恶意特征所建立；以及

由所述多类型预测模型根据所述至少一数值特征预测所述至少一域名中是否存在与所述恶意程序或所述钓鱼网站有关的恶意域名。

2.根据权利要求1所述的检测方法，其中从所述网络连线数据中获取与所述至少一域名有关的所述日志数据的步骤包括：

过滤所述日志数据中的A记录与AAAA记录，其中所述A记录反映至少一互联网通信协定第四版(IPv4)的地址数据，且所述AAAA记录反映至少一互联网通信协定第六版(IPv6)的地址数据。

3.根据权利要求1所述的检测方法，其中分析所述日志数据以产生与所述至少一域名有关的所述至少一数值特征的步骤包括：

分析所述日志数据中与所述至少一域名的查询行为、所述至少一域名与至少一互联网协定地址的映射、所述至少一域名的字元组成、所述至少一域名的互联网协定地址的变化及所述至少一域名的存活时间的至少其中之一有关的数据，以获得与所述至少一域名有关的所述至少一数值特征。

4.根据权利要求1所述的检测方法，其中所述至少一数值特征包括至少一查询行为评估值，且所述至少一查询行为评估值反映所述电子装置对所述至少一域名的查询行为的统计特性。

5.根据权利要求1所述的检测方法，其中所述至少一数值特征包括至少一映射评估值，且所述至少一映射评估值反映所述至少一域名与至少一互联网协定地址之间的映射的统计特性。

6.根据权利要求1所述的检测方法，其中所述至少一数值特征包括至少一域名评估值，且所述至少一域名评估值反映所述至少一域名中的字元组成的统计特性。

7.根据权利要求1所述的检测方法，其中所述至少一数值特征包括至少一存活时间评估值，且所述至少一存活时间评估值反映所述至少一域名的存活时间的统计特性。

8.根据权利要求1所述的检测方法，其中所述至少一数值特征包括至少一地址变化评估值，且所述至少一地址变化评估值反映所述至少一域名的互联网协定地址的变化的统计特性。

9.根据权利要求1所述的检测方法，其中由所述多类型预测模型根据所述至少一数值特征预测所述至少一域名中是否存在与所述恶意程序或所述钓鱼网站有关的所述恶意域名的步骤包括：

由所述预测模型根据所述至少一数值特征识别可能存在的所述恶意域名的类型属于所述恶意程序或所述钓鱼网站。

10.一种检测装置，用以检测域名系统中的恶意域名，所述检测装置包括：

网络界面，用以获得电子装置的网络连线数据；以及

处理器，连接至所述网络界面，

其中所述处理器用以从所述网络连线数据中获取与至少一域名有关的日志数据，

所述处理器还用以分析所述日志数据以产生与所述至少一域名有关的至少一数值特征，

所述处理器还用以将所述至少一数值特征输入至多类型预测模型，其包括第一类数据模型与第二类数据模型，其中所述第一类数据模型是基于与恶意程序有关的第一类恶意特征所建立，所述第二类数据模型是基于与钓鱼网站有关的第二类恶意特征所建立，并且

所述处理器还用以运行所述多类型预测模型以根据所述至少一数值特征预测所述至少一域名中是否存在与所述恶意程序或所述钓鱼网站有关的恶意域名。

11.根据权利要求10所述的检测装置，其中所述处理器从所述网络连线数据中获取与所述至少一域名有关的所述日志数据的操作包括：

过滤所述日志数据中的A记录与AAAA记录，其中所述A记录反映至少一互联网通信协定第四版的地址数据，且所述AAAA记录反映至少一互联网通信协定第六版的地址数据。

12.根据权利要求10所述的检测装置，其中所述处理器分析所述日志数据以产生与所述至少一域名有关的所述至少一数值特征的操作包括：

分析所述日志数据中与所述至少一域名的查询行为、所述至少一域名与至少一互联网协定地址的映射、所述至少一域名的字元组成、所述至少一域名的互联网协定地址的变化及所述至少一域名的存活时间的至少其中之一有关的数据，以获得与所述至少一域名有关的所述至少一数值特征。

13.根据权利要求10所述的检测装置，其中所述至少一数值特征包括至少一查询行为评估值，且所述至少一查询行为评估值反映所述电子装置对所述至少一域名的查询行为的统计特性。

14.根据权利要求10所述的检测装置，其中所述至少一数值特征包括至少一映射评估值，且所述至少一映射评估值反映所述至少一域名与至少一互联网协定地址之间的映射的统计特性。

15.根据权利要求10所述的检测装置，其中所述至少一数值特征包括至少一域名评估值，且所述至少一域名评估值反映所述至少一域名中的字元组成的统计特性。

16.根据权利要求10所述的检测装置，其中所述至少一数值特征包括至少一存活时间评估值，且所述至少一存活时间评估值反映所述至少一域名的存活时间的统计特性。

17.根据权利要求10所述的检测装置，其中所述至少一数值特征包括至少一地址变化评估值，且所述至少一地址变化评估值反映所述至少一域名的互联网协定地址的变化的统计特性。

18.根据权利要求10所述的检测装置，其中所述处理器运行所述多类型预测模型以根据所述至少一数值特征预测所述至少一域名中是否存在与所述恶意程序或所述钓鱼网站有关的所述恶意域名的操作包括：

运行所述多类型预测模型以根据所述至少一数值特征识别可能存在的所述恶意域名的类型属于所述恶意程序或所述钓鱼网站。

技术总结
本发明提供一种域名系统(Domain Name System,DNS)中恶意域名的检测方法与检测装置。所述方法包括：获得电子装置的网络连线数据；从所述网络连线数据中获取与至少一域名有关的日志数据；分析所述日志数据以产生与所述至少一域名有关的至少一数值特征；将所述至少一数值特征输入至多类型预测模型，其包括第一类数据模型与第二类数据模型；以及由所述多类型预测模型根据所述至少一数值特征预测所述至少一域名中是否存在与恶意程序或钓鱼网站有关的恶意域名。因此，可有效提高自动化恶意域名检测的检测效率。

技术研发人员：黄琼莹;曾奕中;孙明功;蔡东霖;
受保护的技术使用者：安碁资讯股份有限公司;
技术研发日：2020.07.13
技术公布日：2021.11.23