>[0061] 其中,风险等级评估结果的计算基于以下中的至少一个:第一风险分值、第二风险 分值、第三风险分值、第四风险分值、第五风险分值、第六风险分值以及第七风险分值。
[0062] 优选地,域名风险等级评估模块还用于将进行了风险等级评估的域名以及与域名 相对应的风险等级评估结果录入到域名风险等级数据库中。
[0063] 本发明实施例的各个模块可以以硬件实现,或者以在一个或者多个处理器上运行 的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用 微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的医疗化验单图像分类装 置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述 的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这 样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的 形式。这样的信号可以从因特网网站上下载得到,或者在存储载体上提供,或者以任何其他 形式提供。
[0064] 本发明已经通过上述实施例进行了说明,但应当理解的是,上述实施例只是用于 举例和说明的目的,而非意在将本发明限制于所描述的实施例范围内。此外本领域技术人 员可以理解的是,本发明并不局限于上述实施例,根据本发明的教导还可以做出更多种的 变型和修改,这些变型和修改均落在本发明所要求保护的范围以内。本发明的保护范围由 附属的权利要求书及其等效范围所界定。
【主权项】
1. 一种基于域名解析会话模式分析的恶意域名检测方法,其特征在于,所述恶意域名 检测方法包括: 获取网络中的通信数据; 对所述通信数据进行解析,以提取出所述通信数据中涉及到的源主机的IP、所述源主 机所查询的域名以及查询所述域名的时间;以及 查询域名风险等级数据库,以确定所述源主机所查询的域名是否存在于所述域名风险 等级数据库中,如果存在,则从所述域名风险等级数据库中取出并呈现与所述域名相对应 的风险等级结果,如果不存在,则对所述域名进行风险等级评估并呈现风险等级评估结果, 其中,所述风险等级评估包括域名注册信息关联分析和高频访问名单分析,所述域名 注册信息关联分析和所述高频访问名单分析分别被分配第一权重和第二权重,所述域名注 册信息关联分析判定所述域名的注册信息的全面性和/或真实性,并基于判定结果和所述 第一权重计算所述域名的第一风险分值,所述高频访问名单分析判定所述域名当前和在过 去的预设时间段内是否均在或者是否均不在所述源主机访问频率最高的前若干位域名名 单内,并基于判定结果和所述第二权重计算所述域名的第二风险分值,所述风险等级评估 结果的计算基于所述第一风险分值和所述第二风险分值。2. 如权利要求1所述的恶意域名检测方法,其特征在于,所述风险等级评估还包括异 常心跳分析,所述异常心跳分析被分配第三权重,所述异常心跳分析判定所述源主机在单 位时间间隔内对所述域名的查询请求是否存在规律性,并基于判定结果和所述第三权重计 算所述域名的第三风险分值,并且所述风险等级评估结果的计算还基于所述第三风险分 值。3. 如权利要求1所述的恶意域名检测方法,其特征在于,所述风险等级评估还包括子 域名语义分析,所述子域名语义分析被分配第四权重,所述子域名语义分析判定所述源主 机所查询的域名的子域名是否具有实际意义,并基于判定结果和所述第四权重计算所述域 名的第四风险分值,并且所述风险等级评估结果的计算还基于所述第四风险分值。4. 如权利要求1所述的恶意域名检测方法,其特征在于,所述风险等级评估还包括故 障监测分析,所述故障监测分析被分配第五权重,所述故障监测分析用于在所述域名的域 名服务器发生故障时监测对所述域名服务器发送重新查询请求的主机数目,并基于监测结 果和所述第五权重计算所述域名的第五风险分值,并且所述风险等级评估结果的计算还基 于所述第五风险分值。5. 如权利要求1所述的恶意域名检测方法,其特征在于,所述风险等级评估还包括搜 索引擎收录情况分析,所述搜索引擎收录情况分析被分配第六权重,所述搜索引擎收录情 况分析判定所述域名是否被搜索引擎所收录并分析搜索引擎对所述域名的网页级别评分, 并基于分析判定结果和所述第六权重计算所述域名的第六风险分值,并且所述风险等级评 估结果的计算还基于所述第六风险分值。6. 如权利要求1所述的恶意域名检测方法,其特征在于,所述风险等级评估还包括互 联网档案馆分析,所述互联网档案馆分析被分配第七权重,所述互联网档案馆分析用于在 互联网档案馆中查询并分析所述域名的历史活动记录和/或历史快照,并基于分析结果和 所述第七权重计算所述域名的第七风险分值,并且所述风险等级评估结果的计算还基于所 述第七风险分值。7. 如权利要求1-6中的任一项所述的恶意域名检测方法,其特征在于,所述恶意域名 检测方法还包括:在进行风险等级评估之后,将所述域名以及与所述域名相对应的所述风 险等级评估结果录入到所述域名风险等级数据库中。8. -种基于域名解析会话模式分析的恶意域名检测装置,其特征在于,所述恶意域名 检测装置包括: 数据获取模块,用于获取网络中的通信数据; 数据解析模块,用于对所述通信数据进行解析,以提取出所述通信数据中涉及到的源 主机的IP、所述源主机所查询的域名以及查询所述域名的时间; 数据查询模块,用于查询域名风险等级数据库,以确定所述源主机所查询的域名是否 存在于所述域名风险等级数据库中; 域名风险等级评估模块,用于在所述域名风险等级数据库中不存在所述源主机所查询 的域名时对所述域名进行风险等级评估;以及 评估结果显示模块,用于在所述域名风险等级数据库中存在所述源主机所查询的域名 时呈现从所述域名风险等级数据库中提取的与所述域名相对应的风险等级结果,并且在所 述域名风险等级数据库中不存在所述源主机所查询的域名时呈现所述域名风险等级评估 模块对所述域名的风险等级评估结果,其中,所述域名风险等级评估模块包括: 域名注册信息关联分析模块,用于判定所述域名的注册信息的全面性和/或真实性, 并基于判定结果和所分配的第一权重计算所述域名的第一风险分值;以及 高频访问名单分析模块,用于判定所述域名当前和在过去的预设时间段内是否均在或 者是否均不在所述源主机访问频率最高的前若干位域名名单内,并基于判定结果和所分配 的第二权重计算所述域名的第二风险分值, 其中,所述风险等级评估结果的计算基于所述第一风险分值和所述第二风险分值。9. 如权利要求8所述的恶意域名检测装置,其特征在于,所述域名风险等级评估模块 还包括以下模块中的至少一个: 异常心跳分析模块,用于判定所述源主机在单位时间间隔内对所述域名的查询请求是 否存在规律性,并基于判定结果和所分配的第三权重计算所述域名的第三风险分值; 子域名语义分析模块,用于判定所述源主机所查询的域名的子域名是否具有实际意 义,并基于判定结果和所分配的第四权重计算所述域名的第四风险分值; 故障监测分析模块,用于在所述域名的域名服务器发生故障时监测对所述域名服务器 发送重新查询请求的主机数目,并基于监测结果和所分配的第五权重计算所述域名的第五 风险分值; 搜索引擎收录情况分析模块,用于判定所述域名是否被搜索引擎所收录并分析搜索引 擎对所述域名的网页级别评分,并基于分析判定结果和所分配的第六权重计算所述域名的 第六风险分值;以及 互联网档案馆分析模块,用于在互联网档案馆中查询并分析所述域名的历史活动记录 和/或历史快照,并基于分析结果和所分配的第七权重计算所述域名的第七风险分值, 其中,所述风险等级评估结果的计算还基于以下中的至少一个:所述第三风险分值、所 述第四风险分值、所述第五风险分值、所述第六风险分值以及所述第七风险分值。10. 如权利要求8或9所述的恶意域名检测装置,其特征在于,所述域名风险等级评估
【专利摘要】本发明提供了基于域名解析会话模式分析的恶意域名检测方法及装置。该方法包括:获取网络中的通信数据;对通信数据进行解析,以提取出通信数据中涉及到的源主机的IP、源主机所查询的域名以及查询域名的时间;查询域名风险等级数据库,以确定源主机所查询的域名是否存在于域名风险等级数据库中,如果存在,则从域名风险等级数据库中取出并呈现与域名相对应的风险等级结果,如果不存在,则对域名进行风险等级评估并呈现风险等级评估结果,其中,该风险等级评估包括域名注册信息关联分析和高频访问名单分析。本发明所提供的方法及装置能够准确检测未知恶意域名。
【IPC分类】H04L29/06
【公开号】CN105072119
【申请号】CN201510502760
【发明人】黄玮, 李美聪, 安靖, 范文庆, 邹权臣, 李建方, 王永滨, 隋爱娜
【申请人】中国传媒大学
【公开日】2015年11月18日
【申请日】2015年8月14日