本申请涉及网络安全,尤其涉及一种域名类型的识别方法、装置、设备和计算机存储介质。
背景技术:
1、当恶意网络域名被引擎判定为恶意后,无法进一步的确认这个域名的恶意类型,对于威胁情报来说,情报的检出需要有恶意情报对应的恶意类型才更具备说服力,所以单纯的判定域名是否恶意已经不能够满足用户的需求。
2、在相关技术中,通过爬取开源情报源直接提取开源恶意可用指标(indicators ofcompromise,ioc),以及收集开源的情报社区用户上报事件并提取情报;随后对网络日志进行异常检测分析,挖掘可疑网络请求并提取形成情报。但是开源收集的情报质量良莠不齐,存在误报量过高、情报过期失效等问题;直接使用效果不佳,进而导致工作量增加,而且检测效率和运营效率很低。
技术实现思路
1、本申请期望提出一种域名类型的识别方法、装置、设备和计算机存储介质,不仅能够实现对未知样本进行快速检测,识别出恶意域名以及对应的恶意类型,降低了情报误报率,而且还提高了情报检测和运营效率。
2、为达到上述目的,本申请的技术方案是这样实现的:
3、第一方面,本申请实施例提供了一种域名类型的识别方法,所述方法包括:
4、对待识别样本进行域名提取,得到初始域名信息;
5、对所述初始域名信息进行关联信息补充,得到目标域名信息;
6、利用预设识别模型对所述目标域名信息进行分析,确定所述待识别样本的恶意域名以及对应的恶意类型。
7、第二方面,本申请实施例提供了一种域名类型的识别装置,所述域名类型的识别装置包括提取单元、补充单元和识别单元、其中,
8、所述提取单元,配置为对待识别样本进行域名提取,得到域名信息;
9、所述补充单元,配置为根据所述域名信息对所述待识别样本的关联信息进行补充,得到有效域名信息;
10、所述识别单元,配置为利用预设识别模型对所述有效域名信息进行分析,确定所述待识别样本对应的恶意域名以及对应的恶意类型。
11、第三方面,本申请实施例提供了一种识别设备,其特征在于,所述识别设备包括存储器和处理器;其中,
12、所述存储器,用于存储能够在所述处理器上运行的计算机程序;
13、所述处理器,用于在运行所述计算机程序时,执行如第一方面所述的方法。
14、第四方面,本申请实施例提供了一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机程序,所述计算机程序被至少一个处理器执行时实现如第一方面所述的方法。
15、本申请实施例所提供的一种域名类型的识别方法、装置、设备和计算机存储介质,通过对待识别样本进行域名提取,得到初始域名信息;对所述初始域名信息进行关联信息补充,得到目标域名信息;利用预设识别模型对所述目标域名信息进行分析,确定所述待识别样本的恶意域名以及对应的恶意类型。这样,根据关联信息来丰富扩充初始域名信息,而且利用预设识别模型对其进行分析,从而能够实现对未知样本进行快速检测,在检测未知样本为恶意的同时,还能够给出恶意域名以及对应的恶意类型,不仅避免了仅判别未知样本是否为恶意的简单判别,降低了情报误报率,而且还提高了情报检测和运营效率,从而能够有效减轻运营负担。
1.一种域名类型的识别方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述对待检测样本进行域名提取,得到初始域名信息,包括:
3.根据权利要求2所述的方法,其特征在于,所述对所述流量信息进行识别分析,确定所述初始域名信息,包括:
4.根据权利要求1所述的方法,其特征在于,所述关联信息包括:域名文本信息、浏览器访问内容信息、whois信息和icp备案信息;
5.根据权利要求1所述的方法,其特征在于,所述利用预设识别模型对所述目标域名信息进行分析,包括:
6.根据权利要求5所述的方法,其特征在于,所述对所述目标域名信息进行特征维度转换,得到特征向量信息,包括:
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
8.根据权利要求7所述的方法,其特征在于,
9.根据权利要求7所述的方法,其特征在于,所述对每一个恶意域名关联的若干个恶意类型标签进行归一化处理,包括:
10.根据权利要求9所述的方法,其特征在于,所述根据所述计算得到的相似度值,从所述若干个恶意类型标签中确定所述第一恶意域名的归一化标签类型,包括:
11.根据权利要求1至10任一项所述的方法,其特征在于,在所述确定所述待识别样本的恶意域名以及对应的恶意类型之后,所述方法还包括:
12.一种域名类型的识别装置,其特征在于,所述域名类型的识别装置包括提取单元、补充单元和识别单元、其中,
13.一种识别设备,其特征在于,所述识别设备包括存储器和处理器;其中,
14.一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机程序,所述计算机程序被至少一个处理器执行时实现如权利要求1至11任一项所述的方法。