一种短域名的监控方法、装置和系统的制作方法

一种短域名的监控方法、装置和系统的制作方法
【专利摘要】本发明实施例公开了一种短域名的监控方法、装置和系统。本发明实施例采用从恶意URL数据库中提取恶意短域名，并对这些恶意短域名进行统计，得到统计结果，然后根据该统计结果对恶意短域名进行监控，从而实现对恶意短域名的自动提取和实时监控，由于该方案无需人工对恶意短域名进行提取和分析，所以可以大大提高监控的效率和力度，不仅可以对恶意短域名进行实时有效的监控，而且也减少了维护成本。
【专利说明】—种短域名的监控方法、装置和系统
【技术领域】
[0001]本发明涉及通信【技术领域】，具体涉及一种短域名的监控方法、装置和系统。
【背景技术】
[0002]域名(Domain Name),指的是由一串用点分隔的名字组成的因特网(Internet)上某一台计算机或计算机组的名称，用于在数据传输时标识计算机的电子方位。域名可分为不同级别，比如，可以包括顶级域名、二级域名和三级域名等；其中，顶级域名又可以分为国家顶级域名(nTLDs, national top-level domain names)和国际顶级域名(iTDs，international top-level domain names)。二级域名指的是顶级域名之下的域名，在国际顶级域名下，它是指域名注册人的网上名称；在国家顶级域名下，它是表示注册企业类别的符号。三级域名则可以用字母(A?Z，a?z，大小写等)、数字(O?9)和连接符(一)组成，各级域名之间用实点(.)连接，一般的，三级域名的长度不能超过20个字符。
[0003]短域名，指的是提供短域名服务的网站的域名，所谓短域名服务，指的是可以将较长的统一资源定位符(URL, Universal Resource Locator)映射成较短的URL,以便用户进行访问的一种服务。在社交网络发达的今日，短域名服务因易于传播等特性而被广泛使用，但是由于其具有隐藏实际连接的特性，所以其同时也受到了垃圾消息和病毒传播者的青睐，当前短域名已被广泛用于恶意广告传播、恶意网页和钓鱼网站等的传播。为了监控这种利用短域名隐蔽性用于欺诈等行为，现有技术一般采用手动提取某一网站相关的短域名的方法，来对恶意短域名进行监控。
[0004]在对现有技术的研究和实践过程中，本发明的发明人发现，这种手工的方法不利于对恶意短域名进行实时有效的监控。

【发明内容】

[0005]本发明实施例提供一种短域名的监控方法、装置和系统，可以自动地对恶意短域名进行实时有效的监控。
[0006]一种短域名的监控方法，包括:
[0007]从恶意URL数据库中提取恶意短域名；
[0008]对所述恶意短域名进行统计，得到统计结果；
[0009]根据所述统计结果对所述恶意短域名进行监控。
[0010]可选的，其中，所述从所述短域名服务商列表中提取恶意短域名，可以包括:
[0011]根据预置的正则表达式对恶意URL数据库中的URL信息进行匹配，得到疑似恶意短域名，以及所述疑似恶意短域名匹配的URL信息的数量；根据匹配的URL信息的数量对所述疑似恶意短域名进行排序，并根据排序结果提取恶意短域名。
[0012]其中，所述预置的正则表达式可以根据短域名特征设置，比如，所述预置的正则表达式表述的短域名特征为:
[0013]二级域名包括I至8位的大小写字母和/或数字，顶级域名包括2至4位的字母，域名后由不超过10位的下划线、等号、问号、字母和数字组成。
[0014]可选的，所述根据匹配的URL信息的数量对所述疑似恶意短域名进行排序，并根据排序结果提取恶意短域名，可以包括:
[0015]根据匹配的URL信息的数量对所述疑似恶意短域名进行降序排序，按照排序顺序提取前η个疑似恶意短域名作为恶意短域名；或者，
[0016]根据匹配的URL信息的数量对所述疑似恶意短域名进行升序排序，按照排序顺序提取后η个疑似恶意短域名作为恶意短域名；其中，η为预置值，η为正整数。
[0017]可选的，所述对所述恶意短域名进行统计，得到统计结果，可以采用如下任意一种方式:
[0018](I)根据所述恶意短域名的恶意类型对所述恶意短域名进行统计，得到初步统计结果；根据日期对所述初步统计结果进行统计，得到不同日期的恶意短域名的爆发幅度变化情况，将所述不同日期的恶意短域名的爆发幅度变化情况作为统计结果。
[0019](2)根据所述恶意短域名的恶意类型对所述恶意短域名进行统计，得到统计结果;
[0020](3)根据所述恶意短域名的短域名对所述恶意短域名进行统计，得到统计结果。
[0021]相应的，本发明实施例还提供一种短域名的监控装置，包括获取单元、提取单元、统计单元和监控单元；
[0022]提取单元，用于从恶意URL数据库中提取恶意短域名；
[0023]统计单元，用于对所述恶意短域名进行统计，得到统计结果；
[0024]监控单元，用于根据所述统计结果对所述恶意短域名进行监控。
[0025]可选的，其中，所述提取单元可以包括匹配子单元和提取子单元，如下:
[0026]匹配子单元，用于根据预置的正则表达式对恶意URL数据库中的URL信息进行匹配，得到疑似恶意短域名，以及与所述疑似恶意短域名匹配的URL信息的数量；
[0027]提取子单元，用于根据匹配的URL信息的数量对所述疑似恶意短域名进行排序，并根据排序结果提取恶意短域名。
[0028]可选的，其中，所述匹配子单元，具体可以用于根据预置的正则表达式对恶意URL数据库中的URL信息进行匹配，得到疑似恶意短域名，所述预置的正则表达式表述的短域名特征为:
[0029]二级域名包括I至8位的大小写字母和/或数字，顶级域名包括2至4位的字母，域名后由不超过10位的下划线、等号、问号、字母和数字组成。
[0030]可选的，所述提取子单元，具体可以用于根据匹配的URL信息的数量对所述疑似恶意短域名进行降序排序，按照排序顺序提取前η个疑似恶意短域名作为恶意短域名；其中，η为预置值，η为正整数；或者，
[0031]所述提取子单元，具体可以用于根据匹配的URL信息的数量对所述疑似恶意短域名进行升序排序，按照排序顺序提取后η个疑似恶意短域名作为恶意短域名；其中，η为预置值，η为正整数。
[0032]可选的，所述统计单元，具体可以用于根据所述恶意短域名的恶意类型对所述恶意短域名进行统计，得到初步统计结果；根据对所述初步统计结果进行统计，得到不同日期的恶意短域名的爆发幅度变化情况，将所述不同日期的恶意短域名的爆发幅度变化情况作为统计结果。
[0033]或者，所述统计单元，具体可以用于根据所述恶意短域名的恶意类型对所述恶意短域名进行统计，得到统计结果。
[0034]或者，所述统计单元，具体可以用于根据所述恶意短域名的短域名对所述恶意短域名进行统计，得到统计结果。
[0035]相应的，本发明实施例还提供一种通信系统，包括本发明实施例提供的任意一种短域名的监控装置。
[0036]本发明实施例采用从恶意URL数据库中提取恶意短域名，并对这些恶意短域名进行统计，得到统计结果，然后根据该统计结果对恶意短域名进行监控，从而实现对恶意短域名的自动提取和实时监控，由于该方案无需人工对恶意短域名进行提取和分析，所以可以大大提高监控的效率和力度，不仅可以对恶意短域名进行实时有效的监控，而且也减少了维护成本。
【专利附图】

【附图说明】
[0037]为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0038]图1是本发明实施例所提供的短域名的监控方法的流程图；
[0039]图2a是本发明实施例所提供的短域名的监控方法的另一流程图；
[0040]图2b是本发明实施例所提供的恶意短域名的统计结果的线形示意图；
[0041]图3a是本发明实施例所提供的短域名的监控方法的又一流程图；
[0042]图3b是本发明实施例所提供的恶意短域名的统计结果的饼图示意图；
[0043]图4a是本发明实施例所提供的短域名的监控方法的又一流程图；
[0044]图4b是本发明实施例所提供的恶意短域名的统计结果的另一饼图示意图；
[0045]图5是本发明实施例所提供的短域名的监控装置的结构示意图。
【具体实施方式】
[0046]下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0047]本发明实施例提供一种短域名的监控方法、装置和系统。以下分别进行详细说明。
[0048]实施例一、
[0049]本发明实施例将从短域名的监控装置的角度进行描述，该短域名的监控装置具体可以为网关或服务器等设备。
[0050]一种短域名的监控方法,包括:从恶意统一资源定位符(URL,Universal ResourceLocator)数据库中提取恶意短域名，对这些恶意短域名进行统计，得到统计结果，根据该统计结果对恶意短域名进行监控。[0051]如图1所示，具体流程可以如下:
[0052]101、从恶意URL数据库中提取恶意短域名，例如，具体可以如下:
[0053](I)根据预置的正则表达式对恶意URL数据库中的URL信息进行匹配，得到疑似恶意短域名，以及该疑似恶意短域名匹配的URL信息的数量；
[0054]其中，预置的正则表达式具体可以根据实际应用中短域名的特征进行建立，比如，该预置的正则表达式表述的短域名特征可以为:
[0055]二级域名包括I至8位的大小写字母和/或数字，顶级域名包括2至4位的字母，域名(域名包括顶级域名和二级域名)后由不超过10位的下划线、等号、问号、字母和数字组成。即，该预置的正则表达式具体可以如下:
[0056][a_zA_Z0_9]{I, 8}\.[a_zA_Z]{2, 4}/[_a_zA_Z0_9=\?]{I, 10}$。
[0057]即，具体可以将上述正则表达式对恶意URL数据库中的URL信息进行匹配，若匹配，则确认进行匹配的域名为疑似恶意短域名，并统计与该恶意短域名匹配的URL信息的数量(即URL数量)；否则，若不匹配，则确认进行匹配的域名不是恶意短域名，而是普通域名。
[0058]其中，恶 意URL数据库可以保存在服务器上，也可以保存在其他的网络侧设备，t匕如网关中。
[0059](2)根据匹配的URL信息的数量对得到的疑似恶意短域名进行排序，并根据排序结果提取恶意短域名。
[0060]其中，排序的方式可以有多种，比如，可以是降序排序，也可以是升序排序，即，具体可以如下:
[0061]根据匹配的URL信息的数量对该得到的疑似恶意短域名进行降序排序，按照排序顺序提取前η个疑似恶意短域名作为恶意短域名，其中，η为预置值，具体可以根据实际应用的需求进行设置，η为正整数；或者，
[0062]根据匹配的URL信息的数量对该得到的疑似恶意短域名进行升序排序，按照排序顺序提取后η个疑似恶意短域名作为恶意短域名；其中，η为预置值，具体可以根据实际应用的需求进行设置，η为正整数。
[0063]102、对步骤101中提取出的恶意短域名进行统计，得到统计结果。
[0064]其中，统计的方法可以有多种形式，比如，具体可以如下:
[0065]( I)根据提出的恶意短域名的恶意类型对这些恶意短域名进行统计，得到统计结
果O
[0066]其中，恶意短域名的恶意类型可以根据实际应用的需求进行分类，比如划分为:恶意推广、恶意引导、汇款诈骗、广告或者软件等等。
[0067]此外，还可以进一步对该“按照提出的恶意短域名的恶意类型进行统计”所得到的统计结果作进一步统计，比如，再根据日期对这些统计结果进行统计，等的，即具体可以采用(2)方式，如下:
[0068](2)根据提取出的恶意短域名的恶意类型对这些恶意短域名进行统计，得到统计结果，为了描述方便，在此将该统计结果称为初步统计结果；根据日期对该初步统计结果进行统计，得到不同日期的恶意短域名的爆发幅度变化情况，将这些不同日期的恶意短域名的爆发幅度变化情况作为统计结果。[0069]或者，除了上述所说的根据恶意短域名的恶意类型进行统计之外，也可以根据其他的依据来进行统计，比如，可以根据短域名，等等，即除了方式(I)和方式(2)之外，还可以采用方式(3)，如下:
[0070](3)根据提取到的恶意短域名的短域名对这些恶意短域名进行统计，得到统计结
果O
[0071]103、根据步骤102中得到的统计结果对恶意短域名进行监控，比如对恶意短域名进行屏蔽、隔离或标识等等，与此同时，还可以对用户进行提醒，其中具体的监控方式可以参见现有技术，在此不再赘述。
[0072]由上可知，本实施例采用从恶意URL数据库中提取恶意短域名，并对这些恶意短域名进行统计，得到统计结果，然后根据该统计结果对恶意短域名进行监控，从而实现对恶意短域名的自动提取和实时监控，由于该方案无需人工对恶意短域名进行提取和分析，所以可以大大提高监控的效率和力度，不仅可以对恶意短域名进行实时有效的监控，而且也减少了维护成本。
[0073]实施例二、
[0074]根据实施例一所描述的方法，以下将举例作进一步详细说明。
[0075]在本实施例中，将以该短域名的监控装置具体为服务器为例进行说明。
[0076]如图2a所示，一种短域名的监控方法，具体流程可以如下:
[0077]201、服务器根据预置的正则表达式对恶意URL数据库中的URL信息进行匹配，得到疑似恶意短域名，以及该疑似恶意短域名匹配的URL信息的数量。
[0078]其中，该预置的正则表达式具体可以根据实际应用中短域名的特征进行建立，t匕如，具体可以如下:
[0079]由于一个有效的短域名一般具有如下特征:
[0080]特征一:短域名通常是顶级域名，没有二级域名；且短域名的顶级域名的长度，不会超过八位数字；
[0081]特征二:短域名后面跟的路径一般具体为问好(？)、等号(=)和大小写字母和数字的组合，而普通地址的路径常常有包含扩展名的后缀，比如“.mp3”或jpg”等；
[0082]特征三:单个恶意短域名在恶意URL数据库中统计的URL数量(即本发明实施例所说的URL信息的数量)通常会远远高于普通域名的URL数量。
[0083]所以，根据短域名的上述特征，可以建立如下正则表达式:
[0084][a_zA_Z0_9]{I, 8}\.[a_zA_Z]{2, 4}/[_a_zA_Z0_9=\?]{I, 10}$。
[0085]即具体可以将上述正则表达式对恶意URL数据库中的URL信息进行匹配，如果匹配，则确认进行匹配的域名为疑似恶意短域名，并统计与该恶意短域名匹配的URL信息的数量(即URL数量)；否则，若不匹配，则确认进行匹配的域名不是恶意短域名，而是普通域名。
[0086]202、服务器根据匹配的URL信息的数量对得到的疑似恶意短域名进行排序，并根据排序结果提取恶意短域名。
[0087]其中，排序的方式可以有多种，比如，可以是降序排序，也可以是升序排序，即，具体可以如下:
[0088]服务器根据匹配的URL信息的数量对该得到的疑似恶意短域名进行降序排序，按照排序顺序提取前η个疑似恶意短域名作为恶意短域名，或者，
[0089]服务器根据匹配的URL信息的数量对该得到的疑似恶意短域名进行升序排序，按照排序顺序提取后η个疑似恶意短域名作为恶意短域名；
[0090]其中，η可以根据实际应用的需求进行设置，η为正整数。
[0091]203、服务器根据提出的恶意短域名的恶意类型对这些恶意短域名进行统计，得到统计结果。
[0092]其中，恶意短域名的恶意类型可以根据实际应用的需求进行分类，比如划分为--恶意推广、恶意引导、汇款诈骗、广告和软件、博彩类和盗号等等。
[0093]例如，具体可以参见图2b，可以以饼图的形式来展示各种恶意类型的恶意短域名所占的比例。
[0094]204、服务器根据步骤203中得到的统计结果对恶意短域名进行监控。
[0095]其中具体的监控方式可以参见现有技术，比如对恶意短域名进行屏蔽、隔离或标识等等，当然，服务器还可以据此对用户进行提醒，在此不再赘述。
[0096]由上可知，本实施例的服务器可以根据短域名的特征建立正则表达式，然后根据该正则表达式来对恶意URL数据库中的URL信息进行筛选，以提取出恶意短域名，然后对这些恶意短域名按照恶意类型进行统计，并依据统计结果对恶意短域名进行监控，从而实现对恶意短域名的自动提取和实时监控。由于该方案无需人工对恶意短域名进行提取和分析，所以可以大大提高监控的效率和力度，不仅可以对恶意短域名进行实时有效的监控，而且也减少了维护成本；进一步的，由于该方案所采用的`正则表达式主要是根据短域名的特征来建立的，所以可以准确地提取出短域名，减少了现有技术中由人工进行分析和提取所导致的容易出现误操作的情况。
[0097]实施例三、
[0098]与实施例二不同的是，在本实施例中，将可以采用另一种统计方式来对所提出的恶意短域名进行统计，以下将进行详细描述。
[0099]一种短域名的监控方法，如图3a所示，具体流程可以如下:
[0100]301、服务器根据预置的正则表达式对恶意URL数据库中的URL信息进行匹配，得到疑似恶意短域名，以及该疑似恶意短域名匹配的URL信息的数量。
[0101]其中，该预置的正则表达式具体可以根据实际应用中短域名的特征进行建立，t匕如，具体可以如下:
[0102][a-zA—ZO-9] {I, 8} \.[a-zA—Z] {2, 4} /[_a—zA—ZO-9=\?] {I, 10}$。
[0103]即，具体可以将上述正则表达式对恶意URL数据库中的URL信息进行匹配，如果匹配，则确认进行匹配的域名为疑似恶意短域名，并统计与该恶意短域名匹配的URL信息的数量(即URL数量)；否则，若不匹配，则确认进行匹配的域名不是恶意短域名，而是普通域名。
[0104]302、服务器根据匹配的URL信息的数量对得到的疑似恶意短域名进行排序，并根据排序结果提取恶意短域名。
[0105]其中，排序的方式可以有多种，比如，可以是降序排序，也可以是升序排序，即，具体可以如下:
[0106]服务器根据匹配的URL信息的数量对该得到的疑似恶意短域名进行降序排序，按照排序顺序提取前η个疑似恶意短域名作为恶意短域名，或者，
[0107]服务器根据匹配的URL信息的数量对该得到的疑似恶意短域名进行升序排序，按照排序顺序提取后η个疑似恶意短域名作为恶意短域名；
[0108]其中，η可以根据实际应用的需求进行设置，η为正整数。
[0109]303、服务器根据提出的恶意短域名的恶意类型对这些恶意短域名进行统计，得到初步统计结果。
[0110]其中，恶意短域名的恶意类型可以根据实际应用的需求进行分类，比如划分为:恶意推广、恶意引导、汇款诈骗、广告和软件、博彩类和盗号等等。
[0111]304、服务器根据日期对步骤303中所得到的初步统计结果进行统计，得到不同日期的恶意短域名的爆发幅度变化情况，将这些不同日期的恶意短域名的爆发幅度变化情况作为统计结果。 [0112]例如，具体可以参见图3b，可以以线形图的形式来展示不同日期的各种恶意类型的恶意短域名所占的比例。
[0113]305、服务器根据步骤304中得到的统计结果对恶意短域名进行监控。
[0114]其中具体的监控方式可以参见现有技术，比如对恶意短域名进行屏蔽、隔离或标识等等，当然，服务器还可以据此对用户进行提醒，在此不再赘述。
[0115]由上可知，本实施例的服务器可以根据短域名的特征建立正则表达式，然后根据该正则表达式来对恶意URL数据库中的URL信息进行筛选，以提取出恶意短域名，然后对这些恶意短域名按照恶意类型和日期进行统计，并依据统计结果对恶意短域名进行监控，从而实现对恶意短域名的自动提取和实时监控。由于该方案无需人工对恶意短域名进行提取和分析，所以可以大大提高监控的效率和力度，不仅可以对恶意短域名进行实时有效的监控，而且也减少了维护成本；进一步的，由于该方案所采用的正则表达式主要是根据短域名的特征来建立的，所以可以准确地提取出短域名，减少了现有技术中由人工进行分析和提取所导致的容易出现误操作的情况。
[0116]实施例四、
[0117]除了实施例二和三所描述的对恶意短域名的统计方法之外，还可以采用其他方式的统计方法，比如，可以根据恶意短域名的短域名对这些恶意短域名进行统计，等等，以下将进行详细描述。
[0118]一种短域名的监控方法，如图4a所示，具体可以如下:
[0119]401、服务器根据预置的正则表达式对恶意URL数据库中的URL信息进行匹配，得到疑似恶意短域名，以及该疑似恶意短域名匹配的URL信息的数量。
[0120]其中，该预置的正则表达式具体可以根据实际应用中短域名的特征进行建立，t匕如，具体可以如下:
[0121 ] [a-zA—ZO-9] {I, 8} \.[a-zA—Z] {2, 4} /[_a—zA—ZO-9=\?] {I, 10}$。
[0122]即，具体可以将上述正则表达式对恶意URL数据库中的URL信息进行匹配，如果匹配，则确认进行匹配的域名为疑似恶意短域名，并统计与该恶意短域名匹配的URL信息的数量(即URL数量)；否则，若不匹配，则确认进行匹配的域名不是恶意短域名，而是普通域名。
[0123]402、服务器根据匹配的URL信息的数量对得到的疑似恶意短域名进行排序，并根据排序结果提取恶意短域名。
[0124]其中，排序的方式可以有多种，比如，可以是降序排序，也可以是升序排序，S卩，具体可以如下:
[0125]服务器根据匹配的URL信息的数量对该得到的疑似恶意短域名进行降序排序，按照排序顺序提取前η个疑似恶意短域名作为恶意短域名，或者，
[0126]服务器根据匹配的URL信息的数量对该得到的疑似恶意短域名进行升序排序，按照排序顺序提取后η个疑似恶意短域名作为恶意短域名；
[0127]其中，η可以根据实际应用的需求进行设置，η为正整数。
[0128]403、服务器根据提取到的恶意短域名的短域名对这些恶意短域名进行统计，得到统计结果。
[0129]例如，具体可以参见图4b，可以饼图的形式来展示各种短域名的恶意短域名所占的比例，其中，“bit.ly，，、“cu.cc，，、“c0.cc” “711.la” 和 “go0.gl” 等即为短域名。
[0130]404、服务器根据步骤403中得到的统计结果对恶意短域名进行监控。
[0131]其中具体的监控方式可以参见现有技术，比如对恶意短域名进行屏蔽、隔离或标识等等，当然，服务器还可以据此对用户进行提醒，在此不再赘述。
[0132]由上可知，本实施例的服务器可以根据短域名的特征建立正则表达式，然后根据该正则表达式来对恶意URL数据库中的URL信息进行筛选，以提取出恶意短域名，然后对这些恶意短域名按照短域名进行统计，并依据统计结果对恶意短域名进行监控，从而实现对恶意短域名的自动提取和实时监控。由于该方案无需人工对恶意短域名进行提取和分析，所以可以大大提高监控的效率和力度，不仅可以对恶意短域名进行实时有效的监控，而且也减少了维护成本；进一步的，由于该方案所采用的正则表达式主要是根据短域名的特征来建立的，所以可以准确地提取出短域名，减少了现有技术中由人工进行分析和提取所导致的容易出现误操作的情况。
[0133]实施例五、
[0134]为了更好地实施以上方法，本发明实施例还提供一种短域名的监控装置，如图5所示，该短域名的监控装置具体可以包括提取单元501、统计单元502和监控单元503，具体可以如下:
[0135]提取单元501，用于从恶意URL数据库中提取恶意短域名；
[0136]其中，恶意URL数据库可以保存在服务器上，也可以保存在其他的网络侧设备，t匕如网关中。
[0137]统计单元502，用于对提取单元501提取出的恶意短域名进行统计，得到统计结果;
[0138]监控单元503，用于根据统计单元502所得到的统计结果对所述恶意短域名进行监控。
[0139]其中，提取单元501具体可以包括匹配子单元和提取子单元；
[0140]匹配子单元，用于根据预置的正则表达式对恶意URL数据库中的URL信息进行匹配，得到疑似恶意短域名，以及与该疑似恶意短域名匹配的URL信息的数量；
[0141]提取子单元，用于根据匹配的URL信息的数量对匹配子单元得到的疑似恶意短域名进行排序，并根据排序结果提取恶意短域名。[0142]其中，该预置的正则表达式具体可以根据实际应用中短域名的特征进行建立，t匕如，具体可以如下:
[0143]由于一个有效的短域名一般具有如下特征:
[0144]特征一:短域名通常是顶级域名，没有二级域名；且短域名的顶级域名的长度，不会超过八位数字；
[0145]特征二:短域名后面跟的路径一般具体为问好(？)、等号(=)和大小写字母和数字的组合，而普通地址的路径常常有包含扩展名的后缀，比如“.mp3”或jpg”等；
[0146]特征三:单个恶意短域名在恶意URL数据库中统计的URL数量(即本发明实施例所说的URL信息的数量)通常会远远高于普通域名的URL数量。
[0147]所以，根据短域名的上述特征，可以建立如下正则表达式:
[0148][a_zA_Z0_9] {I, 8} \.[a_zA_Z] {2, 4} /[_a_zA_Z0_9=\?] {I, 10}$。
[0149]也就是说，匹配子单元，具体可以用于根据预置的正则表达式对恶意URL数据库中的URL信息进行匹配，得到疑似恶意短域名，其中，该预置的正则表达式具体为:
[a_zA_Z0_9]{I, 8}\.[a_zA_Z]{2, 4} V [_a_zA_Z0_9=\?]{I, 10}$。
[0150]可选的，在对疑似恶意短域名进行排序时，也可以采用多种排序方式，例如，可以是降序排序，也可以是 升序排序，等等，即:
[0151]提取子单元，具体可以用于根据匹配的URL信息的数量对匹配子单元得到的疑似恶意短域名进行降序排序，按照排序顺序提取前η个疑似恶意短域名作为恶意短域名；或者，
[0152]提取子单元，具体用于根据匹配的URL信息的数量对匹配子单元得到的疑似恶意短域名进行升序排序，按照排序顺序提取后η个疑似恶意短域名作为恶意短域名。
[0153]其中，η为预置值，且为正整数，具体可以根据实际应用的需求进行设置。
[0154]此外，在对恶意短域名进行统计时，也可以采用多种形式，比如，具体可以根据恶意短域名的恶意类型，或者根据恶意短域名的恶意类型和日期，又或者根据恶意短域名的短域名，等等，即具体可以如下:
[0155]统计单元502，具体用于根据恶意短域名的恶意类型对提取单元501提取出的恶意短域名进行统计，得到初步统计结果；根据对该初步统计结果进行统计，得到不同日期的恶意短域名的爆发幅度变化情况，将该不同日期的恶意短域名的爆发幅度变化情况作为统计结果。或者，
[0156]统计单502元，具体用于根据恶意短域名的恶意类型对提取单元501提取出的恶意短域名进行统计，得到统计结果。或者，
[0157]统计单元502，具体用于根据恶意短域名的短域名对提取单元501提取出的恶意短域名进行统计，得到统计结果。
[0158]其中，恶意短域名的恶意类型可以根据实际应用的需求进行分类，比如划分为--恶意推广、恶意引导、汇款诈骗、广告和软件、博彩类和盗号等等，在此不再赘述。
[0159]该短域名的监控装置具体可以为网关或服务器等设备。
[0160]具体实施时，以上各个单元可以作为独立的实体实现，也可以进行任意组合，作为同一或若干个实体来实现，以上各个单元的具体实施具体可参加前面的实施例，在此不再赘述。[0161]由上可知，本实施例提供的短域名的监控装置的提取单元501可以从恶意URL数据库中提取恶意短域名，并由统计单元502对这些恶意短域名进行统计，得到统计结果，然后再由监控单元503根据该统计结果对恶意短域名进行监控，从而实现对恶意短域名的自动提取和实时监控，由于该方案无需人工对恶意短域名进行提取和分析，所以可以大大提高监控的效率和力度，不仅可以对恶意短域名进行实时有效的监控，而且也减少了维护成本。
[0162]实施例五、
[0163]相应的，本发明实施例还提供一种通信系统，包括本发明实施例所提供的任意一种短域名的监控装置，具体可参加实施例四，例如，具体可以如下:
[0164]短域名的监控装置，具体用于从恶意URL数据库中提取恶意短域名，对该恶意短域名进行统计，得到统计结果，根据该统计结果对所述恶意短域名进行监控。
[0165]其中，从恶意URL数据库中提取恶意短域名具体可以为:根据预置的正则表达式对恶意URL数据库中的URL信息进行匹配，得到疑似恶意短域名，以及所述疑似恶意短域名匹配的URL信息的数量；根据匹配的URL信息的数量对该疑似恶意短域名进行排序，并根据排序结果提取恶意短域名。
[0166]其中，预置的正则表达式具体可以根据实际应用中短域名的特征进行建立，比如，比如，该预置的正则表达式表述的短域名特征可以为:
[0167]二级域名包括I至8位的大小写字母和/或数字，顶级域名包括2至4位的字母，域名(域名包括顶级域名和二级域名)后由不超过10位的下划线、等号、问号、字母和数字组成。即，该预置的正则表达式具体可以如下:
[0168][a_zA_Z0_9] {I, 8} \.[a_zA_Z] {2, 4} /[_a_zA_Z0_9=\?] {I, 10}$。
[0169]其中，恶意URL数据库`可以保存在服务器上，也可以保存在其他的网络侧设备，t匕如网关中。
[0170]此外，对疑似恶意短域名进行排序的方式，以及对恶意短域名进行统计的方式也可以有多种，比如在进行排序时可以采用降序排序，或者，采用升序排序等，在进行统计时可以根据恶意短域名的恶意类型进行统计、或者根据恶意短域名的恶意类型和日期进行统计、又或者根据恶意短域名的短域名进行统计，等等，具体可参见前面的实施例，在此不再赘述。
[0171]此外，该通信系统还可以包括其他的设备，比如其他的服务器或网关，用于保存恶意URL数据库，以供该短域名的监控装置进行查询，在此不再赘述。
[0172]由上可知，本发明实施例所提供的通信系统中的短域名的监控装置采用从恶意URL数据库中提取恶意短域名，并对这些恶意短域名进行统计，得到统计结果，然后根据该统计结果对恶意短域名进行监控，从而实现对恶意短域名的自动提取和实时监控，由于该方案的通信系统无需人工对恶意短域名进行提取和分析，所以可以大大提高监控的效率和力度，不仅可以对恶意短域名进行实时有效的监控，而且也减少了维护成本。
[0173]本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括:只读存储器(ROM, Read Only Memory)、随机存取记忆体(RAM, RandomAccess Memory)、磁盘或光盘等。[0174] 以上对本发明实施例所提供的一种短域名的监控方法、装置和系统进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的技术人员，依据本发明的思想，在【具体实施方式】及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。
【权利要求】
1.一种短域名的监控方法，其特征在于，包括: 从恶意统一资源定位符URL数据库中提取恶意短域名； 对所述恶意短域名进行统计，得到统计结果； 根据所述统计结果对所述恶意短域名进行监控。
2.根据权利要求1所述的方法，其特征在于，所述恶意URL数据库中提取恶意短域名，包括: 根据预置的正则表达式对恶意URL数据库中的URL信息进行匹配，得到疑似恶意短域名，以及所述疑似恶意短域名匹配的URL信息的数量；所述预置的正则表达式根据短域名特征设置； 根据匹配的URL信息的数量对所述疑似恶意短域名进行排序，并根据排序结果提取恶意短域名。
3.根据权利要求2所述的方法，其特征在于，所述预置的正则表达式表述的短域名特征为: 二级域名包括I至8位的大小写字母和/或数字，顶级域名包括2至4位的字母，域名后由不超过10位的下划线、等号、问号、字母和数字组成。
4.根据权利要求2所述的方法，其特征在于，所述根据匹配的URL信息的数量对所述疑似恶意短域名进行排序，并根据排序结果提取恶意短域名，包括: 根据匹配的URL信息的数量对所述疑似恶意短域名进行降序排序，按照排序顺序提取前η个疑似恶意短域名作为恶意短域名；或者， 根据匹配的URL信息的数量对所述疑似恶意短域名进行升序排序，按照排序顺序提取后η个疑似恶意短域名作为恶意短域名； 其中，η为预置值，η为正整数。
5.根据权利要求1至4中任一项所述的方法，其特征在于，所述对所述恶意短域名进行统计，得到统计结果，包括: 根据所述恶意短域名的恶意类型对所述恶意短域名进行统计，得到初步统计结果；根据日期对所述初步统计结果进行统计，得到不同日期的恶意短域名的爆发幅度变化情况，将所述不同日期的恶意短域名的爆发幅度变化情况作为统计结果。
6.根据权利要求1至4中任一项所述的方法，其特征在于，所述对所述恶意短域名进行统计，得到统计结果，包括: 根据所述恶意短域名的恶意类型对所述恶意短域名进行统计，得到统计结果；或者， 根据所述恶意短域名的短域名对所述恶意短域名进行统计，得到统计结果。
7.一种短域名的监控装置，其特征在于，包括: 提取单元，用于从恶意统一资源定位符URL数据库中提取恶意短域名； 统计单元，用于对所述恶意短域名进行统计，得到统计结果； 监控单元，用于根据所述统计结果对所述恶意短域名进行监控。
8.根据权利要求7所述的短域名的监控装置，其特征在于，所述提取单元包括匹配子单元和提取子单元； 匹配子单元，用于根据预置的正则表达式对恶意URL数据库中的URL信息进行匹配，得到疑似恶意短域名，以及与所述疑似恶意短域名匹配的URL信息的数量；所述预置的正则表达式根据短域名特征设置； 提取子单元，用于根据匹配的URL信息的数量对所述疑似恶意短域名进行排序，并根据排序结果提取恶意短域名。
9.根据权利要求7所述的短域名的监控装置，其特征在于， 所述匹配子单元，具体用于根据预置的正则表达式对恶意URL数据库中的URL信息进行匹配，得到疑似恶意短域名，所述预置的正则表达式表述的短域名特征为: 二级域名包括I至8位的大小写字母和/或数字，顶级域名包括2至4位的字母，域名后由不超过10位的下划线、等号、问号、字母和数字组成。
10.根据权利要求8所述的短域名的监控装置，其特征在于， 所述提取子单元，具体用于根据匹配的URL信息的数量对所述疑似恶意短域名进行降序排序，按照排序顺序提取前η个疑似恶意短域名作为恶意短域名，其中，η为预置值，η为正整数。
11.根据权利要求8所述的短域名的监控装置，其特征在于， 所述提取子单元，具体用于根据匹配的URL信息的数量对所述疑似恶意短域名进行升序排序，按照排序顺序提取后η个疑似恶意短域名作为恶意短域名，其中，η为预置值，η为正整数。
12.根据权利要求7至11任一项所述的短域名的监控装置，其特征在于， 所述统计单元，具体用于根据所述恶意短域名的恶意类型对所述恶意短域名进行统计，得到初步统计结果；根据对所述初步统计结果进行统计，得到不同日期的恶意短域名的爆发幅度变化情况，将所述不同日期的恶意短域名的爆发幅度变化情况作为统计结果。
13.根据权利要求7至11任一项所述的短域名的监控装置，其特征在于， 所述统计单元，具体用于根据所述恶意短域名的恶意类型对所述恶意短域名进行统计，得到统计结果。
14.根据权利要求7至11任一项所述的短域名的监控装置，其特征在于， 所述统计单元，具体用于根据所述恶意短域名的短域名对所述恶意短域名进行统计，得到统计结果。
15.一种通信系统，其特征在于，包括权利要求7至14所述的任一种短域名的监控装置。
【文档编号】H04L29/06GK103701765SQ201210374350
【公开日】2014年4月2日 申请日期:2012年9月27日 优先权日:2012年9月27日
【发明者】庾洋, 周吉文 申请人:腾讯科技（深圳）有限公司