一种域名信誉度评估方法及系统与流程

本发明涉及网络安全领域，具体涉及一种域名信誉度评估方法及系统。

背景技术：

随着互联网技术的快速发展，网络中出现了大量的恶意攻击行为。攻击者使用物理设备并利用网络上获取到的资源，在网络上开展恶意攻击行为，如进行僵尸网络的自动更新下载、恶意代码的自动更新下载、网络钓鱼、使用网络自动化扫描器或者垃圾邮件自动发送等，现有方案中，对恶意攻击行为的检测往往是基于攻击者所使用的域名，对域名的信誉度评估，有助于识别恶意攻击行为。

现有方案中，对域名的信誉度评估往往采用统一资源定位符(url)或ip地址解析其对应的域名或直接采集恶意攻击者的域名或ip地址来进行单一维度的信息匹配，进而检测出恶意攻击行为，进而对域名的信誉度进行评估。

然而，攻击者会通过不断的更换url或者更新域名等手段，来躲避杀毒软件的检测，降低了恶意行为的检出率，其次，恶意攻击行为的行为特征往往是多维度的，基于域名的单一维度的信息对网络行为进行检测，存在误检的风险。

技术实现要素：

本发明实施例提供了一种域名信誉度评估方法及系统，用于提高网络安全检测的准确率。

本发明实施例第一方面提供了一种域名信誉度评估方法，可包括：

从互联网中采集待检测的目标域名对应的网站内容信息；

将所述网站内容信息输入预置分类器模型中进行域名分类，并根据分类结果确定所述目标域名对应的第一信誉值；

将所述目标域名与数据库中存储的网络安全威胁信息的进行多维度的匹配，并根据匹配结果输出所述目标域名对应的第二信誉值；

根据所述第一信誉值及第二信誉值计算所述目标域名对应的信誉度。

可选的，作为一种可能的实施方式，所述从互联网中采集待检测的目标域名对应的网站内容信息，包括：

采用搜索引擎对待检测的目标域名进行检索得到所述目标域名对应的检索记录；

采用网络爬虫技术从所述检索记录中采集所述目标域名对应的网站内容信息。

可选的，作为一种可能的实施方式，该方法还包括：

采集所述目标域名对应的检索记录中排名靠前的预置数量的网站的统一资源定位符url字段；

判断所述排名靠前的预置数量的网站的url字段中的主机host部分是否与所述目标域名匹配，并统计匹配成功的网站的数量；

根据所述匹配成功的网站的数量确定所述目标域名对应的第三信誉值；

根据所述第三信誉值进一步计算所述目标域名对应的信誉度。

可选的，作为一种可能的实施方式，所述将所述目标域名与数据库中存储的网络安全威胁信息的进行多维度的匹配，包括：

解析所述目标域名对应的域名归属信息，所述域名归属信息包括所述目标域名对应的ip地址、whois信息、url信息中的一种或多种；

将所述目标域名对应的域名归属信息与预置的恶意域名信息库进行匹配；

和/或，将所述目标域名对应的ip地址与预置的病毒网络行为特征库进行匹配。

可选的，作为一种可能的实施方式，所述域名信誉度评估方法，还包括：

向用户反馈所述目标域名对应的信誉信息；

所述信誉信息包括信誉度、域名类型标签、域名归属信息，

其中，当所述目标域名对应的信誉度小于第一预置阀值时，标记所述目标域名的域名类型标签为恶意域名。

可选的，作为一种可能的实施方式，所述域名信誉度评估方法，还包括：

统计访问所述目标域名的主机数量；

当所述目标域名为恶意域名，且访问所述目标域名的主机数量不小于第二预置阀值时，针对所述目标域名发布预警信息。

本发明实施例第二方面提供了一种域名信誉度评估系统，可包括：

信息采集单元，用于从互联网中采集待检测的目标域名对应的网站内容信息；

域名分类单元，用于将所述网站内容输入预置分类器模型中进行域名分类，并根据分类结果确定所述目标域名对应的第一信誉值；

域名关联分析单元，用于将所述目标域名与数据库中存储的网络安全威胁信息的进行多维度的匹配，并根据匹配结果确定所述目标域名对应的第二信誉值。

第一计算单元，用于根据所述第一信誉值及第二信誉值计算所述目标域名对应的信誉度。

可选的，作为一种可能的实施方式，所述信息采集单元，包括：

搜索模块，用于采用搜索引擎对待检测的目标域名进行检索得到所述目标域名对应的检索记录；

第一采集模块，用于采用网络爬虫技术从所述检索记录中采集所述目标域名对应的网站内容信息。

可选的，作为一种可能的实施方式，所述信息采集单元还包括第二采集模块，用于采集所述目标域名对应的检索记录中排名靠前的预置数量的网站的统一资源定位符url字段；

所述域名信誉度评估系统还包括：

判断单元，用于判断所述排名靠前的预置数量的网站的url字段中的主机host部分是否与所述目标域名匹配，并统计匹配成功的网站的数量，并根据所述匹配成功的网站的数量确定所述目标域名对应的第三信誉值；

第二计算单元，用于根据所述第三信誉值进一步计算所述目标域名对应的信誉度。

可选的，作为一种可能的实施方式，所述域名关联分析单元，包括：

解析模块，用于解析所述目标域名对应的域名归属信息，所述域名归属信息包括所述目标域名对应的ip地址、whois信息、url信息中的一种或多种；

第一匹配模块，用于将所述目标域名对应的域名归属信息与预置的恶意域名信息库进行匹配；

第二匹配模块，用于将所述目标域名对应的ip地址与预置的病毒网络行为特征库进行匹配。

可选的，作为一种可能的实施方式，所述域名信誉度评估系统，还包括：

反馈单元，用于向用户反馈所述目标域名对应的信誉信息；

所述信誉信息包括信誉度、域名类型标签、域名归属信息，其中，当所述目标域名对应的信誉度小于第一预置阀值时，标记所述目标域名的域名类型标签为恶意域名。

可选的，作为一种可能的实施方式，所述域名信誉度评估系统，还包括：

统计单元，用于统计访问所述目标域名的主机数量；

预警单元，当所述目标域名为恶意域名，且访问所述目标域名的主机数量不小于第二预置阀值时，用于针对所述目标域名发布预警信息。

从以上技术方案可以看出，本发明实施例具有以下优点：

本发明实施例中，域名信誉度评估系统第一方面可以将目标域名对应的网站内容信息输入预置分类器模型中进行域名分类，并根据分类结果确定目标域名对应的第一信誉值，第二方面，域名信誉度评估系统可以将目标域名与数据库中存储的网络安全威胁信息的进行多维度的匹配，并根据匹配结果输出目标域名对应的第二信誉值；最终根据第一信誉值及第二信誉值计算目标域名对应的信誉度，基于该信誉度可以为检测恶意攻击行为提供参考。即本发明实施例中的域名信誉度评估系统不仅可以对目标域名进行多维度的检测分析，还可以基于多维度的网络安全威胁信息对目标域名进行多维度的匹配，增加了网络安全检测的准确率。

附图说明

图1为本发明实施例中一种域名信誉度评估方法的一个实施例示意图；

图2为本发明实施例中一种域名信誉度评估方法的另一个实施例示意图；

图3为本发明实施例中一种域名信誉度评估方法的另一个实施例示意图；

图4为本发明实施例中一种域名信誉度评估系统的一个实施例示意图；

图5为本发明实施例中一种域名信誉度评估系统中的信息采集单元401模块细化示意图；

图6为本发明实施例中一种域名信誉度评估系统的另一个实施例示意图；

图7为本发明实施例中一种域名信誉度评估系统中的域名关联分析单元403模块细化示意图；

图8为本发明实施例中一种域名信誉度评估系统的另一个实施例示意图。

具体实施方式

本发明实施例提供了一种域名信誉度评估方法及系统，用于提高网络安全检测的准确率。

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

为了便于理解，下面对本发明实施例中的具体流程进行描述，请参阅图1，本发明实施例中一种域名信誉度评估方法的一个实施例可包括：

101、从互联网中采集待检测的目标域名对应的网站内容信息；

为了对目标域名进行信誉度评估，域名信誉度评估系统可以采用网络爬虫技术从互联网中采集待检测的目标域名对应的网站内容信息，具体的，网站内容信息一般都包括title(标题)、content(内容)等。

可选的，作为一种可能的实施方式，域名信誉度评估系统从互联网中采集待检测的目标域名对应的网站内容信息，包括：

采用搜索引擎对待检测的目标域名进行检索得到目标域名对应的检索记录；

可以采用网络爬虫技术从检索记录中采集目标域名对应的网站内容信息。

具体的，例如，域名信誉度评估系统可以使用搜索引擎搜索目标域名，并提取搜索记录中排名靠前的预置数量的搜索记录，该搜索记录中可以包含有目标域名及其子域名对应的网站记录，按照搜索引擎的排名顺序做顺序存储。并从搜索引擎的检索记录中获取对应的title(标题)、content(内容)、url(统一资源定位符)等信息。

可以理解的是，本实施例中采集目标域名对应的网站内容信息的方式仅是示例性的，实际运用中，还可以根据目标域名的网络端口采集目标域名对应的目标域名对应的网站内容信息，具体采集网站内容信息的方式，此处不做限定。

102、将网站内容输入预置分类器模型中进行域名分类，并根据分类结果确定目标域名对应的第一信誉值；

域名信誉度评估系统在对目标域名进行分类之前可以预先采集大量白域名和黑域名的网站内容信息训练预置分类器模型，例如，可以采集10万个白域名网站内容信息和30万个黑域名的网站内容信息用于训练贝叶斯分类器模型，具体的模型训练方法为现有技术，此处不做赘述。可以理解的是，具体的预置分类器模型还可以是决策树分类器模型、贝叶斯分类器模型、逻辑回归分类器模型、svm分类器模型等，具体分类器模型此处不做限定。

在预置分类器模型训练完成之后，可以对采集到的目标域名对应的网站内容信息输入到预置分类器模型中进行分类，其分类结果可能是白域名、黑域名、灰域名，不同类型的域名对应不同的信誉值，域名信誉度评估系统可以根据预置分类器模型的输出结果确定目标域名对应的第一信誉值。

103、将目标域名与数据库中存储的网络安全威胁信息的进行多维度的匹配，并根据匹配结果输出目标域名对应的第二信誉值；

互联网中的恶意攻击行为的行为特征往往是相关联的，例如，攻击者的一个ip地址可能伪造多个域名或多个url进行恶意攻击。多个恶意攻击行为之间也可能存在直接或间接的关联，例如，多个恶意攻击行为对应的域名的whois信息中的域名当前所有者信息可能指向同一个攻击者。域名信誉度评估系统可以将目标域名与数据库中存储的网络安全威胁信息的进行多维度的匹配，并根据匹配结果输出目标域名对应的第二信誉值。

具体的，域名信誉度评估系统可以先解析目标域名对应的域名归属信息，该域名归属信息可以包括目标域名对应的ip地址、whois信息、url信息中的一种或多种；

可选的，作为一种可能的实施方式，域名信誉度评估系统可以将目标域名对应的域名归属信息与预置的恶意域名信息库进行匹配；

具体的，域名信誉度评估系统可以基于大数据分析，存储大量的网络安全威胁信息，其中可以包括大量的恶意域名、恶意ip地址、恶意域名对应的url以及恶意域名对应的whois信息，该whois信息至少包括对应的恶意域名的所有者信息，域名信誉度评估系统可以将目标域名对应的域名归属信息与预先存储的恶意域名、恶意ip地址、以及恶意域名对应的whois信息进行匹配，域名信誉度评估系统可以根据匹配成功的恶意ip地址、恶意域名对应的whois信息、恶意域名对应的url的数量确定对应的目标域名的第二信誉值，匹配成功的数量越多，对应的第二信誉值越低。

进一步的，可选的，为了扩大目标域名可以匹配的维度，进一步增加网络安全检测的准确率，域名信誉度评估系统还可以将目标域名对应的ip地址与预置的病毒网络行为特征库进行匹配。

具体的，域名信誉度评估系统可以将目标域名或对应的ip地址与预置的病毒网络行为特征库进行匹配，例如，已知的病毒网络访问目标域名的次数及频率、访问目标域名的病毒的种类、目标域名的所有者所属的其他域名中被确定为恶意域名的域名数量等信息，域名信誉度评估系统可以根据上述分析结果按照确定预定的规则确定目标域名对应的第二信誉值，已知的病毒网络访问目标域名的频率及次数越高，访问目标域名的病毒的种类越多，目标域名的所有者所属的其他域名中被确定为恶意域名的域名数量越多，对应的第二信誉值越低。

104、根据第一信誉值及第二信誉值计算目标域名对应的信誉度。

在得出目标域名对应的第一信誉值及第二信誉值之后，域名信誉度评估系统可以据此计算目标域名对应的信誉度，具体的，域名信誉度评估系统可以直接求取第一信誉值及第二信誉值之和作为目标域名对应的信誉度，也可以为第一信誉值及第二信誉值分配对应的权值，求取第一信誉值及第二信誉值加权值之和，也可以为第一信誉值及第二信誉值的计算过程中的各个相关项分别分配加权值以分别计算第一信誉值及第二信誉值的加权值，并计算第一信誉值及第二信誉值加权值之和作为目标域名对应的信誉度，具体的计算方式，此处不做限定。

本发明实施例中，域名信誉度评估系统第一方面可以将目标域名对应的网站内容信息输入预置分类器模型中进行域名分类，并根据分类结果确定目标域名对应的第一信誉值，第二方面，域名信誉度评估系统可以将目标域名与数据库中存储的网络安全威胁信息的进行多维度的匹配，并根据匹配结果输出目标域名对应的第二信誉值；最终根据第一信誉值及第二信誉值计算目标域名对应的信誉度。即本发明实施例中的域名信誉度评估系统不仅可以对目标域名进行多维度的检测分析，还可以基于多维度的网络安全威胁信息对目标域名进行多维度的匹配，进而可以基于该信誉度可以为检测恶意攻击行为提供参考，增加了网络安全检测的准确率。

在上述实施例的基础上，为了进一步增大检测的准确率，还可以进一步的增加对目标域名的检测维度，例如，可以基于搜索引擎的搜索到的排名靠前的预置数量的搜索记录中对应的网站的url与目标域名的匹配情况，来判断目标域名的信誉度，请参阅图2，本发明实施例中的一种域名信誉度评估方法的另一个实施例可包括：

201、采用搜索引擎对待检测的目标域名进行检索得到目标域名对应的检索记录并采用网络爬虫技术从检索记录中采集目标域名对应的网站内容信息；

具体的，例如，域名信誉度评估系统可以使用搜索引擎搜索目标域名，并提取搜索记录中排名靠前的预置数量的搜索记录，该搜索记录中包含有目标域名及其子域名对应的网站记录，按照搜索引擎的排名顺序做顺序存储。并从搜索引擎的检索记录中获取对应的title(标题)、content(内容)、url(统一资源定位符)等信息。

202、将网站内容输入预置分类器模型中进行域名分类，并根据分类结果确定目标域名对应的第一信誉值；

203、将目标域名与数据库中存储的网络安全威胁信息的进行多维度的匹配，并根据匹配结果输出目标域名对应的第二信誉值；

本实施例中的步骤202至203分别与图1所示的实施例中的步骤102、103中所描述的内容类似，具体请参阅步骤102、103，此处不做赘述。

204、采集目标域名对应的检索记录中排名靠前的预置数量的网站的统一资源定位符url字段；

205、判断排名靠前的预置数量的网站的url字段中的主机host部分是否与目标域名匹配，并统计匹配成功的网站的数量并根据匹配成功的网站的数量确定目标域名对应的第三信誉值；

域名信誉度评估系统可以判断排名靠前的预置数量的搜索记录中的url字段的host部分是不是与目标域名匹配，如果匹配，则说明目标域名的排名值较高，为正常域名的概率较大，否则说明目标域名的排名值较低，很可能是恶意的。具体的可以根据url字段的host部分是否包含目标域名、目标域名的检索记录的第几条记录对应的网站url字段的host部分包含目标域名等情况给目标域名分配第三信誉值。例如，可以判断目标域名检索记录中排名前10的网站的url字段中是否包含目标域名，若包含目标域名，则匹配成功，否则，匹配不成功，排名前10的网站匹配成功的网站数量越多则可以设定目标域名对应的第三信誉值越高，还可以设定与目标域名匹配成功的网站在检索记录中排名越靠前对应的第三信誉值越高，具体的此处不做限定。在确定目标域名对应的第三信誉值之后就可以根据第三信誉值进一步计算目标域名对应的信誉度。

206、根据第一信誉值、第二信誉值及第三信誉值计算目标域名对应的信誉度。

在得出目标域名对应的第三信誉值之后，域名信誉度评估系统可以据此进一步计算目标域名对应的信誉度，具体的，域名信誉度评估系统可以直接求取第一信誉值、第二信誉值及第三信誉值之和作为目标域名对应的信誉度，也可以为第一信誉值、第二信誉值及第三信誉值分配对应的权值，求取第一信誉值、第二信誉值及第三信誉值加权值之和，也可以为第一信誉值、第二信誉值及第三信誉值的计算过程中的各个相关项分别分配加权值以分别计算第一信誉值、第二信誉值及第三信誉值的加权值，并计算第一信誉值、第二信誉值及第三信誉值加权值之和作为目标域名对应的信誉度，具体的计算方式，此处不做限定。

在上述实施例的基础上，在获取到待检测的目标域名的信誉度之后，目标域名的信誉度对用户进行网络行为具有指导意义，有必要向用户反馈对应的目标域名的信誉度。请参阅图3，本发明实施例中一种域名信誉度评估方法的另一个实施例可包括：

301、从互联网中采集待检测的目标域名对应的网站内容信息；

302、将网站内容输入预置分类器模型中进行域名分类，并根据分类结果确定目标域名对应的第一信誉值；

303、将目标域名与数据库中存储的网络安全威胁信息的进行多维度的匹配，并根据匹配结果输出目标域名对应的第二信誉值；

304、根据第一信誉值及第二信誉值计算目标域名对应的信誉度；

本实施例中的步骤201至204与上述图1所示的实施例中的步骤101至104中描述的内容类似，具体请参阅步骤101至104，此处不再赘述。

305、向用户反馈目标域名对应的信誉信息；

在获取到待检测的目标域名的信誉度之后，目标域名的信誉度对用户进行网络行为具有指导意义，有必要向用户反馈对应的目标域名的信誉度相关信息。具体的，域名信誉度评估系统可以向用户反馈目标域名对应的信誉信息，以使得用户可以防范可能的网络攻击。

可选的，信誉信息包括信誉度、域名类型标签、域名归属信息，其中，当目标域名对应的信誉度小于第一预置阀值时，标记目标域名的域名类型标签为恶意域名，具体的第一预置阀值此处不做限定。进一步的信誉信息，还可以包括目标域名对应的安全威胁类型信息、最新活跃时间等信息，例如威胁类型为：c&c服务器，最新活跃时间：2017100112:00:00等信息，可以理解的是，信誉信息可以根据针对目标域名可能网络攻击行为的行为特征及用户的需求进行合理的设置，具体的信誉信息此处不做限定。

306、统计访问目标域名的主机数量，当目标域名为恶意域名，且访问目标域名的主机数量不小于第二预置阀值时，针对目标域名发布预警信息。

可选的，为了及时发现或防范大规模的网络攻击行为，域名信誉度评估系统可以统计访问目标域名的主机数量，当目标域名为恶意域名，且访问目标域名的主机数量不小于第二预置阀值时，针对目标域名发布预警信息，以提示用户防范可能的网络攻击。

可以理解的是，本实施例中的步骤305及306还可以运用于图2所示的实施例中。

本发明实施例中，域名信誉度评估系统不仅可以对目标域名进行多维度的检测分析，还可以基于多维度的网络安全威胁信息对目标域名进行多维度的匹配，增加了网络安全检测的准确率，其次，域名信誉度评估系统还可以向用户反馈目标域名的信誉信息，以使得用户可以直观的了解目标域名是否存在威胁，以使得用户可以防范可能的网络攻击，当目标域名为恶意域名，且影响的主机较多时，域名信誉度评估系统还可以针对目标域名发布大规模的预警信息，以使得用户可以防范可能的网络攻击。

可以理解的是，在本发明的各种实施例中，上述各步骤的序号的大小并不意味着执行顺序的先后，各步骤的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

上述实施例对本发明实施例中的域名信誉度评估方法进行了描述，下面将对本发明实施例中的域名信誉度评估系统进行描述，请参阅图4，本发明实施例中一种域名信誉度评估系统的一个实施例可包括：

信息采集单元401，用于从互联网中采集待检测的目标域名对应的网站内容信息；

域名分类单元402，用于将网站内容输入预置分类器模型中进行域名分类，并根据分类结果确定目标域名对应的第一信誉值；

域名关联分析单元403，用于将目标域名与数据库中存储的网络安全威胁信息的进行多维度的匹配，并根据匹配结果确定目标域名对应的第二信誉值。

第一计算单元404，用于根据所述第一信誉值及第二信誉值计算目标域名对应的信誉度。

可选的，作为一种可能的实施例，请参阅图5，本发明实施例中信息采集单元401，可以进一步包括：

搜索模块4011，用于采用搜索引擎对待检测的目标域名进行检索得到目标域名对应的检索记录；

第一采集模块4012，用于采用网络爬虫技术从检索记录中采集目标域名对应的网站内容信息。

可选的，作为一种可能的实施例，请参阅图6，本发明实施例中，所述信息采集单元401还包括第二采集模块4013，用于采集所述目标域名对应的检索记录中排名靠前的预置数量的网站的统一资源定位符url字段；

所述域名信誉度评估系统还包括：

判断单元405，用于判断所述排名靠前的预置数量的网站的url字段中的主机host部分是否与所述目标域名匹配，并统计匹配成功的网站的数量，并根据所述匹配成功的网站的数量确定所述目标域名对应的第三信誉值；

第二计算单元406，用于根据所述第三信誉值进一步计算所述目标域名对应的信誉度。

可选的，作为一种可能的实施例，请参阅图7，本发明实施例中域名关联分析单元403，可以进一步包括：

解析模块4031，用于解析目标域名对应的域名归属信息，域名归属信息包括目标域名对应的ip地址、whois信息、url信息中的一种或多种；

第一匹配模块4032，用于将目标域名对应的域名归属信息与预置的恶意域名信息库进行匹配；

第二匹配模块4033，用于将目标域名对应的ip地址与预置的病毒网络行为特征库进行匹配。

可选的，作为一种可能的实施例，请参阅图8，本发明实施例中的域名信誉度评估系统，还可以进一步包括：

反馈单元407，用于向用户反馈目标域名对应的信誉信息；

信誉信息包括信誉度、域名类型标签、域名归属信息，其中，当目标域名对应的信誉度小于第一预置阀值时，标记目标域名的域名类型标签为恶意域名。

可选的，作为一种可能的实施例，请参阅图8，本发明实施例中的域名信誉度评估系统，还可以进一步包括：

统计单元408，用于统计访问目标域名的主机数量；

预警单元409，当目标域名为恶意域名，且访问目标域名的主机数量不小于第二预置阀值时，用于针对目标域名发布预警信息。

可以理解的是，本实施例中的统计单元408及预警单元409可以用于图6所示的实施例，具体此处不做限定。

本发明实施例中，域名信誉度评估系统第一方面可以将目标域名对应的网站内容信息输入预置分类器模型中进行域名分类，并根据分类结果确定目标域名对应的第一信誉值，第二方面，域名信誉度评估系统可以将目标域名与数据库中存储的网络安全威胁信息的进行多维度的匹配，并根据匹配结果输出目标域名对应的第二信誉值；最终根据第一信誉值及第二信誉值计算目标域名对应的信誉度。即本发明实施例中的域名信誉度评估系统不仅可以对目标域名进行多维度的检测分析，还可以基于多维度的网络安全威胁信息对目标域名进行多维度的匹配，增加了网络安全检测的准确率。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，单元和模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。