一种对恶意域名的识别方法、装置以及存储介质与流程

本申请涉及网络安全
技术领域：
，尤其涉及一种对恶意域名的识别方法、装置以及存储介质。
背景技术：
：当恶意网络域名被引擎判定为恶意后，可能缺乏一些举证信息来确认这个域名是何种病毒家族的通讯域名，对于威胁情报来说，有时候情报的检出需要有举证信息才更具备说服力，所以单纯的判定域名是否恶意已经不能够满足用户的需求。目前域名的病毒家族主要通过通讯的病毒样本信息进行确认，以及反病毒鉴定引擎对样本中的特征进行识别，然而，大部分的厂商运用的技术偏向于对域名单个样本进行分析后，得出情报流量来识别家族信息，这种方法的缺点在于处理的流程繁琐，可复用性差，无法对大量的数据甚至无样本来源的数据进行家族标记。申请内容本申请实施例期望提供一种对恶意域名的识别方法、装置以及存储介质，能够避免在判定待检测域名属于某种病毒家族时举证信息的提供，使用多维度、多种识别方式对待检测域名进行识别，使得最终识别结果更加可靠，简化了识别流程，提高了识别效率。本申请的技术方案是这样实现的：一种对恶意域名的识别方法，包括：获取待检测域名，对所述待检测域名进行病毒流量匹配，得到第一匹配结果；若所述第一匹配结果表征所述病毒流量匹配失败，则采用至少一个维度的匹配方式，对所述待检测域名进行匹配，得到第二匹配结果；所述至少一种维度包括属性维度、规则维度或者第三方信息维度；当所述第二匹配结果表征匹配成功时，基于所述第二匹配结果，对所述待检测域名进行标记，得到最终识别结果。在上述方案中，所述属性维度包括类型维度，所述规则维度包括特征维度，所述第三方信息维度不同来源的外部威胁信息维度。在上述方案中，当所述至少一个维度为属性维度时，所述采用至少一个维度的匹配方式，对所述待检测域名进行匹配，得到第二匹配结果，所述方法包括：确定所述待检测域名的当前域名类型；若所述当前域名类型非动态域名，则判断所述待检测域名对应的父域名是否为已识别恶意域名，得到所述属性匹配结果；若所述属性匹配结果为已识别恶意域名，则将所述已识别恶意域名作为所述第二匹配结果。在上述方案中，当所述至少一个维度为规则维度时，所述采用至少一个维度的匹配方式，对所述待检测域名进行匹配，得到第二匹配结果，所述方法包括：获取所述待检测域名的当前特征；其中，所述当前特征包括：当前域名特征和当前地址信息特征；判断预设恶意特征库是否命中所述当前特征，得到所述特征匹配结果；若所述特征匹配结果表征命中所述当前域名特征和当前地址信息特征中的任意一个，则将所述特征匹配结果作为第二匹配结果。在上述方案中，当所述至少一个维度为第三方信息维度时，所述采用至少一个维度的匹配方式，对所述待检测域名进行匹配，得到第二匹配结果，所述方法包括：获取针对所述待检测域名的不同来源的多个外部威胁信息；每个外部威胁信息表征所述待检测域名的分类信息；对所述多个外部威胁信息进行统计，得到所述待检测域名的所述情报匹配结果；将所述情报匹配结果作为第二匹配结果。在上述方案中，所述获取针对所述待检测域名的不同来源的多个外部威胁信息，所述方法包括：获取针对所述待检测域名的不同来源的多个样本信息；对所述多个样本信息进行分类信息匹配，得到所述多个外部威胁信息。在上述方案中，所述对所述多个外部威胁信息进行统计，得到所述待检测域名的情报匹配结果，所述方法包括：将所述多个外部威胁信息进行拆解，得到多个拆解后的分类信息；将所述多个拆解后的分类信息去别名化，得到多个家族名称；对所述多个家族名称进行统计，得到统计概率最大的目标家族名称；将所述目标家族名称作为所述待检测域名的情报匹配结果。在上述方案中，当所述至少一个维度包括属性维度和规则维度，或，属性维度和第三方信息维度，所述采用至少一个维度的匹配方式，对所述待检测域名进行匹配，得到第二匹配结果，所述方法包括：当采用属性维度的匹配方式对所述待检测域名进行类型维度的匹配，得到的属性匹配结果表征匹配失败时，采用规则维度的匹配方式对所述待检测域名进行特征维度的匹配得到特征匹配结果，将所述特征匹配结果作为第二匹配结果，或，采用第三方信息维度的匹配方式对所述待检测域名进行不同来源的外部威胁信息维度的匹配得到情报匹配结果，将所述情报匹配结果作为第二匹配结果。在上述方案中，当所述至少一个维度包括规则维度和第三方信息维度时，所述采用至少一个维度的匹配方式，对所述待检测域名进行匹配，得到第二匹配结果，包括：当采用规则维度的匹配方式对所述待检测域名进行特征维度的匹配，得到的特征匹配结果表征匹配失败时，采用第三方信息维度的匹配方式对所述待检测域名进行不同来源的外部威胁信息维度的匹配得到情报匹配结果，将所述情报匹配结果作为所述第二匹配结果。在上述方案中，当所述至少一个维度包括属性维度、规则维度和第三方情报维度时，所述采用至少一个维度的匹配方式，对所述待检测域名进行匹配，得到第二匹配结果，所述方法包括：当采用属性维度的匹配方式对所述待检测域名进行类型维度的匹配得到的属性匹配结果表征匹配失败，且采用规则维度的匹配方式对所述待检测域名进行特征维度的匹配得到的特征匹配结果表征匹配失败时，采用第三方信息维度的匹配方式对所述待检测域名进行不同来源的外部威胁信息维度的匹配得到情报匹配结果，将所述情报匹配结果作为第二匹配结果；或，当采用属性维度的匹配方式对所述待检测域名进行类型维度的匹配得到的属性匹配结果表征匹配失败，且采用第三方信息维度的匹配方式对所述待检测域名进行不同来源的外部威胁信息维度的匹配得到情报匹配结果表征匹配失败时，采用规则维度的匹配方式对所述待检测域名进行特征维度的匹配得到特征匹配结果，将所述特征匹配结果作为第二匹配结果；或，当采用规则维度的匹配方式对所述待检测域名进行特征维度的匹配得到的特征匹配结果表征匹配失败，且采用第三方信息维度的匹配方式对所述待检测域名进行不同来源的外部威胁信息维度的匹配得到情报匹配结果表征匹配失败时，采用属性维度的匹配方式对所述待检测域名进行域名类型维度的匹配得到属性匹配结果，将所述属性匹配结果作为第二匹配结果。本申请实施例还提供了一种对恶意域名的识别装置，所述装置包括：获取单元，用于获取待检测域名，对所述待检测域名进行病毒流量匹配，得到第一匹配结果；匹配单元，若所述第一匹配结果表征所述病毒流量匹配失败，则所述获取单元采用至少一个维度的匹配方式，对所述待检测域名进行匹配，得到第二匹配结果；所述至少一种维度包括属性维度、规则维度或者第三方信息维度；标记单元，用于当所述第二匹配结果表征匹配成功时，基于所述第二匹配结果，对所述待检测域名进行标记，得到最终识别结果。本申请实施例还提供了一种对恶意域名的识别装置，所述装置包括处理器、存储器和通信总线；所述通信总线用于实现处理器和存储器之间的通信连接；所述处理器用于执行存储器中存储的对恶意域名进行识别的控制程序，以实现上述任一项提供的漏洞扫描方法。本申请实施例还提供了一种存储介质，其上存储有对恶意域名的识别程序，所述识别程序被处理器执行时实现上述任一项提供的漏洞扫描方法。本实施例所提供的对恶意域名的识别方法，包括：通过获取待检测域名，对待检测域名进行病毒流量匹配，得到第一匹配结果；若第一匹配结果表征病毒流量匹配失败，则采用至少一个维度的匹配方式，对待检测域名进行匹配，得到第二匹配结果；至少一种维度包括属性维度、规则维度或者第三方信息维度；当第二匹配结果表征匹配成功时，基于第二匹配结果，对待检测域名进行标记，得到最终识别结果，根据待检测域名自身的属性判断其是否为恶意域名，避免在判定属于某种病毒家族时举证信息的提供，使用多维度、多种识别方式对待检测域名进行识别，使得最终识别结果更加可靠，简化了识别流程，提高了识别效率。附图说明图1为本申请的实施例提供的一种对恶意域名的识别方法的流程示意图一；图2为本申请的实施例提供的一种对恶意域名的识别方法的流程示意图二；图3为本申请的实施例提供的一种对恶意域名的识别方法的流程示意图三；图4为本申请的实施例提供的一种对恶意域名的识别方法的流程示意图四；图5为本申请的实施例提供的一种对恶意域名的识别方法的流程示意图五；图6为本申请的实施例提供的一种对恶意域名的识别方法的流程示意图六；图7为本申请的实施例提供的一种对恶意域名的识别方法的流程示意图七；图8为本申请的实施例提供的一种对恶意域名的识别方法的流程示意图八；图9为本申请的实施例提供的一种对恶意域名的识别方法的流程示意图九；图10为本申请的实施例提供的一种对恶意域名的识别装置的结构示意图；图11为本申请的实施例提供的又一种对恶意域名的识别装置的结构示意图。具体实施方式下面将结合本实施例中的附图，对本实施例中的技术方案进行清楚、完整地描述。本申请实施例中可能用到的专业术语：域名(domainname)：又称网域，是由一串用点分隔的名字组成的internet上某一台计算机或计算机组的名称，用于在数据传输时对计算机的定位标识(有时也指地理位置)，与ip地址存在映射关系。病毒家族(virusfamily)：是指多个病毒样本通过技术人员提取各项特征，最终将满足相同特征的样本归类为同一病毒家族，并使用某些字段作为他的病毒家族名称。如图1所示，本实施例提供一种对恶意域名的识别方法，包括：s101、获取待检测域名，对待检测域名进行病毒流量匹配，得到第一匹配结果。本申请实施例中的恶意域名的识别方法应用于电子设备或者对恶意域名的识别装置，电子设备或对恶意域名的识别装置具有接入网络的能力，可以通过浏览器等工具进行网络访问，待检测域名为装置已经访问过或正在访问的域名。识别装置获取到待检测域名，通过沙箱模拟对待检测域名的访问过程，从中得到包含一些恶意特征的病毒流量，再对这些病毒流量包含的恶意特征与已经识别出恶意域名具有的特征进行匹配，得到待检测域名对应的恶意标签，并对待检测域名进行标记。若匹配成功，则根据已经识别出的恶意域名具有的标签，对应的将待检测域名标记同样的标签，此时第一匹配结果表征成功匹配；否则得到表征匹配失败的第一匹配结果。其中，病毒流量匹配是指装置是指通过文件沙箱模拟文件的执行，模拟对待检测域名的访问过程，并对模拟过程中释放出来的通讯流量特征，与已经识别出恶意域名具有的恶意特征进行匹配的过程。s102、若第一匹配结果表征病毒流量匹配失败，则采用至少一个维度的匹配方式，对待检测域名进行匹配，得到第二匹配结果；至少一种维度包括属性维度、规则维度或者第三方信息维度。本申请实施例中，如果第一匹配结果表征成功匹配，说明识别装置已经成功识别待检测域名，得到表征待检测域名属于何种类型恶意域名的标签或者标记，如果第一匹配结果表征病毒流量匹配失败，说明未能识别待检测域名的恶意类型，因此进一步采用至少一个维度的匹配方式，对待检测域名进行匹配，包括依据待检测域名自身的属性信息、特征信息或外部平台提供的识别信息等，通过属性维度、规则维度或者第三方信息维度等多个唯独对待检测域名进行识别。需要说明的是第二匹配结果也包括两种可能，即成功识别待检测域名，得到表征待检测域名属于何种类型恶意域名的标签或者标记，或者匹配失败。s103、当第二匹配结果表征匹配成功时，基于第二匹配结果，对待检测域名进行标记，得到最终识别结果。本申请实施例中，当第二匹配结果表征匹配成功时，说明识别装置成功得到出待检测域名的恶意类型，那么根据第二匹配结果匹配出的恶意域名的标签或者标记对待检测域名进行同样的标记。其中，若第二匹配结果仍然表征匹配失败，则说明待检测域名可能并非恶意域名或属于某种从未出现的恶意类型的域名，为待检测域名标记默认标签，留待下一次再识别或者人工鉴定。需要说明的是，本申请实施例中，也可能存在一种情况，就是在步骤s101病毒流量匹配环节就成功识别出待检测域名的恶意类型，那么直接跳转步骤s103，将第一匹配结果作为第二匹配结果，或直接根据第一匹配结果对待检测域名进行同样的标记。本申请实施例中，通过获取待检测域名，对待检测域名进行病毒流量匹配，得到第一匹配结果，若第一匹配结果表征病毒流量匹配失败，则采用至少一个维度的匹配方式，对待检测域名进行匹配，得到第二匹配结果，至少一种维度包括属性维度、规则维度或者第三方信息维度，当第二匹配结果表征匹配成功时，基于第二匹配结果，对待检测域名进行标记，得到最终识别结果，根据自身的属性判断其是否为恶意域名，避免在判定待检测域名属于某种病毒家族时举证信息的提供，使用多维度、多种识别方式对待检测域名进行识别，使得最终识别结果更加可靠，简化了识别流程，提高了识别效率。在本申请的一些实施例中，属性维度包括类型维度，规则维度包括特征维度，第三方信息维度不同来源的外部威胁信息维度。本申请实施例中，属性维度为识别装置依据待检测域名自身的属性信息，对待检测域名进行域名类型维度的匹配得到属性匹配结果；规则维度为识别装置依据待检测域名存在的特征信息对待检测域名进行特征维度的匹配得到特征匹配结果；第三方信息维度为识别装置依据外部平台对待检测域名进行不同来源的外部威胁信息维度的匹配得到情报匹配结果。其中，待检测域名自身的属性信息例如，一些类型的域名存在如编程语言中的继承特性，例如待检测域名的父域名或者子域名具有的一些属性，待检测域名作为子域名或者父域名时同样具有的性质，利用这一性质，可以对待检测域名进行属性维度的匹配；规则维度则是指，待检测域名有可能存在一些，已识别的某一类型的恶意域名具有的规则，例如待检测域名在字符上的一些特点与已识别的恶意域名具有的规则特点类似，以此对待检测域名进行规则维度的匹配；第三方信息维度为外部平台提供的一些关于恶意域名的外部威胁信息，提供与外部平台提供的外部威胁信息的匹配可以识别出待检测域名的恶意类型。如图2所示，在本申请的一些实施例中，步骤s102包括：s102a1、确定待检测域名的当前域名类型；s102a2、若当前域名类型非动态域名，则判断待检测域名对应的父域名是否为已识别恶意域名，得到属性匹配结果；s102a3、若属性匹配结果为已识别恶意域名，则将属性匹配结果作为第二匹配结果。本申请实施例中，当识别装置采用属性维度对待检测域名进行域名类型维度的匹配时，需要判断待检测域名是否存在下属的子域名或待检测域名是否存在父域名，如果父域名属于某个家族，则下属子域名也属于该家族，因此，在检测到待检测域名的父域名或子域名已经被识别为恶意域名，则根据父域名或子域名的标签或者标记，得到属性匹配结果，并将属性匹配结果作为第二匹配结果。但由于动态域名的特殊性，其父域名不具有该属性，所以在判断待检测域名是否存在子域名或是否存在父域名之前，还需要判断当前域名类型是否为动态域名，其中，若判断出当前域名类型为动态域名，则直接确认第二匹配结果为匹配失败。若待当前域名类型非动态域名，再判断待检测域名是否存在子域名或是否存在父域名，若待检测域名存在子域名或父域名，且其子域名或父域名已经被识别并标记恶意标签，则根据父域名或子域名的标签或者标记，得到属性匹配结果。本申请实施例中通过对待检测域名进行属性维度的匹配，判断待检测域名是否存在父域名或子域名，在待检测域名存在父域名或子域名，且其父域名或子域名已经被识别为恶意域名，存在对应的标签或者标记时，根据非动态域名的恶意域名的标签或者标记属性能够被继承的特性，对待检测域名进行识别标记，可以快速高效的识别恶意域名，同时简化了流程，免除了在判定待检测域名属于某种病毒家族时需要提供的举证信息。如图3所示，在本申请的一些实施例中，步骤s102还包括：s102b1、获取待检测域名的当前特征；其中，当前特征包括：当前域名特征和当前地址信息特征；s102b2、判断预设恶意特征库是否命中当前特征，得到特征匹配结果；s102b3、若特征匹配结果表征命中当前域名特征和当前地址信息特征中的任意一个，则将特征匹配结果作为第二匹配结果。本申请实施例中的规则维度则是指，待检测域名有可能存在一些，已识别的某一类型的恶意域名具有的规则，例如待检测域名在字符上的一些特点与已识别的恶意域名具有的规则特点类似，装置以此对待检测域名进行规则维度的匹配。其中，当前域名特征是指域名在字符上的特点。某些病毒家族，其域名具有固定的特征，比如wopami类域名形如“数字.nslookup.com”；矿池类域名通常包含关键字：“mine”，“pool”，“xmr”，“btc”等如表1所示。当前地址信息特征例如，装置通过统计分析发现，一些常见的病毒家族会连接到一些固定的ip地址，如表2所示，small类的病毒家族会连接到23.20.239.12或117.20.41.86，ircbot类型的病毒家族常连接到“eoahegohaeohgeehr.nl”等如表3所示，根据上述特点，识别装置可以通过搜集多个(病毒)家族的域名特征以及ip特征形成预设恶意特征库，以此来对待检测域名进行特征匹配，如果前域名特征存在于预设恶意特征库，则得到表示待检测域名属于何种病毒家族第二匹配结果。^up\d{0,1}\.nba1001\.com$wapomi^[a-z]{2}[0-9]{4}\.info$wapomi^\d{1,3}\.nslook\d{3}\.com$wapomi^server-\d{1,2}.+glupteba^[a-z].+\.ws$conficker^xmr\..+pool.+minepool^pool\..+mine.+minepool^etc\..+pool.+minepool表1157.122.62.194conficker23.20.239.12small87.106.190.169kryptik117.20.41.86small199.2.137.29dorkbot216.218.135.114teslacrypt表2oeboufanecoauegfe.esircboteoahegohaeohgeehr.nlircbotfacecommute.comgluptebaserver-23.samgames.orggluptebaserver-46.speakingworld.orgglupteba表3本申请实施例中通过获取待检测域名的当前特征，包括当前域名特征和当前地址信息特征，来判断预设恶意特征库是否命中当前特征，得到特征匹配结果，根据常见恶意域名具有的特征对待检测域名进行判断，解决了现有技术中难以对无样本来源数据的待检测域名进行标记的问题，可以快速高效的识别恶意域名，且提高了识别精度。如图4所示，在本申请的一些实施例中，步骤s102还包括：s102c1、获取针对待检测域名的不同来源的多个外部威胁信息；每个外部威胁信息表征待检测域名的分类信息；s102c2、对多个外部威胁信息进行统计，得到待检测域名的情报匹配结果；s102c3、将情报匹配结果作为第二匹配结果。本申请实施例中，使用了几个相对准确的威胁情报平台，外部威胁信息用于与待检测域名进行匹配，判断待检测域名属于何种类型的恶意域名，识别装置通过平台给予的api或爬虫的形式，搜集与待检测域名对应的外部威胁信息。这样的平台包括：微步在线、奇安信威胁情报平台、启明星辰威胁情报平台、virustotal等，平台可以提供不同外部威胁信息，便于装置对待检测域名进行匹配。其中，由于不同的平台可能对待检测域名提供的外部威胁信息不同，则对待检测域名的进行识别的分类信息也不同，因此需要对多个外部威胁信息进行统计，根据匹配次数或者识别次数最高的外部威胁信息，得到待检测域名的情报匹配结果，并将情报匹配结果作为第二匹配结果。在本申请的一些实施例中，步骤s102c1包括：获取针对待检测域名的不同来源的多个样本信息；对多个样本信息进行分类信息匹配，得到多个外部威胁信息。本申请实施例中，每一种威胁情报平台可能提供两种属性信息，包括直接给出待检测域名的家族信息，或给出关于待检测域名的通信样本信息。其中，若是威胁情报平台提供了通信样本信息，需要先查询，采用检索域名的内部文件组信息或匹配已有特征库，将通信样本信息转化成外部威胁信息。本申请实施例中通过对待检测域名的进行不同来源的多个外部威胁信息的匹配，解决了现有技术中针对多个病毒样本的域名时不能正确标记病毒家族的问题，避免了一些识别方法把多个样本病毒家族信息同时展示出来，容易引起用户误解的情况，同时提高了识别的准确率，降低了误报。在本申请的一些实施例中，步骤s102c2包括：将多个外部威胁信息进行拆解，得到多个拆解后的分类信息；将多个拆解后的分类信息去别名化，得到多个家族名称；对多个家族名称进行统计，得到统计概率最大的目标家族名称；将目标家族名称作为待检测域名的情报匹配结果。本申请实施例中，识别装置获取到的外部威胁信息是一个家族的多个查杀信息，需要对其综合得到一个最终家族结果，可以是病毒名家族名称，根据各家厂商的查杀结果，输出最终鉴定结果，首先，装置将各个厂商提供的病毒名家族名称进行字符串拆解分为几个部分得到拆解后的分类信息，第一部分为类型，例如：trojan/win32/sality、trojan:win32:vupa、trojan-win32-malicio这几类病毒名，通过识别对应的特殊字符将字段进行拆分；再通过正则匹配对应的关键字列出，例如trojan，win32；并将所有的字段进行小写化，方便匹配及去重，并通过去掉平台、分类的字段，识别剩余部分是否为正确病毒名，第二部分是将各个厂商中的病毒名提取出来，再通过一些模糊匹配将部分病毒名的别名转换为正确病毒名，进行数量统计；对识别到的各个病毒名投票结果取最大，得到除类型、平台外的病毒家族名称；最后对病毒名的类型、平台部分进行选取和处理，首先将各个厂商中的病毒名分类、平台内容提取出来，将部分别名转换成正确名称，最终选择厂商中出现最多的分类、平台标签，拼接为一个完整的病毒名标准格式，作为待检测域名的情报匹配结果。其中，若外部威胁信息未能提供待检测域名有关的外部威胁信息或者投票结果出现多个不相上下的病毒家族名称，则得到表征匹配失败的情报匹配结果。需要说明的是，通过第三方信息维度的匹配，对上述威胁情报平台中信息的提取和整合，确认该域名的具体家族信息后，可以将其特征优化后加入到特征库中，用于下一次的特征匹配。本申请实施例中通过对待检测域名的进行不同来源的多个外部威胁信息的匹配，对不同平台提供的，解决了现有技术中针对多个病毒样本的域名时不能正确标记病毒家族的问题，避免了一些识别方法把多个样本病毒家族信息同时展示出来，容易引起用户误解的情况，同时提高了识别的准确率，降低了误报，能够根据多个平台提供的外部威胁信息得出最贴切该域名的病毒家族。在本申请的一些实施例中，步骤s102还包括：当采用属性维度的匹配方式对待检测域名进行类型维度的匹配得到的属性匹配结果表征匹配失败时，采用规则维度的匹配方式对待检测域名进行特征维度的匹配得到特征匹配结果，将特征匹配结果作为第二匹配结果；或，当采用属性维度的匹配方式对待检测域名进行类型维度的匹配得到的属性匹配结果表征匹配失败时，采用第三方信息维度的匹配方式对待检测域名进行不同来源的外部威胁信息维度的匹配得到情报匹配结果，将情报匹配结果作为第二匹配结果。图5所示为属性维度的匹配+规则维度的匹配的组合形式。本申请实施例中，对不同维度匹配方式的识别组合和顺序可以是多种多样的，匹配方式包括属性维度、规则维度或者第三方信息维度三个维度，当采用两个维度的匹配方式，对待检测域名进行匹配时，可以是两两组合一共6种识别组合，包括，当病毒流量匹配失败后，采用属性维度包括对待检测域名进行域名类型维度的匹配，若属性匹配结果表征属性维度匹配失败，则采用规则维度的匹配方式对待检测域名进行特征维度的匹配，也可以是规则维度的匹配+属性维度的匹配的组合；采用属性维度包括对待检测域名进行域名类型维度的匹配，若属性匹配结果表征属性维度匹配失败，则采用第三方信息维度的匹配方式对待检测域名进行不同来源的外部威胁信息维度的匹配，也可以是第三方信息维度的匹配+属性维度的匹配的组合；采用规则维度的匹配方式对待检测域名进行特征维度的匹配，若特征匹配结果表征规则维度匹配失败，则采用第三方信息维度的匹配方式对待检测域名进行不同来源的外部威胁信息维度的匹配，也可以是第三方信息维度的匹配+规则维度的匹配的组合。本申请实施例中通过对多种匹配方式的不同组合形式，灵活实现对待检测域名的识别，提供多样的识别组合提高了对对待检测域名的识别效率，避免了因为单一识别方式存在识别不出的风险。在本申请的一些实施例中，步骤s102还包括：当采用规则维度的匹配方式对待检测域名进行特征维度的匹配得到的特征匹配结果表征匹配失败时，采用第三方信息维度的匹配方式对待检测域名进行不同来源的外部威胁信息维度的匹配得到情报匹配结果，将情报匹配结果作为第二匹配结果。本申请实施例中通过对多种匹配方式的不同组合形式，灵活实现对待检测域名的识别，提供多样的识别组合提高了对对待检测域名的识别效率，避免了因为单一识别方式存在识别不出的风险。在本申请的一些实施例中，步骤s102还包括：当采用属性维度的匹配方式对待检测域名进行类型维度的匹配得到的属性匹配结果表征匹配失败，且采用规则维度的匹配方式对待检测域名进行特征维度的匹配得到的特征匹配结果表征匹配失败时，采用第三方信息维度的匹配方式对待检测域名进行不同来源的外部威胁信息维度的匹配得到情报匹配结果，将情报匹配结果作为第二匹配结果；或，当采用属性维度的匹配方式对待检测域名进行类型维度的匹配得到的属性匹配结果表征匹配失败，且采用第三方信息维度的匹配方式对待检测域名进行不同来源的外部威胁信息维度的匹配得到情报匹配结果表征匹配失败时，采用规则维度的匹配方式对待检测域名进行特征维度的匹配得到特征匹配结果，将特征匹配结果作为第二匹配结果；或，当采用规则维度的匹配方式对待检测域名进行特征维度的匹配得到的特征匹配结果表征匹配失败，且采用第三方信息维度的匹配方式对待检测域名进行不同来源的外部威胁信息维度的匹配得到情报匹配结果表征匹配失败时，采用属性维度的匹配方式对待检测域名进行域名类型维度的匹配得到属性匹配结果，将属性匹配结果作为第二匹配结果。本申请实施例中，对不同维度匹配方式的识别组合和顺序可以是多种多样的，匹配方式包括属性维度、规则维度或者第三方信息维度三个维度，在采用三个维度的匹配方式，在采用两个维度的匹配方式的基础上，与上述采用两个维度的匹配方式对待检测域名进行匹配的组合形式类似，一共也是6种识别组合，包括：属性维度的匹配+规则维度的匹配+第三方信息维度的匹配；属性维度的匹配+第三方信息维度的匹配+规则维度的匹配；规则维度的匹配+属性维度的匹配+第三方信息维度的匹配；规则维度的匹配+第三方信息维度的匹配+属性维度的匹配；第三方信息维度的匹配+属性维度的匹配+规则维度的匹配；第三方信息维度的匹配+规则维度的匹配+属性维度的匹配；如图6所示的属性维度的匹配+规则维度的匹配+第三方信息维度的匹配的组合匹配形式，在对待检测域名进行病毒流量匹配失败后，对待检测域名进行属性维度的匹配，若属性匹配结果表征匹配失败，对待检测域名进行规则维度的匹配，若特征匹配结果表征匹配失败，对待检测域名进行第三方信息维度的匹配，得到第二匹配结果。需要说明的是，若第二匹配结果表征匹配失败，则识别装置对待检测域名进行引擎识别对待检测域名进行匹配得到第二匹配结果。一些搜索引擎(如google/百度等)中提供有域名的家族信息，装置可以通过检索待检测域名或待检测域名的关键字，确定待检测域名的家族信息。此外，识别装置还可以根据安全事件类型，确认该域名的相关家族信息，例如，某种挖矿类域名在访问时，会弹出钓鱼链接等一些安全事件类型，通过检索这些安全事件类型也可以确认该域名的相关家族信息。若经过引擎识别得到的第二匹配结果仍然表征匹配失败，说明待检测域名可能并非恶意域名或属于某种从未出现的恶意类型的域名，则为待检测域名标记默认标签，留待下一次识别或者人工鉴定。本申请实施例中通过对多种匹配方式的不同组合形式，灵活实现对待检测域名的识别，提供多样的识别组合提高了对对待检测域名的识别效率，避免了因为单一识别方式存在识别不出的风险。如图7所示，本申请实施例还提供了一种对恶意域名的识别方法，包括：获取待检测域名，通过匹配沙箱中得到的病毒流量进行匹配。通过文件沙箱模拟文件执行后的状态，释放出来的通讯流量特征，与病毒流量库进行匹配，匹配成功则标记正确的标签，若未能匹配，则进入第二步。第二步父域名匹配的原理如下：若父域名属于某个家族，则下属子域名也属于该家族(如：ns2275ab.com属于win32.trojan.wapomi，则192.ns2275ab.com与199.ns2275ab.com均属于win32.trojan.wapomi)。对于父域名匹配，首先排除动态域名，因为动态域名的特殊性，其父域名或子域名不具有上述属性，具体包括，通过装置收集整理到的动态域名的列表(匹配库)，判断待检测域名是否为动态域名，过滤掉动态域名类型的待检测域名，若在待检测域名的父域名存在于动态域名列表，则直接进入第三步；若不在动态域名列表，则进入父域名匹配：其中，还需要父域名是否已经识别出家族信息，即判断待检测域名属于匹配库中存在标签的耳机域名，若已识别，则该子域名打上相同标签；若未识别，则进入第三步。第三步为匹配提取的特征库，某些病毒家族，其通信域名有固定的特征。比如wopami类域名形如：数字.nslookup.com；矿池类域名通常包含关键字：mine，pool，xmr，btc等。根据上述特点，特征库中搜集了多个(病毒)家族的域名特征以及ip特征或其他特征。若待检测域名命中上述特征库的特征，则标注出对应的分类家族信息；若未匹配，则进入第四步。上述几种方式属于内部威胁情报。若内部威胁情报无法识别，则采用第四步外部威胁情报的方式进行识别，目前诸多平台也会对域名情报标记对应的家族标签，装置通过威胁情报平台给予的api或爬虫的形式，搜集对应信息，这样的平台例如：微步在线、奇安信威胁情报平台、启明星辰威胁情报平台、venuseye、virustotal等。每一种威胁情报平台一般会提供两种属性信息：直接给出家族信息或提供通信样本信息。在获取到一个域名在每个平台的分类家族信息后，通过加权投票的方式，最终得到该域名的家族信息。其中，若威胁情报平台提供的是通信样本信息，需要先将通信样本信息转换成家族信息，再通过加权投票的方式得到该域名的家族信息。其中，根据每个平台的分类家族信息通过加权投票的方式得到该域名的家族信息的过程如图8所示，具体步骤包括：第一部分通过对字符串的拆解，可以将各个平台的病毒名所有字符串拆开分为几个部分；例如：trojan/win32/sality、trojan:win32:vupa、trojan-win32-malicio这几类病毒名，通过识别对应的特殊字符将字段进行拆分，再通过正则匹配对应的关键字列出，例如trojan，win32，并将所有的字段进行小写化，方便匹配及去重；第二部分是通过去掉平台、分类的字段，识别剩余部分是否为正确病毒名，首先是将各个厂商中的病毒名提取出来，例如troj/w32.sality去掉平台、分类后得到sality，再通过一些模糊匹配将部分病毒名去别名化处理，进行别名转换为正确病毒名，例如saldrop类型正确病毒名是sality，salicode类型正确病毒名也是sality，再对得到的病毒名进行数量统计，例如sality病毒名得到10票，ramnit病毒名得到5票，wapomi病毒名得到1票；最后对识别到的各个病毒名投票结果取最大，例如上述投票结果取最大为sality，得到除类型、平台外的病毒家族名称；第三部分是对病毒名的类型、平台部分进行选取和处理，首先将各个平台中的病毒名分类、平台内容提取出来去别名，将部分别名转换成正确名称，如病毒前缀troj去别名得到trojan，最终选择平台中出现最多的分类、平台标签，拼接为一个完整的病毒名标准格式得到win32.trojan.sality。若对待检测域名匹配失败，则进入引擎鉴定流程。一些搜索引擎(如google/百度等)中提供有域名的家族信息，装置可以通过检索待检测域名或待检测域名的关键字，确定待检测域名的家族信息，如图9所示。此外，装置还可以根据安全事件类型，确认该域名的相关家族信息。若经过引擎识别仍然匹配失败，说明待检测域名可能并非恶意域名或属于某种从未出现的恶意类型的域名，则为待检测域名标记默认标签，留待下一次识别或者人工鉴定。本申请实施例中提供的识别方法，避免了现有技术中的平台只是对单个样本进行分析后，处理的流程繁琐，可复用性差，无法对大量的数据甚至无样本来源的数据进行家族标记，避免在判定属于某种病毒家族时举证信息的提供，使用多维度、多种识别方式对待检测域名进行识别，使得最终识别结果更加可靠，简化了识别流程，提高了识别效率。如图10所示，本申请实施例还提供了一种恶意域名识别装置2，包括：获取单元201，用于获取待检测域名，对待检测域名进行病毒流量匹配，得到第一匹配结果；匹配单元202，若第一匹配结果表征病毒流量匹配失败，则获取单元采用至少一个维度的匹配方式，对待检测域名进行匹配，得到第二匹配结果；至少一种维度包括属性维度、规则维度或者第三方信息维度；标记单元203，用于当第二匹配结果表征匹配成功时，基于第二匹配结果，对待检测域名进行标记，得到最终识别结果。在本申请的一些实施例中，属性维度包括对待检测域名进行域名类型维度的匹配得到属性匹配结果，规则维度包括对待检测域名进行特征维度的匹配得到特征匹配结果，第三方信息维度包括对待检测域名进行不同来源的外部威胁信息维度的匹配得到情报匹配结果。在本申请的一些实施例中，恶意域名识别装置2还包括：判断单元，用于确定待检测域名的当前域名类型；判断单元还用于，若当前域名类型非动态域名，则判断待检测域名对应的父域名是否为已识别恶意域名，得到属性匹配结果；匹配单元202还用于若属性匹配结果为已识别恶意域名，则将属性匹配结果作为第二匹配结果。在本申请的一些实施例中，恶意域名识别装置2还包括：获取单元201还用于获取待检测域名的当前特征；其中，当前特征包括：当前域名特征和当前地址信息特征；判断单元还用于判断预设恶意特征库是否命中当前特征，得到特征匹配结果；匹配单元202还用于，若特征匹配结果表征命中当前域名特征和当前地址信息特征中的任意一个，则将特征匹配结果作为第二匹配结果。在本申请的一些实施例中，恶意域名识别装置2还包括：获取单元201还用于获取针对待检测域名的不同来源的多个外部威胁信息；每个外部威胁信息表征待检测域名的分类信息；匹配单元202还用于对多个外部威胁信息进行统计，得到待检测域名的情报匹配结果；匹配单元202还用于将情报匹配结果作为第二匹配结果。在本申请的一些实施例中，恶意域名识别装置2还包括：获取单元201还用于获取针对待检测域名的不同来源的多个样本信息；获取单元201还用于对多个样本信息进行分类信息匹配，得到多个外部威胁信息。在本申请的一些实施例中，恶意域名识别装置2还包括：获取单元201还用于将多个外部威胁信息进行拆解，得到多个拆解后的分类信息；获取单元201还用于将多个拆解后的分类信息去别名化，得到多个家族名称；获取单元201还用于对多个家族名称进行统计，得到统计概率最大的目标家族名称；匹配单元202还用于将目标家族名称作为待检测域名的情报匹配结果。在本申请的一些实施例中，恶意域名识别装置2还包括：匹配单元202还用于，当采用属性维度的匹配方式对所述待检测域名进行类型维度的匹配得到的属性匹配结果表征匹配失败时，采用规则维度的匹配方式对待检测域名进行特征维度的匹配得到特征匹配结果，将特征匹配结果作为第二匹配结果；或，匹配单元202还用于，当采用属性维度的匹配方式对所述待检测域名进行类型维度的匹配得到的属性匹配结果表征匹配失败时，采用第三方信息维度的匹配方式对待检测域名进行不同来源的外部威胁信息维度的匹配得到情报匹配结果，将情报匹配结果作为第二匹配结果；或，匹配单元202还用于，当采用规则维度的匹配方式对所述待检测域名进行特征维度的匹配得到的特征匹配结果表征匹配失败时，采用第三方信息维度的匹配方式对待检测域名进行不同来源的外部威胁信息维度的匹配得到情报匹配结果，将情报匹配结果作为第二匹配结果。在本申请的一些实施例中，恶意域名识别装置2还包括：匹配单元202还用于，当采用属性维度的匹配方式对待检测域名进行类型维度的匹配得到的属性匹配结果表征匹配失败，且采用规则维度的匹配方式对待检测域名进行特征维度的匹配得到的特征匹配结果表征匹配失败时，采用第三方信息维度的匹配方式对待检测域名进行不同来源的外部威胁信息维度的匹配得到情报匹配结果，将情报匹配结果作为第二匹配结果；或，匹配单元202还用于，当采用属性维度的匹配方式对待检测域名进行类型维度的匹配得到的属性匹配结果表征匹配失败，且采用第三方信息维度的匹配方式对待检测域名进行不同来源的外部威胁信息维度的匹配得到情报匹配结果表征匹配失败时，采用规则维度的匹配方式对待检测域名进行特征维度的匹配得到特征匹配结果，将特征匹配结果作为第二匹配结果；或，匹配单元202还用于，当采用规则维度的匹配方式对待检测域名进行特征维度的匹配得到的特征匹配结果表征匹配失败，且采用第三方信息维度的匹配方式对待检测域名进行不同来源的外部威胁信息维度的匹配得到情报匹配结果表征匹配失败时，采用属性维度的匹配方式对待检测域名进行域名类型维度的匹配得到属性匹配结果，将属性匹配结果作为第二匹配结果。如图11所示，本申请实施例还提供了一种恶意域名识别装置3，包括处理器301、存储器302和通信总线303；通信总线303用于实现处理器301和存储器302之间的通信连接；处理器301用于执行存储器302中存储的对恶意域名进行识别的控制程序，以实现上述任一项提供的漏洞扫描方法。本申请实施例还提供了一种存储介质，其上存储有对恶意域名的识别程序，识别程序被处理器执行时实现上述任一项提供的漏洞扫描方法。本领域技术人员应理解，说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此，在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外，这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本实施例的实施过程构成任何限定。上述本实施例序号仅仅为了描述，不代表实施例的优劣。需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。在本申请所提供的几个实施例中，应该理解到，所揭露的设备和方法，可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元；既可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。另外，在本申请各实施例中的各功能单元可以全部集成在一个处理单元中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、只读存储器(readonlymemory，rom)、磁碟或者光盘等各种可以存储程序代码的介质。或者，本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例方法的全部或部分。而前述的存储介质包括：移动存储设备、rom、磁碟或者光盘等各种可以存储程序代码的介质。以上，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本
技术领域：
的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以权利要求的保护范围为准。当前第1页12