临时性域名识别方法和系统的制作方法

临时性域名识别方法和系统的制作方法
【技术领域】
[0001]本发明涉及信息技术领域，具体涉及一种临时性域名识别方法和系统。
【背景技术】
[0002]临时性域名作为一类新型域名，近些年来开始被某些特定的互联网业务(如病毒查杀、即时通信等需要频繁更新的业务)大量使用。此类域名中的部分字段通常由某种特定算法随机生成，体量巨大，但其总体使用频率却非常的低，有点类似于临时使用。尽管此类域名是用于正规互联网业务的正常域名，但是临时性域名的大量出现，势必给域名服务(特别是递归域名器的缓存服务)的工作效率带来极大的影响。因此，有必要对此类域名进行专门的发现和识别，以便于域名服务提供商及时了解相关态势，必要时采取相关应对措施。
[0003]业内相关的域名识别技术主要存在两种。一种是针对不良应用域名(如用于垃圾邮件、僵尸网络等目的)的识别技术，另一种是针对非正常域名(如无效域名、配置错误域名等)的识别技术。由于临时性域名是用于正规互联网服务中的正常域名，其特性与不良应用域名、非正常域名相比存在很大差异，故上述两种域名识别技术均不能实现对临时性域名的有效识别。

【发明内容】

[0004]针对上述问题，本发明目的在于提供一种临时性域名识别方法和系统。根据临时性域名的特性有效、准确地识别临时性域名，
[0005]针对以上特征，本发明为达上述目的采取的具体技术方案是:
[0006]一种临时性域名识别方法，基于一域名查询数据库，包括以下步骤:
[0007]读取域名查询数据库，根据域名查询数据库中的域名查询请求信息构建一域名查询树；该域名查询树的树根为域名空间中的根域，该树根的子节点对应域名中的域字段，域字段在域名中的位置越靠左，其对应的子节点级别越低，位于域名中最左端的域字段对应的子节点均为叶子节点，各子节点拥有一个表示其对应域字段在域名查询数据库中出现频率的权值；
[0008]对域名查询树中除叶子节点外的所有子节点根据临时性域名特性进行特征抽取，获得各子节点的域名特征；
[0009]根据抽取的域名特征对域名查询树中除叶子节点外的所有子节点进行聚类，获得多个子集；
[0010]从所述多个子集中筛选包含子节点数量小于一阀值的子集，作为疑似临时域子集，根据疑似临时域子集输出一疑似临时性域名列表。
[0011]所述域名查询请求信息包括:域名查询数据库中的域名查询请求原始日志中储存的域名被使用时生成的记录。
[0012]所述临时性域名特性包括:
[0013]1)临时性域名及其所在域内的绝大部分域名使用频率接近于0 ;
[0014]2)临时性域名及其所在域内的绝大部分域名的最左端字段均是随机生成字串。
[0015]所述子节点的域名特征包括:
[0016]1)该子节点下的分支子节点数量；
[0017]2)该子节点下的各个分支子节点出现频率的中值；
[0018]3)该子节点下的各个分支子节点对应的域字段的熵的均值；
[0019]4)该子节点下的各个分支子节点对应的域字段的熵的方差。
[0020]进一步地，所述阀值为50。
[0021]进一步地，所述聚类的算法可选K-MEANS或K-MED0IDS。
[0022]进一步地，所述聚类后获得的子集包含子节点对应的域字段及子节点的域名特征。
[0023]所述根据疑似临时域子集输出一疑似临时性域名列表，包括:判断各疑似临时域子集中是否包含一个或多个子节点，该子节点对应的域字段为已知的临时域字段，则依次输出该子集中的每个子节点及该子节点的全部分支子结点所对应的域名，形成疑似临时性域名列表。
[0024]一种临时性域名识别系统，基于域名查询数据库，包括:
[0025]—域名查询树构建模块，用以读取域名查询数据库，并根据数据库中的域名查询请求信息构造一域名查询树；其中，域名查询树的树根即为域名空间中的根域，树根的子节点对应域名中的域字段，域字段在域名中的位置越靠左，其对应的子节点级别越低，位于域名中最左端的域字段对应的子节点均为叶子节点，各子节点拥有一个表示其对应域字段在域名查询数据库中出现频率的权值；
[0026]—域名特征抽取模块，用以对域名查询树中除叶子节点外的所有子节点根据临时性域名特性进行特征抽取，获得各子节点的域名特征；
[0027]—域名聚类模块，用以根据各子节点的域名特征对域名查询树中除叶子节点外的所有子节点进行聚类，获得多个子集；从所述多个子集中筛选包含子节点数量小于一阀值的子集，作为疑似临时域子集，根据疑似临时域子集输出一疑似临时性域名列表。
[0028]通过采取上述技术方案，本发明的临时性域名识别方法和系统较现有技术而言存在以下优点:
[0029](1)专门针对临时性域名进行域名识别，通过快速筛选，能够快速鉴别出临时性域名；
[0030](2)通过利用域名查询数据来进行域名特征抽取，整个识别过程独立于域名服务，不会对域名服务造成影响；
[0031](3)识别过程不需要收集和训练样本数据，降低了人工成本；
[0032](4)特征抽取规则可以自由定制，聚类算法亦可以灵活选择。
【附图说明】
[0033]图1为本发明一实施例中的临时性域名识别流程示意图。
[0034]图2为本发明一实施例中的域名查询树的架构示意图。
[0035]图3为本发明一实施例中的聚类后的子集列表。
[0036]图4为本发明一实施例中一子集内的部分内容。
【具体实施方式】
[0037]为使本发明的上述特征和优点能更明显易懂，下文特举实施例，并配合所附图作详细说明如下。
[0038]首先，需要说明本发明的工作原理和技术构思。
[0039]临时性域名通常具备以下特性:
[0040](1)该域名及其所在域内的绝大部分域名使用频率接近于0 ;
[0041](2)该域名及其所在域内的绝大部分域名的最左端字段均是随机生成字串。
[0042]本发明即基于上述特征对临时性域名进行识别。
[0043]本发明所提供的临时性域名识别方法如附图1所示。
[0044]基于一域名查询数据库，包括以下步骤:
[0045]读取域名查询数据库，根据域名查询数据库中的域名查询请求信息构建一域名查询树；该域名查询树的树根为域名空间中的根域，该树根的子节点对应域名中的域字段，域字段在域名中的位置越靠左，其对应的子节点级别越低，位于域名中最左端的域字段对应的子节点均为叶子节点，各子节点拥有一个表示其对应域字段在域名查询数据库中出现频率的权值；
[0046]对域名查询树中除叶子节点外的所有子节点根据临时性域名特性进行特征抽取，获得各子节点的域名特征；
[0047]根据抽取的域名特征对域名查询树中除叶子节点外的所有子节点进行聚类，获得多个子集；
[0048]从所述多个子集中筛选包含子节点数量小于一阀值的子集，作为疑似临时域子集，根据疑似临时域子集输出一疑似临时性域名列表。
[0049]其中，域名查询数据库用于记录递归域名服务器端接收到的来自终端用户的域名查询请求原始日志，并作为输入端连接到临时性域名识别系统中。当某域名被使用一次则生成一条记录，该记录包含该域名所有字段，并储存于该日志中。
[0050]实现上述方法的临时性域名识别系统主要包含三大模块:域名查询树构建模块，域名特征抽取模块及域名聚类模块。
[0051]域名查询树构建模块，负责读取域名查询数据库，并根据数据库中的域名查询请求信息构造域名查询树。其中，域名查询树的树根即为域名空间中的根域“root”，树根的子节点为域名空间中的顶级域字段(如“com”、“cn” )，二级子节点为域名空间中的二级域字段(如％&1(111”、“丨&必&0”)。另外，域名查询树中的每个节点各拥有一个权值，分别表示对应字段在域名查询数据库中出现的频率。