一種基于DNS解析的域名陰影檢測(cè)方法和裝置

基本信息

申請(qǐng)?zhí)?/td> CN202011202296.7 申請(qǐng)日 -
公開(公告)號(hào) CN112333185A 公開(公告)日 2021-02-05
申請(qǐng)公布號(hào) CN112333185A 申請(qǐng)公布日 2021-02-05
分類號(hào) H04L29/06(2006.01)I;H04L29/12(2006.01)I 分類 電通信技術(shù);
發(fā)明人 曲武 申請(qǐng)(專利權(quán))人 北京金睛云華科技有限公司
代理機(jī)構(gòu) 沈陽(yáng)友和欣知識(shí)產(chǎn)權(quán)代理事務(wù)所(普通合伙) 代理人 楊群;郭悅
地址 100088北京市海淀區(qū)北三環(huán)中路44號(hào)58號(hào)1層21號(hào)
法律狀態(tài) -

摘要

摘要 本發(fā)明涉及域名陰影檢測(cè)技術(shù)領(lǐng)域,具體涉及一種基于DNS解析的域名陰影檢測(cè)方法和裝置,方法包括:獲取域名解析的DNS原始流量或PDNS數(shù)據(jù),解析域名請(qǐng)求的特征數(shù)據(jù)并進(jìn)行預(yù)處理,獲取特征數(shù)據(jù)向量流;以預(yù)設(shè)的滑動(dòng)時(shí)間窗口為檢測(cè)周期對(duì)檢測(cè)特征數(shù)據(jù)向量流進(jìn)行檢測(cè)統(tǒng)計(jì),生成檢測(cè)特征向量流;利用多階段異常檢測(cè)模型組對(duì)檢測(cè)特征向量進(jìn)行處理,逐步判斷子域名是否為疑似域名陰影;對(duì)疑似域名陰影進(jìn)行匯聚,輸出疑似域名陰影的主域名、主機(jī)IP、受害人或組織以及證據(jù)向量,并寫入數(shù)據(jù)庫(kù)。本發(fā)明可以大規(guī)模分析實(shí)時(shí)的DNS請(qǐng)求流量,也可以分析離線的PDNS數(shù)據(jù),通過(guò)多階段異常檢測(cè)模型組挖掘出潛在的域名陰影,極大的提高了分析效率。??