臨時性域名識別方法和系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息技術(shù)領(lǐng)域���,具體涉及一種臨時性域名識別方法和系統(tǒng)����。
【背景技術(shù)】
[0002]臨時性域名作為一類新型域名����,近些年來開始被某些特定的互聯(lián)網(wǎng)業(yè)務(wù)(如病毒查殺�、即時通信等需要頻繁更新的業(yè)務(wù))大量使用�����。此類域名中的部分字段通常由某種特定算法隨機(jī)生成����,體量巨大,但其總體使用頻率卻非常的低�,有點類似于臨時使用。盡管此類域名是用于正規(guī)互聯(lián)網(wǎng)業(yè)務(wù)的正常域名�����,但是臨時性域名的大量出現(xiàn)�����,勢必給域名服務(wù)(特別是遞歸域名器的緩存服務(wù))的工作效率帶來極大的影響��。因此�����,有必要對此類域名進(jìn)行專門的發(fā)現(xiàn)和識別��,以便于域名服務(wù)提供商及時了解相關(guān)態(tài)勢�,必要時采取相關(guān)應(yīng)對措施。
[0003]業(yè)內(nèi)相關(guān)的域名識別技術(shù)主要存在兩種���。一種是針對不良應(yīng)用域名(如用于垃圾郵件�、僵尸網(wǎng)絡(luò)等目的)的識別技術(shù)�,另一種是針對非正常域名(如無效域名、配置錯誤域名等)的識別技術(shù)����。由于臨時性域名是用于正規(guī)互聯(lián)網(wǎng)服務(wù)中的正常域名,其特性與不良應(yīng)用域名����、非正常域名相比存在很大差異,故上述兩種域名識別技術(shù)均不能實現(xiàn)對臨時性域名的有效識別�。
【發(fā)明內(nèi)容】
[0004]針對上述問題,本發(fā)明目的在于提供一種臨時性域名識別方法和系統(tǒng)�。根據(jù)臨時性域名的特性有效、準(zhǔn)確地識別臨時性域名�,
[0005]針對以上特征,本發(fā)明為達(dá)上述目的采取的具體技術(shù)方案是:
[0006]一種臨時性域名識別方法�,基于一域名查詢數(shù)據(jù)庫,包括以下步驟:
[0007]讀取域名查詢數(shù)據(jù)庫,根據(jù)域名查詢數(shù)據(jù)庫中的域名查詢請求信息構(gòu)建一域名查詢樹�����;該域名查詢樹的樹根為域名空間中的根域�,該樹根的子節(jié)點對應(yīng)域名中的域字段,域字段在域名中的位置越靠左��,其對應(yīng)的子節(jié)點級別越低���,位于域名中最左端的域字段對應(yīng)的子節(jié)點均為葉子節(jié)點����,各子節(jié)點擁有一個表示其對應(yīng)域字段在域名查詢數(shù)據(jù)庫中出現(xiàn)頻率的權(quán)值�;
[0008]對域名查詢樹中除葉子節(jié)點外的所有子節(jié)點根據(jù)臨時性域名特性進(jìn)行特征抽取,獲得各子節(jié)點的域名特征�;
[0009]根據(jù)抽取的域名特征對域名查詢樹中除葉子節(jié)點外的所有子節(jié)點進(jìn)行聚類,獲得多個子集�����;
[0010]從所述多個子集中篩選包含子節(jié)點數(shù)量小于一閥值的子集�,作為疑似臨時域子集,根據(jù)疑似臨時域子集輸出一疑似臨時性域名列表�����。
[0011]所述域名查詢請求信息包括:域名查詢數(shù)據(jù)庫中的域名查詢請求原始日志中儲存的域名被使用時生成的記錄���。
[0012]所述臨時性域名特性包括:
[0013]1)臨時性域名及其所在域內(nèi)的絕大部分域名使用頻率接近于0 ;
[0014]2)臨時性域名及其所在域內(nèi)的絕大部分域名的最左端字段均是隨機(jī)生成字串�。
[0015]所述子節(jié)點的域名特征包括:
[0016]1)該子節(jié)點下的分支子節(jié)點數(shù)量��;
[0017]2)該子節(jié)點下的各個分支子節(jié)點出現(xiàn)頻率的中值�����;
[0018]3)該子節(jié)點下的各個分支子節(jié)點對應(yīng)的域字段的熵的均值�����;
[0019]4)該子節(jié)點下的各個分支子節(jié)點對應(yīng)的域字段的熵的方差���。
[0020]進(jìn)一步地���,所述閥值為50。
[0021]進(jìn)一步地���,所述聚類的算法可選K-MEANS或K-MED0IDS��。
[0022]進(jìn)一步地�����,所述聚類后獲得的子集包含子節(jié)點對應(yīng)的域字段及子節(jié)點的域名特征�。
[0023]所述根據(jù)疑似臨時域子集輸出一疑似臨時性域名列表,包括:判斷各疑似臨時域子集中是否包含一個或多個子節(jié)點�����,該子節(jié)點對應(yīng)的域字段為已知的臨時域字段�,則依次輸出該子集中的每個子節(jié)點及該子節(jié)點的全部分支子結(jié)點所對應(yīng)的域名,形成疑似臨時性域名列表�����。
[0024]一種臨時性域名識別系統(tǒng)����,基于域名查詢數(shù)據(jù)庫,包括:
[0025]—域名查詢樹構(gòu)建模塊����,用以讀取域名查詢數(shù)據(jù)庫,并根據(jù)數(shù)據(jù)庫中的域名查詢請求信息構(gòu)造一域名查詢樹���;其中�����,域名查詢樹的樹根即為域名空間中的根域����,樹根的子節(jié)點對應(yīng)域名中的域字段����,域字段在域名中的位置越靠左,其對應(yīng)的子節(jié)點級別越低�����,位于域名中最左端的域字段對應(yīng)的子節(jié)點均為葉子節(jié)點�,各子節(jié)點擁有一個表示其對應(yīng)域字段在域名查詢數(shù)據(jù)庫中出現(xiàn)頻率的權(quán)值;
[0026]—域名特征抽取模塊�,用以對域名查詢樹中除葉子節(jié)點外的所有子節(jié)點根據(jù)臨時性域名特性進(jìn)行特征抽取,獲得各子節(jié)點的域名特征����;
[0027]—域名聚類模塊,用以根據(jù)各子節(jié)點的域名特征對域名查詢樹中除葉子節(jié)點外的所有子節(jié)點進(jìn)行聚類���,獲得多個子集���;從所述多個子集中篩選包含子節(jié)點數(shù)量小于一閥值的子集���,作為疑似臨時域子集,根據(jù)疑似臨時域子集輸出一疑似臨時性域名列表����。
[0028]通過采取上述技術(shù)方案,本發(fā)明的臨時性域名識別方法和系統(tǒng)較現(xiàn)有技術(shù)而言存在以下優(yōu)點:
[0029](1)專門針對臨時性域名進(jìn)行域名識別����,通過快速篩選,能夠快速鑒別出臨時性域名�;
[0030](2)通過利用域名查詢數(shù)據(jù)來進(jìn)行域名特征抽取,整個識別過程獨立于域名服務(wù)�����,不會對域名服務(wù)造成影響���;
[0031](3)識別過程不需要收集和訓(xùn)練樣本數(shù)據(jù)���,降低了人工成本�;
[0032](4)特征抽取規(guī)則可以自由定制�,聚類算法亦可以靈活選擇。
【附圖說明】
[0033]圖1為本發(fā)明一實施例中的臨時性域名識別流程示意圖����。
[0034]圖2為本發(fā)明一實施例中的域名查詢樹的架構(gòu)示意圖。
[0035]圖3為本發(fā)明一實施例中的聚類后的子集列表�。
[0036]圖4為本發(fā)明一實施例中一子集內(nèi)的部分內(nèi)容。
【具體實施方式】
[0037]為使本發(fā)明的上述特征和優(yōu)點能更明顯易懂�,下文特舉實施例�,并配合所附圖作詳細(xì)說明如下。
[0038]首先�,需要說明本發(fā)明的工作原理和技術(shù)構(gòu)思。
[0039]臨時性域名通常具備以下特性:
[0040](1)該域名及其所在域內(nèi)的絕大部分域名使用頻率接近于0 ;
[0041](2)該域名及其所在域內(nèi)的絕大部分域名的最左端字段均是隨機(jī)生成字串�。
[0042]本發(fā)明即基于上述特征對臨時性域名進(jìn)行識別。
[0043]本發(fā)明所提供的臨時性域名識別方法如附圖1所示���。
[0044]基于一域名查詢數(shù)據(jù)庫��,包括以下步驟:
[0045]讀取域名查詢數(shù)據(jù)庫�����,根據(jù)域名查詢數(shù)據(jù)庫中的域名查詢請求信息構(gòu)建一域名查詢樹�;該域名查詢樹的樹根為域名空間中的根域,該樹根的子節(jié)點對應(yīng)域名中的域字段��,域字段在域名中的位置越靠左�,其對應(yīng)的子節(jié)點級別越低,位于域名中最左端的域字段對應(yīng)的子節(jié)點均為葉子節(jié)點����,各子節(jié)點擁有一個表示其對應(yīng)域字段在域名查詢數(shù)據(jù)庫中出現(xiàn)頻率的權(quán)值;
[0046]對域名查詢樹中除葉子節(jié)點外的所有子節(jié)點根據(jù)臨時性域名特性進(jìn)行特征抽取�,獲得各子節(jié)點的域名特征;
[0047]根據(jù)抽取的域名特征對域名查詢樹中除葉子節(jié)點外的所有子節(jié)點進(jìn)行聚類���,獲得多個子集�����;
[0048]從所述多個子集中篩選包含子節(jié)點數(shù)量小于一閥值的子集��,作為疑似臨時域子集����,根據(jù)疑似臨時域子集輸出一疑似臨時性域名列表���。
[0049]其中����,域名查詢數(shù)據(jù)庫用于記錄遞歸域名服務(wù)器端接收到的來自終端用戶的域名查詢請求原始日志,并作為輸入端連接到臨時性域名識別系統(tǒng)中�。當(dāng)某域名被使用一次則生成一條記錄,該記錄包含該域名所有字段����,并儲存于該日志中。
[0050]實現(xiàn)上述方法的臨時性域名識別系統(tǒng)主要包含三大模塊:域名查詢樹構(gòu)建模塊�����,域名特征抽取模塊及域名聚類模塊��。
[0051]域名查詢樹構(gòu)建模塊�����,負(fù)責(zé)讀取域名查詢數(shù)據(jù)庫����,并根據(jù)數(shù)據(jù)庫中的域名查詢請求信息構(gòu)造域名查詢樹�。其中,域名查詢樹的樹根即為域名空間中的根域“root”�,樹根的子節(jié)點為域名空間中的頂級域字段(如“com”���、“cn” ),二級子節(jié)點為域名空間中的二級域字段(如%&1(111”���、“丨&必&0”)�����。另外����,域名查詢樹中的每個節(jié)點各擁有一個權(quán)值�,分別表示對應(yīng)字段在域名查詢數(shù)據(jù)庫中出現(xiàn)的頻率。