一种恶意域名请求的威胁检测方法及装置与流程

本申请各实施例属于网络安全，更具体地，涉及一种恶意域名请求的威胁检测方法及装置。

背景技术：

1、随着网络服务的日益发展，域名系统(domain name system，dns)已成为当今互联网中重要的基础核心服务之一，负责提供统一的域名地址空间映射服务，主要将易于人类记忆的域名解析为易于机器识别的ip地址。然而，伴随着域名系统提供正常服务的同时，恶意域名类的威胁越来越普遍，使得传统的安全技术难以抵御，建立可以有效对抗此类威胁的防御和检测体系成为当前网络安全最迫切的工作。

技术实现思路

1、为了解决或者缓解现有技术存在的问题。

2、第一方面，本申请实施例提供一种恶意域名请求的威胁检测方法，包括：

3、对收集的事件进行处理和分析，使用恶意行为检测引擎识别和提取与att&ck模型相关的特征，建立攻击者行为模型；

4、根据所述攻击者行为模型，对访问请求进行检测以便确定所述访问请求对应的域名是否为恶意域名；

5、如果访问请求对应的域名为恶意域名，且所述恶意域名为非法外联行为，则定位到非法外联行为主体，产生告警；

6、采取响应措施，阻断恶意进程运行。

7、作为本申请一优选实施例，所述非法外联行为主体包括：包括进程名、进程路径、域名、终端ip、计算机名。

8、作为本申请一优选实施例，所述使用恶意行为检测引擎识别和提取与att&ck模型相关的特征，建立攻击者行为模型，包括：

9、通过恶意行为检测引擎识别进行处理和分析后的事件；

10、如果所述处理和分析后的事件中包含恶意行为，则通过所述恶意行为检测引擎提取att&ck模型中相关的特征；

11、对提取的特征根据待建立攻击者模型的要求进行格式转换处理；

12、根据经格式转换处理后的特征，建立攻击者行为模型。

13、作为本申请一优选实施例，所述根据经格式转换处理后的特征，建立攻击者行为模型，包括：

14、将经格式转换处理的特征通过损失函数训练攻击者行为模型直到攻击者行为模型收敛后，建立攻击者行为模型。

15、作为本申请一优选实施例，如果访问请求对应的域名为恶意域名，所述方法还包括：

16、将访问请求输入至所述攻击者行为模型进行推理以便确定所述访问请求对应的攻击行为。

17、作为本申请一优选实施例，如果访问请求对应的域名为恶意域名，且所述恶意域名为非法外联行为，则定位到非法外联行为主体，包括：

18、对所述恶意域名进行解析；

19、将解析结果与非法外联行为数据库进行比对，如果解析结果的行为在非法外联行为数据库中，则恶意域名为非法外联行为；

20、根据所述恶意域名的解析结果确定并定位到非法外联行为主体。

21、与现有技术相比，本申请实施例提供了一种恶意域名请求的威胁检测方法，对收集的事件进行处理和分析，使用恶意行为检测引擎识别和提取与att&ck模型相关的特征，建立攻击者行为模型；根据所述攻击者行为模型，对访问请求进行检测以便确定所述访问请求对应的域名是否为恶意域名；如果访问请求对应的域名为恶意域名，且所述恶意域名为非法外联行为，则定位到非法外联行为主体，产生告警；采取响应措施，阻断恶意进程运行。通过本申请实施例可以提高恶意域名的威胁检测的准确性。

22、第二方面，本申请实施例还提供了一种恶意域名请求的威胁检测装置，包括：

23、建立模块，用于对收集的事件进行处理和分析，使用恶意行为检测引擎识别和提取与att&ck模型相关的特征，建立攻击者行为模型；

24、确定模块，用于根据所述攻击者行为模型，对访问请求进行检测以便确定所述访问请求对应的域名是否为恶意域名；

25、定位模块，用于如果访问请求对应的域名为恶意域名，且所述恶意域名为非法外联行为，则定位到非法外联行为主体，产生告警；

26、阻断模块，用于采取响应措施，阻断恶意进程运行。

27、第三方面，本申请实施例还提供了一种电子设备，包括至少一个处理单元以及至少一个存储单元，其中，所述存储单元存储有计算机程序，当所述程序被所述处理单元执行时，使得所述处理单元执行第一方面任一所述的方法。

28、与现有技术相比，第二方面和第三方面提供的技术方案的有益效果与与第一方面的有益效果相同在此不再赘述。

技术特征：

1.一种恶意域名请求的威胁检测方法，其特征在于，包括：

2.如权利要求1所述的一种恶意域名请求的威胁检测方法，其特征在于，所述非法外联行为主体包括：包括进程名、进程路径、域名、终端ip、计算机名。

3.如权利要求1所述的一种恶意域名请求的威胁检测方法，其特征在于，所述使用恶意行为检测引擎识别和提取与att&ck模型相关的特征，建立攻击者行为模型，包括：

4.如权利要求3所述的一种恶意域名请求的威胁检测方法，其特征在于，所述根据经格式转换处理后的特征，建立攻击者行为模型，包括：

5.如权利要求1所述的一种恶意域名请求的威胁检测方法，其特征在于，如果访问请求对应的域名为恶意域名，所述方法还包括：

6.如权利要求1所述的一种恶意域名请求的威胁检测方法，其特征在于，如果访问请求对应的域名为恶意域名，且所述恶意域名为非法外联行为，则定位到非法外联行为主体，包括：

7.一种恶意域名请求的威胁检测装置，其特征在于，包括：

8.一种电子设备，其特征在于，包括至少一个处理单元以及至少一个存储单元，其中，所述存储单元存储有计算机程序，当所述程序被所述处理单元执行时，使得所述处理单元执行权利要求1～6任一权利要求所述的方法。

技术总结
本申请实施例提供一种恶意域名请求的威胁检测方法及装置，对收集的事件进行处理和分析，使用恶意行为检测引擎识别和提取与ATT&CK模型相关的特征，建立攻击者行为模型；根据所述攻击者行为模型，对访问请求进行检测以便确定所述访问请求对应的域名是否为恶意域名；如果访问请求对应的域名为恶意域名，且所述恶意域名为非法外联行为，则定位到非法外联行为主体，产生告警；采取响应措施，阻断恶意进程运行。通过本申请实施例可以提高恶意域名的威胁检测的准确性。

技术研发人员：何明东,李波,傅格话,刘冯政,胡一凡,杨朝谊
受保护的技术使用者：广东电网有限责任公司
技术研发日：
技术公布日：2024/6/18