(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211018153.X (22)申请日 2022.08.24 (71)申请人 新华三信息安全技 术有限公司 地址 230001 安徽省合肥市高新区创新大 道2800号创新产业园二期H2栋 541室 (72)发明人 吴忠　 (51)Int.Cl. H04L 9/40(2022.01) H04L 61/4511(2022.01) (54)发明名称 一种域名识别方法及装置 (57)摘要 本申请提供了一种域名识别方法及装置， 涉 及通信技术领域。 该方法为： 获取合法域名库； 从 所述合法域名库中筛选出与待识别域名相似的 目标合法域名， 所述待识别域名为不满足合法域 名筛选条件的域名； 若确定所述待识别域名与所 述目标合法域名的相似特征值在设定范围内， 则 判断所述待识别域名的字符串和所述目标合法 域名的字符串之间是否满足字 符串相似条件； 若 满足所述字符串相似条件， 则分别确定所述待识 别域名的第一解析特征值和所述目标合法域名 的第二解析特征值； 比较所述第一解析特征值和 所述第二解析特征值； 若比较结果满足恶意域名 识别条件， 则确定所述待识别域名为恶意域名。 由此， 实现了对 恶意域名的准确识别。 权利要求书3页 说明书10页 附图2页 CN 115296923 A 2022.11.04 CN 115296923 A 1.一种域名识别方法， 其特 征在于， 应用于网络安全设备中； 所述方法， 包括： 获取合法域名库； 从所述合法域名库中筛选出与待识别域名相似的目标合法域名， 所述待识别域名为不 满足合法域名筛 选条件的域名； 若确定所述待识别域名与 所述目标合法域名的相似特征值在 设定范围内， 则判断所述 待识别域名的字符串和所述目标合法域名的字符串之间是否满足字符串相似条件； 若满足所述字符串相似条件， 则分别确定所述待识别域名的第 一解析特征值和所述目 标合法域名的第二 解析特征值； 比较所述第一 解析特征值和所述第二 解析特征值； 若比较结果满足恶意 域名识别条件， 则确定所述待识别域名为恶意 域名。 2.根据权利要求1所述的方法， 其特 征在于， 所述相似特 征值包括相似长度值； 从所述合法域名库中筛 选出与待识别域名相似的目标合法域名， 包括： 分别确定所述待识别域名与所述 合法域名库中各个合法域名之间的相似长度值； 将相似长度值满足相似筛 选条件的合法域名确定为所述目标合法域名。 3.根据权利要求1所述的方法， 其特征在于， 判断所述待识别域名的字符串和所述目标 合法域名的字符串之间是否满足字符串相似条件， 包括： 判断所述目标合法域名的字符串是否包含所述待识别域名的字符串， 且所述待识别域 名的字符串的数量少于所述目标合法域名的字符串的数量； 判断所述待识别域名的字符串与所述目标合法域名的字符串是否存在字符相同且待 识别域名的若干 字符位置的字符与所述目标合法域名对应字符位置的字符不同的情况； 判断所述待识别域名与所述目标合法域名中不相同的字符是否为通用键盘布局中的 相邻字符； 判断所述待识别域名与所述目标合法域名中相同的每个字符在所述待识别域名中的 出现次数 是否大于该字符在所述目标合法域名中的出现次数； 若任一判断结果 为是， 则确定满足所述字符串相似条件； 若判断结果均为否， 则确定不满足所述字符串相似条件。 4.根据权利要求1所述的方法， 其特征在于， 所述第 一解析特征值包括第 一资源记录信 息特征值、 第一自治系统号特征值、 第一IP特征值和第一解析次数特征值； 所述第二解析特 征值包括： 第二资源记录信息特征值、 第二自治系统号特征值、 第二IP特征值和 第二解析次 数特征值； 按照下述方法确定所述比较结果满足所述恶意 域名识别条件： 若所述第一资源记录信 息特征值小于所述第 二第一资源记录信 息特征值、 所述第 一自 治系统号特征值大于所述第二自治系统号特征值、 所述第一IP特征值小于所述第二IP特征 值， 且所述第一解析次数特征值大于所述第二解析次数特征值， 则确定所述比较结果满足 所述恶意 域名识别条件。 5.根据权利要求1所述的方法， 其特 征在于， 还 包括： 若所述相似特征值不在所述设定范围内， 则利用决策树算法对所述待识别域名进行识 别； 若不满足所述字符串相似条件， 则 利用决策树 算法对所述待识别域名进行识别；权　利　要　求　书 1/3 页 2 CN 115296923 A 2若不满足恶意 域名识别条件， 则 利用决策树 算法对所述待识别域名进行识别。 6.一种域名识别装置， 其特 征在于， 设置 于网络安全设备中， 所述装置， 包括： 获取模块， 用于获取合法域名库； 筛选模块， 用于从所述合法域名库中筛选出与待识别域名相似的目标合法域名， 所述 待识别域名为 不满足合法域名筛 选条件的域名； 判断模块， 用于若确定所述待识别域名与 所述目标合法域名的相似特征值在设定范围 内， 则判断所述待识别域名的字符串和所述目标合法域名的字符串之 间是否满足字符串相 似条件； 确定模块， 用于若所述判断模块的判断结果为满足所述字符串相似条件， 则分别确定 所述待识别域名的第一 解析特征值和所述目标合法域名的第二 解析特征值； 比较模块， 用于比较所述第一 解析特征值和所述第二 解析特征值； 第一识别模块， 用于若所述比较模块的比较结果满足恶意域名识别条件， 则确定所述 待识别域名为恶意 域名。 7.根据权利要求6所述的装置， 其特 征在于， 所述相似特 征值包括相似长度值； 所述筛选模块， 具体用于分别确定所述待识别域名与 所述合法域名库中各个合法域名 之间的相似长度值； 将相似长度值满足相似筛选条件的合法域名确定为所述目标合法域 名。 8.根据权利要求6所述的装置， 其特 征在于， 所述判断模块， 具体用于判断所述目标合法域名的字符串是否包含所述待识别域名的 字符串， 且所述待识别域名的字符串的数量少于所述目标合法域名的字符串的数量； 判断所述待识别域名的字符串与所述目标合法域名的字符串是否存在字符相同且待 识别域名的若干 字符位置的字符与所述目标合法域名对应字符位置的字符不同的情况； 判断所述待识别域名与所述目标合法域名中不相同的字符是否为通用键盘布局中的 相邻字符； 判断所述待识别域名与所述目标合法域名中相同的每个字符在所述待识别域名中的 出现次数 是否大于该字符在所述目标合法域名中的出现次数； 若任一判断结果 为是， 则确定满足所述字符串相似条件； 若判断结果均为否， 则确定不满足所述字符串相似条件。 9.根据权利要求6所述的装置， 其特征在于， 所述第 一解析特征值包括第 一资源记录信 息特征值、 第一自治系统号特征值、 第一IP特征值和第一解析次数特征值； 所述第二解析特 征值包括： 第二资源记录信息特征值、 第二自治系统号特征值、 第二IP特征值和 第二解析次 数特征值； 所述比较模块， 具体用于按照下述方法确定所述 比较结果满足所述恶意域名识别条 件： 若所述第一资源记录信息特征值小于所述第二第一资源记录信息特征值、 所述第一自 治系统号特征值大于所述第二自治系统号特征值、 所述第一IP特征值小于所述第二IP特征 值， 且所述第一解析次数特征值大于所述第二解析次数特征值， 则确定所述比较结果满足 所述恶意 域名识别条件。 10.根据权利要求6所述的装置， 其特 征在于， 还 包括： 第二识别模块， 用于若所述相似特征值不在所述设定范围内， 则利用决策树算法对所权　利　要　求　书 2/3 页 3 CN 115296923 A 3