(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 20221097839 2.3 (22)申请日 2022.08.16 (71)申请人 天翼安全科技有限公司 地址 100010 北京市东城区朝阳门北 大街 19号中国电信大厦 (72)发明人 马晨　 (74)专利代理 机构 北京同达信恒知识产权代理 有限公司 1 1291 专利代理师 路晓丹 (51)Int.Cl. H04L 9/40(2022.01) H04L 61/4511(2022.01) (54)发明名称 一种恶意 域名确定方法、 装置、 设备及 介质 (57)摘要 本申请实施例提供了一种恶意域名确定方 法、 装置、 设备及介质， 用以提高恶意域名确定的 准确性。 由于电子设备根据预先保存的黑名单中 的IP地址以及黑名单中的域名， 确定每个候选IP 地址， 电子设备还获取预设时间段内候选IP地址 的Netflow数据对应的预设类型的子数据， 并通 过Embedded方法， 提取候选IP地址对应的预设类 型的子数据中， 异常的子数据对应的特征类型， 将特征类型输入识别模型中， 获取识别模型输出 的该候选IP地址 是否为恶意IP地址， 从而避免了 恶意IP地址的误识别， 并根据预先保存的域名与 IP地址的对应关系， 将每个恶 意IP地址对应的每 个域名， 确定为恶意域名， 从而提高恶意域名确 定的准确性。 权利要求书2页 说明书13页 附图5页 CN 115412312 A 2022.11.29 CN 115412312 A 1.一种恶意 域名确定方法， 其特 征在于， 所述方法包括： 根据预先保存的黑名单中的IP地址以及黑名单中的域名， 确定每 个候选IP地址； 针对所述每个候选IP地址， 获取预设时间段内该候选IP地址的网络流Netflow数据对 应的预设类型的子数据， 通过嵌入式Embedded方法， 提取该预设特征类型的子数据中异常 的子数据对应的特征类型， 将所述特征类型输入预先训练完成的识别模型中， 获取所述识 别模型输出的该候选IP地址是否为恶意 IP地址； 根据预先保存的域名与IP地址的对应关系， 将所确定的每个恶意IP地址对应的每个域 名， 确定为恶意 域名。 2.根据权利要求1所述的方法， 其特征在于， 所述根据预先保存的黑名单中的IP地址， 确定每个候选IP地址包括： 根据预先保存的域名解析协议DNS日志中的域名与IP地址的对应关系， 确定预先保存 的黑名单中的IP地址对应的每个候选域名， 确定所述每个候选域名对应的每个候选IP地 址。 3.根据权利要求1所述的方法， 其特征在于， 所述根据预先保存的黑名单中的域名， 确 定每个候选IP地址包括： 根据预先保存的DNS日志中的域名与IP地址的对应关系， 确定黑名单中的域名对应的 每个候选IP地址 。 4.根据权利要求2或3所述的方法， 其特 征在于， 所述方法还 包括： 针对每个候选IP地址循环执 行以下步骤： 确定每个候选IP地址， 对应的每 个域名； 将所述每 个域名对应的IP地址确定为 候选IP地址； 直至获取到的每个域名对应的IP地址均为候选IP地址， 或每个候选IP地址对应的域名 均被获取到 。 5.根据权利要求1所述的方法， 其特征在于， 所述确定每个候选IP地址之后， 所述将所 述特征类型输入识别模型中， 获取所述识别模型输出的， 该候选IP地址是否为恶意IP地址 之前， 所述方法还 包括： 针对每个候选IP地址， 将该候选IP地址对应的域名的数量， 确定为第一数量， 并获取该 候选IP地址对应的域名作为目标域名， 确定所述目标域名对应的每个IP地址， 统计所述每 个IP地址存在于所述 黑名单中的第二数量； 根据所述第二数量与所述第一数量的比值， 确定该候选IP地址为恶意IP地址的置信 度； 所述将所述特征类型输入识别模型中， 获取所述识别模型输出的该候选IP地址是否为 恶意IP地址包括： 将该候选IP地址对应的置信度及所述特征类型输入识别模型中， 获取所述识别模型输 出的该候选IP地址是否为恶意 IP地址。 6.一种恶意 域名确定装置， 其特 征在于， 所述装置包括： 确定模块， 用于根据预先保存的黑名单中的IP地址以及黑名单中的域名， 确定每个候 选IP地址； 处理模块， 用于针对所述每个候选IP地址， 获取预设时间段内该候选IP地址的网络流权　利　要　求　书 1/2 页 2 CN 115412312 A 2Netflow数据对应的预设类型的子数据， 通过嵌入式Embedded方法， 提取该预设特征类型的 子数据中异常的子数据对应的特征类型， 将所述特征类型输入预先训练完成的识别模型 中， 获取所述识别模型输出的该候选IP地址是否为恶意 IP地址； 所述确定模块， 还用于根据预先保存的域名 与IP地址的对应关系， 将所确定的每个恶 意IP地址对应的每 个域名， 确定为恶意 域名。 7.根据权利要求6所述的装置， 其特征在于， 所述确定模块， 具体用于根据预先保存的 域名解析协议DNS日志中的域名与IP地址的对应关系， 确定预先保存的黑名单中的IP地址 对应的每 个候选域名， 确定所述每 个候选域名对应的每 个候选IP地址 。 8.根据权利要求6所述的装置， 其特征在于， 所述确定模块， 具体用于根据预先保存的 DNS日志中的域名与IP地址的对应关系， 确定黑名单中的域名对应的每 个候选IP地址 。 9.一种电子设备， 其特征在于， 所述电子设备至少包括处理器和存储器， 所述处理器用 于执行存储器中存储的计算机程序时执行权利要求1 ‑5中任一项 所述恶意域名确定方法的 步骤。 10.一种计算机可读存储介质， 其特征在于， 其存储有计算机程序， 所述计算机程序被 处理器执行时执行权利要求1 ‑5中任一项所述恶意 域名确定方法的步骤。权　利　要　求　书 2/2 页 3 CN 115412312 A 3