(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111613119.2 (22)申请日 2021.12.27 (71)申请人 奇安信科技 集团股份有限公司 地址 100088 北京市西城区新 街口外大街 28号102号楼3层3 32号 申请人 网神信息技 术 （北京） 股份有限公司 (72)发明人 汪俊雄　郑晓峰　汤舒俊　段海新　 (74)专利代理 机构 北京路浩知识产权代理有限 公司 11002 专利代理师 王宇杨 (51)Int.Cl. H04L 9/40(2022.01) H04L 61/103(2022.01) H04L 61/4511(2022.01) H04L 61/5046(2022.01) (54)发明名称 一种黑产域名的鉴定方法和装置 (57)摘要 本发明提供一种黑产域名的鉴定方法和装 置， 该方法包括： 获取网站对应的域名， 对域名的 注册数据进行采集并对采集的注册数据进行解 析， 生成解析注册数据； 基于解析注册数据对域 名进行分类， 并确定每一类型域名在设定周期内 的目标注册数量； 确定每一类型域名在与所述设 定时间段长度相同的时间段内的历史注册数量， 根据历史注册数量判断目标注册数量是否发生 突变； 在目标注册数量发生突变的情况下， 判断 发生突变的目标注册数量对应的域名的类型是 否符合预设的条件； 若符合预设的条件， 确定域 名为黑产域名， 并将黑产域名保存至黑产域名数 据库中。 实现了根据域名的注册数据能够发现黑 产域名， 解决了黑产域名发现慢且依赖已知黑产 域名的缺 点。 权利要求书2页 说明书10页 附图3页 CN 114448669 A 2022.05.06 CN 114448669 A 1.一种黑产域名的鉴定方法， 其特 征在于， 包括： 获取网站对应的域名， 对所述域名的注册数据进行采集并对采集的注册数据进行解 析， 生成解析注 册数据； 基于所述解析注册数据对所述域名进行分类， 并确定每一类型域名在设定时间段内的 目标注册数量； 确定每一类型域名在与所述设定时间段长度相同的时间段内的历史注册数量， 根据 所 述历史注 册数量判断所述目标注 册数量是否发生 突变； 在所述目标注册数量发生突变的情况下， 判断所述发生突变的目标注册数量对应的域 名的类型 是否符合预设的条件； 若符合预设的条件， 确定所述域名为黑产域名， 并将所述黑产域名保存至黑产域名数 据库中。 2.根据权利要求1所述的黑产域名的鉴定方法， 其特征在于， 所述若符合预设的条件， 确定所述 域名为黑产域名， 并将所述 黑产域名保存至黑产域名数据库中包括： 在符合预设的条件的情况下， 对发生突变的目标注册数量对应的域名进行关联分析， 获取域名注 册特征； 判断所述 域名注册特征是否为批量 域名注册特征； 在所述域名注册特征为批量域名注册特征的情况下， 确定所述域名为黑产域名并将所 述黑产域名保存至黑产域名数据库中。 3.根据权利要求2所述的黑产域名的鉴定方法， 其特征在于， 所述在所述域名注册特征 为批量域名注册特征的情况下， 确定所述域名为黑产域名并将所述黑产域名保存至黑产域 名数据库中包括： 在所述域名注册特征为批量域名注册特征的情况下， 判断所述批量域名注册特征与已 被判定为 黑产域名对应的注 册特征的相似度值是否超过 预设的相似度值； 若所述相似度值超过预设的相似度值， 确定所述批量域名注册特征对应的域名为高可 疑黑产域名， 并将所述高可疑黑产域名保存至高可疑黑产域名数据库中； 若所述相似度值没有超过预设的相似度值， 判断所述批量域名注册特征的可疑度 是否 超过预设的可疑阈值并基于判断结果将所述批量域名注册特征对应的域名保存至高可疑 黑产域名数据库或低可疑黑产域名数据库中。 4.根据权利要求3所述的黑产域名的鉴定方法， 其特征在于， 所述判断所述批量域名注 册特征的可疑度是否超过预设的可疑阈值并基于判断结果将所述批量域名注册特征对应 的域名保存至高可疑黑产域名数据库或低可疑黑产域名数据库中， 包括： 判断所述批量 域名注册特征的可疑度是否超过 预设的可疑阈值； 若所述可疑度超过预设的可疑阈值， 确定所述批量域名注册特征对应的域名为高可疑 黑产域名， 并将所述高可疑黑产域名保存至高可疑黑产域名数据库中； 若所述可疑度没有超过预设的可疑阈值， 确定所述批量域名注册特征对应的域名为低 可疑黑产域名， 并将所述低可疑黑产域名保存至低可疑黑产域名数据库中。 5.根据权利要求1所述的黑产域名的鉴定方法， 其特征在于， 所述基于所述解析注册数 据对所述 域名进行分类， 并确定每一类型域名在设定时间段内的目标注 册数量包括： 基于所述解析注册数据对所述域名按照顶级域类型和注册时间段的方式进行分类得权　利　要　求　书 1/2 页 2 CN 114448669 A 2到分类结果， 并确定每一分类结果中所述顶级域类型在所述注册时间段内对应域名的目标 注册数量。 6.根据权利要求1所述的黑产域名的鉴定方法， 其特 征在于， 所述方法还 包括： 在根据所述历史注册数量确定所述目标注册数量没有发生突变的情况下， 确定所述域 名为可信任网站域名。 7.一种黑产域名的鉴定装置， 其特 征在于， 包括： 获取模块， 用于获取网站对应的域名， 对所述域名的注册数据进行采集并对采集的注 册数据进行解析， 生成解析注 册数据； 分类模块， 用于基于所述解析注册数据对所述域名进行分类， 并确定每一类型域名在 设定时间段内的目标注 册数量； 第一判断模块， 用于确定每一类型域名在与所述设定时间段长度相同的时间段内的历 史注册数量， 根据所述历史注 册数量判断所述目标注 册数量是否发生 突变； 第二判断模块， 用于在所述目标注册数量发生突变的情况下， 判断所述发生突变的目 标注册数量对应的域名的类型 是否符合预设的条件； 保存模块， 用于若符合预设的条件， 确定所述域名为黑产域名， 并将所述黑产域名保存 至黑产域名数据库中。 8.一种电子设备， 包括存储器、 处理器及存储在所述存储器上并可在所述处理器上运 行的计算机程序， 其特征在于， 所述处理器执行所述程序时实现如权利要求1至6任一项所 述黑产域名的鉴定方法的步骤。 9.一种非暂态计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机 程序被处 理器执行时实现如权利要求1至 6任一项所述 黑产域名的鉴定方法的步骤。 10.一种计算机程序产品， 包括计算机程序， 其特征在于， 所述计算机程序被处理器执 行时实现如权利要求1至 6任一项所述 黑产域名的鉴定方法的步骤。权　利　要　求　书 2/2 页 3 CN 114448669 A 3