This application discloses a DGA domain name detection model construction method, device, server and storage medium. The method includes acquiring training data set, which includes DGA domain name and legal domain name; dividing the training data set into several training data subsets, each of which includes at least one DGA domain name and at least one legal domain name; and using classification calculation. Each training data subset is trained to obtain multiple detection sub-models; the test samples are input into each detection sub-model in turn, and the prediction label set of the test samples is obtained; the prediction label set is fused according to the decision-making strategy, and the final label of the test samples is obtained. The DGA domain name detection model construction method provided by the application embodiment obtains multiple detection sub-models by grouping training data sets, realizes the complete learning of training data sets, and embodies the characteristics of actual DGA domain names.
【技术实现步骤摘要】
DGA域名检测模型构建方法、装置、服务器及存储介质
本申请一般涉及计算机
,具体涉及一种DGA域名检测模型构建方法、装置、服务器及存储介质。
技术介绍
域名生成算法(Domaingenerationalgorihms,DGA)域名是一种通过算法自动生成的随机域名。恶意软件或潜伏的攻击程序常常通过DGA域名与外界的控制服务器建立网络连接,根据攻击者下发的指令,执行数据盗取等网络攻击。因此,DGA域名检测对于发现潜伏的攻击具有重要的意义。目前,在DGA域名检测中,通常采用机器学习算法对获取的域名的结构特征进行训练,得到一个DGA检测模型,进而通过训练得到DGA检测模型对DGA域名进行检测。在采用机器学习算法对域名的结构特征进行训练的过程中,得到的单个DGA域名检测模型无法完全学习到DGA域名的所有特征,导致得到的DGA域名检测模型无法充分体现实际DGA域名的特性,使得DGA域名检测模型的准确性低。
技术实现思路
鉴于现有技术中的上述缺陷或不足,期望提供一种DGA域名检测模型构建方法、装置、服务器及存储介质,以解决单个DGA域名检测模型无法充分体现实际DGA域名的特性的问题。第一方面,本申请实施例提供一种DGA域名检测模型构建方法,该方法包括:获取训练数据集,该训练数据集中包括DGA域名及合法域名;将该训练数据集分成多个训练数据子集,每个该训练数据子集包括至少一个该DGA域名及至少一个该合法域名;利用分类算法对每个该训练数据子集进行训练,得到多个检测子模型;将测试样本依次输入每个该检测子模型中,得到该测试样本的预测标签集合;根据决策策略对该预测结果标签进行融合 ...
【技术保护点】
1.一种域名生成算法DGA域名检测模型构建方法,其特征在于,包括:获取训练数据集,所述训练数据集中包括DGA域名及合法域名;将所述训练数据集分成多个训练数据子集,每个所述训练数据子集包括至少一个所述DGA域名及至少一个所述合法域名;利用分类算法对每个所述训练数据子集进行训练,得到多个检测子模型;将测试样本依次输入每个所述检测子模型中,得到所述测试样本的预测标签集合;根据决策策略对所述预测标签集合进行融合,得到所述测试样本的最终标签。
【技术特征摘要】
1.一种域名生成算法DGA域名检测模型构建方法,其特征在于,包括:获取训练数据集,所述训练数据集中包括DGA域名及合法域名;将所述训练数据集分成多个训练数据子集,每个所述训练数据子集包括至少一个所述DGA域名及至少一个所述合法域名;利用分类算法对每个所述训练数据子集进行训练,得到多个检测子模型;将测试样本依次输入每个所述检测子模型中,得到所述测试样本的预测标签集合;根据决策策略对所述预测标签集合进行融合,得到所述测试样本的最终标签。2.根据权利要求1所述的DGA域名检测模型构建方法,其特征在于,所述训练数据子集中所述DGA域名的数量与所述合法域名的数量相等。3.根据权利要求1所述的DGA域名检测模型构建方法,其特征在于,所述根据决策策略对所述预测标签集合进行融合,得到所述测试样本的最终标签包括:统计所述预测标签集合中预测标签为DGA域名的个数;计算所述个数占所述预测标签集合中预测标签总数的比值;将所述比值与预设的阈值进行比较,如果大于所述阈值,则表示所述测试样本的最终标签为DGA域名;否则,为合法域名。4.根据权利要求1-3任一项所述的DGA域名检测模型构建方法,其特征在于,所述预测标签集合包括用于表示所述测试样本的标签为DGA域名和/或,用于表示所述测试样本的标签为合法域名的标签。5.一种DGA域名检测模型构建装置,其特征在于,包括:获取模块,用于获取训练数据集,所述训练数据集中包括DGA域名及合法域名;分组模块,用于将所述训练数据集分成多个训练数据子集,每个所述训练数据子集包括至少一...
【专利技术属性】
技术研发人员:张振海,胡泽柱,
申请(专利权)人:顺丰科技有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。