一种异常域名的识别方法、装置及电子设备制造方法及图纸

本发明专利技术实施例提供了一种异常域名的识别方法，可以获取待识别域名，并且提取待识别域名的文本特征，以及将待识别域名的文本特征输入机器学习模型，得到机器学习模型输出的待识别域名的识别结果，机器学习模型为基于黑白样本集进行训练的分类模型，黑白样本集中包括黑样本和白样本，黑样本为已知的异常域名，白样本为已知的正常域名，因为是通过提取待识别域名的文本特征作为识别域名的依据，相比现有技术依靠已知的异常域名或已知的异常域名构成规则来识别域名，准确性更高，且通过预先构建的机器学习模型对域名进行识别，使得对域名的识别更具灵活性。

An Abnormal Domain Name Recognition Method, Device and Electronic Equipment

【技术实现步骤摘要】
一种异常域名的识别方法、装置及电子设备
本专利技术涉及域名识别
，特别是涉及一种异常域名的识别方法、装置及电子设备。
技术介绍
随着网络技术的不断发展，网络中出现的威胁不断增加，如恶意软件、僵尸网络和木马等，攻击者常常会使用域名将恶意程序控制的主机连接至C&C(Command&Control，命令与控制)服务器，从而使得网络攻击更具隐蔽性。现有技术中，为了识别出携带有恶意程序的异常域名，通常采用情报系统或者专家规则的方法，即将待识别域名与已知的异常域名或者已知的异常域名的构成规则进行对比，判断待识别域名是否为异常域名。专利技术人在实现本专利技术的过程中发现，现有技术至少存在如下问题：随着技术的发展，攻击者往往会采用编码的方式随机的生成异常域名，使得这些异常域名不具备特定的构成规则，具有很强的灵活性，从而很难通过情报系统或者专家规则拦截。
技术实现思路
本专利技术实施例的目的在于提供一种异常域名的识别方法，以提高域名识别的准确性和灵活性。具体技术方案如下：本专利技术实施例提供一种异常域名的识别方法，所述方法包括：获取待识别域名；提取所述待识别域名的文本特征；将所述待识本文档来自技高网...

【技术保护点】
1.一种异常域名的识别方法，其特征在于，所述方法包括：获取待识别域名；提取所述待识别域名的文本特征；将所述待识别域名的所述文本特征输入机器学习模型，得到所述机器学习模型输出的所述待识别域名的识别结果，所述机器学习模型为基于黑白样本集进行训练的分类模型，所述黑白样本集中包括黑样本和白样本，所述黑样本为已知的异常域名，所述白样本为已知的正常域名。

【技术特征摘要】
1.一种异常域名的识别方法，其特征在于，所述方法包括：获取待识别域名；提取所述待识别域名的文本特征；将所述待识别域名的所述文本特征输入机器学习模型，得到所述机器学习模型输出的所述待识别域名的识别结果，所述机器学习模型为基于黑白样本集进行训练的分类模型，所述黑白样本集中包括黑样本和白样本，所述黑样本为已知的异常域名，所述白样本为已知的正常域名。2.根据权利要求1所述的方法，其特征在于，所述文本特征包括：结构特征、信息熵特征、n元语法特征和词频特征；所述提取所述待识别域名的文本特征，包括：提取所述待识别域名的结构特征，所述结构特征包括域名长度、字母种类、数字种类、连续字母数和连续数据数；使用信息熵公式，提取所述待识别域名的信息熵特征；提取所述待识别域名的n元语法特征，所述n元语法特征包括2-gram均值、2-gram方差、3-gram均值和3-gram方差；提取所述待识别域名的词频特征。3.根据权利要求2所述的方法，其特征在于，所述使用信息熵公式，提取所述待识别域名的信息熵特征，包括：使用下述公式计算所述待识别域名的信息熵特征：其中，其中H(X)为所述待识别域名的信息熵，X为所述待识别域名中各字符的集合，x代表所述待识别域名中各字符的集合中的一个元素，p(X)为x在预先创建的黑白样本集出现的概率。4.根据权利要求1或3所述的方法，其特征在于，所述机器学习模型的训练步骤，包括：创建黑白样本集，所述黑白样本集中包括黑样本和白样本，所述黑样本为已知的异常域名，所述白样本为已知的正常域名；提取所述黑白样本集中各个样本的文本特征和样本类型，所述样本类型表示文本特征对应的是黑样本还是白样本；将所述黑白样本集中各个样本的文本特征，以及各个样本的文本特征对应的样本类型作为训练机器学习模型的训练样本集；利用所述训练样本集对所述机器学习模型中的参数进行训练，得到训练完成的机器学习模型。5.一种异常域名的识别装置，其特征在于，所述装置包括：域名获取模块，用于获取待识别域名；第一特征提取模块，用于提取所述待识别域名的文本特征；特征输入模块，用于将所述待...

【专利技术属性】
技术研发人员：王巍巍，
申请(专利权)人：北京奇艺世纪科技有限公司，
类型：发明
国别省市：北京,11