DGA域名实时检测方法和装置制造方法及图纸

一种DGA域名实时检测方法和装置，其将原始域名转换为多维数值向量，输入到基于ImageNet数据集预训练好的深度学习模型，生成域名特征，并基于生成的域名特征训练域名分类器，基于训练得到的域名分类器对DGA域名进行分类和预测。该方法首次将基于ImageNet数据集预训练好的深度学习模型从视觉图像分类检测领域用于对DGA域名的实时检测，避免了在DGA域名检测中对深度学习模型的高强度训练和参数权重调整过程，具有较高的检测率和更快的检测速度。

DGA Domain Name Real-time Detection Method and Device

A real-time detection method and device for DGA domain names, which converts the original domain names into multi-dimensional numerical vectors, inputs them into the pre-trained in-depth learning model based on ImageNet data sets, generates domain name features, trains domain name classifiers based on the generated domain name features, and classifies and predicts DGA domain names based on the trained domain name classifiers. For the first time, the deep learning model based on ImageNet data set is used for real-time detection of DGA domain names from the visual image classification detection field. This method avoids the process of high-intensity training and parameter weight adjustment of the deep learning model in DGA domain name detection, and has higher detection rate and faster detection speed.

【技术实现步骤摘要】
DGA域名实时检测方法和装置
本专利技术涉及网络安全
，特别涉及一种DGA域名实时检测方法和装置。
技术介绍
僵尸网络(BotNet)是指采用一种或多种传播手段，将大量僵尸主机(Bot)感染病毒，从而在主控者(Botmaster)和被感染主机之间，通过命令与控制服务器(CommandandControlServer，简称C2服务器)形成的可一对多控制的网络，其目的是尽可能地感染更多的主机。不论是对网络安全运行还是用户数据安全的保护来说，僵尸网络都是极具威胁的隐患。目前，攻击者操纵僵尸网络通常会使用多个域名的方式来连接至C2服务器，从而达到操控受害者机器的目的。这些域名通常会被编码在恶意程序中，这也使得攻击者具有了很大的灵活性，他们可以轻松地更改这些域名以及IP。该连接方式最大的优势是用极为简单的代码便可实现，劣势是极易被政府检测到。域名生成算法(DomainGenerationAlgorithms，简称DGA)是一种利用随机字符来生成C&C域名(简称DGA域名)，从而逃避域名黑名单检测的技术手段，通过DGA，攻击者可以在短时间内自动产生成千上万的域名，这样就可有效地避开本文档来自技高网...

【技术保护点】
1.一种DGA域名实时检测方法，其特征在于包括以下步骤：步骤S1，将原始域名转换为多维数值向量；步骤S2，将所述多维数值向量输入到基于ImageNet数据集预训练好的深度学习模型，生成域名特征；步骤S3，基于生成的域名特征训练域名分类器；步骤S4，基于训练得到的域名分类器对DGA域名进行分类和预测。

【技术特征摘要】
1.一种DGA域名实时检测方法，其特征在于包括以下步骤：步骤S1，将原始域名转换为多维数值向量；步骤S2，将所述多维数值向量输入到基于ImageNet数据集预训练好的深度学习模型，生成域名特征；步骤S3，基于生成的域名特征训练域名分类器；步骤S4，基于训练得到的域名分类器对DGA域名进行分类和预测。2.根据权利要求1所述的方法，其特征在于：所述步骤S1将原始域名转换为多维数值向量包括以下步骤：步骤S11，将原始域名的字符串转换为多维图像字节矩阵，以匹配基于ImageNet数据集预训练好的深度学习模型的输入；步骤S12，将所述多维图像字节矩阵的尺寸缩小到预定大小。3.根据权利要求2所述的方法，其特征在于：所述步骤S2之前进一步包括以下步骤：步骤S2’，对所述缩小到预定大小的多维图像字节矩阵进行归一化处理。4.根据权利要求3所述的方法，其特征在于：所述步骤S2中生成域名特征包括：抽取所述训练好的深度学习模型的倒数第三层来生成域名特征。5.根据权利要求4所述的方法，其特征在于：所述基于ImageNet数据集预训练好的深度学习模型包括：AlexNet模型、VGG模型、SqueezeNet模型、Inception模型或ResNet模型。6.根据权利要求5所述的方法，其特征在于：所述域名分类器包括决策树模型、支持向量机模型、逻辑回归模型或随机森林模型。7.根据权利要求6所述的方法，其特征在于：所述步骤S3中基于生成的域名特征训练域名分类器包括：计算两个域名之间的相似度距离。8.根据权利要求7所述的方法，其特征在于：所述步骤S3中基于生成的域名特征训练域名分类器包括：计算域名族中域名的特征平均值作为所述域名族的特征。9.一种DGA域名实时检测装置，其特征在于包括以下模块：转换模块，用于将原始域名转换为多维数值向量；深度学习模块，用于将所述多维数值向量输入到基于ImageNet数据集预训练好的深度学习模型，生成域名特征；分类器训练模块，用于基于生成的域名特征训练域名分类器；预测模块，用于基于训练得到的域名分类器对D...

【专利技术属性】
技术研发人员：曾凤，常朔，万晓川，
申请(专利权)人：瀚思安信北京软件技术有限公司，
类型：发明
国别省市：北京,11