【技术实现步骤摘要】
检测域名生成算法生成的域名的方法及装置
[0001]本申请涉及网络安全
,特别涉及一种检测域名生成算法生成的域名的方法及装置。
技术介绍
[0002]目前互联网中的攻击逐渐变化为大规模的网络攻击,根据国外安全公司实验室的统计,仅2018年检测到的大规模网络攻击次数为15314次,攻击范围覆盖世界上101个国家和地区。此类大规模的网络攻击,大多数都通过Domain
‑
Flux技术进行流量混淆来避免安全软件的检测。该技术通过域名生成算法(Domain Generation Algorithm,DGA)生成一系列的域名,而受到攻击者控制的主机通过这些DGA域名进行通信。对于这样一类网络攻击的检测,一般可以通过检测网络通信中的DGA域名来实现。
[0003]相关技术中,DGA生成的域名的检测方法主要包含三类:基于逆向工程的方法、基于流量分析的方法和基于域名分析的方法。基于逆向工程的方法需要对收集的DNS(Domain Name System,域名系统)流量样本进行逆向分析,从而得到域名生成算法的过程,...
【技术保护点】
【技术特征摘要】
1.一种检测域名生成算法生成的域名的方法,其特征在于,包括以下步骤:利用独热编码及两层全连接层,从顶级域名提取顶级域名特征;利用长短期记忆网络,从次级域名提取次级域名特征;将所述顶级域名特征与所述次级域名特征进行拼接,得到域名融合特征;以及根据所述域名融合特征对DGA域名进行检测和分类,并根据分类结果基于对应类别的异常检测模型得到域名生成算法家族的检测结果。2.根据权利要求1所述的方法,其特征在于,还包括:采集每一个域名生成算法家族在被正确分类的样本在最后一层全连接层的输出向量的最大值,训练对应的单类支持向量机学习模型;将每个样本在全连接层上的输出输入对应类别的单类支持向量机学习模型进行异常检测,以进行所述未知域名生成算法家族新类别的认定。3.根据权利要求1所述的方法,其特征在于,其中,所述独热编码的向量的维度等于顶级域名的个数,并且每个顶级域名的独热编码为对应顶级域名下标的数值为1,其他下标的数值均为0。4.根据权利要求1所述的方法,其特征在于,所述利用长短期记忆网络,从次级域名提取次级域名特征,包括:将训练的次级域名先通过空字符补齐成预设长度的格式;通过字符的表示方法转为矩阵形式的数值表示,以输入所述长短期记忆网络进行特征学习,以根据所述次级域名提取所述次级域名特征。5.根据权利要求4所述的方法,其特征在于,在所述利用长短期记忆网络,从所述次级域名提取所述次级域名特征之前,还包括:将所述长短期记忆网络输出的结果的向量维度设置为与所述顶级域名特征的学习的向量维度相同。6.一种检测域名生成算法生成的域名的装置,其特征在于,包括:第一提取模块,用于利用独热编码及两...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。