【技术实现步骤摘要】
一种恶意域名检测特征处理方法、装置和电子设备
[0001]本专利技术涉及计算机
,具体而言,涉及一种恶意域名检测特征处理方法、装置和电子设备。
技术介绍
[0002]目前,恶意程序的数量和复杂度持续增长,而攻击者在攻击过程中经常使用恶意域名对目标网络实施控制。为了尽可能避免攻击者使用恶意域名对目标网络实施控制,需要对恶意域名进行检测。
[0003]为了对恶意域名进行检测,可以使用作为特征的完整的恶意域名对深度学习神经网络进行训练,得到恶意域名检测模型;然后利用得到的恶意域名检测模型对恶意域名进行检测。
[0004]利用上述恶意域名检测模型对恶意域名进行检测的过程中,容易出现恶意域名的漏检和识别错误的问题,对恶意域名的检测精度较低。
技术实现思路
[0005]为解决上述问题,本专利技术实施例的目的在于提供一种恶意域名检测特征处理方法、装置和电子设备。
[0006]第一方面,本专利技术实施例提供了一种恶意域名检测特征处理方法,包括:
[0007]获取待处理的恶意域名和正常域名;
[0008]对所述恶意域名进行处理,得到所述恶意域名的第一主域名、第一子域名以及第一域名后缀;
[0009]对所述正常域名进行处理,得到所述正常域名的第二主域名、第二子域名和第二域名后缀;
[0010]对所述恶意域名的第一主域名、第一子域名以及第一域名后缀以及所述正常域名的第二主域名、第二子域名和第二域名后缀分别进行处理,得到恶意域名检测特征。
[0011]第二 ...
【技术保护点】
【技术特征摘要】
1.一种恶意域名检测特征处理方法,其特征在于,包括:获取待处理的恶意域名和正常域名;对所述恶意域名进行处理,得到所述恶意域名的第一主域名、第一子域名以及第一域名后缀;对所述正常域名进行处理,得到所述正常域名的第二主域名、第二子域名和第二域名后缀;对所述恶意域名的第一主域名、第一子域名以及第一域名后缀以及所述正常域名的第二主域名、第二子域名和第二域名后缀分别进行处理,得到恶意域名检测特征。2.根据权利要求1所述的方法,其特征在于,所述恶意域名检测特征,包括:主域名特征、子域名特征、以及域名后缀特征;其中,所述域名后缀特征,用于反映所述域名后缀的恶意程度;对所述恶意域名的第一主域名、第一子域名以及第一域名后缀以及所述正常域名的第二主域名、第二子域名和第二域名后缀分别进行处理,得到恶意域名检测特征,包括:分别对所述恶意域名的第一主域名和所述正常域名的第二主域名进行处理,得到所述主域名特征;分别对所述恶意域名的第一子域名和所述正常域名的第二子域名进行处理,得到所述子域名特征;获取域名后缀列表,所述域名后缀列表,用于记录使用量较多的预设数量的域名后缀的使用量排名;当能够从所述域名后缀列表中查询出所述第一域名后缀的排名和/或者所述第二域名后缀的排名时,确定与所述第一域名后缀的排名对应的第一后缀信誉度和/或者与所述第二域名后缀的排名对应的第二后缀信誉度;将确定出的第一后缀信誉度和/或者第二后缀信誉度作为域名后缀特征,从而得到所述恶意域名检测特征。3.根据权利要求2所述的方法,其特征在于,所述主域名特征,包括:恶意域名中第一主域名与所述恶意域名的长度比值,和所述第一主域名中英文字符的数量、数字字符的数量以及符号的数量;对所述恶意域名的第一主域名进行处理,包括:确定恶意域名的第一字符长度和所述恶意域名中第一主域名的第二字符长度;利用所述第一字符长度和第二字符长度计算得到所述第一主域名与恶意域名的长度比值;分别确定出所述恶意域名的第一主域名中英文字符的数量、数字字符的数量以及符号的数量。4.根据权利要求2所述的方法,其特征在于,所述子域名特征,包括:所述恶意域名中第一子域名中各级子域名的域名长度、所述第一子域名与所述恶意域名的长度比值,和所述第一子域名中英文字符的数量、数字字符的数量以及符号的数量;对所述恶意域名的第一子域名进行处理,包括:确定所述第一子域名中各级子域名的域名长度,并将所述第一子域名中分隔各级子域名的分隔符去掉,得到组成所述第一子域名的字符串;
确定组成所述第一子域名的字符串的第三字符长度和所述恶意域名的第一字符长度;利用所述第一字符数量和第三字符数量计算得到所述第一子域名与所述恶意域名的长度比值;分别确定出所述恶意域名的第一子域名中英文字符的数量、数字字符的数量以及符号的数量。5.根据权利要求3所述的方法,其特征在于,对所述恶意域名的第一主域名进行处理,还包括:获取词相关列表,并从所述词相关列表中获取到所述第一主域名包含的所有词语;统计从所述词相关列表中获取到的所述第一主域名包含的所有词语的词语数量,并分别计算所有词语中的各词语分别与所述第一主域名的长度比值;获取品牌列表,并从所述品牌列表中获取到所述第一主域名包含的所有品牌,并统计得到所有品牌的品牌数量。6.根据权利要求2所述的方法,其特征在于,所述主域名特征,还包括:所述正常域名的第二主域名的自然语言特征;对所述正常域名的第二主域名进行处理,包括:利用N元语法模型对所述正常域名的第二主域名进行处理,得到所述第二主域名的一元向量、二元向量、以及三元向量;从主域名与自然语言特征的对应关系表中查询出与所述第二主域名对应的自言语言特征;当查询出的所述自言语言特征与一元向量、二元向量、以及三元向量匹配时,将利用N元语法模型对所述正常域名的第二主域名进行处理后得到的所述一元向量、二元向量、以及三元向量作为所述正常域名的第二主域名的自然语言特征。7.根据权利要求6所述的方法,其特征在于,所述主域名特征,还包括:所述正常域名的第二主域名的转移概率特征;对所述正常域名的第二主域名进行处理,还包括:计算所述正常域名的第二主域名的马尔科夫链;从主域名与转移概率特征的对应关系表中查询出与所述第二主域名对应的转移概率特征;当查询得到的所述第二主域名对应的转移概率特征与计算得到的所述正常域名的第二主域名的马尔科夫链相同时,将计算得到的所述马尔科夫链作为所述正常域名的第二主域名的转移概率特征。8.一种恶意域名检测特征处理装置,其特征在于,包括:获取模块,用于获取待处理的恶意域名和正常域名;第一处理模块,用于对所述恶意域名进行处理,得到所述恶意域名的第一主域名、第一子域名以及第一域名后缀;第二处理模块,用于对所述正常域名...
【专利技术属性】
技术研发人员:宋冰晶,梁兴强,
申请(专利权)人:北京观成科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。