一种恶意域名检测特征处理方法、装置和电子设备制造方法及图纸

本发明专利技术提供了一种恶意域名检测特征处理方法、装置和电子设备，其中，该方法包括：获取待处理的恶意域名和正常域名；对恶意域名进行处理，得到恶意域名的第一主域名、第一子域名以及第一域名后缀；对正常域名进行处理，得到正常域名的第二主域名、第二子域名和第二域名后缀；对恶意域名的第一主域名、第一子域名以及第一域名后缀以及正常域名的第二主域名、第二子域名和第二域名后缀分别进行处理，得到恶意域名检测特征。通过本发明专利技术实施例提供的恶意域名检测特征处理方法、装置和电子设备，可以得到能够全面客观反映恶意域名和正常域名的细节的恶意域名检测特征。细节的恶意域名检测特征。细节的恶意域名检测特征。

【技术实现步骤摘要】
一种恶意域名检测特征处理方法、装置和电子设备


[0001]本专利技术涉及计算机
，具体而言，涉及一种恶意域名检测特征处理方法、装置和电子设备。

技术介绍

[0002]目前，恶意程序的数量和复杂度持续增长，而攻击者在攻击过程中经常使用恶意域名对目标网络实施控制。为了尽可能避免攻击者使用恶意域名对目标网络实施控制，需要对恶意域名进行检测。
[0003]为了对恶意域名进行检测，可以使用作为特征的完整的恶意域名对深度学习神经网络进行训练，得到恶意域名检测模型；然后利用得到的恶意域名检测模型对恶意域名进行检测。
[0004]利用上述恶意域名检测模型对恶意域名进行检测的过程中，容易出现恶意域名的漏检和识别错误的问题，对恶意域名的检测精度较低。

技术实现思路

[0005]为解决上述问题，本专利技术实施例的目的在于提供一种恶意域名检测特征处理方法、装置和电子设备。
[0006]第一方面，本专利技术实施例提供了一种恶意域名检测特征处理方法，包括：
[0007]获取待处理的恶意域名和正常域名；
[0008]对所述恶意域名进行处理，得到所述恶意域名的第一主域名、第一子域名以及第一域名后缀；
[0009]对所述正常域名进行处理，得到所述正常域名的第二主域名、第二子域名和第二域名后缀；
[0010]对所述恶意域名的第一主域名、第一子域名以及第一域名后缀以及所述正常域名的第二主域名、第二子域名和第二域名后缀分别进行处理，得到恶意域名检测特征。
[0011]第二方面，本专利技术实施例还提供了一种恶意域名检测特征处理装置，包括：
[0012]获取模块，用于获取待处理的恶意域名和正常域名；
[0013]第一处理模块，用于对所述恶意域名进行处理，得到所述恶意域名的第一主域名、第一子域名以及第一域名后缀；
[0014]第二处理模块，用于对所述正常域名进行处理，得到所述正常域名的第二主域名、第二子域名和第二域名后缀；
[0015]第三处理模块，用于对所述恶意域名的第一主域名、第一子域名以及第一域名后缀以及所述正常域名的第二主域名、第二子域名和第二域名后缀分别进行处理，得到恶意域名检测特征。
[0016]第三方面，本专利技术实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器运行时执行上述第一方面所述的方
法的步骤。
[0017]第四方面，本专利技术实施例还提供了一种电子设备，所述电子设备包括有存储器，处理器以及一个或者一个以上的程序，其中所述一个或者一个以上程序存储于所述存储器中，且经配置以由所述处理器执行上述第一方面所述的方法的步骤。
[0018]本专利技术实施例上述第一方面至第四方面提供的方案中，通过分别对恶意域名和正常域名进行处理，得到所述恶意域名的第一主域名、第一子域名以及第一域名后缀以及所述正常域名的第二主域名、第二子域名和第二域名后缀，并对所述恶意域名的第一主域名、第一子域名以及第一域名后缀以及所述正常域名的第二主域名、第二子域名和第二域名后缀分别进行处理，得到恶意域名检测特征，与相关技术中将完整的恶意域作为特征对深度学习神经网络进行训练的方式相比，将所述恶意域名划分为第一主域名、第一子域名以及第一域名后缀以及将所述正常域名划分为第二主域名、第二子域名和第二域名后缀，然后分别对所述恶意域名的第一主域名、第一子域名以及第一域名后缀以及将所述正常域名的第二主域名、第二子域名和第二域名后缀进行处理，得到能够全面客观反映恶意域名和正常域名的细节的恶意域名检测特征，将得到的恶意域名检测特征输入到深度学习神经网络进行训练后得到的恶意域名检测模型，对恶意域名的识别检测更加准确，从而减少恶意域名的漏检和识别错误的情况出现。
[0019]为使本专利技术的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。
附图说明
[0020]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0021]图1示出了本专利技术实施例1所提供的一种恶意域名检测特征处理方法的流程图；
[0022]图2示出了本专利技术实施例2所提供的一种恶意域名检测特征处理装置的结构示意图；
[0023]图3示出了本专利技术实施例3所提供的一种电子设备的结构示意图。
具体实施方式
[0024]目前，恶意加密流量的识别与分类是目前的研究热点，近年来，恶意程序的数量和复杂度持续增长，而攻击者在攻击过程中对目标网络实施控制时经常使用恶意域名，比如DNS协议用域名来访问互联网时，攻击者所使用的域名可以通过域名抢注，即抢先注册已有的公司名或人名的域名，或者注册与其名字非常相似的域名，来达到其非法目的。攻击者也可以在在软件中集成DGA算法，产生速变域名，作为备用或者主要的与C2服务器通信的手段，做到对感染主机的持续性控制，这种方式可以使恶意程序更好的隐藏和延长生存时间。在TLS加密流量中就存在DNS、SNI以及证书中的COMMONNAME等域名信息，攻击者可以利用这些域名来达到其非法目的，所以恶意域名的检测对加密恶意流量的检测提供了一定依据，目前的恶意域名识别方式可以通过威胁情报识别，但存在一定弊端，一是可能会出现误报
和漏报，二是更新不及时。
[0025]为了应对上述问题，机器学习与深度学习结合的方式用于恶意域名检测是一种很好的方式，通过对大量的恶意域名数据进行统计、分析，再通过机器学习或者深度学习进行学习，从而达到理想的检测效果。
[0026]特征对机器学习的效果起着决定性的作用，特征的提取在恶意域名领域并不是件容易的事，提取的特征不仅需要有良好的区分性，还要有较高的精确度。
[0027]恶意程序的数量和复杂度持续增长，而攻击者在攻击过程中经常使用恶意域名对目标网络实施控制。为了尽可能避免攻击者使用恶意域名对目标网络实施控制，需要对恶意域名进行检测。
[0028]为了对恶意域名进行检测，可以使用作为特征的完整的恶意域名对深度学习神经网络进行训练，得到恶意域名检测模型；然后利用得到的恶意域名检测模型对恶意域名进行检测。
[0029]利用上述恶意域名检测模型对恶意域名进行检测的过程中，容易出现恶意域名的漏检和识别错误的问题，对恶意域名的检测精度较低。
[0030]基于此，本实施例提出一种恶意域名检测特征处理方法、装置和电子设备，通过将所述恶意域名划分为第一主域名、第一子域名以及第一域名后缀以及将所述正常域名划分为第二主域名、第二子域名和第二域名后缀，然后分别对所述恶意域名的第一主域名、第一子域名以及第一域名后缀以及将所述正常域名的第二主域名、第二子域名和第二域名后缀进行处理，得到能够全面客观反映恶意域名和正常域名的细节的恶意域名检测特征本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种恶意域名检测特征处理方法，其特征在于，包括：获取待处理的恶意域名和正常域名；对所述恶意域名进行处理，得到所述恶意域名的第一主域名、第一子域名以及第一域名后缀；对所述正常域名进行处理，得到所述正常域名的第二主域名、第二子域名和第二域名后缀；对所述恶意域名的第一主域名、第一子域名以及第一域名后缀以及所述正常域名的第二主域名、第二子域名和第二域名后缀分别进行处理，得到恶意域名检测特征。2.根据权利要求1所述的方法，其特征在于，所述恶意域名检测特征，包括：主域名特征、子域名特征、以及域名后缀特征；其中，所述域名后缀特征，用于反映所述域名后缀的恶意程度；对所述恶意域名的第一主域名、第一子域名以及第一域名后缀以及所述正常域名的第二主域名、第二子域名和第二域名后缀分别进行处理，得到恶意域名检测特征，包括：分别对所述恶意域名的第一主域名和所述正常域名的第二主域名进行处理，得到所述主域名特征；分别对所述恶意域名的第一子域名和所述正常域名的第二子域名进行处理，得到所述子域名特征；获取域名后缀列表，所述域名后缀列表，用于记录使用量较多的预设数量的域名后缀的使用量排名；当能够从所述域名后缀列表中查询出所述第一域名后缀的排名和/或者所述第二域名后缀的排名时，确定与所述第一域名后缀的排名对应的第一后缀信誉度和/或者与所述第二域名后缀的排名对应的第二后缀信誉度；将确定出的第一后缀信誉度和/或者第二后缀信誉度作为域名后缀特征，从而得到所述恶意域名检测特征。3.根据权利要求2所述的方法，其特征在于，所述主域名特征，包括：恶意域名中第一主域名与所述恶意域名的长度比值，和所述第一主域名中英文字符的数量、数字字符的数量以及符号的数量；对所述恶意域名的第一主域名进行处理，包括：确定恶意域名的第一字符长度和所述恶意域名中第一主域名的第二字符长度；利用所述第一字符长度和第二字符长度计算得到所述第一主域名与恶意域名的长度比值；分别确定出所述恶意域名的第一主域名中英文字符的数量、数字字符的数量以及符号的数量。4.根据权利要求2所述的方法，其特征在于，所述子域名特征，包括：所述恶意域名中第一子域名中各级子域名的域名长度、所述第一子域名与所述恶意域名的长度比值，和所述第一子域名中英文字符的数量、数字字符的数量以及符号的数量；对所述恶意域名的第一子域名进行处理，包括：确定所述第一子域名中各级子域名的域名长度，并将所述第一子域名中分隔各级子域名的分隔符去掉，得到组成所述第一子域名的字符串；
确定组成所述第一子域名的字符串的第三字符长度和所述恶意域名的第一字符长度；利用所述第一字符数量和第三字符数量计算得到所述第一子域名与所述恶意域名的长度比值；分别确定出所述恶意域名的第一子域名中英文字符的数量、数字字符的数量以及符号的数量。5.根据权利要求3所述的方法，其特征在于，对所述恶意域名的第一主域名进行处理，还包括：获取词相关列表，并从所述词相关列表中获取到所述第一主域名包含的所有词语；统计从所述词相关列表中获取到的所述第一主域名包含的所有词语的词语数量，并分别计算所有词语中的各词语分别与所述第一主域名的长度比值；获取品牌列表，并从所述品牌列表中获取到所述第一主域名包含的所有品牌，并统计得到所有品牌的品牌数量。6.根据权利要求2所述的方法，其特征在于，所述主域名特征，还包括：所述正常域名的第二主域名的自然语言特征；对所述正常域名的第二主域名进行处理，包括：利用N元语法模型对所述正常域名的第二主域名进行处理，得到所述第二主域名的一元向量、二元向量、以及三元向量；从主域名与自然语言特征的对应关系表中查询出与所述第二主域名对应的自言语言特征；当查询出的所述自言语言特征与一元向量、二元向量、以及三元向量匹配时，将利用N元语法模型对所述正常域名的第二主域名进行处理后得到的所述一元向量、二元向量、以及三元向量作为所述正常域名的第二主域名的自然语言特征。7.根据权利要求6所述的方法，其特征在于，所述主域名特征，还包括：所述正常域名的第二主域名的转移概率特征；对所述正常域名的第二主域名进行处理，还包括：计算所述正常域名的第二主域名的马尔科夫链；从主域名与转移概率特征的对应关系表中查询出与所述第二主域名对应的转移概率特征；当查询得到的所述第二主域名对应的转移概率特征与计算得到的所述正常域名的第二主域名的马尔科夫链相同时，将计算得到的所述马尔科夫链作为所述正常域名的第二主域名的转移概率特征。8.一种恶意域名检测特征处理装置，其特征在于，包括：获取模块，用于获取待处理的恶意域名和正常域名；第一处理模块，用于对所述恶意域名进行处理，得到所述恶意域名的第一主域名、第一子域名以及第一域名后缀；第二处理模块，用于对所述正常域名...

【专利技术属性】
技术研发人员：宋冰晶，梁兴强，
申请(专利权)人：北京观成科技有限公司，
类型：发明
国别省市：