【技术实现步骤摘要】
一种恶意域名检测方法及装置
[0001]本专利技术涉及网络安全
,尤其涉及一种恶意域名检测方法及装置。
技术介绍
[0002]近年来,网络攻击的方式向着多元化、规模化的趋势发展,尤其是恶意域名。恶意域名作为攻击者的攻击承载体其数量在不断增加,例如钓鱼网站使用的钓鱼网址、恶意软件通信使用的C&C服务器等等。为了识别恶意域名,传统的防御措施是使用的静态的黑名单策略,但是在僵尸网络等使用DGA技术时,黑名单的更新速度远远比不上DGA域名的生成速度,因此黑名单策略具有一定的滞后性,无法有效地识别恶意域名。
技术实现思路
[0003]本专利技术实施例提供一种恶意域名检测方法及装置,能够实现将域名的连接关系转换为图来生成待检测域名节点的编码向量,并使用机器学习模型对域名进行分类,有效提高恶意域名的识别效果。
[0004]本专利技术实施例提供一种恶意域名检测方法,包括:
[0005]获取待检测的域名,并基于所述待检测各域名基于预先构建的二分图集生成该域名的二分图;
[0006]...
【技术保护点】
【技术特征摘要】
1.一种恶意域名检测方法,其特征在于,包括:获取待检测的域名,并基于所述待检测各域名基于预先构建的二分图集生成该域名的二分图;基于该域名的二分图生成该域名的编码向量;将所述编码向量输入训练好的检测模型;基于所述检测模型的输出结果确定该域名是否为恶意域名。2.如权利要求1所述的恶意域名检测方法,其特征在于,首次构建所述二分图集包括如下步骤:获取多条DNS流量数据,并提取各条DNS流量数据的域名以及相应的DNS源IP,以形成第一源文件;基于所述第一源文件构建描述主机与域名访问关系的主机
‑
域名二分图,其中在所述主机
‑
域名二分图中的主机与域名之间的边表示该主机访问了该域名;利用局部敏感哈希LSH算法将所述主机
‑
域名二分图转换为对应的domain
‑
bucket二分图,以获得降维的二分图集;其中所述二分图集中的数据被配置为:将存在共同访问关系的两个域名共同访问的主机集合的Jaccard系数转换为该两个域名共同所在bucket集合的Jaccard系数,且两个域名的Jaccard相似度越高,则该两个域名同时落到更多的bucket的概率越高。3.如权利要求2所述的恶意域名检测方法,其特征在于,所述LSH算法是基于N个MinHash函数和b个独立的哈希函数实现的;利用局部敏感哈希LSH算法将所述主机
‑
域名二分图转换为对应的domain
‑
bucket二分图,以获得降维的二分图集包括:将所述主机
‑
域名二分图转换相应的第一邻接表,在所述第一邻接表中各主机名具有相应的标识;基于第一邻接表利用所述N个MinHash函数生成该主机
‑
域名二分图的N
×
M的签名...
【专利技术属性】
技术研发人员:安晓宁,潘季明,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。