【技术实现步骤摘要】
DGA域名检测方法及系统、电子设备及存储介质
[0001]本专利技术涉及信息安全
,特别涉及一种DGA域名检测方法及系统、电子设备及存储介质。
技术介绍
[0002]恶意软件如今已成为威胁网络安全的头号公敌,为了逃避安全设施的检测,其制作过程越来越复杂,一个典型做法是在软件中集成DGA(Domain Generation Algorithm,域名生成方法)。DGA是域名字符串的自动生成方法,类似于伪随机数生成方法,可连续运行生成不重复的域名字符串序列。该方法以相同的初始状态同时运行于恶意程序终端(受害者个人设备、僵尸网络终端)和恶意程序控制中心,使得两方获得相同的生成域名序列;当恶意程序终端试图与恶意程序控制中心通信时,它将逐一解析DGA生成的域名,若解析成功则尝试连接;恶意程序控制中心只需在DGA生成的域名序列中选择少量域名注册,等待终端连接接入,并适时重新选择域名注册,即可有效规避域名黑名单、IP黑名单等反僵尸网络手段。因此,DGA域名检测是发现恶意软件的重要途径之一,对于提升信息安全防护水平具有重要意义。>[0003]实时D本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种DGA域名检测方法,其特征在于,包括:对输入的全域名字符串序列分别进行变长预处理和定长预处理,所述变长预处理包括在所述全域名字符串序列的尾部添加单个结束符,得到变长序列;所述定长预处理包括在所述全域名字符串序列的头部或尾部做填充,以填充值补齐全域名字符串序列长度至标准长度,得到定长序列;将所述变长序列或定长序列输入第一预设模型,输出第一预测结果,所述第一预测结果包括N个第一数值,对应N个第一分类结果的概率;将所述定长序列输入第二预设模型,输出第二预测结果,所述第二预测结果包括N第二数值,对应为N个第二分类结果的概率,其中,N为正整数;分别基于所述第一预设模型输出的第一预测结果、第二预设模型输出的第二预测结果的评价指标,从所述第一预测结果、第二预测结果中选取出DGA域名检测结果。2.根据权利要求1所述的DGA域名检测方法,其特征在于,所述将所述变长序列或定长序列输入第一预设模型,输出第一预测结果具体包括:将所述变长序列或定长序列经嵌入层映射为k维嵌入矢量序列,k为内部维度;将所述k维嵌入矢量序列输入k维堆叠LSTM,输出同样序列长度的内部表达矢量序列;将所述内部表达矢量序列输入到单层全连通层,输出第一预测结果。3.根据权利要求1所述的DGA域名检测方法,其特征在于,所述将所述定长序列输入第二预设模型,输出第二预测结果具体包括:将所述定长序列经嵌入层和LSTM层处理后,输出内部表达矢量序列;将所述内部表达矢量序列输入Attention维度变换层,内部表达矢量序列中每个k维度矢量序列变换为h维度矢量序列,之后经tanh函数增加非线性;将所述h维矢量度序列输入到Attention Feature层,h维矢量度序列变换为f维度矢量序列,在f维度矢量序列的长度维度上应用softmax函数,归一化为概率值,得到维度为f*L的Attention矩阵,其中,f为Attention Feature数量,L为矢量序列的长度;将所述Attention矩阵转置后与LSTM层输出的内部表达矢量以矩阵点乘的方式进行序列相乘,获得维度为k*f的Feature矩阵。将所述Feature矩阵序列化后输入单层全连通层,输出第二预测结果。4.根据权利要求1所述的DGA域名检测方法,其特征在于,所述第一预设模型、第二预设模型采用训练数据集进行训练,所述训练数据集的生成方法包括:基于对计算策略的逆向分析及计算策略被用于攻击的热门度,选取用于生成数据集的预设计算策略;将所述预设计算策略生成黑样例数据集,并与收集的白样例数据集及黑样例数据集,按预设比例统一合并为训练数据集。5.一种DGA域名检测系统,其特征在于,包括:预处理模块,用于对输入的全域名字符串序列分别进行变长预处理和定长预处理,所述变长预处理包括在所述全域名字符串序列的尾部添加单个结束符,得到变长序列;所述定长预处理包括在所述全域名字符串序列的头部...
【专利技术属性】
技术研发人员:严仑,赵述芳,张坤,
申请(专利权)人:北京中科网威信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。