【技术实现步骤摘要】
域名识别方法和装置、计算机装置和存储介质
[0001]本公开涉及网络安全领域,特别涉及一种域名识别方法和装置、计算机装置和存储介质。
技术介绍
[0002]近年来,恶意程序数量呈现逐年递增的趋势,且越来越高级和复杂。恶意程序感染主机后,与远程命令与控制服务器连接,从而控制命令和服务器。如高级可持续性威胁和僵尸网络中,被感染主机通过与远程C&C服务器连接,下载恶意程序,获取恶意指令。这些恶意程序常通过域名访问远程服务器,而不是服务器IP,因此域名在恶意行为中发挥了重要作用。为逃避检测,攻击者通常会采用domain
‑
flux技术,其核心为DGA(domain generation algorithm,域名生成算法)。DGA基于某一个种子,比如当前的日期,每天动态生成大量域名,其中一部分为被攻击者注册的有效域名,多个域名对应一个命令与控制服务器IP地址。被感染主机查询大量自动生成的域名,并与其中几个建立连接,由于域名数据很大,且每天自动生成,很好了隐藏了攻击者的恶意网络。因而有效检测出DGA恶意...
【技术保护点】
【技术特征摘要】
1.一种域名识别方法,其特征在于,包括:获取域名的黑名单数据和白名单数据;采用数据增强的方式,增加白名单数据;采用多模型协同的方式,从不同角度提取域名生成算法DGA的域名特征,实现DGA域名的识别。2.根据权利要求1所述的域名识别方法,其特征在于,所述采用数据增强的方式,增加白名单数据包括:采用深度学习模型、随机插入、随机删除、语法树和文字混合中的至少一种方式进行数据增强,增加白名单数据。3.根据权利要求1或2所述的域名识别方法,其特征在于,所述采用多模型协同的方式,从不同角度提取域名生成算法DGA的域名特征,实现DGA域名的识别包括:针对黑名单数据和白名单数据提取第一域名特征,采用第一模型进行模型训练和预测,得到DGA域名的第一识别结果,其中,所述第一域名特征包括特殊标识、关键符号、行为特征、字符长度、元音字母比率和特殊标识中的至少一项;对域名进行嵌入式处理,根据第二模型基于第二域名特征进行DGA域名的预测,得到DGA域名的第二识别结果,其中,第二域名特征包括域名顺序、关键字符重要度和上下字符关系中的至少一项;对DGA域名的第一识别结果和第二识别结果进行模型融合,实现DGA域名的识别。4.根据权利要求3所述的域名识别方法,其特征在于,所述第一模型为机器学习模型;所述第二模型为深度学习模型。5.根据权利要求3所述的域名识别方法,其特征在于,还包括:通过调整数据增强、调整第一模型参数和调整第二模型参数中至少一种方式,对域名识别过程进行优化;进行...
【专利技术属性】
技术研发人员:袁涵,高岩,郭实秋,马晨,王磊,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。