【技术实现步骤摘要】
一种基于异质图传播网络的恶意域名检测方法和系统
[0001]本专利技术属于网络安全
,涉及恶意域名检测,具体涉及一种基于异质图传播网络的恶意域名检测方法和系统。
技术介绍
[0002]DNS(域名系统)是互联网最重要的基础设施之一,能够将易于记忆的域名转化为IP地址,包括由DNS服务器组成的分布式数据库,实现定位互联网资源。当用户在网址栏输入查询域名,浏览器调用DNS协议,在分布式的DNS服务器里查询域名对应的IP地址,最后将IP地址返回到用户。DNS分布式服务器主要分为四类:DNS解析器、根域名服务器、顶级域名服务器、权威性域名服务器。DNS解析器是一类DNS服务器,通过Web等应用程序接收来自用户的域名查询,跟踪DNS查询过程,最终将域名对应的IP地址返回给用户,DNS解析器也可以运用DNS缓存技术缩短域名查询时间。根域名服务器保存顶级域名服务器的位置信息,是将域名转换为IP地址的第一步,顶级域名是域名的尾部部分,例如www.example.com中的.com,目前,全世界共有13个根域名服务器。顶级域名服务器是解...
【技术保护点】
【技术特征摘要】
1.一种基于异质图传播网络的恶意域名检测方法,其特征在于,包括以下步骤:基于真实的DNS流量数据将DNS场景建模为异质图;根据异质图提取能够反映域名之间关系的元路径;以异质图及元路径为输入,利用异质图传播网络模型得到每个节点的分类结果,即节点类别为恶意域名或者良性域名。2.根据权利要求1所述的方法,其特征在于,所述异质图包含域名、IP地址、客户端三种不同类型的节点,并包含三种不同类型的边,即客户端与域名的请求关系、域名解析为IP地址的解析关系、域名与域名之间的CNAME关系。3.根据权利要求1所述的方法,其特征在于,所述元路径有三种:元路径P1表示两个不同的域名属于同一个CNAME字段;元路径P2表示客户端和域名间的单向查询关系;元路径P3表明域名与IP地址之间的映射关系。4.根据权利要求1所述的方法,其特征在于,所述利用异质图传播网络模型得到每个节点的分类结果,包括:异质图传播网络模型找到每个节点基于元路径的邻居节点,聚合邻居节点的特征信息,更新每个节点的节点特征,最终区分节点是恶意域名还是良性域名。5.根据权利要求4所述的方法,其特征在于,所述异质图传播网络模型,其包含语义传播机制和语义融合机制;所述语义传播机制在聚合邻居节点特征时强调节点自身特征,以缓解语义混淆现象;所述语义融合机制学习每个元路径的重要性,赋予每个元路径用于恶意域名检测的最佳权重。6.根据权利要求5所述的方法,其特征在于,所述语义传播机制包括:给定一个异质图G=(V,ε),对于异质图里每个元路径Φ,语义传播机制ρ
Φ
首先利用语义投影函数f
Φ
【专利技术属性】
技术研发人员:袁方方,胡成,刘燕兵,曹聪,卢毓海,肖奎,谭建龙,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。