本申请公开了一种DGA域名检测方法及装置,涉及网络安全技术领域,主要目的在于准确、高效且稳定的检测DGA域名;主要技术方案包括:确定网络流量数据中的待检测域名;通过DGA域名检测模型对所述待检测域名进行DGA域名检测,其中,所述DGA域名检测模型的检测精度与其所处系统的当前环境参数以及当前待检测域名的数量相应。的数量相应。的数量相应。
【技术实现步骤摘要】
一种DGA域名检测方法及装置
[0001]本申请涉及网络安全
,特别是涉及一种DGA域名检测方法及装置。
技术介绍
[0002]在网络安全领域中,攻击者通常使用域名生成算法(Domain Generation Algorithms,DGA),生成大量伪随机或看似具备某种规律的域名,这些域名被称为DGA域名。DGA域名可以有效避开黑名单列表的检测,如果能够快速检测DGA域名,可以降低网络中的潜在安全风险,从而保证互联网安全。
[0003]现有的DGA域名检测方法包括如下两种:一种,预设DGA域名样本库,在预设DGA域名样本库中查找待检测域名,如果查找到,则直接确定待检测域名为DGA域名,但是,这种方法只能检测DGA域名样本库中已知的域名,对于新生成的域名无能为力,因此会出现DGA域名检测不出的情况。二是,使用长短时记忆神经网络进行DGA域名检测,但是长短时记忆神经网络最大的问题是检测速度很慢,而DGA域名的存活有效时长较短,长短时记忆神经网络很难在短时间内进行大数据量的DGA域名检测工作。
[0004]因此,如何避免上述缺陷,准确、高效且稳定的检测DGA域名,成为目前亟须解决的问题。
技术实现思路
[0005]有鉴于此,本申请提出了一种DGA域名检测方法及装置,主要目的在于准确、高效且稳定的检测DGA域名。
[0006]为了达到上述目的,本申请主要提供如下技术方案:
[0007]第一方面,本申请提供了一种DGA域名检测方法,该DGA域名检测方法包括:
[0008]确定网络流量数据中的待检测域名;
[0009]通过DGA域名检测模型对所述待检测域名进行DGA域名检测,其中,所述DGA域名检测模型的检测精度与其所处系统的当前环境参数以及当前待检测域名的数量相应。
[0010]在一些实施例中,确定网络流量数据中的待检测域名,包括:检测所述网络流量数据中的目标域名是否为目标域名库中的域名,其中,所述目标域名库由善意域名库和/或DGA域名库组成;若否,将所述目标域名确定为待检测域名。
[0011]在一些实施例中,在通过DGA域名检测模型对所述待检测域名进行DGA域名检测之后,所述方法还包括:在检测出所述待检测域名为DGA域名时,将所述待检测域名添加至所述目标域名库中的DGA域名库。
[0012]在一些实施例中,在检测所述网络流量数据中的目标域名是否为目标域名库中的域名之前,所述方法还包括:将所述网络流量数据中的目标级别域名确定为所述目标域名。
[0013]在一些实施例中,在检测所述网络流量数据中的目标域名是否为目标域名库中的域名之前,所述方法还包括:将所述网络流量数据中具有目标级别域名字段的域名,确定为所述目标域名。
[0014]在一些实施例中,所述方法还包括:基于当前待检测域名的数量和所述DGA域名检测模型所处系统的当前环境参数,确定目标检测精度;选用预设DGA域名检测模型中对应于所述目标检测精度的DGA域名检测模型。
[0015]在一些实施例中,所述方法还包括:基于当前待检测域名的数量和所述DGA域名检测模型所处系统的当前环境参数,确定目标检测精度;基于所述目标检测精度调整所述DGA域名检测模型的模型参数。
[0016]在一些实施例中,所述方法还包括:实时统计单位时长内从所述网络流量数据中确定出的待检测域名的数量,并将所统计的数量确定为当前待检测域名的数量。
[0017]在一些实施例中,所述方法还包括:在确定所述待检测域名为DGA域名时,将所述待检测域名添加至目标数据库,以供可视化展示DGA域名时从所述目标数据库中调取。
[0018]在一些实施例中,所述方法还包括:在所述目标数据库中的DGA域名的存储时长达到预设时长时,删除所述DGA域名。
[0019]第二方面,本申请提供了一种DGA域名检测装置,该DGA域名检测装置包括:
[0020]确定模块,用于确定网络流量数据中的待检测域名;
[0021]检测模块,用于通过DGA域名检测模型对所述待检测域名进行DGA域名检测,其中,所述DGA域名检测模型的检测精度与其所处系统的当前环境参数以及当前待检测域名的数量相应。
[0022]第三方面,本申请提供了一种计算机可读存储介质,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行第一方面所述的DGA域名检测方法。
[0023]第四方面,本申请提供了一种电子设备,所述电子设备包括:存储器,用于存储程序;处理器,耦合至所述存储器,用于运行所述程序以执行第一方面所述的DGA域名检测方法。
[0024]本申请提供的DGA域名检测方法及装置,首先确定网络流量数据中的待检测域名,然后通过DGA域名检测模型对待检测域名进行DGA域名检测。本申请提供的技术方案至少存在如下两个有益效果:一是,通过DGA域名检测模型对待检测域名进行DGA域名检测,即使待检测域名是新生成的DGA域名,也可根据其具有的特征准确检测其是否为DGA域名;二是,采用检测精度与系统的当前环境参数以及当前待检测域名的数量相应的DGA域名检测模型进行DGA域名检测,因此DGA域名检测模型进行DGA域名检测不仅能够降低系统环境参数对DGA域名检测模型的稳定性的影响,且在当前待检测域名的数量下DGA域名检测模型能够高效的完成DGA域名检测,避免出现待检测域名不能及时检测的情况。因此本申请提供的方案能够准确、高效且稳定的检测DGA域名。
[0025]上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
[0026]为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请
的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0027]图1示出了本申请一个实施例提供的一种DGA域名检测方法的流程图;
[0028]图2示出了本申请另一个实施例提供的一种DGA域名检测方法的流程图;
[0029]图3示出了本申请一个实施例提供的一种DGA域名检测装置的结构示意图;
[0030]图4示出了本申请另一个实施例提供的一种DGA域名检测装置的结构示意图。
具体实施方式
[0031]下面将参照附图更加详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
[0032]DGA域名可以有效避开黑名单列表的检测,因此为了降低DGA域名带来的网络安全风险,需要快速检测出DGA域本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种DGA域名检测方法,其特征在于,所述方法包括:确定网络流量数据中的待检测域名;通过DGA域名检测模型对所述待检测域名进行DGA域名检测,其中,所述DGA域名检测模型的检测精度与其所处系统的当前环境参数以及当前待检测域名的数量相应。2.根据权利要求1所述的方法,其特征在于,确定网络流量数据中的待检测域名,包括:检测所述网络流量数据中的目标域名是否为目标域名库中的域名,其中,所述目标域名库由善意域名库和/或DGA域名库组成;若否,将所述目标域名确定为待检测域名。3.根据权利要求2所述的方法,其特征在于,在通过DGA域名检测模型对所述待检测域名进行DGA域名检测之后,所述方法还包括:在检测出所述待检测域名为DGA域名时,将所述待检测域名添加至所述目标域名库中的DGA域名库。4.根据权利要求2所述的方法,其特征在于,在检测所述网络流量数据中的目标域名是否为目标域名库中的域名之前,所述方法还包括:将所述网络流量数据中的目标级别域名确定为所述目标域名。5.根据权利要求2所述的方法,其特征在于,在检测所述网络流量数据中的目标域名是否为目标域名库中的域名之前,所述方法还包括:将所述网络流量数据中具有目标级别域名字段的域名,确定为所述目标域名。6.根据权利要求1
‑
5中任一项所述的方法,其特征在于,所述方法还包括:基于当前待检测域名的数量和所述DGA域名检测模型所处系统的当前环境参数,确定目标检测精度;选用预设DGA域名检测模型中对应于所述目标检测精度的DGA域名检测模型。7.根据权利要求1
‑
5中任一项所述的方法,其特征...
【专利技术属性】
技术研发人员:刘进,王敏,肖廷浩,曾兵兵,
申请(专利权)人:奇安信科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。