【技术实现步骤摘要】
DGA域名的鉴别方法、系统及可读介质
[0001]本专利技术属于网络安全及深度学习
,具体涉及DGA域名的鉴别方法、系统及可读介质。
技术介绍
[0002]通信网络技术和移动设备的快速发展,虽然满足人们对信息快速传递的需求,但同时网络中存在着大量的网络攻击,例如不良网站信息,尤其是出现众多钓鱼网站等携带恶意内容的网站信息。网络攻击可利用特定的域名生成算法DGA在较短的时间内随机生成大量的域名,该域名为DGA域名。
[0003]现有技术中,依靠人工审核的方式进行排查工作量巨大,且处理速度远远低于恶意网站在网络中出现的速度,造成工作效率低下。
技术实现思路
[0004]基于现有技术中存在的上述缺点和不足,本专利技术的目的之一是至少解决现有技术中存在的上述问题之一或多个,换言之,本专利技术的目的之一是提供满足前述需求之一或多个的DGA域名的鉴别方法、系统及可读介质。
[0005]为了达到上述专利技术目的,本专利技术采用以下技术方案:一种DGA域名的鉴别方法,包括以下步骤:S1、采集域名样本数据...
【技术保护点】
【技术特征摘要】
1.一种DGA域名的鉴别方法,其特征在于,包括以下步骤:S1、采集域名样本数据集,并按照域名类型划分为DGA域名样本数据集和正常域名样本数据集;S2、对域名样本数据集进行特征工程,得到域名特征数据;基于域名样本数据集,选取基础样本,并基于基础样本进行三元组建立,得到三元组数据集;将基础样本及其域名类型标记组合构成有监督域名样本;将域名特征数据、三元组数据集及有监督域名样本输入混合特征模型进行训练,得到域名鉴别模型;S3、将待鉴别域名样本及其对应的域名特征数据分别输入域名鉴别模型,以输出待鉴别域名样本的域名类型。2.根据权利要求1所述的鉴别方法,其特征在于,所述混合特征模型包括Albert模型、Bi
‑
LSTM模型、第一全连接网络、第二全连接网络,有监督域名样本和三元组数据集分别用于输入Albert模型,Albert模型的输出连接Bi
‑
LSTM模型的输入,Bi
‑
LSTM模型的输出连接第二全连接网络的输入;域名特征数据用于输入第一全连接网络;第一全连接网络的输出与第二全连接网络的输出进行Concat操作得到目标特征向量;将目标特征向量的前2位输入第一Softmax并利用第一Softmax的输出进行域名类型的二分类,目标特征向量的剩余n位输入第二Softmax并利用第二Softmax的输出进行DGA域名类型的分类;其中,n为DGA域名类型的种类数量。3.根据权利要求2所述的鉴别方法,其特征在于,所述混合特征模型的训练,包括以下步骤:S21、将域名特征数据输入第一全连接网络;将有监督域名样本输入Albert模型,Albert模型输出的第一Albert特征向量输入Bi
‑
LSTM模型,Bi
‑
LSTM模型的输出接入第二全连接网络;将第一全连接网络的输出和第二全连接网络的输出进行Concat操作得到目标特征向量,目标特征向量的前2位和剩余n位分别输入第一Softmax和第二Softmax,并利用第一Softmax和第二Softmax的输出分别进行交叉熵损失和加性角度间隔损失的计算;将三元组数据集输入Albert模型,利用Albert模型输出的第二Albert特征向量进行三元组损失的计算;S22、将交叉熵损失、加性角度间隔损失及三元组损失根据权重进行组合得到组合损失,根据组合损失进行混合特征模型的反向传播,更新混合特征模型的网络权重;S23、重复上述步骤S21、步骤S22,直至混合特征模型收敛,得到域名鉴别模型。4.根据权利要求3所述的鉴别方法,其特征在于,所述基于基础样本进行三元组建立,包括:选取与基础样本属于同一域名类型或同一DGA域名类型的一个样本作为正样本;选取与基础样本不属于同一域名类型或同一DGA域名类型的一个样本作为负样本;将基础样本及其对应的正样本、负样本作为一个三元组。5.根据权利要求4所述...
【专利技术属性】
技术研发人员:陈晓莉,和建文,冯国栋,赵祥廷,张晶晶,章亮,
申请(专利权)人:中国移动通信集团云南有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。