域名检测方法技术

本申请提供一种域名检测方法

【技术实现步骤摘要】
域名检测方法、装置、设备及存储介质


[0001]本申请涉及计算机
，尤其涉及一种域名检测方法
、
装置
、
设备及存储介质
。

技术介绍

[0002]随着互联网技术的发展，僵尸网络
(botnet)
已成为互联网上大多数计算机面临的主要威胁
。
[0003]一种复杂的僵尸网络，使用域名生成算法
(Domain Generation Algorithm
，
DGA)
在域名服务的域名流动中自动生成大量伪随机域名，从而使恶意软件能够与命令和控制服务器通信
。DGA
通过使用随机种子生成大量的域名，该种子可以是日期
、
数字或任意随机字符
。DGA
生成器经常使用不同的种子，由此不断创建不同的域名，因此使用黑名单策略在检测伪随机域名时效率较低
。
若使用传统机器学习方法检测伪随机域名，其提取特征因为算法公开，存在着容易被攻击者绕过的问题
。
[0004]如何提高检测伪随机域名的效率，是一个亟待解决的问题
。

技术实现思路

[0005]本申请提供一种域名检测方法
、
装置
、
设备及存储介质，用以解决如何提高检测伪随机域名的效率的技术问题
。
[0006]第一方面，本申请提供一种域名检测方法，包括：
[0007]获取待检测域名，所述待检测域名包括至少一个字符；
[0008]对所述待检测域名进行预处理，得到待处理特征，所述待处理特征包括所述待检测域名的词嵌入特征；
[0009]通过域名检测模型对所述待处理特征进行处理，得到所述待检测域名的初级检测结果，所述域名检测模型为预先训练好的模型，所述域名检测模型用于检测待检测域名为正常域名或伪随机域名；
[0010]通过过滤规则算法对所述初级检测结果进行核验，得到目标检测结果，所述过滤规则算法是基于对所述待检测域名的长度处理的算法
。
[0011]可选地，所述域名检测模型包括卷积神经网络模型和长短期记忆网络模型；通过域名检测模型对所述待处理特征进行处理，得到所述待检测域名的初级检测结果，包括：
[0012]通过所述卷积神经网络模型对所述待处理特征进行处理，得到空间特征，所述空间特征包括待检测域名的空间特征，所述空间特征指示所述待处理特征中与字符的位置和顺序无关的局部特征；
[0013]通过所述长短期记忆网络模型对所述待处理特征进行处理，得到目标序列特征，所述序列特征包括待检测域名的序列特征，所述序列特征指示所述待处理特征中字符按照一定的顺序排列而形成的特征；
[0014]根据所述空间特征和所述序列特征，确定所述待检测域名的初级检测结果
。
[0015]可选地，通过所述长短期记忆网络模型对所述待处理特征进行处理，得到目标序列特征，包括：
[0016]通过第一子长短期记忆网络模型对所述待处理特征进行处理，得到子序列特征；
[0017]通过自注意力模型对子目标序列特征进行处理，得到权重序列特征；
[0018]通过第二子长短期记忆网络模型对所述权重序列特征进行处理，得到所述目标序列特征
。
[0019]可选地，根据所述空间特征和所述序列特征，确定所述待检测域名的初级检测结果，包括：
[0020]通过第一全连接层对所述空间特征和所述序列特征进行处理，得到非线性特征；
[0021]通过随机失活层和第二全连接层对所述非线性特征进行处理，得到所述待检测域名的初级检测结果
。
[0022]可选地，所述目标检测结果包括正常域名和伪随机域名；通过过滤规则算法对所述初级检测结果进行核验，得到目标检测结果，包括；
[0023]判断所述初级检测结果是否为伪随机域名；
[0024]若否，则确定所述目标检测结果为正常域名；
[0025]若是，则获取所述待检测域名的第一长度
、
第二长度
、
第三长度和全长度，其中，所述第一长度为所述待检测域名的字符串去除所有数字后的长度，所述第二长度为所述待检测域名中的英语词根长度，所述第三长度为所述待检测域名中的拼音长度，所述全长度为所述待检测域名的全部字符长度；
[0026]根据所述第一长度
、
所述第二长度
、
所述第三长度和所述全长度，确定所述目标检测结果
。
[0027]可选地，根据所述第一长度
、
所述第二长度
、
所述第三长度和所述全长度，确定所述目标检测结果，包括：
[0028]判断是否同时满足所述第一长度大于所述全长度与第一预设系数的乘积，且所述第二长度与所述第三长度的和小于所述全长度与第二预设系数的乘积两个条件；
[0029]若是，则确定所述目标检测结果为伪随机域名；
[0030]若否，则确定所述目标检测结果为正常域名
。
[0031]可选地，对所述待检测域名进行预处理，得到待处理特征，包括：
[0032]对所述待检测域名进行数字标记化处理，得到数字化域名；
[0033]通过嵌入层对所述数字化域名进行映射处理，得到所述待处理特征
。
[0034]第二方面，本申请提供一种域名检测装置，包括：
[0035]获取模块，用于获取待检测域名，所述待检测域名包括至少一个字符；
[0036]处理模块，用于对所述待检测域名进行预处理，得到待处理特征，所述待处理特征包括所述待检测域名的词嵌入特征；
[0037]处理模块，还用于通过域名检测模型对所述待处理特征进行处理，得到所述待检测域名的初级检测结果，所述域名检测模型为预先训练好的模型，所述域名检测模型用于检测待检测域名为正常域名或伪随机域名；
[0038]核验模块，用于通过过滤规则算法对所述初级检测结果进行核验，得到目标检测结果，所述过滤规则算法是基于对所述待检测域名的长度处理的算法
。
[0039]一种可能的实现方式中，处理模块具体用于：
[0040]通过所述卷积神经网络模型对所述待处理特征进行处理，得到空间特征，所述空间特征包括待检测域名的空间特征，所述空间特征指示所述待处理特征中与字符的位置和顺序无关的局部特征；
[0041]通过所述长短期记忆网络模型对所述待处理特征进行处理，得到目标序列特征，所述序列特征包括待检测域名的序列特征，所述序列特征指示所述待处理特征中字符按照一定的顺序排列而形成的特征；
[0042]根据所述空间特征和所述序列特征，确定所述待检测域名的初级检测结果
。
[0043]一种可能的实现方式中，处理模块具体用于：
[0044]通过第一子长短期记忆网络模型对所述待处理特征进行处理，得到子序列特征；
[0045]本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种域名检测方法，其特征在于，包括：获取待检测域名，所述待检测域名包括至少一个字符；对所述待检测域名进行预处理，得到待处理特征，所述待处理特征包括所述待检测域名的词嵌入特征；通过域名检测模型对所述待处理特征进行处理，得到所述待检测域名的初级检测结果，所述域名检测模型为预先训练好的模型，所述域名检测模型用于检测待检测域名为正常域名或伪随机域名；通过过滤规则算法对所述初级检测结果进行核验，得到目标检测结果，所述过滤规则算法是基于对所述待检测域名的长度处理的算法
。2.
根据权利要求1所述的方法，其特征在于，所述域名检测模型包括卷积神经网络模型和长短期记忆网络模型；通过域名检测模型对所述待处理特征进行处理，得到所述待检测域名的初级检测结果，包括：通过所述卷积神经网络模型对所述待处理特征进行处理，得到空间特征，所述空间特征包括待检测域名的空间特征，所述空间特征指示所述待处理特征中与字符的位置和顺序无关的局部特征；通过所述长短期记忆网络模型对所述待处理特征进行处理，得到目标序列特征，所述序列特征包括待检测域名的序列特征，所述序列特征指示所述待处理特征中字符按照一定的顺序排列而形成的特征；根据所述空间特征和所述序列特征，确定所述待检测域名的初级检测结果
。3.
根据权利要求2所述的方法，其特征在于，通过所述长短期记忆网络模型对所述待处理特征进行处理，得到目标序列特征，包括：通过第一子长短期记忆网络模型对所述待处理特征进行处理，得到子序列特征；通过自注意力模型对子目标序列特征进行处理，得到权重序列特征；通过第二子长短期记忆网络模型对所述权重序列特征进行处理，得到所述目标序列特征
。4.
根据权利要求2所述的方法，其特征在于，根据所述空间特征和所述序列特征，确定所述待检测域名的初级检测结果，包括：通过第一全连接层对所述空间特征和所述序列特征进行处理，得到非线性特征；通过随机失活层和第二全连接层对所述非线性特征进行处理，得到所述待检测域名的初级检测结果
。5.
根据权利要求1‑4任一项所述的方法，其特征在于，所述目标检测结果包括正常域名和伪随机域名；通过过滤规则算法对所述初级检测结果进行核验，得到目标检测结果，包括；判断所述初级检测结果是否为伪随机域名；若否，则确定所述目标检测结果为正常域名；若是，则获取所述待检测域名的第一长度
、

【专利技术属性】
技术研发人员：古丁如，史炳荣，王鑫妍，李思聪，张建荣，周凯，张建桁，梁育，王天翔，张翔宇，雷晶，管彤，
申请(专利权)人：联通数字科技有限公司联通智慧安全科技有限公司，
类型：发明
国别省市：