【技术实现步骤摘要】
本专利技术涉及人工智能、网络安全,尤其涉及一种恶意域名智能检测方法、系统、设备及存储介质。
技术介绍
1、本部分的陈述仅仅是提供了与本专利技术相关的
技术介绍
信息,不必然构成在先技术。
2、域名系统(domainnamesystem)是一种将域名(主机名)映射为ip地址的技术,能够使用户方便地访问互联网。恶意网络攻击常常利用恶意域名进行僵尸病毒的传播和网络资源窃取。
3、基于黑白名单的恶意域名检测方法,此方法主要是通过黑白名单对恶意域名进行过滤,具体方法如下:1、构建恶意域名黑名单:收集已知的恶意域名,添加到黑名单中,这些域名可以从公开的数据源获取,也可以通过自己的检测手段识别和收集。2、构建正常域名白名单:收集大量已知的正常域名,添加到白名单中。这些可以从一些公开的域名样本中提取。3、当需要检测一个域名时:先在黑名单中查找,如果存在,则判断为恶意域名,检测结束;若不在黑名单中,再在白名单中查找,如果也不存在,则判断为未知域名,这时可以采取其他检测方法进一步判断,或判断为恶意域名;若在白名单中存在,则判断为正常域名,检测结束。4、不断丰富黑白名单,用新检测到的恶意域名和正常域名更新名单,使其更加准确全面。5、可以为名单中的每个域名设置一个置信度值,代表判断的准确性。黑名单中的域名置信度高,白名单中的域名置信度略低,未知域名置信度最低。
4、这种基于黑白名单的方法的优点是简单高效,对已知域名的判断精度高。但是无法判断未知域名,并且黑白名单的质量直接决定了判断的准确性,需要不断丰富和更新名单。>
5、ip迁移是指通过更改资源记录,为一个域名定期或不定期地更换其指向的ip地址。其优点是能够通过ip变换隐藏僵尸网络控制端,绕过基于ip黑名单的防御系统;缺点是ip资源较为昂贵,攻击代价较高,近年来应用不多。相应地,域名迁移是指僵尸病毒利用域名生成算法生成大量的随机域名,攻击者从中选择若干个域名用于命令控制通信。被感染的主机每天轮寻访问全部的随机域名以接收控制命令,大部分的域名因未注册而产生域名不存在的dns应答,我们称之为“不存在域名”。许多僵尸网络如conficker、murofet、bobax等均是采用基于域名生成算法的域名迁移技术来隐藏控制端、躲避基于黑名单的防御。
6、合法域名通常具有较强的可读性,而随机生成的域名其字符随机出现,特征表现出差异性。因此,对于域名迁移的检测,多是集中在对域名字符特征的分析上。然而,实际网络中每天的域名访问数据量十分庞大,如果对全部的dns访问进行域名检测就要花费庞大的计算资源。因此,现有的恶意域名识别技术在处理海量域名数据时,计算量大,计算效率不高或恶意域名识别准确率不高。
技术实现思路
1、为了解决上述
技术介绍
中存在的技术问题,本专利技术提供一种恶意域名智能检测方法、系统、设备及存储介质,本专利技术可以智能识别出访问恶意域名的流量,拦截用户对恶意域名的访问。
2、为了实现上述目的,本专利技术采用如下技术方案:
3、本专利技术的第一个方面提供一种恶意域名智能检测方法。
4、一种恶意域名智能检测方法,包括:
5、基于待测流量,采用已训练的恶意域名检测模型,得到域名识别结果;
6、所述恶意域名检测模型的训练过程包括:构建恶意域名数据集,对域名进行分割,提取域名的词序列和字符序列,并为域名设置标签;基于域名的词序列和字符序列,以输出结果和标签的损失最小为目标,训练恶意域名检测模型,得到已训练的恶意域名检测模型。
7、进一步地,所述构建恶意域名数据集的过程包括:收集正常域名数据集和恶意域名数据集;设定随机域名的结构,作为生成域名的先验条件;构建dcgan模型,并训练dcgan模型;基于随机噪声,采用已训练的dcgan模型,生成新域名;对生成的新域名进行检测,命中已知恶意域名或通过dcgan模型判断为恶意域名的将作为最终的恶意域名,构建恶意域名数据集。
8、更进一步地,所述dcgan模型包括生成器和判别器,在训练dcgan模型过程中,生成器用于生成域名,判别器用于正确判断生成器生成的域名和真实域名。
9、更进一步地,所述已训练的dcgan模型为已训练的生成器。
10、进一步地,所述域名识别结果包括正确域名或恶意域名,以及对应的置信度。
11、进一步地,所述恶意域名检测模型采用transformer模型、bert模型以及roberta模型中的至少一种。
12、进一步地,在恶意域名检测模型训练过程中,采用准确率、f1-score指标和auc指标,评估恶意域名检测模型的性能。
13、本专利技术的第二个方面提供一种恶意域名智能检测系统。
14、一种恶意域名智能检测系统,包括:
15、识别模块,其被配置为:基于待测流量,采用已训练的恶意域名检测模型,得到域名识别结果;
16、恶意域名检测模型训练模块,其被配置为:构建恶意域名数据集,对域名进行分割,提取域名的词序列和字符序列,并为域名设置标签;基于域名的词序列和字符序列,以输出结果和标签的损失最小为目标,训练恶意域名检测模型,得到已训练的恶意域名检测模型。
17、本专利技术的第三个方面提供一种计算机可读存储介质。
18、一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一个方面所述的恶意域名智能检测方法中的步骤。
19、本专利技术的第四个方面提供一种计算机设备。
20、一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述第一个方面所述的恶意域名智能检测方法中的步骤。
21、与现有技术相比,本专利技术的有益效果是:
22、本专利技术提高了域名数据集建立的速度,降低了计算的复杂度,有效解决了基于黑白名单的域名检测方法识别率不高的问题,极大的提高了恶意域名识别率。
本文档来自技高网...【技术保护点】
1.一种恶意域名智能检测方法,其特征在于,包括:
2.根据权利要求1所述的恶意域名智能检测方法,其特征在于,所述构建恶意域名数据集的过程包括:收集正常域名数据集和恶意域名数据集;设定随机域名的结构,作为生成域名的先验条件;构建DCGAN模型,并训练DCGAN模型;基于随机噪声,采用已训练的DCGAN模型,生成新域名;对生成的新域名进行检测,命中已知恶意域名或通过DCGAN模型判断为恶意域名的将作为最终的恶意域名,构建恶意域名数据集。
3.根据权利要求2所述的恶意域名智能检测方法,其特征在于,所述DCGAN模型包括生成器和判别器,在训练DCGAN模型过程中,生成器用于生成域名,判别器用于正确判断生成器生成的域名和真实域名。
4.根据权利要求2所述的恶意域名智能检测方法,其特征在于,所述已训练的DCGAN模型为已训练的生成器。
5.根据权利要求1所述的恶意域名智能检测方法,其特征在于,所述域名识别结果包括正确域名或恶意域名,以及对应的置信度。
6.根据权利要求1所述的恶意域名智能检测方法,其特征在于,所述恶意域名检测模型采用
7.根据权利要求1所述的恶意域名智能检测方法,其特征在于,在恶意域名检测模型训练过程中,采用准确率、F1-Score指标和AUC指标,评估恶意域名检测模型的性能。
8.一种恶意域名智能检测系统,其特征在于,包括:
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-7中任一项所述的恶意域名智能检测方法中的步骤。
10.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1-7中任一项所述的恶意域名智能检测方法中的步骤。
...【技术特征摘要】
1.一种恶意域名智能检测方法,其特征在于,包括:
2.根据权利要求1所述的恶意域名智能检测方法,其特征在于,所述构建恶意域名数据集的过程包括:收集正常域名数据集和恶意域名数据集;设定随机域名的结构,作为生成域名的先验条件;构建dcgan模型,并训练dcgan模型;基于随机噪声,采用已训练的dcgan模型,生成新域名;对生成的新域名进行检测,命中已知恶意域名或通过dcgan模型判断为恶意域名的将作为最终的恶意域名,构建恶意域名数据集。
3.根据权利要求2所述的恶意域名智能检测方法,其特征在于,所述dcgan模型包括生成器和判别器,在训练dcgan模型过程中,生成器用于生成域名,判别器用于正确判断生成器生成的域名和真实域名。
4.根据权利要求2所述的恶意域名智能检测方法,其特征在于,所述已训练的dcgan模型为已训练的生成器。
5.根据权利要求1所述的恶意域名智能检测方法,其特征在...
【专利技术属性】
技术研发人员:黄华,李政,刘子函,赵丽娜,王云霄,李贺贺,
申请(专利权)人:国网山东省电力公司信息通信公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。