CN113328994A - 一种恶意域名处理方法、装置、设备及机器可读存储介质 - Google Patents

一种恶意域名处理方法、装置、设备及机器可读存储介质 Download PDF

Info

Publication number
CN113328994A
CN113328994A CN202110480770.0A CN202110480770A CN113328994A CN 113328994 A CN113328994 A CN 113328994A CN 202110480770 A CN202110480770 A CN 202110480770A CN 113328994 A CN113328994 A CN 113328994A
Authority
CN
China
Prior art keywords
domain name
dga
training
classifier
determined
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110480770.0A
Other languages
English (en)
Other versions
CN113328994B (zh
Inventor
施瑞瑞
汪加伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Security Technologies Co Ltd
Original Assignee
New H3C Security Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Security Technologies Co Ltd filed Critical New H3C Security Technologies Co Ltd
Priority to CN202110480770.0A priority Critical patent/CN113328994B/zh
Publication of CN113328994A publication Critical patent/CN113328994A/zh
Application granted granted Critical
Publication of CN113328994B publication Critical patent/CN113328994B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/232Non-hierarchical techniques
    • G06F18/2321Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
    • G06F18/23213Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2413Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on distances to training or reference patterns
    • G06F18/24133Distances to prototypes
    • G06F18/24137Distances to cluster centroïds
    • G06F18/2414Smoothing the distance, e.g. radial basis function networks [RBFN]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Evolutionary Computation (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Evolutionary Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Computer Security & Cryptography (AREA)
  • Biomedical Technology (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Probability & Statistics with Applications (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开提供一种恶意域名处理方法、装置、设备及机器可读存储介质,该方法包括:获取符合预设要求的训练样本,根据预设维度,对训练样本提取样本特征;根据提取的样本特征,对所述训练样本进行样本聚类,并使用BiLstm训练生成分类器;使用分类器对根据待判定域名提取的特征进行处理,判断所述待判定域名是否属于DGA域名;所述预设维度包括:域名长度、声母占比、数值占比、域名熵值。通过本公开的技术方案,采用拼音声母作为训练模型的维度之一,得到的算法模型,可有效降低境内网站的误报率,同时本公开提供的训练方法,特征提取简单、高效,判断DGA域名准确率高、耗费资源少。

Description

一种恶意域名处理方法、装置、设备及机器可读存储介质
技术领域
本公开涉及通信技术领域,尤其是涉及一种恶意域名处理方法、装置、设备及机器可读存储介质。
背景技术
恶意软件如今已经发展为威胁网络安全的头号公敌,为了逃避安全设施的检测,其制作过程也越来越复杂,其中一个典型做法是在软件中集成DGA(Domain GenerationAlgorithm)算法,产生速变域名,该方式作为备用或者主要的与C2服务器通信的手段,可以构造更加鲁棒的僵尸网络,做到对感染肉鸡的持续性控制。对应地,针对DGA算法的研究现在也是安全圈讨论的热点话题,学术界和工业界也有大量DGA域名检测的工作,但是在实际使用中存在误报过多的现象。
BiLSTM:Bi-directional Long Short-Term Memory的缩写,是由前向LSTM与后向LSTM组合而成。LSTM:全称Long Short-Term Memory,是RNN(Recurrent Neural Network)的一种,LSTM由于其设计的特点,非常适合用于对时序数据的建模,如文本数据。
发明内容
有鉴于此,本公开提供一种恶意域名处理方法、装置及电子设备、机器可读存储介质,以改善上述误报率过高的技术问题。
具体地技术方案如下:
本公开提供了一种恶意域名处理方法,应用于网络安全设备,所述方法包括:获取符合预设要求的训练样本,根据预设维度,对训练样本提取样本特征;根据提取的样本特征,对所述训练样本进行样本聚类,并使用BiLstm训练生成分类器;使用分类器对根据待判定域名提取的特征进行处理,判断所述待判定域名是否属于DGA域名;所述预设维度包括:域名长度、声母占比、数值占比、域名熵值。
作为一种技术方案,所述使用分类器对根据待判定域名提取的特征进行处理,判断所述待判定域名是否属于DGA域名,包括:根据被判断为DGA域名的待判定域名,提取域名信息进行保存并显示。
作为一种技术方案,所述使用分类器对根据待判定域名提取的特征进行处理,判断所述待判定域名是否属于DGA域名,包括:设立白名单,将特定域名纳入白名单中;若待判定域名匹配白名单数据,则判定该域名不属于DGA域名。
作为一种技术方案,所述使用分类器对根据待判定域名提取的特征进行处理,判断所述待判定域名是否属于DGA域名,包括:根据预设规则,判断属于DGA域名的待判定域名是否关联于恶意攻击。
本公开同时提供了一种恶意域名处理装置,应用于网络安全设备,所述装置包括:样本模块,用于获取符合预设要求的训练样本,根据预设维度,对训练样本提取样本特征;训练模块,用于根据提取的样本特征,对所述训练样本进行样本聚类,并使用BiLstm训练生成分类器;判定模块,用于使用分类器对根据待判定域名提取的特征进行处理,判断所述待判定域名是否属于DGA域名;所述预设维度包括:域名长度、声母占比、数值占比、域名熵值。
作为一种技术方案,所述使用分类器对根据待判定域名提取的特征进行处理,判断所述待判定域名是否属于DGA域名,包括:根据被判断为DGA域名的待判定域名,提取域名信息进行保存并显示。
作为一种技术方案,所述使用分类器对根据待判定域名提取的特征进行处理,判断所述待判定域名是否属于DGA域名,包括:设立白名单,将特定域名纳入白名单中;若待判定域名匹配白名单数据,则判定该域名不属于DGA域名。
作为一种技术方案,所述使用分类器对根据待判定域名提取的特征进行处理,判断所述待判定域名是否属于DGA域名,包括:判定模块还用于根据预设规则,判断属于DGA域名的待判定域名是否关联于恶意攻击。
本公开同时提供了一种电子设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,处理器执行所述机器可执行指令以实现前述的恶意域名处理方法。
本公开同时提供了一种机器可读存储介质,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现前述的恶意域名处理方法。
本公开提供的上述技术方案至少带来了以下有益效果:
本公开采用拼音声母作为训练模型的维度之一,得到的算法模型,可有效降低境内网站的误报率,同时本公开提供的训练方法,特征提取简单、高效,判断DGA域名准确率高、耗费资源少。
附图说明
为了更加清楚地说明本公开实施方式或者现有技术中的技术方案,下面将对本公开实施方式或者现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开中记载的一些实施方式,对于本领域普通技术人员来讲,还可以根据本公开实施方式的这些附图获得其他的附图。
图1是本公开一种实施方式中的恶意域名处理方法的流程图;
图2是本公开一种实施方式中的恶意域名处理装置的结构图;
图3是本公开一种实施方式中的电子设备的硬件结构图。
具体实施方式
在本公开实施方式使用的术语仅仅是出于描述特定实施方式的目的,而非限制本公开。本公开和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。还应当理解,本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本公开实施方式可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本公开范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,此外,所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
一种基于规则的恶意域名所属DGA家族的检测方法技术采用DGA算法进行域名生成,归纳现在存在的DGA域名,将各种DGA家族进行分析,建立特征矩阵;查找由该DGA算法生成的域名样例,样例可以表现出DGA算法生成的域名的主要特征,进行匹配判断。由于是基于黑名单过滤、统计特征的,存在大量瓶颈,如特征提取繁琐,自动化程度低,编码实现难度较高,检测率偏低以及误报率偏高等;容易误报和漏报并且无法进一步分析决策该DGA域名是否是恶意域名。
基于n-gram模型的DGA域名检测方法,采用词袋模型对域名进行处理,将字符类型的域名转换为适合n-gram模型的输入数据,然后基于n-gram模型设计适合DGA域名检测的各层神经网络的参数,构建实现DGA域名自主学习的检出模型,从而实现DGA域名的判定。该方案提出的方法能够自动提取DGA域名的特征,实现相对较高的检测率以及相对较低的误报率,但是依然存在较多误报和漏检,且无法进一步确认该DGA域名是否恶意。
有鉴于此,本公开提供一种恶意域名处理方法、装置及电子设备、机器可读存储介质,以改善上述误报率过高的问题。
具体地,技术方案如后述。
在一种实施方式中,本公开提供了一种恶意域名处理方法,应用于网络安全设备,所述方法包括:获取符合预设要求的训练样本,根据预设维度,对训练样本提取样本特征;根据提取的样本特征,对所述训练样本进行样本聚类,并使用BiLstm训练生成分类器;使用分类器对根据待判定域名提取的特征进行处理,判断所述待判定域名是否属于DGA域名;所述预设维度包括:域名长度、声母占比、数值占比、域名熵值。
具体地,如图1,包括以下步骤:
步骤S11,获取符合预设要求的训练样本,根据预设维度,对训练样本提取样本特征;
步骤S12,根据提取的样本特征,对所述训练样本进行样本聚类,并使用BiLstm训练生成分类器;
步骤S13,使用分类器对根据待判定域名提取的特征进行处理,判断所述待判定域名是否属于DGA域名。
所述预设维度包括:域名长度、声母占比、数值占比、域名熵值。
本公开采用拼音声母作为训练模型的维度之一,得到的算法模型,可有效降低境内网站的误报率,同时本公开提供的训练方法,特征提取简单、高效,判断DGA域名准确率高、耗费资源少。
在一种实施方式中,所述使用分类器对根据待判定域名提取的特征进行处理,判断所述待判定域名是否属于DGA域名,包括:根据被判断为DGA域名的待判定域名,提取域名信息进行保存并显示。
在一种实施方式中,所述使用分类器对根据待判定域名提取的特征进行处理,判断所述待判定域名是否属于DGA域名,包括:设立白名单,将特定域名纳入白名单中;若待判定域名匹配白名单数据,则判定该域名不属于DGA域名。
在一种实施方式中,所述使用分类器对根据待判定域名提取的特征进行处理,判断所述待判定域名是否属于DGA域名,包括:根据预设规则,判断属于DGA域名的待判定域名是否关联于恶意攻击。
首先进行样本获取,使用具有特征均匀、特征范围广、代表性强的样本,根据分析,采用如下特征:域名长度特征及域名字符语义特征、域名中取出声母的占比特征、数值特征、熵值特征。根据以上统计特征(域名长度特征、域名中取出声母的占比特征、数值特征、熵值特征)进行样本聚类。采用Bilstm神经网络进行该样本的特征权重分配,利用训练的深度学习模型进行未知域名的预测;根据前向lstm和后向lstm进行拼接形成Bilstm,将前述训练样本提取的样本特征进行处理成符合模型输入的数组,然后送入Bilstm模型进行训练。在固定数据集中,本公开提供的技术方案可将DGA域名的识别率大大提高。
对训练好的模型进行保存,利用训练好的模型对DNS流量中的带判定域名进行分类,同时记录相关原IP、时间、域名、评分等信息;并通过域名获取IP地址、位置以及判断是否可访问。根据记录的DGA域名的域名信息相关数据进行机器学习算法(XGboost)结合进一步对DGA域名进行决策,确认该域名是否恶意。
举例一种实施方式中,根据URL国内库和海外库作为本公开技术方案的白样本,采用360DGA数据和DGA算法生成的域名作为本公开技术方案的黑样本,采用的DGA家族域名包括Bamital、banjori、blackhole、ccleaner、chinad、conficker。
根据训练样本,采用以下维度,包括域名长度、域名中取出声母的占比特征、域名熵值特征、域名数值占比特征,进行特征均匀化,利用聚类算法K-means对该四个特征进行聚类域名,使用白、黑样本各若干条。
使用白、黑样本训练得到的模型,对待判定域名进行判断,判断其是否是DGA域名,其中,保存特殊特征且少量数据生成白名单以进行白名单化,避免影响利用Bilstm神经网络算法训练样本时过多开销资源以及降低F1值,避免模型检测时,使其干扰模型判断,降低其准确率和性能。
将检测结果高于预设评分(如0.5)的待判定域名认为是DGA域名,进行平台显示并保存域名信息,域名信息格式可以为:原IP、目的IP、检测时间、检测域名、模型评分。
确认该DGA域名是否是恶意域名或者C&C域名,根据检测域名获取其解析真实IP地理位置(国内或国外)、是否可以访问、是否CDN,通过恶意域名外联和注册难度等行为特征,进行进一步确认该DGA域名是否有恶意行为。
根据以上信息结合XGboost算法进行决策分析,进一步确认所述DGA域名是否有恶意行为或者是恶意域名,减少误报。
在一种实施方式中,本公开同时提供了一种恶意域名处理装置,如图2,应用于网络安全设备,所述装置包括:样本模块21,用于获取符合预设要求的训练样本,根据预设维度,对训练样本提取样本特征;训练模块22,用于根据提取的样本特征,对所述训练样本进行样本聚类,并使用BiLstm训练生成分类器;判定模块23,用于使用分类器对根据待判定域名提取的特征进行处理,判断所述待判定域名是否属于DGA域名;所述预设维度包括:域名长度、声母占比、数值占比、域名熵值。
在一种实施方式中,所述使用分类器对根据待判定域名提取的特征进行处理,判断所述待判定域名是否属于DGA域名,包括:根据被判断为DGA域名的待判定域名,提取域名信息进行保存并显示。
在一种实施方式中,所述使用分类器对根据待判定域名提取的特征进行处理,判断所述待判定域名是否属于DGA域名,包括:设立白名单,将特定域名纳入白名单中;若待判定域名匹配白名单数据,则判定该域名不属于DGA域名。
在一种实施方式中,所述使用分类器对根据待判定域名提取的特征进行处理,判断所述待判定域名是否属于DGA域名,包括:判定模块还用于根据预设规则,判断属于DGA域名的待判定域名是否关联于恶意攻击。
装置实施方式与对应的方法实施方式相同或相似,在此不再赘述。
在一种实施方式中,本公开提供了一种电子设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,处理器执行所述机器可执行指令以实现前述的恶意域名处理方法,从硬件层面而言,硬件架构示意图可以参见图3所示。
在一种实施方式中,本公开提供了一种机器可读存储介质,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现前述的恶意域名处理方法。
这里,机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(RadomAccess Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
上述实施方式阐明的***、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本公开时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本公开的实施方式可提供为方法、***、或计算机程序产品。因此,本公开可采用完全硬件实施方式、完全软件实施方式、或结合软件和硬件方面的实施方式的形式。而且,本公开实施方式可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本公开是参照根据本公开实施方式的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
而且,这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本领域技术人员应明白,本公开的实施方式可提供为方法、***或计算机程序产品。因此,本公开可以采用完全硬件实施方式、完全软件实施方式、或者结合软件和硬件方面的实施方式的形式。而且,本公开可以采用在一个或者多个其中包含有计算机可用程序代码的计算机可用存储介质(可以包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上所述仅为本公开的实施方式而已,并不用于限制本公开。对于本领域技术人员来说,本公开可以有各种更改和变化。凡在本公开的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本公开的权利要求范围之内。

Claims (10)

1.一种恶意域名处理方法,其特征在于,应用于网络安全设备,所述方法包括:
获取符合预设要求的训练样本,根据预设维度,对训练样本提取样本特征;
根据提取的样本特征,对所述训练样本进行样本聚类,并使用BiLstm训练生成分类器;
使用分类器对根据待判定域名提取的特征进行处理,判断所述待判定域名是否属于DGA域名;
所述预设维度包括,域名长度、声母占比、数值占比、域名熵值。
2.根据权利要求1所述的方法,其特征在于,所述使用分类器对根据待判定域名提取的特征进行处理,判断所述待判定域名是否属于DGA域名,包括:
根据被判断为DGA域名的待判定域名,提取域名信息进行保存并显示。
3.根据权利要求1所述的方法,其特征在于,所述使用分类器对根据待判定域名提取的特征进行处理,判断所述待判定域名是否属于DGA域名,包括:
设立白名单,将特定域名纳入白名单中;
若待判定域名匹配白名单数据,则判定该域名不属于DGA域名。
4.根据权利要求1所述的方法,其特征在于,所述使用分类器对根据待判定域名提取的特征进行处理,判断所述待判定域名是否属于DGA域名,包括:
根据预设规则,判断属于DGA域名的待判定域名是否关联于恶意攻击。
5.一种恶意域名处理装置,其特征在于,应用于网络安全设备,所述装置包括:
样本模块,用于获取符合预设要求的训练样本,根据预设维度,对训练样本提取样本特征;
训练模块,用于根据提取的样本特征,对所述训练样本进行样本聚类,并使用BiLstm训练生成分类器;
判定模块,用于使用分类器对根据待判定域名提取的特征进行处理,判断所述待判定域名是否属于DGA域名;
所述预设维度包括:域名长度、声母占比、数值占比、域名熵值。
6.根据权利要求5所述的装置,其特征在于,所述使用分类器对根据待判定域名提取的特征进行处理,判断所述待判定域名是否属于DGA域名,包括:
根据被判断为DGA域名的待判定域名,提取域名信息进行保存并显示。
7.根据权利要求5所述的装置,其特征在于,所述使用分类器对根据待判定域名提取的特征进行处理,判断所述待判定域名是否属于DGA域名,包括:
设立白名单,将特定域名纳入白名单中;
若待判定域名匹配白名单数据,则判定该域名不属于DGA域名。
8.根据权利要求5所述的装置,其特征在于,所述使用分类器对根据待判定域名提取的特征进行处理,判断所述待判定域名是否属于DGA域名,包括:
判定模块还用于根据预设规则,判断属于DGA域名的待判定域名是否关联于恶意攻击。
9.一种电子设备,其特征在于,包括:处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器执行所述机器可执行指令,以实现权利要求1-4任一所述的方法。
10.一种机器可读存储介质,其特征在于,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现权利要求1-4任一所述的方法。
CN202110480770.0A 2021-04-30 2021-04-30 一种恶意域名处理方法、装置、设备及机器可读存储介质 Active CN113328994B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110480770.0A CN113328994B (zh) 2021-04-30 2021-04-30 一种恶意域名处理方法、装置、设备及机器可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110480770.0A CN113328994B (zh) 2021-04-30 2021-04-30 一种恶意域名处理方法、装置、设备及机器可读存储介质

Publications (2)

Publication Number Publication Date
CN113328994A true CN113328994A (zh) 2021-08-31
CN113328994B CN113328994B (zh) 2022-07-12

Family

ID=77414035

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110480770.0A Active CN113328994B (zh) 2021-04-30 2021-04-30 一种恶意域名处理方法、装置、设备及机器可读存储介质

Country Status (1)

Country Link
CN (1) CN113328994B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114095216A (zh) * 2021-11-03 2022-02-25 东南大学 一种有限训练样本下基于对比学习的恶意域名检测方法
CN114143084A (zh) * 2021-11-30 2022-03-04 安天科技集团股份有限公司 恶意域名判定方法、装置、电子设备及存储介质
CN114629718A (zh) * 2022-04-07 2022-06-14 浙江工业大学 一种基于多模型融合的隐匿恶意行为检测方法
CN115913792A (zh) * 2023-03-08 2023-04-04 浙江鹏信信息科技股份有限公司 Dga域名的鉴别方法、***及可读介质

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105827594A (zh) * 2016-03-08 2016-08-03 北京航空航天大学 一种基于域名可读性及域名解析行为的可疑性检测方法
US20160352679A1 (en) * 2015-05-27 2016-12-01 Hewlett-Packard Development Company, L.P. Identifying algorithmically generated domains
CN106992969A (zh) * 2017-03-03 2017-07-28 南京理工大学 基于域名字符串统计特征的dga生成域名的检测方法
CN108632227A (zh) * 2017-03-23 2018-10-09 ***通信集团广东有限公司 一种恶意域名检测处理方法及装置
CN110266647A (zh) * 2019-05-22 2019-09-20 北京金睛云华科技有限公司 一种命令和控制通信检测方法及***
CN111031026A (zh) * 2019-12-09 2020-04-17 杭州安恒信息技术股份有限公司 一种dga恶意软件感染主机检测方法
CN111935097A (zh) * 2020-07-16 2020-11-13 上海斗象信息科技有限公司 一种检测dga域名的方法
CN112468501A (zh) * 2020-11-27 2021-03-09 安徽大学 一种面向url的钓鱼网站检测方法
CN112464666A (zh) * 2019-08-19 2021-03-09 四川大学 一种基于暗网数据的未知网络威胁自动发现方法
CN112492059A (zh) * 2020-11-17 2021-03-12 国家计算机网络与信息安全管理中心 Dga域名检测模型训练方法、dga域名检测方法、装置及存储介质
CN112615861A (zh) * 2020-12-17 2021-04-06 赛尔网络有限公司 恶意域名识别方法、装置、电子设备及存储介质

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160352679A1 (en) * 2015-05-27 2016-12-01 Hewlett-Packard Development Company, L.P. Identifying algorithmically generated domains
CN105827594A (zh) * 2016-03-08 2016-08-03 北京航空航天大学 一种基于域名可读性及域名解析行为的可疑性检测方法
CN106992969A (zh) * 2017-03-03 2017-07-28 南京理工大学 基于域名字符串统计特征的dga生成域名的检测方法
CN108632227A (zh) * 2017-03-23 2018-10-09 ***通信集团广东有限公司 一种恶意域名检测处理方法及装置
CN110266647A (zh) * 2019-05-22 2019-09-20 北京金睛云华科技有限公司 一种命令和控制通信检测方法及***
CN112464666A (zh) * 2019-08-19 2021-03-09 四川大学 一种基于暗网数据的未知网络威胁自动发现方法
CN111031026A (zh) * 2019-12-09 2020-04-17 杭州安恒信息技术股份有限公司 一种dga恶意软件感染主机检测方法
CN111935097A (zh) * 2020-07-16 2020-11-13 上海斗象信息科技有限公司 一种检测dga域名的方法
CN112492059A (zh) * 2020-11-17 2021-03-12 国家计算机网络与信息安全管理中心 Dga域名检测模型训练方法、dga域名检测方法、装置及存储介质
CN112468501A (zh) * 2020-11-27 2021-03-09 安徽大学 一种面向url的钓鱼网站检测方法
CN112615861A (zh) * 2020-12-17 2021-04-06 赛尔网络有限公司 恶意域名识别方法、装置、电子设备及存储介质

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114095216A (zh) * 2021-11-03 2022-02-25 东南大学 一种有限训练样本下基于对比学习的恶意域名检测方法
CN114095216B (zh) * 2021-11-03 2023-04-07 东南大学 一种有限训练样本下基于对比学习的恶意域名检测方法
CN114143084A (zh) * 2021-11-30 2022-03-04 安天科技集团股份有限公司 恶意域名判定方法、装置、电子设备及存储介质
CN114143084B (zh) * 2021-11-30 2024-02-23 安天科技集团股份有限公司 恶意域名判定方法、装置、电子设备及存储介质
CN114629718A (zh) * 2022-04-07 2022-06-14 浙江工业大学 一种基于多模型融合的隐匿恶意行为检测方法
CN115913792A (zh) * 2023-03-08 2023-04-04 浙江鹏信信息科技股份有限公司 Dga域名的鉴别方法、***及可读介质

Also Published As

Publication number Publication date
CN113328994B (zh) 2022-07-12

Similar Documents

Publication Publication Date Title
CN113328994B (zh) 一种恶意域名处理方法、装置、设备及机器可读存储介质
CN106992994B (zh) 一种云服务的自动化监控方法和***
CN105590055B (zh) 用于在网络交互***中识别用户可信行为的方法及装置
CN111061874B (zh) 敏感信息检测方法和装置
CN112771523A (zh) 用于检测生成域的***和方法
CN111666502A (zh) 一种基于深度学习的异常用户识别方法、装置及存储介质
CN113055386B (zh) 一种攻击组织的识别分析方法和装置
Man et al. A residual learning‐based network intrusion detection system
CN111163072B (zh) 机器学习模型中特征值的确定方法、装置及电子设备
CN111159697B (zh) 一种密钥检测方法、装置及电子设备
CN104040963A (zh) 用于使用字符串的频谱进行垃圾邮件检测的***和方法
CN110941827B (zh) 应用程序异常行为检测方法及装置
US20180032907A1 (en) Detecting abusive language using character n-gram features
CN111368289A (zh) 一种恶意软件检测方法和装置
CN106301979B (zh) 检测异常渠道的方法和***
CN115632874A (zh) 一种实体对象的威胁检测方法、装置、设备及存储介质
CN110019845B (zh) 一种基于知识图谱的社区演化分析方法及装置
CN110958244A (zh) 一种基于深度学习的仿冒域名检测方法及装置
CN114826681A (zh) 一种dga域名检测方法、***、介质、设备及终端
CN110532773B (zh) 恶意访问行为识别方法、数据处理方法、装置和设备
US11886597B2 (en) Detection of common patterns in user generated content with applications in fraud detection
CN109684837A (zh) 一种面向电力企业的移动应用恶意软件检测方法及***
CN104376304A (zh) 一种文本广告图像的识别方法及装置
CN113220949B (zh) 一种隐私数据识别***的构建方法及装置
CN109359274A (zh) 一种对批量生成的字符串进行识别的方法、装置及设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant