[发明专利]一种基于流量特征的视频域名检测方法

权利要求书

1.一种基于流量特征的视频域名检测方法，其特征在于，所述方法包括如下步骤：

(S1)进行流量预处理并获取基础数据；流量预处理包括基于pf_ring的内核抓包和DNS流量的过滤以及相关字段的提取；

(S2)采用基于LSTM的深度学习模型对已知种类的DGA域名进行检测；

(S3)将检测到的数据按需由存储模块进行存储；

(S4)将检测到的数据进行分类，通过展示模块进行结果展示。

2.根据权利要求1所述的基于流量特征的视频域名检测方法，其特征在于，所述步骤(S1)包含如下步骤：

(S11)由pf_ring内核抓包模块进行流量数据包获取；

(S12)获取黑白名单，下载公布的恶意域名数据以及正常域名数据，根据获取的数据进行统一格式处理，之后放到对应的数据库表中；从域名历史记录中提取历史数据，获取域名的全局存储信息；DGA域名更新从公开的数据中下载DGA生成的域名列表，并保存到服务器硬盘。

3.根据权利要求1所述的基于流量特征的视频域名检测方法，其特征在于，所述步骤(S2)包含如下步骤：

(S21)神经网络首先使用字符序列作为输入，并转换为向量序列；

(S22)字符被转换为向量后，交给循环网络层挨个处理输入向量，并进一步更新每一步所隐藏的状态向量；

其中，神经网络的参数从训练集中进行学习获得，由神经单元和输出层的权重组成。

4.根据权利要求3所述的基于流量特征的视频域名检测方法，其特征在于，在步骤(S21)中，使用的编码方式为one-hot。

5.根据权利要求1所述的基于流量特征的视频域名检测方法，其特征在于，所述步骤(S3)具体如下：

系统在运行阶段检测出的所有恶意域名以及人工选择的合法域名存储在黑白名单存储单元；

系统运行期间所记录的恶意域名信息存储在恶意域名库单元，并以数据库中数据表的形式进行存储；

本机对系统的操作信息存储在日志管理单元。

6.根据权利要求1所述的基于流量特征的视频域名检测方法，其特征在于，所述步骤(S4)具体如下：

将检测到的数据根据域名字符串特征以及解析日志时间属性，判断域名是否为恶意域名、可疑域名、域名白名单，并输出恶意域名类，最后通过展示模块进行结果展示。

7.根据权利要求1所述的基于流量特征的视频域名检测方法，其特征在于，所述步骤(S4)中，所述展示模块包括DGA恶意域名展示、DGA可信域名展示。