[发明专利]一种域名检测方法、系统及装置

说明书

本发明公开了一种域名检测方法、系统及装置，其中，所述方法包括：获取待检测的目标域名和所述目标域名的异常参数，所述异常参数用于表征所述目标域名作为DGA域名的可能性；提取所述目标域名的描述特征，并根据所述描述特征和所述异常参数，生成所述目标域名是否为DGA域名的第一判断结果；提取所述目标域名的词嵌入特征，并根据所述词嵌入特征和所述异常参数，生成所述目标域名是否为DGA域名的第二判断结果；根据所述第一判断结果和/或所述第二判断结果，确定所述目标域名是否属于DGA域名。本申请提供的技术方案，能够减少DGA域名的误报率。

技术领域

本发明涉及互联网技术领域，特别涉及一种域名检测方法、系统及装置。

背景技术

随着互联网技术的不断发展，网络安全问题也日益突出。目前，通过DGA(DomainGeneration Algorithm，域名生成算法)可以快速地生成大量的DGA域名，通过DGA域名可以构建鲁棒性较好的僵尸网络。攻击者利用僵尸网络，可以向网络中的设备发起网络攻击。

目前，通常可以利用机器学习的方法进行DGA域名的检测，然而，由于训练样本的局限性，会导致训练得到的检测模型不够准确，进而使得检测结果中存在一定的误报率。

发明内容

本申请的目的在于提供一种域名检测方法、系统及装置，能够提高DGA域名的检测精度。

为实现上述目的，本申请一方面提供一种域名检测方法，所述方法包括：获取待检测的目标域名和所述目标域名的异常参数，所述异常参数用于表征所述目标域名作为DGA域名的可能性；提取所述目标域名的描述特征，并根据所述描述特征和所述异常参数，生成所述目标域名是否为DGA域名的第一判断结果；提取所述目标域名的词嵌入特征，并根据所述词嵌入特征和所述异常参数，生成所述目标域名是否为DGA域名的第二判断结果；根据所述第一判断结果和/或所述第二判断结果，确定所述目标域名是否属于DGA域名。

为实现上述目的，本申请另一方面还提供一种域名检测系统，所述系统包括：参数获取单元，用于获取待检测的目标域名和所述目标域名的异常参数，所述异常参数用于表征所述目标域名作为DGA域名的可能性；第一判断结果生成单元，用于提取所述目标域名的描述特征，并根据所述描述特征和所述异常参数，生成所述目标域名是否为DGA域名的第一判断结果；第二判断结果生成单元，用于提取所述目标域名的词嵌入特征，并根据所述词嵌入特征和所述异常参数，生成所述目标域名是否为DGA域名的第二判断结果；确定单元，用于根据所述第一判断结果和/或所述第二判断结果，确定所述目标域名是否属于DGA域名。

为实现上述目的，本申请另一方面还提供一种域名检测装置，其所述装置包括存储器和处理器，所述存储器用于存储计算机程序，所述计算机程序被所述处理器执行时，实现上述的域名检测方法。

由上可见，本申请一个或者多个实施方式提供的技术方案，可以结合待检测的目标域名本身，以及该目标域名的异常参数，并通过一种或者多种判断结果来综合确定目标域名是否为DGA域名。具体地，目标域名的异常参数可以表征其作为DGA域名的可能性，通过在描述特征和词嵌入特征中，引入该异常参数，可以更加全面地表示目标域名的数字特征。通过结合描述特征和异常参数，可以得到第一判断结果，通过结合词嵌入特征和异常参数，可以得到第二判断结果。后续，根据实际需求，可以仅基于其中的一种判断结果来确定目标域名是否属于DGA域名，也可以结合这两种判断结果，更加精确地确定目标域名是否属于DGA域名。可见，通过将异常参数引入不同特征的方式，能够提高最终对目标域名的检测精度，进而能够极大地减少检测结果中的误报率。

附图说明

为了更清楚地说明本发明实施方式中的技术方案，下面将对实施方式描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施方式中域名检测方法的步骤图