[发明专利]一种DGA域名开集分类方法、装置、电子设备及介质

说明书

本申请公开了一种DGA域名开集分类方法、装置、电子设备及介质，包括：获取待分类的DGA域名；将所述DGA域名分别分割为字符粒度的元素和单词粒度的元素；对所述字符粒度的元素和所述单词粒度的元素分别进行哈希计算，得到字符级别整数编码和单词级别整数编码；将所述字符级别整数编码和单词级别整数编码输入基于自注意力的DGA域名检测网络中，得到域名属于各已知DGA域名家族的概率；采用深度开集分类方法，根据所述概率，识别属于未知DGA域名家族的域名，得出分类结果。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种DGA域名开集分类方法、装置、电子设备及介质。

背景技术

DGA域名，即使用域名生成算法(Domain Generation Algorithm,DGA)产生的恶意域名，主要用于僵尸网络中。

僵尸网络是在传统的网络蠕虫、特洛伊木马、后门工具等恶意代码形态的基础之上发展、融合而产生的一种新型攻击方法，为当今互联网安全带来了极大威胁。具体而言，僵尸网络是攻击者通过入侵网络空间内若干非合作用户终端构建的、可被攻击者远程控制的通用计算平台。被控制的僵尸主机将在自己未察觉的情况下，和命令与控制(Commandand Control,CC)服务器建立连接，并执行CC服务器发布的指令。这样一来，攻击者就可以借助僵尸网络，控制大量终端，发起分布式拒绝服务攻击(DDoS)、恶意软件分发、用户身份窃取等各类网络攻击活动。

早期，僵尸网络主要采用静态中心结构，即将CC服务器对应的固定域名或IP地址硬编码在僵尸程序体内。对于这类僵尸网络，防御人员可以通过反编译等手段找到CC服务器的IP地址，再使用黑名单等方式阻断连接。后来，攻击者开始尝试动态访问机制，一种常见的改进方式便是使用Domain-Flux协议，即攻击者与僵尸主机共享同一种域名生成算法，通过算法生成大量的伪随机域名，而攻击者仅将其中少数的域名映射到CC服务器的IP地址。这样一来，防御者很难确定CC服务器的实际域名，僵尸网络变得更加健壮也更难以防御。在这种情况下，DGA域名自动检测技术能够有效帮助防御者切断僵尸网络中的信道，并帮助其根据识别出的DGA域名的家族对僵尸网络进行定位，因此具有重要的研究意义。

DGA域名检测本质是一个分类问题，并包含域名二分类与域名多分类两个任务：域名二分类即判断给定域名属于DGA域名还是非DGA域名；域名多分类即判断给定域名具体属于哪一个DGA域名家族。

深度学习的出现与发展为端到端的DGA域名实时检测提供了有力的技术支持，合适的深度神经网络能够在训练过程中学习如何自动地从单个域名字符串中提取特征并进行分类。目前，基于深度学习的DGA域名检测已经取得了显著成果。现有检测方法包括：Woodbridge等人利用公开数据集训练了长短期记忆(Long Short-Term Memory，简称LSTM)神经网络，并发现检测精度超过传统机器学习方法；Saxe等人他们设计了一种并行卷积神经网络(P-CNN)来检测恶意域名，其模型特点是使用几种不同大小的卷积核并行地提取特征，再通过串接将这些特征结合起来，作为分类的依据；Yu等人探索了一些字符级别的深度学习模型用于DGA域名检测问题的效果，参与实验的网络包括双向LSTM网络(BiLSTM)、堆叠CNN网络(S-CNN)、CNN-LSTM混合网络等；Berman提出基于一维胶囊网络(CapsNet)的DGA域名检测算法。

需要指出的是，上述方法均基于一个假设，即认为数据可分为N种已知的、具有标签的类别，且输入必定属于这N种类别之一。换句话说，上述方法解决的是DGA域名的闭集分类(closed set classification)问题。然而，在现实的攻防场景中，新的僵尸网络及其对应的新DGA域名家族不断涌现，于是常出现防御方已知N种DGA域名家族，但待检测域名不属于N种已知类而是属于另一未知家族的情况，由此产生DGA域名的开集分类(open setclassification)问题。

发明内容