[发明专利]基于异质图表示学习的恶意域名检测方法及装置

权利要求书

1.一种基于异质图表示学习的恶意域名检测方法，其步骤包括：

1)构建域名白名单及域名黑名单，采集DNS流量数据，并将DNS流量数据分别与域名白名单及域名黑名单进行匹配，构造正常域名标注数据集与恶意域名标注数据集；

2)解析DNS流量数据，并基于从DNS流量数据中抽取的信息构造节点，基于域名请求信息在域名与相应请求客户端之间构造第一无向边，基于域名响应信息在域名与相应解析IP之间构造第二无向边，以构造DNS场景异质图，其中所述节点的类型包括：域名节点、请求客户端节点和解析IP节点；

3)提取各节点的节点特征，作为初始节点特征；

4)利用正常域名标注数据集与恶意域名标注数据集，对相应的域名节点进行标注，得到DNS场景异质图中已标注域名节点；

5)通过DNS场景异质图中已标注域名节点及各节点的初始节点特征，进行异质图神经网络半监督学习，并通过以下步骤获取DNS场景异质图中各未标注域名节点的预测结果；

5.1)对于第一个图神经网络层，将DNS场景异质图中的各节点分别作为目标节点，将目标节点的相应邻居节点的初始节点特征投影到目标节点，并利用注意力机制获得的不同邻居节点对目标节点的权重进行邻居信息聚合，得到第一层特征表示

5.2)通过L个的图神经网络层，获得最终节点表示其中L1；

5.3)利用一全连接网络，并根据最终节点表示获取DNS场景异质图中各未标注域名节点的预测结果。

2.如权利要求1所述的方法，其特征在于，通过以下步骤构建域名白名单：

1)获取若干时间点的Alexa Top-1m列表文件；

2)将同时出现在各Alexa Top-1m列表文件中的域名作为白名单数据，得到域名白名单。

3.如权利要求1所述的方法，其特征在于，通过以下步骤构建域名黑名单：

1)定期爬取安全套件或安全社区发布的恶意域名列表；

2)从各恶意域名列表中抽取出域名信息，并进行整合作为初始黑名单。

4.如权利要求1所述的方法，其特征在于，通过以下策略采集DNS流量数据：

1)在网关服务器执行捕包程序，捕获DNS流量；

2)从网关服务器DNS流量泛收日志数据库中，提取某一时间段内的日志信息。

5.如权利要求1所述的方法，其特征在于，在将DNS流量数据分别与域名白名单及域名黑名单进行匹配之前，对DNS流量数据进行预处理；所述预处理包括：对无效请求域名进行过滤和对无价值数据进行过滤。

6.如权利要求1所述的方法，其特征在于，所述域名节点的节点特征包括：域名结构特征、域名语言学特征和域名统计特征；

所述域名结构特征包括：域名长度、域名深度、子域名平均长度、前缀是否为“www.”、是否有有效的顶级域名、是否有顶级域名作为子域名、全部由数字构成的子域名的比率、全部由十六进制构成的子域名比率、下划线比率和是否包含IP地址；

所述域名语言学特征包括：是否包含数字、元音字母比率、数字比率、重复字符比例和连续数字比率；

所述域名统计特征包括：N-gram分布、熵值、唯一请求客户端数目、平均请求数目和唯一解析IP数目；

所述请求客户端节点特征包括：唯一请求域名数量和请求总数；

所述解析IP节点特征包括：唯一解析域名数量和解析总数。

7.如权利要求1所述的方法，其特征在于，进行异质图神经网络半监督学习时，利用交叉熵作为损失函数，并使用Adam进行优化。

8.一种存储介质，所述存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时执行权利要求1-7中任一所述方法。

9.一种电子装置，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以执行如权利要求1-7中任一所述方法。