[发明专利]域名检测方法、装置、设备及介质

说明书

本申请公开了一种域名检测方法、装置、设备及介质。该域名检测方法包括：获取待检测域名；对所述待检测域名进行特征提取，得到与所述待检测域名对应的特征向量；将所述特征向量输入至基于自我学习算法训练完成的分类器中，确定所述待检测域名是否为目标域名。采用本申请提供的域名检测方法，相较于通过基于监督学习算法和基于深度学习算法训练得到的分类器进行域名检测，具有较高的域名检测率和较低的域名误报率，降低了域名检测难度，提高了域名检测的效率和准确率。

技术领域

本申请涉及网络安全技术领域，具体涉及一种域名检测方法、装置、设备及介质。

背景技术

随着互联网技术的快速发展，网络安全变得尤为重要，攻击者通常通过域名生成算法(Domain Generation Algorithm，DGA)生成大量的DGA域名，将恶意程序连接至远程命令和控制(command and control，CC)服务器，从而达到操控受害者机器的目的。

目前DGA域名的检测方法，通过大量已知的正常域名及DGA域名样本提取多种特征，然后对特征使用机器学习或深度学习算法进行学习训练，最后对待检测的未知域名对训练得到的分类模型进行预测，得到判定结果。

上述方法对于收集的正常域名与DGA域名样本的数量要求多且质量要求高，导致检测效率较低，检出的实时性无法保障。

发明内容

本申请实施例的目的是提供域名检测方法、装置、设备及介质，以实现提高目标域名的检测效率，达到对域名进行实时检测的效果。

本申请的技术方案如下：

第一方面，提供了一种域名检测方法，包括：

获取待检测域名；

对待检测域名进行特征提取，得到与待检测域名对应的特征向量；

将特征向量输入至基于自我学习算法训练完成的分类器中，确定待检测域名是否为目标域名。

在一些实施例中，获取待检测域名，包括：

获取域名系统流量日志；根据域名系统流量日志的域名、源互联网协议地址和服务器响应时间确定目标域名系统流量日志；根据目标域名系统流量日志获取待检测域名。

在一些实施例中，对待检测域名进行特征提取，得到与待检测域名对应的特征向量，包括：

获取待检测域名的域名特征，域名特征包括：域名系统响应率、域名访问次数、访问域名的源互联网协议地址数量、域名信息查询二值特征、域名系统服务响应时长和域名长度中的至少一项；将域名特征进行标准化处理，得到标准域名特征；基于标准域名特征得到所述特征向量。

在一些实施例中，将域名特征进行标准化处理，得到标准域名特征，包括：确定各项标准域名特征的最大值和最小值；根据最大值和最小值对标准域名特征进行标准化处理，得到所述标准域名特征。

在一些实施例中，将特征向量输入至基于自我学习算法训练完成的分类器中之前，还包括：

将获取的样本数据划分为标记样本数据和未标记样本数据，标记样本数据为标注类别的样本数据，未标记样本数据为未标注类别的样本数据；分别提取标记样本数据和未标记样本数据的特征向量，得到标记样本数据特征向量和未标记样本数据特征向量；基于标记样本数据特征向量和未标记样本数据特征向量对待训练的分类器进行训练，得到训练完成的分类器。

在一些实施例中，基于标记样本数据特征向量和未标记样本数据特征向量对待训练的分类器进行训练，得到训练完成的分类器，包括：