[发明专利]一种DGA域名检测方法、检测装置及计算机存储介质

权利要求书

1.一种DGA域名检测方法，其特征在于，所述方法包括以下步骤：

S1，获取域名公开数据集，所述域名公开数据集包括：多个良性域名和多个DGA域名；

S2：对所述多个良性域名和多个DGA域名进行预处理，得到域名向量；

S3：根据所述域名公开数据集来训练并生成用于特征提取的循环神经网络模型；所述循环神经网络模型为第一DGA域名检测模型；

S4：对S3得到的第一DGA域名检测模型，输入所述域名向量进行优化，得到第二DGA域名检测模型；

S5：对所述第二DGA域名检测模型加入成本敏感矩阵，得到初始DGA家族检测模型；

S6：把所述域名向量导入到预设的深度置信网络中，提取第一特征数据；

S7：把所述第一特征数据导入到预设阈值的长短期记忆网络中，提取第二特征数据；

S8：把所述第二特征数据输入到预设的分类器中进行训练，得到DGA家族分类器；

S9：根据得到的DGA家族分类器，更新所述初始DGA家族检测模型，得到最终DGA家族检测模型。

2.根据权利要求1所述的一种DGA域名检测方法，其特征在于，所述对所述多个良性域名和多个DGA域名进行预处理，具体包括：

提取所述多个良性域名和多个DGA域名中字符串的每一个字符；

把所述每一个字符中唯一出现的字符作为有效字符，并将所述有效字符作为域名编码的有效字典；

根据所述域名编码的有效字典生成域名列表；

将所述域名列表编码成一个三维向量L；

采用词嵌入法对所述三维向量L进行降维操作，得到二维向量，即所述域名向量。

3.根据权利要求2所述的一种DGA域名检测方法，其特征在于，所述有效字符包括数字、字母、下划线和点号符。

4.根据权利要求3所述的一种DGA域名检测方法，其特征在于，在所述步骤S2之前，所述方法还包括：将所述多个良性域名和多个DGA域名的字符串中每个字符采用独热方式进行编码，得到编码后的零一向量；

所述步骤S3中的根据所述域名公开数据集来训练并生成用于特征提取的循环神经网络包括：根据所述编码后的零一向量，训练所述循环神经网络。

5.根据权利要求1所述的一种DGA域名检测方法，其特征在于，所述成本敏感矩阵公式具体为：

其中，N表示类别的总数量，C_i，j表示当cost是类别i时，将cost误分类为类别j的代价成本，M_cost代表一个cost矩阵，里面的C就是cost对应于不同类别误判时的损失。

6.根据权利要求1所述的一种DGA域名检测方法，其特征在于，所述预设的分类器采用Softmax分类器。

7.根据权利要求1所述的一种DGA域名检测方法，其特征在于，所述S7具体为：把所述第一特征数据导入到预设阈值的长短期记忆网络中，计算所述良性域名和所述DGA域名的长短期网络的输出值作为对比，把得到的对比值作为域名的特征后，所述域名的特征即第二特征数据，提取第二特征数据。

8.一种DGA域名检测装置，包括：

存储器，用于存储非暂时性计算机可读指令；

处理器，用于运行所述计算机可读指令，使得所述计算机可读指令被所述处理器执行时实现权利要求1-7中任意一项所述的DGA域名检测方法。

9.一种计算机存储介质，其特征在于，包括计算机指令，当所述计算机指令在设备上运行时，使得所述设备执行如权利要求1至7中任一项所述的一种DGA域名检测方法或执行如权利要求8所述的一种DGA域名检测装置。