[发明专利]一种基于异质图传播网络的恶意域名检测方法和系统

权利要求书

1.一种基于异质图传播网络的恶意域名检测方法，其特征在于，包括以下步骤：

基于真实的DNS流量数据将DNS场景建模为异质图；

根据异质图提取能够反映域名之间关系的元路径；

以异质图及元路径为输入，利用异质图传播网络模型得到每个节点的分类结果，即节点类别为恶意域名或者良性域名。

2.根据权利要求1所述的方法，其特征在于，所述异质图包含域名、IP地址、客户端三种不同类型的节点，并包含三种不同类型的边，即客户端与域名的请求关系、域名解析为IP地址的解析关系、域名与域名之间的CNAME关系。

3.根据权利要求1所述的方法，其特征在于，所述元路径有三种：元路径P1表示两个不同的域名属于同一个CNAME字段；元路径P2表示客户端和域名间的单向查询关系；元路径P3表明域名与IP地址之间的映射关系。

4.根据权利要求1所述的方法，其特征在于，所述利用异质图传播网络模型得到每个节点的分类结果，包括：异质图传播网络模型找到每个节点基于元路径的邻居节点，聚合邻居节点的特征信息，更新每个节点的节点特征，最终区分节点是恶意域名还是良性域名。

5.根据权利要求4所述的方法，其特征在于，所述异质图传播网络模型，其包含语义传播机制和语义融合机制；所述语义传播机制在聚合邻居节点特征时强调节点自身特征，以缓解语义混淆现象；所述语义融合机制学习每个元路径的重要性，赋予每个元路径用于恶意域名检测的最佳权重。

6.根据权利要求5所述的方法，其特征在于，所述语义传播机制包括：

给定一个异质图G＝(V,ε)，对于异质图里每个元路径Φ，语义传播机制ρ_Φ首先利用语义投影函数f_Φ将节点投影到语义空间，之后通过语义聚合函数g_Φ，聚合基于元路径的邻居节点特征，学到特定语义的节点表示:Z^Φ＝ρ_Φ(X)＝g_Φ(f_Φ(X))。

7.根据权利要求6所述的方法，其特征在于，所述语义融合机制包括：

一组元路径{Φ₁,Φ₂,...,Φ_p}能够得到P组特定语义的节点表示利用语义传播机制学习到的P组特定语义的节点表示做为输入，使用语义融合机制F聚合P组特定语义的节点表示，学习到的最终节点表示Z作为输出：

语义融合机制将特定语义下的节点表示投影到相同的空间，然后利用语义融合向量q学习元路径Φ_P的权重

8.一种基于异质图传播网络的恶意域名检测系统，其特征在于，包括：

异质图构建模块，用于基于真实的DNS流量数据将DNS场景建模为异质图；

元路径提取模块，用于根据异质图提取能够反映域名之间关系的元路径；

节点分类模块，用于异质图及元路径为输入，利用异质图传播网络模型得到每个节点的分类结果，即节点类别为恶意域名或者良性域名。

9.一种电子装置，其特征在于，包括存储器和处理器，所述存储器存储计算机程序，所述计算机程序被配置为由所述处理器执行，所述计算机程序包括用于执行权利要求1～7中任一项所述方法的指令。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储计算机程序，所述计算机程序被计算机执行时，实现权利要求1～7中任一项所述的方法。