[发明专利]域名检测方法、装置、计算机设备及存储介质

权利要求书

1.一种域名检测方法，所述方法包括：

获取数据访问记录，所述数据访问记录中包括请求访问的域名、发起访问的主机标识和返回的域名解析记录；将所述请求访问的域名作为待检测的域名；

将所述域名输入已训练的域名检测模型中的向量层，由所述向量层将所述域名中包含的域名字符转换为字符向量的表示形式，进而得到与所述域名对应的由多个域名字符向量组成的域名向量，所述域名检测模型包括所述向量层、第一子域名检测模型、第二子域名检测模型和输出层，所述第一子域名检测模型包括卷积层、第一池化层和第一全连接层，所述第二子域名检测模型包括循环结构层、第二池化层和第二全连接层；

将所述域名向量作为所述域名检测模型中各个子域名检测模型的输入，获取每个子域名检测模型对应的权重，将子域名检测模型对应的权重作为子域名检测模型输出的子检测参数的权重；根据所述子检测参数和子检测参数的权重计算得到每个域名类别对应的概率，所述域名类别包括正常域名和多个DGA家族域名；根据每个域名类别对应的概率确定与所述域名对应的域名类别；

获取所述域名检测模型输出的检测结果；将被检测为域名生成算法DGA生成的DGA域名作为候选域名；获取访问过所述候选域名的候选主机标识和所述候选域名对应的域名解析记录；获取域名过滤规则，根据所述候选主机标识和所述域名解析记录对所述候选域名进行过滤得到目标域名；跟踪每个DGA家族中域名数量的变化，计算得到每个DGA家族对应的域名活跃值，所述域名活跃值用于正向反映域名增长的速度；当所述DGA家族对应的域名活跃值大于预设阈值时，则进行预警。

2.根据权利要求1所述的方法，其特征在于，所述获取域名过滤规则，根据所述候选主机标识和所述域名解析记录对所述候选域名进行过滤得到目标域名，包括：

判断同一候选主机标识访问的候选域名个数是否大于第一预设阈值，若是，则判断同一候选主机标识访问的候选域名所对应的域名解析记录中的空域个数是否大于第二预设阈值，若是，则判断所述候选域名是否符合预设标准，若是，则判定为目标域名。

3.根据权利要求1所述的方法，其特征在于，在所述获取数据访问记录之前，还包括：

获取训练域名和所述训练域名对应的类别标签；

将所述训练域名作为域名检测模型中向量层的输入，将所述训练域名对应的类别标签作为所述域名检测模型期望的输出对所述域名检测模型中包含的向量层和各个子域名检测模型进行训练，得到包含有目标向量层和各个目标子域名检测模型的目标域名检测模型，所述目标向量层中包含有训练得到的字符向量表，所述字符向量表中记录了训练得到的域名字符与字符向量之间的对应关系。

4.根据权利要求1所述的方法，其特征在于，所述第一子域名检测模型采用第一卷积神经网络模型进行训练得到的；所述第二子域名检测模型采用第二卷积神经网络模型进行训练得到的，所述第一卷积神经网络模型与所述第二卷积神经网络模型不同。

5.根据权利要求4所述的方法，其特征在于，所述将所述域名向量作为所述域名检测模型中各个子域名检测模型的输入，获取每个子域名检测模型输出的子检测参数，包括：

将所述域名向量作为所述卷积层的输入，所述卷积层用于对所述域名向量进行卷积运算得到第一特征矩阵；

将所述第一特征矩阵作为第一池化层的输入，所述第一池化层用于将第一特征矩阵中的每个向量中最大的权重进行投影得到归一化的第二特征矩阵；

将所述第二特征矩阵作为第一全连接层的输入，所述第一全连接层用于根据所述第二特征矩阵进行分类计算得到每个分类对应的子检测参数。