[发明专利]一种基于深度学习的恶意域名检测方法及装置有效
| 申请号: | 201811361303.0 | 申请日: | 2018-11-15 |
| 公开(公告)号: | CN109302418B | 公开(公告)日: | 2021-11-12 |
| 发明(设计)人: | 黄小鹏;赵子渊;刘欣春;陈丽红 | 申请(专利权)人: | 东信和平科技股份有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L29/12;H04L12/24 |
| 代理公司: | 北京集佳知识产权代理有限公司 11227 | 代理人: | 张春水;唐京桥 |
| 地址: | 519060 广东省*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 深度 学习 恶意 域名 检测 方法 装置 | ||
1.一种基于深度学习的恶意域名检测方法,其特征在于,包括:
获取域名训练样本集;
获取所述域名训练样本集中每个域名的第一弱相关特征;
利用所述域名训练样本集以及所述域名训练样本集中每个域名的第一弱相关特征进行基于深度学习的恶意域名检测训练,生成恶意域名检测模型;
通过所述恶意域名检测模型检测未知域名是否是恶意域名;
所述利用所述域名训练样本集以及所述域名训练样本集中每个域名的弱相关特征进行基于深度学习的恶意域名检测训练,生成恶意域名检测模型具体包括:
通过至少一种前馈神经网络模型,采用所述域名训练样本集以及所述域名训练样本集中每个域名的所述第一弱相关特征进行模型训练,生成至少两种恶意域名检测模型;
当生成了两个或两个以上恶意域名检测模型时,获取域名测试样本集;
获取所述域名测试样本集中每个域名的第二弱相关特征;
利用所述域名测试样本集以及所述域名测试样本集中每个域名的第二弱相关特征,分别对生成的两个或两个以上恶意域名检测模型进行测试;
分别统计对生成的两个或两个以上恶意域名检测模型的测试结果,所述测试结果包括准确率和召回率;
根据所述测试结果,确定两个或两个以上恶意域名检测模型中的最优恶意域名检测模型;
相应地,所述通过所述恶意域名检测模型检测未知域名是否是恶意域名具体为:
通过所述最优恶意域名检测模型检测未知域名是否是恶意域名。
2.根据权利要求1所述的基于深度学习的恶意域名检测方法,其特征在于,所述获取所述域名训练样本集中每个域名的第一弱相关特征具体包括:
通过DNS查询,获取所述域名训练样本集中每个域名的A记录、AAAA记录、MX记录和NS记录;
通过WHOIS查询,获取所述域名训练样本集中每个域名的域名注册时间、域名注册人、域名注册邮箱和域名注册机构;
通过WEB请求工具,获取所述域名训练样本集中每个域名的域名排名信息、域名的搜索引擎收录数量、域名对应WEB首页、域名对应WEB HTTPS证书信息、域名对应IP地理位置和域名IP解析历史。
3.根据权利要求2所述的基于深度学习的恶意域名检测方法,其特征在于,所述获取所述域名训练样本集中每个域名的第一弱相关特征之后,所述利用所述域名训练样本集以及所述域名训练样本集中每个域名的第一弱相关特征进行基于深度学习的恶意域名检测训练,生成恶意域名检测模型之前还包括:
对所述域名训练样本集中每个域名的所述第一弱相关特征进行归一化处理,将所述域名训练样本集中每个域名的所述第一弱相关特征转换为[0,1)范围的浮点数。
4.根据权利要求1所述的基于深度学习的恶意域名检测方法,其特征在于,所述域名训练样本集中包括正样本集和负样本集;
所述正样本集中的域名为正常域名,所述负样本集中的域名为恶意域名。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于东信和平科技股份有限公司,未经东信和平科技股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201811361303.0/1.html,转载请声明来源钻瓜专利网。
