[发明专利]一种基于深度学习的恶意域名检测方法及装置

说明书

本发明实施例公开了一种基于深度学习的恶意域名检测方法及装置，通过提取域名训练集中每个域名的第一弱相关特征，利用已知的域名检测结果以及域名的第一弱相关特征训练恶意域名检测模型，使得训练后的恶意域名检测模型能够在不获取与域名的正常或恶意检测结果直接相关的特征时，依旧能够通过第一弱相关特征得到域名的正常或恶意检测结果，解决了传统的恶意域名检测一般基于威胁情报库或人工分析的结果，而无法自动地对域名进行分析，存在的效率低的技术问题。

技术领域

本发明涉及域名检测技术领域，尤其涉及一种基于深度学习的恶意域名检测方法及装置。

背景技术

DNS(域名系统)作为互联网重要的基础设施，它主要负责完成IP地址与域名之间的相互转换。由于DNS的开放性，黑客会利用恶意域名实施网络攻击或肉鸡控制，因此，对恶意域名进行检测成为了网络安全防护的一道重要措施。

传统的恶意域名检测一般基于威胁情报库或人工分析的结果，而无法自动地对域名进行分析，存在效率低的技术问题。

发明内容

本发明提供了一种基于深度学习的恶意域名检测方法及装置，解决了传统的恶意域名检测一般基于威胁情报库或人工分析的结果，而无法自动地对域名进行分析，存在的效率低的技术问题。

本发明提供了一种基于深度学习的恶意域名检测方法，包括：

获取域名训练样本集；

获取所述域名训练样本集中每个域名的第一弱相关特征；

利用所述域名训练样本集以及所述域名训练样本集中每个域名的第一弱相关特征进行基于深度学习的恶意域名检测训练，生成恶意域名检测模型；

通过所述恶意域名检测模型检测未知域名是否是恶意域名。

可选地，所述获取所述域名训练样本集中每个域名的第一弱相关特征具体包括：

通过DNS查询，获取所述域名训练样本集中每个域名的A记录、AAAA记录、MX记录和NS记录；

通过WHOIS查询，获取所述域名训练样本集中每个域名的域名注册时间、域名注册人、域名注册邮箱和域名注册机构；

通过WEB请求工具，获取所述域名训练样本集中每个域名的域名排名信息、域名的搜索引擎收录数量、域名对应WEB首页、域名对应WEB HTTPS证书信息、域名对应IP地理位置和域名IP解析历史。

可选地，所述获取所述域名训练样本集中每个域名的第一弱相关特征之后，所述利用所述域名训练样本集以及所述域名训练样本集中每个域名的第一弱相关特征进行基于深度学习的恶意域名检测训练，生成恶意域名检测模型之前还包括：

对所述域名训练样本集中每个域名的所述第一弱相关特征进行归一化处理，将所述域名训练样本集中每个域名的所述第一弱相关特征转换为[0,1)范围的浮点数。

可选地，所述域名训练样本集中包括正样本集和负样本集；

所述正样本集中的域名为正常域名，所述负样本集中的域名为恶意域名。

可选地，所述利用所述域名训练样本集以及所述域名训练样本集中每个域名的弱相关特征进行基于深度学习的恶意域名检测训练，生成恶意域名检测模型具体包括：

通过至少一种前馈神经网络模型，采用所述域名训练样本集以及所述域名训练样本集中每个域名的所述第一弱相关特征进行模型训练，生成至少一种恶意域名检测模型；

当生成了两个或两个以上恶意域名检测模型时，获取域名测试样本集；

获取所述域名测试样本集中每个域名的第二弱相关特征；