[发明专利]一种DGA域名的检测方法、系统及装置

说明书

本发明公开了一种DGA域名的检测方法、系统及装置，其中，所述方法包括：获取域名白名单样本，并提取所述域名白名单样本的词嵌入特征；将所述词嵌入特征编码为中间特征，并将所述中间特征解码为输出特征；比较所述词嵌入特征和所述输出特征，并根据对比结果对编码和解码的过程进行校正，以通过校正后的编码和解码的过程，检测目标域名是否为DGA域名。本申请提供的技术方案，能够提高DGA域名的检测精度。

技术领域

本发明涉及互联网技术领域，特别涉及一种DGA域名的检测方法、系统及装置。

背景技术

随着互联网技术的不断发展，网络安全问题也日益突出。目前，通过DGA(DomainGeneration Algorithm，域名生成算法)可以快速地生成大量的DGA域名，通过DGA域名可以构建鲁棒性较好的僵尸网络。攻击者利用僵尸网络，可以向网络中的设备发起网络攻击。

由于DGA域名可以快速地投入使用，并且可以快速地被废弃，因此通过黑名单的方式来规避DGA域名的攻击往往效果不佳。目前业内通常利用机器学习的方式，对大量的正常域名和DGA域名进行学习，从而能够检测出正常域名和DGA域名。然而，现有的这种机器学习的方式，如果要获得较高的检测精度，往往需要提供比较完备的正样本(正常域名)和负样本(DGA域名)。但DGA域名的变化相当快，很容易会出现新型的DGA域名，面对新型的DGA域名，现有的机器学习方式检测的精度不高。

发明内容

本申请的目的在于提供一种DGA域名的检测方法、系统及装置，能够提高DGA域名的检测精度。

为实现上述目的，本申请一方面提供一种DGA域名的检测方法，所述方法包括：获取域名白名单样本，并提取所述域名白名单样本的词嵌入特征；将所述词嵌入特征编码为中间特征，并将所述中间特征解码为输出特征；比较所述词嵌入特征和所述输出特征，并根据对比结果对编码和解码的过程进行校正，以通过校正后的编码和解码的过程，检测目标域名是否为DGA域名。

为实现上述目的，本申请另一方面还提供一种DGA域名的检测系统，所述系统包括：特征提取单元，用于获取域名白名单样本，并提取所述域名白名单样本的词嵌入特征；重构单元，用于将所述词嵌入特征编码为中间特征，并将所述中间特征解码为输出特征；校正单元，用于比较所述词嵌入特征和所述输出特征，并根据对比结果对编码和解码的过程进行校正，以通过校正后的编码和解码的过程，检测目标域名是否为DGA域名。

为实现上述目的，本申请另一方面还提供一种DGA域名的检测装置，其所述装置包括存储器和处理器，所述存储器用于存储计算机程序，所述计算机程序被所述处理器执行时，实现上述的DGA域名的检测方法。

由上可见，本申请一个或者多个实施方式提供的技术方案，可以采用自编码的方式，将域名白名单样本的词嵌入特征经过编码和解码的过程，从而得到输出特征。在对词嵌入特征进行编码和解码的过程中，利用词嵌入特征对输出特征进行监督训练，从而可以不断校正编码和解码的过程。这样，校正后的编码和解码的过程能够重构输出特征，最终使得重构的输出特征能够与输入的词嵌入特征比较接近。通过这种利用词嵌入特征，对自编码过程进行监督训练的方式，一方面不需要负样本(DGA域名)的参与，从而减少了训练样本的收集难度；另一方面通过上述方式对正样本(域名白名单样本)进行训练，可以得到正常域名的一个判定基准，后续便可以利用该判定基准对目标域名进行检测，从而提高了DGA域名检测的精度。

附图说明

为了更清楚地说明本发明实施方式中的技术方案，下面将对实施方式描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施方式中DGA域名的检测方法步骤图；

图2是本发明实施方式中自编码器所处的系统架构示意图；