[发明专利]一种基于词向量的恶意域名集群检测方法及装置

权利要求书

1.一种基于词向量的恶意域名集群检测方法，其步骤包括：

1)提取服务器日志中原始数据的有效数据，并根据所述有效数据，生成各客户端的访问序列，其中有效数据包括：时间戳、源IP和访问域名；

2)对每一访问序列从时间维度与空间维度上进行聚类，生成一个域名访问序列；

3)对每一域名访问序列，若该域名访问序列中相邻的访问域名相同，则进行去重，并将去重后包含多个访问域名的域名访问序列，作为一个域名集群；

4)将一个访问域名视为一个单词，将一个域名集群视为一个句子，并依据域名集群计算所有客户端在访问行为上的相似上下文关系，得到每一访问域名的域名语义向量；

5)将域名集群输入基于textCNN的域名集群分类模型，得到恶意域名集群检测结果；

其中所述基于textCNN的域名集群分类模型包括：

输入层，用以将域名集群作为输入；

嵌入层，用以基于域名集群与每一访问域名的域名语义向量，生成L*k维的域名语义向量矩阵，L为域名集群的长度，k为域名语义向量的维度；

卷积层，用以根据L*k维的域名语义向量矩阵，生成若干特征图；

最大池化层，用以对所述特征图进行最大池化操作，获取特征图的特征；

输出层，用以将所有特征图的特征输入全连接层并且使用softmax函数作为激活函数，输出恶意域名集群检测结果。

2.如权利要求1所述的方法，其特征在于，生成各客户端的访问序列之前，对有效数据进行预处理；所述预处理包括：删除若干最活跃客户端的有效数据、过滤不符合规则的访问域名和过滤无效访问域名。

3.如权利要求1所述的方法，其特征在于，通过以下步骤对每一访问序列从时间维度上进行聚类：

1)对每一访问序列Ci＝{(s₁,t₁),…,(s_j,t_j),…,(s_n,t_n)}，计算两个相邻的访问请求(s_j,t_j)与(s_j+1,t_j+1)的时间间隔ΔT＝t_j+1-t_j，其中i为客户端序号，j为访问序列Ci中访问请求的序号，s为访问域名，t为时间戳中的访问时间；

2)若时间间隔ΔT大于设定阈值τ，则将该访问序列Ci从此切开，得到若干访问子序列Cp，其中p为访问子序列的序号。

4.如权利要求3所述的方法，其特征在于，通过以下步骤对每一访问序列从空间维度上进行聚类：

1)对每一访问子序列Cp＝{(s₁,t₁),…,(s_q,t_q),…,(s_m,t_m)}，计算两个相邻的访问请求(s_q,t_q)与(s_q+1,t_q+1)的域名相似度Similarity(s_q,s_q+1)，其中q为访问序列Cp中访问请求的序号；

2)若域名相似度Similarity(s_q,s_q+1)大于设定阈值γ，则将该访问子序列Cp从此切开，得到域名访问序列。

5.如权利要求4所述的方法，其特征在于，域名相似度其中Client(s_q)为访问了访问域名s_q的客户端集合。

6.如权利要求1所述的方法，其特征在于，得到域名语义向量的方法包括：使用word2vec的CBOW模式。

7.一种存储介质，所述存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时执行权利要求1-6中任一所述方法。

8.一种电子装置，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以执行如权利要求1-6中任一所述方法。