[发明专利]一种基于词向量的恶意域名集群检测方法及装置

说明书

本发明公开了一种基于词向量的恶意域名集群检测方法及装置，包括：通过服务器日志中原始数据，生成各客户端的访问序列；对访问序列从时间维度与空间维度上进行聚类，生成域名访问序列；对各域名访问序列进行访问域名去重处理，生成域名集群；生成各访问域名的域名语义向量；通过域名集群与域名语义向量，生成域名语义向量矩阵；依据域名语义向量矩阵对域名集群进行分类，得到恶意域名集群检测结果。本发明可有效识别进行同一恶意活动的域名集群，为分析恶意活动提供更全面的视角，并且使用数据字段少，使用的计算资源少，提高了检测效率，可有效部署在各类企业或服务商网络中，无需安全人员手动调节参数，预训练好的模型可以稳定有效的运行。

技术领域

本发明属于计算机网络空间安全领域，尤其涉及一种基于词向量的恶意域名集群检测方法及装置。

背景技术

恶意域名是攻击者进行恶意活动的基础，目前有不少研究从各种角度旨在发现网络中的恶意域名，主要检测方法有两种：1)基于对象的方法；2)基于关联的方法。

(1)基于对象的检测方法：这种方法主要根据先验知识从多种角度提取用于识别域名恶意性的特征，然后构建分类器识别恶意域名。这类方法从多种类型的数据中收集相关信息，如DNS流量，whois信息，passiveDNS信息，地理位置信息等，常用的相关特征有域名解析IP地址，域名字符特征，域名访问特征等。代表工作主要有Notos[1],EXPOSURE[2],Predator[3],Phonenix[4]等。

(2)基于关联的检测方法:这种方法则专注于分析域名之间的关联来识别恶意域名。经常被使用的关联包括重定向(ShadyPath[5],VisHunter[6])、转移共现关系(GMAD[7],CoDetecter[8])、访问客户端关联([9][10])、解析地址关联[11]、域名注册信息和承载文件关联[12]等。

但是，现在攻击者倾向于利用多个恶意域名组成的动态恶意基础设施平台来进行攻击，与单一域名相比，部署多个恶意域名可以使攻击更加有效和隐秘。

无论是基于对象的检测还是基于关联的检测方法，它们最终的目的是都是检测某一恶意域名，即判断某域名是否是恶意的。这些工作专注于单一的恶意域名检测，忽视了协同完成同一恶意活动域名之间的关联，缺乏对协同工作的恶意域名集群的分析，无法提供观察恶意活动的全景视角。此外，一些关注域名关联的工作则需求复杂的数据集，比如重定向链，承载文件，域名注册信息等，数据获取不易，所需资源较多。

发明内容

本发明针对识别协同参与同一恶意活动的恶意域名集群这一空白，研究分析域名之间的行为关联，设计一种基于词向量的恶意域名集群检测方法及装置，利用客户端访问域名的顺序关系，从时间和空间两个维度提取协同作用完成同一活动的域名，并且利用word2vec的词向量表达方法，提取域名的语义特征，结合CNN模型，综合一个集群中所有域名的语义特征提取相应的集群特征，进而对域名集群进行分类，从而从全局视角观察恶意活动，识别恶意域名集群。

为达到上述目的，本发明的技术方案包括：

一种基于词向量的恶意域名集群检测方法，其步骤包括：

1)提取服务器日志中原始数据的有效数据，并根据所述有效数据，生成各客户端的访问序列，其中有效数据包括：时间戳、源IP和访问域名；

2)对每一访问序列从时间维度与空间维度上进行聚类，生成一个域名访问序列；

3)对每一域名访问序列，若该域名访问序列中相邻的访问域名相同，则进行去重，并将去重后包含多个访问域名的域名访问序列，作为一个域名集群；

4)将一个访问域名视为一个单词，将一个域名集群视为一个句子，并依据域名集群计算所有客户端在访问行为上的相似上下文关系，得到每一访问域名的域名语义向量；