[发明专利]域名检测方法、系统及相关设备

说明书

本公开提供了一种域名检测方法，涉及通信技术领域，该方法包括：提取域名系统流量中待检测域名的高级别域名；将高级别域名与目标字符列表进行匹配得到匹配结果；根据高级别域名，通过文本分类计算得到文本正例概率；根据匹配结果和文本正例概率计算得到待检测域名的分类概率；以及根据分类概率确定待检测域名的预测类别。本公开方法通过提取高级别域名部分，尽可能多地保留有效字符信息，从而增加了检测结果的泛化能力，提高了检测结果的准确率。进一步地，结合字符匹配和文本分类的方法，增加了域名分析的解释性以及域名分析的可靠性。

技术领域

本公开涉及通信技术领域，尤其涉及一种域名检测方法、系统、装置、计算机可读存储介质及电子设备。

背景技术

随着网络技术的发展，窃取他人计算资源的恶意网站层出不穷，极大危害被攻击者的利益。现有技术往往都是基于分析域名的字符特征的方法，但实际上恶意域名为了避免被检测，会在域名中添加许多干扰信息从而影响检测的准确性，另一方面，恶意域名中也不一定具备可预判字符特征，因此准确率低。

因此，如何提高域名检测结果的准确率是一个亟需解决的问题。

需要说明的是，在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

发明内容

本公开的目的在于提供一种域名检测方法、系统、装置、计算机可读存储介质及电子设备，以至少解决相关技术中域名检测准确率不高的技术问题。

本公开的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开的实践而习得。

本公开的技术方案如下：

根据本公开的一个方面，提供一种域名检测方法，该方法包括：提取域名系统流量中待检测域名的高级别域名；将高级别域名与目标字符列表进行匹配得到匹配结果；根据高级别域名，通过文本分类计算得到文本正例概率；根据匹配结果和文本正例概率计算得到待检测域名的分类概率；以及根据分类概率确定待检测域名的预测类别。

在本公开的一些实施例中，提取域名系统流量中待检测域名的高级别域名的步骤包括：按照待检测域名中的点号检测待检测域名的字符段数量；若字符段数量不大于2，则将待检测域名作为高级别域名；若字符段数量大于2，则提取待测域名的一级域名和二级域名作为高级别域名。

在本公开的一些实施例中，根据高级别域名，通过文本分类计算得到文本正例概率的步骤包括：从搜索服务器中获取高级别域名的文本数据；以及将文本数据输入至训练好的目标文本描述模型，得到待检测域名的文本正例概率。

在本公开的一些实施例中，将文本数据输入至训练好的目标文本描述模型，得到待检测域名的文本正例概率的步骤之前包括：从搜索服务器中获取目标类别域名的文本数据和非目标类别域名的文本数据；将目标类别域名的文本数据标记为正例和非目标类别域名的文本数据标记为反例；以及使用标记为正例的文本数据和反例的文本数据，对基于变换器的双向编码器表征模型进行训练得到目标文本描述模型。

在本公开的一些实施例中，根据匹配结果和文本正例概率计算得到待检测域名的分类概率的步骤包括：根据分类概率f(m,p)和匹配结果m∈{0,1}以及文本正例概率p∈[0,1]的关系计算得到分类概率，该关系表示为：

其中，λ∈[0,1]为超参数。

在本公开的一些实施例中，将高级别域名与目标字符列表进行匹配得到匹配结果的步骤包括：将高级别域名与目标地址库进行匹配，若高级别域名与目标地址库中的目标类别域名匹配成功，则将待检测域名的类别确认为目标类别；将高级别域名与白名单进行匹配，若高级别域名与白名单匹配成功，则将待检测域名的类别确认为非目标类别；若待检测域名与目标地址库和白名单均匹配失败，则将高级别域名与目标字符列表进行匹配得到匹配结果。