本發(fā)明涉及網(wǎng)絡(luò)安全，尤其涉及一種惡意域名自動檢測方法、裝置、設(shè)備以及介質(zhì)。

背景技術(shù)：

1、隨著互聯(lián)網(wǎng)的快速發(fā)展，ipv6協(xié)議因其龐大的地址空間在應(yīng)對部分網(wǎng)絡(luò)攻擊方面具有天然優(yōu)勢，但同時(shí)也帶來了新的安全挑戰(zhàn)。其中，dga惡意域名是攻擊者利用特定算法生成大量偽隨機(jī)域名，以逃避域名黑名單檢測的一種技術(shù)手段，這些域名通常被用于僵尸網(wǎng)絡(luò)的c&c(command?and?control，命令與控制)服務(wù)器通信，嚴(yán)重威脅網(wǎng)絡(luò)安全。

2、現(xiàn)有技術(shù)中，基于dns圖挖掘的檢測算法、支持向量機(jī)和馬爾科夫鏈算法等已被用于dga惡意域名的識別，但存在檢測效率不高、誤報(bào)率較高等問題。特別是在ipv6環(huán)境下，由于地址空間的復(fù)雜性和協(xié)議本身的安全機(jī)制變化，傳統(tǒng)的檢測方法面臨更大的挑戰(zhàn)。

技術(shù)實(shí)現(xiàn)思路

1、基于此，本發(fā)明提供了一種惡意域名自動檢測方法、裝置、設(shè)備以及介質(zhì)，以解決傳統(tǒng)dga惡意域名檢測方法準(zhǔn)確率低的問題。

2、第一方面，本發(fā)明實(shí)施例提供了一種惡意域名自動檢測方法，該方法包括：

3、采集設(shè)定時(shí)間段內(nèi)的域名解析系統(tǒng)dns流量數(shù)據(jù)，從所述dns流量數(shù)據(jù)中提取得到dns協(xié)議數(shù)據(jù)；

4、利用設(shè)定解析軟件對全部dns協(xié)議數(shù)據(jù)進(jìn)行解析，得到與每個(gè)dns協(xié)議數(shù)據(jù)分別對應(yīng)的dns日志數(shù)據(jù)；

5、對各dns日志數(shù)據(jù)進(jìn)行數(shù)據(jù)清洗，并對數(shù)據(jù)清洗后的dns日志數(shù)據(jù)提取二級域名信息；

6、將提取出的二級域名信息進(jìn)行黑白名單匹配，將未存在于黑白名單中的二級域名信息作為待檢測域名，輸入至預(yù)先訓(xùn)練的多層感知機(jī)mlp模型中進(jìn)行域名生成算法dga的檢測，判斷待檢測域名是否為惡意域名。

7、第二方面，本發(fā)明實(shí)施例提供了一種惡意域名自動檢測裝置，該裝置包括：

8、dns協(xié)議數(shù)據(jù)提取模塊，用于采集設(shè)定時(shí)間段內(nèi)的域名解析系統(tǒng)dns流量數(shù)據(jù)，從所述dns流量數(shù)據(jù)中提取得到dns協(xié)議數(shù)據(jù)；

9、dns協(xié)議數(shù)據(jù)解析模塊，用于利用設(shè)定解析軟件對全部dns協(xié)議數(shù)據(jù)進(jìn)行解析，得到與每個(gè)dns協(xié)議數(shù)據(jù)分別對應(yīng)的dns日志數(shù)據(jù)；

10、二級域名信息提取模塊，用于對各dns日志數(shù)據(jù)進(jìn)行數(shù)據(jù)清洗，并對數(shù)據(jù)清洗后的dns日志數(shù)據(jù)提取二級域名信息；

11、惡意域名檢測模塊，用于將提取出的二級域名信息進(jìn)行黑白名單匹配，將未存在于黑白名單中的二級域名信息作為待檢測域名，輸入至預(yù)先訓(xùn)練的多層感知機(jī)mlp模型中進(jìn)行域名生成算法dga的檢測，判斷待檢測域名是否為惡意域名。

12、第三方面，本發(fā)明實(shí)施例提供了一種電子設(shè)備，所述電子設(shè)備包括：

13、至少一個(gè)處理器；以及

14、與所述至少一個(gè)處理器通信連接的存儲器；其中，

15、所述存儲器存儲有可被所述至少一個(gè)處理器執(zhí)行的計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被所述至少一個(gè)處理器執(zhí)行，以使所述至少一個(gè)處理器能夠執(zhí)行本發(fā)明任一實(shí)施例所述的一種惡意域名自動檢測方法。

16、第四方面，還提供了一種計(jì)算機(jī)可讀存儲介質(zhì)，所述計(jì)算機(jī)可讀存儲介質(zhì)存儲有計(jì)算機(jī)指令，所述計(jì)算機(jī)指令用于使處理器執(zhí)行時(shí)實(shí)現(xiàn)本發(fā)明任一實(shí)施例所述的一種惡意域名自動檢測方法。

17、本發(fā)明實(shí)施例的技術(shù)方案，采用神經(jīng)網(wǎng)絡(luò)多層感知機(jī)mlp模型，并結(jié)合詞袋模型的分析方法提取域名特征，實(shí)現(xiàn)了對正常域名以及dga惡意域名的精準(zhǔn)分類，同時(shí)通過對域名黑白名單的持續(xù)更新能夠不斷優(yōu)化神經(jīng)網(wǎng)絡(luò)多層感知機(jī)模型，并通過定期選取特定時(shí)間段的域名數(shù)據(jù)進(jìn)行重新訓(xùn)練評估，使其靈活適應(yīng)網(wǎng)絡(luò)環(huán)境變化，進(jìn)而對網(wǎng)絡(luò)安全態(tài)勢感知提供了有力支持。

18、應(yīng)當(dāng)理解，本部分所描述的內(nèi)容并非旨在標(biāo)識本發(fā)明的實(shí)施例的關(guān)鍵或重要特征，也不用于限制本發(fā)明的范圍。本發(fā)明的其它特征將通過以下的說明書而變得容易理解。

技術(shù)特征：

1.一種惡意域名自動檢測方法，其特征在于，包括：

2.根據(jù)權(quán)利要求1所述的方法，其特征在于，在對數(shù)據(jù)清洗后的二級域名信息進(jìn)行黑白名單匹配之前，還包括：

3.根據(jù)權(quán)利要求1或2所述的方法，其特征在于，在將未存在于黑白名單中的二級域名信息作為待檢測域名，輸入至預(yù)先訓(xùn)練的多層感知機(jī)mlp模型中進(jìn)行dga的檢測之前，還包括：

4.根據(jù)權(quán)利要求3所述的方法，其特征在于，將與各域名分別對應(yīng)的域名向量數(shù)據(jù)劃分為訓(xùn)練集和測試集，并基于所述訓(xùn)練集和測試集訓(xùn)練得到滿足性能要求的所述mlp模型，包括：

5.根據(jù)權(quán)利要求4所述的方法，其特征在于，將測試集中的各域名數(shù)據(jù)分別輸入至所述損失最小的mlp模型中進(jìn)行預(yù)測結(jié)果評估，得到模型評估結(jié)果，包括：

6.根據(jù)權(quán)利要求4所述的方法，其特征在于，在將訓(xùn)練集中的各域名向量數(shù)據(jù)分別輸入至調(diào)參后的初始mlp模型中進(jìn)行數(shù)據(jù)擬合之前，還包括：

7.根據(jù)權(quán)利要求1所述的方法，其特征在于，在判斷待檢測域名是否為惡意域名之后，還包括：

8.一種惡意域名自動檢測裝置，其特征在于，包括：

9.一種電子設(shè)備，其特征在于，所述電子設(shè)備包括：

10.一種計(jì)算機(jī)可讀存儲介質(zhì)，其特征在于，所述計(jì)算機(jī)可讀存儲介質(zhì)存儲有計(jì)算機(jī)指令，所述計(jì)算機(jī)指令用于使處理器執(zhí)行時(shí)實(shí)現(xiàn)權(quán)利要求1-7中任一項(xiàng)所述的一種惡意域名自動檢測方法。

技術(shù)總結(jié)
本發(fā)明公開了一種惡意域名自動檢測方法、裝置、設(shè)備以及介質(zhì)。該方法包括：采集設(shè)定時(shí)間段內(nèi)的流量數(shù)據(jù)，從流量數(shù)據(jù)中提取出DNS協(xié)議數(shù)據(jù)；利用解析軟件對全部DNS協(xié)議數(shù)據(jù)進(jìn)行解析，得到與每個(gè)DNS協(xié)議數(shù)據(jù)對應(yīng)的DNS日志數(shù)據(jù)；對DNS日志數(shù)據(jù)進(jìn)行數(shù)據(jù)清洗，對數(shù)據(jù)清洗后的DNS日志數(shù)據(jù)提取二級域名信息；將二級域名信息進(jìn)行黑白名單匹配，將未存在于黑白名單中的二級域名信息作為待檢測域名，輸入至MLP模型中進(jìn)行DGA檢測，判斷待檢測域名是否為惡意域名。本發(fā)明實(shí)施例實(shí)現(xiàn)了對正常域名以及DGA惡意域名的精準(zhǔn)分類，并不斷優(yōu)化神經(jīng)網(wǎng)絡(luò)多層感知機(jī)模型，使其靈活適應(yīng)網(wǎng)絡(luò)環(huán)境變化的同時(shí)對網(wǎng)絡(luò)安全態(tài)勢感知提供了支持。

技術(shù)研發(fā)人員：王赟,尚程,黃曉青,龔濟(jì)才,李天將,傅強(qiáng),王杰,楊滿智,金紅,陳曉光,胡兵
受保護(hù)的技術(shù)使用者：恒安嘉新（北京）科技股份公司
技術(shù)研發(fā)日：
技術(shù)公布日：2025/1/6