CN110166422A - 域名行为识别方法、装置、可读存储介质和计算机设备 - Google Patents

域名行为识别方法、装置、可读存储介质和计算机设备 Download PDF

Info

Publication number
CN110166422A
CN110166422A CN201910257877.1A CN201910257877A CN110166422A CN 110166422 A CN110166422 A CN 110166422A CN 201910257877 A CN201910257877 A CN 201910257877A CN 110166422 A CN110166422 A CN 110166422A
Authority
CN
China
Prior art keywords
domain name
sequence
behavior sequence
time period
behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910257877.1A
Other languages
English (en)
Other versions
CN110166422B (zh
Inventor
张壮
董志强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN201910257877.1A priority Critical patent/CN110166422B/zh
Publication of CN110166422A publication Critical patent/CN110166422A/zh
Application granted granted Critical
Publication of CN110166422B publication Critical patent/CN110166422B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本申请涉及域名行为识别方法、装置、计算机可读存储介质和计算机设备,所述方法包括:获取与目标域名标识对应的第一时间段内的域名行为序列;将第一时间段内的域名行为序列输入域名行为识别模型中进行处理,得到第一行为预测序列;其中,域名行为识别模型包括异常域名行为模型,异常域名行为模型是根据已知类别的异常域名行为序列样本集训练而成的;获取与目标域名标识对应的第二时间段内的域名行为序列,其中,第二时间段为与第一时间段相邻的下一时间段;将第一行为预测序列和第二时间段内的域名行为序列比对,生成比对结果;根据比对结果确定目标域名标识对应的第二时间段内的域名行为序列的类别。本申请的方案可以提高域名行为识别的准确性。

Description

域名行为识别方法、装置、可读存储介质和计算机设备
技术领域
本申请涉及计算机技术领域,特别是涉及一种域名行为识别方法、装置、计算机可读存储介质和计算机设备。
背景技术
DNS(Domain Name System,域名系统)是一个域名和IP地址相互映射的数据库,能使用户更加方便地访问互联网。然而,域名容易遭受攻击。攻击者可以利用DGA(DomainGenerate Algorithm,域名生成算法)来生成用作域名的伪随机字符串,有效避开黑名单列表。传统的方法是通过收集样本以及对DGA进行逆向预测哪些域名会被生成和预注册,并将它们列入黑名单中。然而传统的方法不能有效区分域名行为的类别。
发明内容
基于此,有必要针对传统方法不能有效区分域名行为的类别的技术问题,提供一种域名行为识别方法、装置、计算机可读存储介质和计算机设备。
一种域名行为识别方法,包括:获取与目标域名标识对应的第一时间段内的域名行为序列;将第一时间段内的域名行为序列输入域名行为识别模型中进行处理,得到第一行为预测序列;其中,域名行为识别模型包括异常域名行为模型,异常域名行为模型是根据已知类别的异常域名行为序列样本集训练而成的;获取与目标域名标识对应的第二时间段内的域名行为序列,其中,第二时间段为与第一时间段相邻的下一时间段;将第一行为预测序列和第二时间段内的域名行为序列比对,生成比对结果;根据比对结果确定目标域名标识对应的第二时间段内的域名行为序列的类别。
一种域名行为识别装置,所述装置包括:获取模块,用于获取与目标域名标识对应的第一时间段内的域名行为序列;输入模块,用于将第一时间段内的域名行为序列输入域名行为识别模型中进行处理,得到第一行为预测序列;其中,域名行为识别模型包括异常域名行为模型,异常域名行为模型是根据已知类别的异常域名行为序列样本集训练而成的;获取模块,还用于获取与目标域名标识对应的第二时间段内的域名行为序列,其中,第二时间段为与第一时间段相邻的下一时间段;比对模块,用于将第一行为预测序列和第二时间段内的域名行为序列比对,生成比对结果;确定模块,用于根据比对结果确定目标域名标识对应的第二时间段内的域名行为序列的类别。
一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行如下步骤:获取与目标域名标识对应的第一时间段内的域名行为序列;将第一时间段内的域名行为序列输入域名行为识别模型中进行处理,得到第一行为预测序列;其中,域名行为识别模型包括异常域名行为模型,异常域名行为模型是根据已知类别的异常域名行为序列样本集训练而成的;获取与目标域名标识对应的第二时间段内的域名行为序列,其中,第二时间段为与第一时间段相邻的下一时间段;将第一行为预测序列和第二时间段内的域名行为序列比对,生成比对结果;根据比对结果确定目标域名标识对应的第二时间段内的域名行为序列的类别。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如下步骤:获取与目标域名标识对应的第一时间段内的域名行为序列;将第一时间段内的域名行为序列输入域名行为识别模型中进行处理,得到第一行为预测序列;其中,域名行为识别模型包括异常域名行为模型,异常域名行为模型是根据已知类别的异常域名行为序列样本集训练而成的;获取与目标域名标识对应的第二时间段内的域名行为序列,其中,第二时间段为与第一时间段相邻的下一时间段;将第一行为预测序列和第二时间段内的域名行为序列比对,生成比对结果;根据比对结果确定目标域名标识对应的第二时间段内的域名行为序列的类别。
上述域名行为识别方法、装置、计算机可读存储介质和计算机设备,获取与目标域名标识对应的第一时间段内的域名行为序列,将第一时间段内的域名行为序列输入域名行为识别模型中进行处理,得到第一行为预测序列,能得到目标域名标识对应的第一行为预测序列;其中,域名行为识别模型包括异常域名行为模型,异常域名行为模型是根据已知类别的异常域名行为序列样本集训练而成的,获取与目标域名标识对应的第二时间段内的域名行为序列,将第一行为预测序列和第二时间段内的域名行为序列比对,生成比对结果,根据比对结果确定目标域名标识对应的第二时间段内的域名行为序列的类别,不仅可以检测到病毒序列,还能确定第二时间段内的域名行为序列具体是哪种已知类别的异常域名行为序列对应的类别,同时也能确定目标域名标识对应的类别,提高域名行为识别的准确性。
附图说明
图1为一个实施例中域名行为识别方法的应用环境图;
图2为一个实施例中域名行为识别方法的流程示意图;
图3为一个实施例中确定域名行为序列的类别的流程示意图;
图4为一个实施例中一个实施例中确定目标域名标识的类别的流程示意图;
图5为再一个实施例中域名行为识别方法的流程示意图;
图6为另一个实施例中域名行为识别方法的流程示意图;
图7为又一个实施例中域名行为识别方法的流程示意图;
图8为一个实施例中对未知域名行为序列进行训练的流程示意图;
图9为一个实施例中异常域名行为模型训练的流程示意图;
图10为一个实施例中某一进程在24小时内产生的域名行为序列的示意图;
图11(a)为一个实施例中LSTM模型的原理结构示意图;
图11(b)为一个实施例中一个实施例中LSTM模型的输入门结构示意图;
图12为一个实施例中域名行为识别装置的结构框图;
图13为另一个实施例中域名行为识别装置的结构框图;
图14为一个实施例中计算机设备的结构框图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
图1为一个实施例中域名行为识别方法的应用环境图。该域名行为识别方法可应用于域名行为识别系统。该域名行为识别系统包括终端110和服务器120。终端110和服务器120通过网络连接。终端110具体可以是台式终端或移动终端,移动终端具体可以手机、平板电脑、笔记本电脑等中的至少一种。服务器120可以用独立的服务器或者是多个服务器组成的服务器集群来实现。终端110和服务器120均可基于各种操作系统,比如,Windows操作系统、Linux操作系统或者Android操作系统等。域名行为识别程序可应用于终端110中,也可以应用于服务器120中。
在一个实施例中,如图2所示,提供了一种域名行为识别方法。本实施例以该方法应用于上述图1中的终端110或服务器120来举例说明。参照图2,该域名行为识别方法具体包括如下步骤:
步骤202,获取与目标域名标识对应的第一时间段内的域名行为序列。
其中,域名(Domain Name)是一串用点分隔的名字组成的网络上某一台计算机或计算机组的名称。域名通常由从a到z的26个拉丁字母、0到9的10个阿拉伯数字及符号等构成,并按一定的层次和逻辑排列。域名标识是用于区分域名的唯一标识。比如,abcd.com。第一时间段可以是指当前时间段,也可以是当前时间段之前的任一时间段。第一时间段内具体可以为一分钟内、五分钟内、一小时内、五小时内、一天内或一月内等等不限于此。第一时间段中至少包含一个时刻。域名行为序列具体可以为某一进程访问目标域名标识时产生的行为序列,例如域名访问次数序列或者域名解析次数序列。其中,该域名访问次数序列中包括至少一个访问次数值。或者该域名解析次数序列中包括至少一个域名解析次数值。
具体地,域名行为识别程序可以实时获取与目标域名标识对应的第一时间段内的域名行为序列。域名行为识别程序也可以从终端或者服务器的域名访问记录中获取与目标域名标识对应的第一时间段内的域名行为序列。例如,域名行为识别程序可以获取目标域名标识为cdefg.com对应的某一分钟内的域名行为序列。
步骤204,将第一时间段内的域名行为序列输入域名行为识别模型中进行处理,得到第一行为预测序列,其中,域名行为识别模型包括异常域名行为模型,异常域名行为模型是根据已知类别的异常域名行为序列样本集训练而成的。
其中,域名行为识别模型可以是通过机器学习训练得到的模型。例如,LSTM(LongShort-Term Memory,长短期记忆网络)、RNN(Recurrent Neural Network,循环神经网络)或CNN(Convolutional Neural Networks,卷积神经网络)等神经网络。域名行为识别模型还可以包括正常域名行为模型。已知类别的异常域名行为序列样本集是指该异常域名行为序列样本的集合的类别是已知的。异常域名行为序列是指终端或服务器在遭受DNS攻击时产生的域名行为序列。异常域名行为序列样本集的类别具体可以为DDOS(DistributedDenial of Service,分布式拒绝服务)攻击、远控、挖矿、木马病毒、暴力破解、刷流量、注入中的至少一种但不限于此。由于一个域名可以对应两种或两种以上DNS攻击类别,则异常域名行为序列样本集的类别还可以是DDOS攻击+远控、DDOS攻击+挖矿、DDOS攻击+挖矿+远控、未知等不限于此。第一行为预测序列是指对第一时间段内的域名行为序列进行预测生成的预测序列。第一行为预测序列具体可以是预测该域名在第一时间段之后的时间段将会产生的行为序列,例如第二时间段将会产生的行为序列但不限于此。
具体地,域名行为识别程序将第一时间段内的域名行为序列输入域名行为识别模型中,提取第一时间段内的域名行为序列的特征进行预测,得到第一行为预测序列。第一行为预测序列对应的类别是已知类别的与域名行为序列样本集中的类别的一种。其中,域名行为识别模型包括异常域名行为模型。异常域名行为模型是根据至少一种已知类别的域名行为序列样本集训练而成的。
步骤206,获取与目标域名标识对应的第二时间段内的域名行为序列,其中,第二时间段为与第一时间段相邻的下一时间段。
其中,第二时间段是指与第一时间段相邻的下一时间段。例如当以一分钟为一个时间段时,那么第一时间段为2018年8月8日8时8分至2018年8月8日8时9分,那么第二时间段则为2018年8月8日8时9分至2018年8月8日8时10分。当以一小时为一个时间段时,例如第一时间段为2018年8月8日8时至2018年8月8日9时,第二时间段则为2018年8月8日9时至2018年8月8日10时。
具体地,域名行为识别程序获取与目标域名标识对应的第二时间段内的域名行为序列。例如,域名行为识别程序获取与目标域名标识为cdefg.com对应的第二时间段内的域名行为序列。
步骤208,将第一行为预测序列和第二时间段内的域名行为序列比对,生成比对结果。
其中,比对结果具体可以是“是”或者“否”,可以是“yes”或者“no”,可以是“0”或者“1”或者0~1之间的任意数字、百分比等,也可以是一个比对分值,还可以是第二时间段内的域名行为序列的类别。
具体地,域名行为识别程序可通过比对算法将由第一时间段内的域名行为序列得到的第一行为预测序列,和第二时间段内的域名行为序列比对,得到比对结果。比对算法如Needleman-Wunsch算法、Smith-Waterman算法、欧几里得距离算法、皮尔逊相关系数算法或余弦相似度算法等。
步骤210,根据比对结果确定目标域名标识对应的第二时间段内的域名行为序列的类别。
其中,域名行为序列的类别包括已知类别的异常域名行为序列样本集对应的类别。
具体地,域名行为识别程序根据比对结果识别得到目标域名标识对应的第二时间段内的域名行为识别序列的类别。
本实施例中,当比对结果为“是”、“yes”或者高于某个阈值等时,域名行为识别程序确定该第一预测序列与第二时间段内的域名行为序列比对成功。域名行为识别序列获取第一预测序列对应的类别,将第一预测序列对应的类别作为第二时间段内的域名行为序列的类别。
本实施例中,当比对结果为第二时间段内的域名行为识别序列的类别时,则第一预测序列与第二时间段内的域名行为序列比对成功。域名行为识别程序根据比对结果确定目标域名标识对应的第二时间段内的域名行为识别序列的类别。
本实施例中,当域名行为识别模型中包括正常行为序列模型时,域名行为识别程序根据比对结果可识别得到第二时间段内的域名行为序列对应的类别为正常,或第二时间段内的域名行为序列对应的类别为已知类别的异常域名行为序列样本集对应的类别,或第二时间段内的域名行为序列对应的类别为未知。
上述域名行为识别方法,获取与目标域名标识对应的第一时间段内的域名行为序列,将第一时间段内的域名行为序列输入域名行为识别模型中进行处理,得到第一行为预测序列,能得到目标域名标识对应的第一行为预测序列;获取与目标域名标识对应的第二时间段内的域名行为序列,将第一行为预测序列和第二时间段内的域名行为序列比对,生成比对结果,根据比对结果确定目标域名标识对应的第二时间段内的域名行为序列的类别,不仅可以检测到病毒序列,还能确定第二时间段内的域名行为序列具体是哪种已知类别的异常域名行为序列对应的类别,能识别多种病毒产生的异常域名行为序列,同时也能确定目标域名标识对应的类别,提高域名行为识别的精确度和准确性,根据类别还能提高解决DNS攻击的效率。
在一个实施例中,一种域名行为识别方法,包括:获取至少两个目标域名标识中与每个目标域名标识对应的第一时间段内的域名行为序列;将每个目标域名标识对应的第一时间段内的域名行为序列输入域名行为识别模型中进行处理,得到每个目标域名标识对应的第一行为预测序列,其中,域名行为识别模型包括异常域名行为模型,异常域名行为模型是根据已知类别的异常域名行为序列样本集训练而成的;获取至少两个目标域名标识中与每个目标域名标识对应的第二时间段内的域名行为序列,其中,第二时间段为与第一时间段相邻的下一时间段;将每个目标域名行为序列对应的第一行为预测序列和第二时间段内的域名行为序列比对,生成比对结果;根据比对结果确定每个目标域名标识对应的第二时间段内的域名行为序列的类别。
上述域名行为识别方法,通过获取至少两个目标域名标识对应的域名行为序列,输入域名行为识别模型中,并比对,可对多个目标域名标识进行识别,能确定第二时间段内的域名行为序列具体是哪种已知类别的异常域名行为序列对应的类别,能识别多种病毒产生的异常域名行为序列,同时也能确定至少两个目标域名标识中每个目标域名标识对应的类别,提高域名行为识别的精确度和准确性。
在一个实施例中,如图3所示,为一个实施例中确定域名行为序列的类别的流程示意图,包括:
步骤302,将第一行为预测序列和第二时间段内的域名行为序列比对,得到第一行为预测序列和第二时间段内的域名行为序列的相似度。
其中,相似度是相似程度。相似度具体可以使用百分比或小数等表现。
具体地,域名行为识别程序通过比对算法将第一行为预测序列的值和第二时间段内的与第二时间段内的域名行为识别序列中的值进行比对,得到第一行为预测序列和第二时间段内的域名行为识别序列的相似度。
步骤304,根据相似度生成第二时间段内的域名行为序列对应的第一比对分值。
具体地,域名行为识别程序根据相似度生成第二时间段内的域名行为序列对应的第一比对分值,其中,第一比对分值与第一预测序列的类别相对应。
本实施例中,当第一行为预测序列和第二时间段内的域名行为序列的相似度超过预设阈值时,域名行为识别程序根据相似度生成第二时间段内的域名行为序列对应的第一比对分值。
本实施例中,例如第一预测序列对应的比对分值范围为-200至-300,第一预测序列与第二时间段内的域名行为识别序列的相似度为90%,则域名行为识别程序生成的第一比对分值可为-200至-300中的一个比对分值,例如可为-290或者-280等不限于此。
本实施例中,例如第一测试序列对应的比对分值范围为-300至-400,其中相似度为60%至70%对应的比对分值为-325分,70%至80%对应的比对分值为-350分,80%至90%对应的比对分值为-375分,90%至100%对应的比对分值为-400分等。那么当相似度为85%时,域名行为识别程序根据相似度生成第二时间段内的域名行为序列对应的第一比对分值则为-375分。
步骤306,确定第一比对分值所对应的目标比对分值范围。
具体地,域名行为识别程序确定第一比对分值所对应的比对分值范围。例如域名行为识别程序确定第一比对分值为-375分,则可以确定目标比对分值范围为-300至-400分。
步骤308,根据目标比对分值范围,结合比对分值范围与类别之间的对应关系,确定第二时间段内的域名行为序列的类别。
具体地,例如比对分值范围与类别之间的对应关系为比对分值范围为-200至-300时,对应的类别为远控;比对分值范围为-300至-400时,对应的类别为挖矿;比对分值范围为-500至-600时,对应的类别为木马等等不限于此。且上述数字比对分值范围可经过设置改变。那么,域名行为识别程序根据目标比对分值范围,结合比对分值范围与域名行为类别之间的对应关系,确定第二时间段内的域名行为序列的类别。
上述域名行为识别方法,将第一行为预测序列和第二时间段内的域名行为序列比对,得到第一行为预测序列和第二时间段内的域名行为序列的相似度,确定第一比对分值所对应的目标比对分值范围,根据目标比对分值范围,结合比对分值范围与类别之间的对应关系,确定第二时间段内的域名行为序列的类别,通过比对分值能具体得知第一行为预测序列和第二时间段内的域名行为序列的相似度,且能得到第二时间段内的域名行为序列的类别,提高域名行为识别的精确度和准确性。
在一个实施例中,根据比对结果确定目标域名标识对应的第二时间段内的域名行为序列的类别,包括:当比对结果超过预设阈值时,获取第一预测序列对应的类别,将第一预测序列的类别作为第二时间段内的域名行为序列的类别。
其中,比对结果可通过百分比呈现。预设阈值可以是在终端或服务器预先设置的一个值。例如预设阈值为70%、80%、85%、90%、95%或98%等不限于此。
具体地,当比对结果超过预设阈值时,域名行为识别程序确定第一预测序列和第二时间段内的域名行为序列比对成功。当比对成功时,域名行为识别程序获取第一预测序列对应的类别,将第一预测序列的类别作为第二时间段内的与域名行为序列的类别。
上述域名行为识别方法,当比对结果超过预设阈值时,获取第一预测序列对应的类别,将第一预测序列的类别作为第二时间段内的域名行为序列的类别,能识别第二时间段内的域名行为序列的类别,提高域名行为识别的准确性。
在一个实施例中,如图4所示,该域名行为识别方法还包括:
步骤402,获取连续预设数量的时间段内的域名行为序列对应的第一比对分值。
其中,第一比对分值与异常域名行为模型相对应。
具体地,域名行为识别程序获取连续预设数量的时间段内的目标域名行为序列对应的第一比对分值。其中每个时间段内的域名行为序列对应一个比对分值。
步骤404,根据预设数量的第一比对分值确定目标域名标识对应的目标域名行为序列的分值。
具体地,域名行为识别程序根据预设数量的第一比对分值进行计算,确定目标域名标识对应的第一比对分值。例如,域名行为识别程序根据60个一分钟的第一比对分值,确定目标域名标识对应的一小时内的目标域名行为序列的分值。
本实施例中,域名行为识别程序可对预设数量的第一比对分值加权求和,将加权求和得到的比对分值作为目标域名标识对应的目标域名行为序列的分值。
本实施例中,域名行为识别程序可对预设数量的第一比对分值求加权平均值,将加权平均值作为目标域名标识对应的目标域名行为序列的分值。
步骤406,根据目标域名标识对应的域名行为序列的分值确定目标域名标识的类别。
具体地,域名行为识别程序根据目标域名标识对应的域名行为序列的分值,结合比对分值范围与类别之间的对应关系,确定目标域名标识的类别。例如目标域名标识对应的域名行为序列的分值为-200,则域名行为识别程序确定目标域名标识的类别为远控。
本实施例中,例如域名行为识别程序得到目标域名标识的第二时间段对应的第一比对分值以及第三时间段对应的第一比对分值。其中,第二时间段对应的第一比对分值为-200,对应的类别为远控;第三时间段对应的第一比对分值为-350,对应的类别为挖矿。则域名行为识别程序可进行平均值的计算,得到-275的分值。其中,-200至-300的分值范围对应的类别为远控,则域名行为识别程序确定该目标域名标识的类别为远控。或者,域名行为识别程序确定该目标域名标识的类别为远控+挖矿的组合类别。
上述域名行为识别方法,通过获取连续预设数量的时间段内的域名行为序列对应的第一比对分值,能获取更多比对分值数据;根据预设数量的第一比对分值确定目标域名标识对应的域名行为序列的分值,根据目标域名标识对应的域名行为序列的分值确定目标域名标识的类别,能根据更多比对分值数据确定域名行为序列的分值,并确定目标域名标识的类别,能减少在比对过程中产生的偶然误差,提高域名行为识别的准确性。
在一个实施例中,域名行为识别模型包括正常域名行为模型。正常域名行为模型是根据至少一种已知的正常域名行为序列训练而成的。
如图5所示,该域名行为识别方法还包括:
步骤502,当根据第一比对分值确定第二时间段内的域名行为序列的类别为未知类别时,将第一时间段内的域名行为序列输入正常域名行为模型中进行处理,得到第二行为预测序列。
具体地,在根据目标比对分值范围,结合比对分值范围与异常行为序列模型中的类别之间的对应关系,确定第二时间段内的域名行为序列的类别为未知类别时,域名行为识别程序将第一时间段内的域名行为序列输入正常域名行为模型,提取第一时间段内的域名行为序列的特征,生成第二行为预测序列。
步骤504,将第二行为预测序列和第二时间段内的域名行为序列比对,生成第二时间段内的域名行为序列对应的第二比对分值。
其中,第二比对分值与正常行为模型相对应。
具体地,域名行为识别程序通过比对算法将第二行为预测序列与第二时间段内的域名行为序列比对,得到第二行为预测序列和第二时间段内的域名行为序列的相似度。域名行为识别程序根据相似度生成第二时间段内的域名行为序列对应的第二比对分值。
步骤506,当第二比对分值处于正常域名行为序列对应的比对分值范围内时,确定第二时间段内的域名行为序列的类别为正常域名行为序列。
具体地,例如正常域名行为序列对应的比对分值范围为0至5。当第二比对分值处于正常域名行为序列对应的比对分值范围内时,域名行为识别程序确定第二时间段内的域名行为序列的类别为正常域名行为序列。
上述域名行为识别方法,当第二时间段内的域名行为序列的类别为未知类别时,输入正常域名行为模型中进行处理,并比对得到第二比对分值,当第二比对分值处于正常域名行为序列对应的比对分值范围内时,确定第二时间段内的域名行为序列的类别为正常域名行为序列,能进一步判断域名行为序列的类别,提高域名行为识别的精确性。
在一个实施例中,当根据第一比对分值确定第二时间段内的域名行为序列的类别为未知类别时,将第一时间段内的域名行为序列输入正常域名行为模型进行处理,得到第二行为预测序列。将第二行为预测序列和第二时间段内的域名行为序列比对,得到比对结果;当比对成功时,确定第二时间段内的域名行为序列的类别为正常域名行为序列。上述域名行为识别方法,能进一步判断域名行为序列的类别,提高域名行为识别的精确性。
在一个实施例中,域名行为识别模型包括正常域名行为模型;正常域名行为模型是根据至少一种已知的正常域名行为序列训练而成的;在获取待识别的域名行为序列之后,还包括:
将第一时间段内的域名行为序列输入正常域名行为模型进行处理,得到第二行为预测序列;
将第二行为预测序列和第二时间段内的域名行为序列比对,生成第二时间段内的域名行为序列对应的第二比对分值;
当第二比对分值未处于正常域名行为序列对应的比对分值范围内时,执行将第一时间段内的域名行为序列输入域名行为识别模型中进行处理,得到第一行为预测序列的步骤。
上述域名行为识别方法,将第一时间段内的域名行为序列先输入正常域名行为模型进行处理,得到第二预测序列,能判断第二时间段内的域名行为序列是否为正常域名行为序列,当该域名行为序列不是正常域名行为序列时,输入异常域名行为模型,能够进一步确定第二时间段内的域名行为序列的类别,提高域名行为识别的精确性。
在一个实施例中,域名行为识别模型包括正常域名行为模型;正常域名行为模型是根据至少一种已知的正常域名行为序列训练而成的;在获取待识别的域名行为序列之后,还包括:将第一时间段内的域名行为序列输入正常域名行为模型进行处理,得到第二行为预测序列;将第二行为预测序列和第二时间段内的域名行为序列比对,当比对失败时,执行将第一时间段内的域名行为序列输入域名行为识别模型中进行处理,得到第一行为预测序列的步骤。上述域名行为识别方法,能够进一步确定第二时间段内的域名行为序列的类别,提高域名行为识别的精确性。
在一个实施例中,该域名行为识别方法还包括:当第一比对分值未处于任何比对分值范围内时,确定第二时间段内的域名行为序列的类别为未知的域名行为序列。
具体地,当第一比对分值未处于异常行为序列模型对应的比对分值范围时,域名行为识别程序确定第二时间段内的域名行为序列的类别为未知的域名行为序列。例如,异常行为序列模型对应的比对分值范围为-5至-1000,正常行为序列模型对应的比对分值为0-5,而第一比对分值为10,那么第二时间段内的域名行为序列的类别为未知的域名行为序列。该未知的域名行为序列可以为经过该异常行为序列模型后无法识别的正常行为序列,或者经过该异常行为序列模型后无法识别的异常行为序列。
本实施例中,当第一比对分值未处于异常行为序列模型对应的比对分值范围内,也未处于正常行为序列模型对应的比对分值范围内时,域名行为识别程序确定第二时间段内的域名行为序列的类别为未知的域名行为序列。
上述域名行为识别方法,当第一比对分值未处于任何比对分值范围内时,确定第二时间段内的域名行为序列的类别为未知的域名行为序列,能捕获到未知域名行为序列,收集更多的域名行为序列,后续可用于训练域名行为识别模型,提高域名行为识别的精确性。
在一个实施例中,如图6所示,为另一个实施例中域名行为识别方法的流程示意图,包括:
步骤602,获取与目标域名标识对应的第一时间段内的域名行为序列。
步骤604,域名行为识别程序将第一时间段内的域名行为序列输入异常行为序列模型,预测得到第一行为预测序列,并根据第一行为预测序列识别第二时间段内的域名行为序列是否为已知类别的异常行为序列。
步骤606,当域名行为识别程序确定第二时间段内的域名行为序列为已知类别的异常行为序列时,输出第二时间段内的域名行为序列的类别。
步骤608,当第二时间段内的域名行为序列不是已知类别的异常行为序列时,将第一时间段内的域名行为序列输入正常行为序列模型中,得到识别第二时间段内的域名行为序列是否为正常行为模型。
步骤610,域名行为识别程序识别出第二时间段内的域名行为序列为正常行为序列。
步骤612,当正常行为序列模型识别出第二时间段内的域名行为序列不是正常行为序列时,则确定第二时间段内的域名行为序列为未知的域名行为序列。其中,该未知的域名行为序列可以是未知的正常域名行为序列,也可以是未知的异常域名行为序列。
上述域名识别方法,将第一时间段内的域名行为序列输入异常行为序列模型,再输入正常行为序列模型,能区分该域名行为序列是否为正常行为序列、已知的类别的异常行为序列或者未知类别的域名行为序列,能提高域名行为识别的准确性,同时根据类别能提高解决DNS攻击的效率。
在一个实施例中,如图7所示,为又一个实施例中域名行为识别方法的流程示意图,包括:
步骤702,获取与目标域名标识对应的第一时间段内的域名行为序列。
步骤704,域名行为识别程序将第一时间段内的域名行为序列输入正常行为序列模型中,识别第二时间段内的域名行为序列是否为正常行为序列。
步骤706,域名行为识别程序识别出第二时间段内的域名行为序列为正常行为序列。
步骤708,当正常行为序列模型识别出第二时间段内的域名行为序列不是正常行为序列时,将第一时间段内的域名行为序列输入异常行为序列模型中,识别第二时间段内的域名行为序列是否为已知类别的异常行为序列。
步骤710,当识别出第二时间段内的域名行为序列为已知类别的异常行为序列时,输出第二时间段内的域名行为序列的类别。
步骤712,当异常行为序列模型识别出第二时间段内的域名行为序列不是已知类别的异常行为序列时,则确定第二时间段内的域名行为序列为未知的域名行为序列。其中,该未知的域名行为序列可以是未知的正常域名行为序列,也可以是未知的异常域名行为序列。
上述域名行为识别方法,将第一时间段内的域名行为序列输入正常行为序列模型,再输入异常行为序列模型,能区分该域名行为序列是否为正常行为序列、已知的类别的异常行为序列或者未知类别的域名行为序列,能提高域名行为识别的准确性,同时根据类别能提高解决DNS攻击的效率。
在一个实施例中,如图8所示,该域名行为识别方法还包括:
步骤802,根据未知的异常域名行为序列的时间信息和次数信息对未知域名行为序列进行聚类,生成至少一个未知域名行为序列样本集。
其中,聚类是指将对象的集合分成由类似的对象组成的多个类的过程。时间信息是指该未知的异常域名行为序列发生的时间信息,例如年、月、日、时、分、秒等。次数信息可以是某一进程对某个特定的域名标识所产生的访问次数或者域名解析次数。
具体地,域名行为识别程序可通过聚类算法,根据未知的异常域名行为序列的时间信息和次数信息,对未知域名行为序列进行聚类,生成至少一个未知域名行为序列样本集。该样本集中不含类别标注。例如,域名行为识别程序收集存储未知的异常域名行为序列,通过聚类算法将该未知的异常域名行为序列分为类别1、类别2和类别3,类别名称未知。其中,聚类算法具体可以是基于划分聚类算法、基于层次聚类算法、基于密度聚类算法、基于网格的聚类算法、基于神经网络的聚类算法或者基于统计学的聚类算法。例如,k-means算法、k-modes算法、PAM(Partitioning Around Medoid,围绕中心点的划分)算法、k-prototypes算法、CURE算法或DBSCAN(Density-Based Spatial Clustering ofApplications with Noise,基于密度的空间)算法等。
步骤804,获取至少一个未知域名行为序列样本集对应的类别标注。
其中,类别标注是用于区分类别的唯一标识。类别标注具体可以为DDOS(Distributed Denial of Service,分布式拒绝服务)攻击、远控、挖矿、木马病毒、暴力破解、刷流量、注入中的至少一种。由于一个域名可以对应两种或两种以上DNS攻击类别,则类别标注还可以是DDOS攻击+远控、DDOS攻击+挖矿、DDOS攻击+挖矿+远控等不限于此。
具体地,域名行为识别程序可从终端或服务器获取输入的至少一个未知域名行为序列样本集对应的类别标注。
步骤806,将未知域名行为序列样本集以及对应的类别标注输入域名行为识别模型进行训练,得到用于识别出未知域名行为序列的类别的域名行为识别模型。
具体地,域名行为识别程序将未知域名行为序列样本集以及对应的类别标注输入域名行为识别模型,提取该未知域名行为序列样本集的特征进行训练,得到可用于识别出该未知域名行为序列的类别的域名行为识别模型。
上述域名行为识别方法,对未知的域名行为序列进行聚类,生成至少一个未知域名行为序列样本集,再进行训练,得到用于识别出该未知域名行为序列的类别的域名行为识别模型,能够捕获并识别更多的未知域名行为序列,提高与域名行为识别的成功率以及准确性。
在一个实施例中,如图9所示,在获取进程在预设时间段内对至少一个域名产生的域名行为序列之前,该域名行为识别方法还包括:
步骤902,获取已知类别的异常域名行为序列样本集。
其中,异常域名行为序列样本集可以为至少两个样本集,每个样本集对应一个类别。异常行为序列样本中也可以包括至少两个异常行为序列,具体可以为大量的异常行为序列。
具体地,终端或服务器可通过进程实时监控并获取预设时间段内的域名行为序列,组成异常域名行为序列样本集,并获取该异常域名行为序列样本集对应的类别。域名行为识别程序从终端或服务器获取已知类别的异常域名行为序列样本集。
步骤904,将已知类别的异常域名行为序列样本集中的样本行为序列输入异常域名行为模型中,得到样本行为序列对应的预测行为序列。
具体地,域名行为识别程序将已知类别的异常域名行为序列样本集中的样本行为序列输入异常域名行为模型中进行预测,得到样本行为序列对应的预测序列。例如,域名行为识别序列获取类别为远控的异常域名行为序列样本集,将类别为远控的样本行为序列输入异常域名行为模型中进行预测,得到该样本行为序列对应的预测行为序列。其中,远控即为远程控制。
本实施例中,例如当异常域名行为序列样本的类别为DDOS时,进程在某一时间段可产生大量的访问序列,具有该特征的域名行为序列可作为异常域名行为序列。
步骤906,根据样本行为序列和预测行为序列调整异常域名行为模型的参数,得到用于识别异常行为序列的异常域名行为模型。
具体地,当样本行为序列和预测行为序列之间的相似度低于阈值,或者当样本行为序列和预测行为序列之间的比对结果为失败时,域名行为识别程序根据样本行为序列和预测行为序列不断调整异常域名行为模型的参数,得到可用于识别异常域名行为序列的异常域名行为模型。例如,样本行为序列的类别为远控,得到的预测行为序列的类别为挖矿,则比对失败,域名行为识别程序调整异常域名行为模型的参数。
上述域名行为识别方法,获取已知类别的异常域名行为序列样本集,将样本集中的样本行为序列输入异常域名行为模型中,得到预测序列,根据样本行为序列和预测序列调整异常域名行为模型的参数,得到用于识别异常域名行为序列的异常域名行为模型,可对异常域名行为模型进行不断训练,提高异常域名行为模型识别异常行为序列的准确性。
在一个实施例中,在获取与目标域名标识对应的第一时间段内的域名行为序列之前,还包括:获取正常域名行为序列样本集;将正常域名行为序列样本集中的正常样本行为序列输入正常域名行为模型中,得到正常样本行为序列对应的预测行为序列;根据正常样本行为序列和对应的预测行为序列调整正常域名行为模型的参数,得到用于识别正常域名行为序列的正常域名行为模型。
具体地,正常域名行为序列样本集中包括至少一个正常行为序列样本,具体可以为大量的正常行为序列。例如,天气预报的进程,在一天内每隔一小时访问固定的一个目标域名进行天气更新,该行为是正常域名行为,产生的序列也为正常域名行为序列。对于浏览器的进程,可能在某一段时间内访问不同的域名,该行为也为正常域名行为,产生的序列也为正常域名行为序列。
上述域名行为识别方法,获取已知类别的正常域名行为序列样本集,将样本集中的样本行为序列输入正常域名行为模型中,得到预测序列,根据样本行为序列和预测序列调整正常域名行为模型的参数,得到用于识别正常域名行为序列的正常域名行为模型,可对正常域名行为模型进行不断训练,提高正常域名行为模型识别正常行为序列的准确性。
在一个实施例中,获取与目标域名标识对应的第一时间段内的域名行为序列,包括:
步骤(a1),获取进程的域名访问记录。
其中,进程的域名访问记录中包括域名标识、访问次数信息和时间信息。每个进程对应一个域名访问记录。进程的域名访问记录可以是由终端采集后上传服务器中,也可以是从终端直接采集的域名访问记录。
具体地,域名行为识别程序从终端或服务器获取进程的域名访问记录中的域名标识、访问次数信息和时间信息。
步骤(a2),根据域名访问记录获取至少一个域名在第一时间段内产生的域名行为序列。
其中,域名行为识别程序从域名访问记录中获取至少一个域名在第一时间段内产生的域名行为序列。例如,域名行为识别程序获取域名标识为qwer.com在2018年8月8日8时至2018年8月8日9时产生的域名行为序列,该域名行为序列中包括了时间信息和访问次数信息,例如第一分钟访问次数为1、第二分钟访问次数为3…第60分钟的访问次数为1等等。或者,域名行为识别程序获取进程在每一分钟访问目标域名标识的次数,那么该进程对目标域名标识的一天中的访问次数可以表示为x1、x2、x3、x4……x1440
步骤(a3),从至少一个域名在第一时间段内产生的域名行为序列中获取与目标域名标识对应的第一时间段内的域名行为序列。
具体地,如图10所示,为一个实施例中某一进程在24小时内产生的域名行为序列的示意图。其中,横坐标表示时间,纵坐标表示访问次数。例如02:00表示2时,05:00表示5时,08:00表示8时,11:00表示11时,14:00表示14时,17:00表示17时,20:00表示20时,23:00表示23时。图10中的域名行为序列为每隔第一时间段记录一次访问次数,生成访问序列。域名行为识别程序从至少一个域名在第一时间段内产生的域名行为序列中获取与目标域名标识对应的第一时间段内的域名行为序列。
上述域名行为识别方法,获取进程的域名访问记录,根据域名访问记录获取至少一个域名在第一时间段内产生的域名行为序列,从至少一个域名在第一时间段内产生的域名行为序列中获取与目标域名标识对应的第一时间段内的域名行为序列,能够获取进程在过去时间段和当下时间段的域名访问记录,得到第二时间段对应的域名行为序列的类别。
在一个实施例中,将第一时间段内的域名行为序列输入域名行为识别模型中进行处理,得到第一行为预测序列,包括:将第一时间段内的域名行为序列输入域名行为识别模型中,得到第一时间段内的域名行为序列的时间信息和访问次数信息,并根据时间信息和访问次数信息生成第一行为预测序列。
具体地,域名行为识别程序将第一时间段内的域名行为序列输入域名行为识别模型中,提取第一时间段内的域名行为序列的时间信息和访问次数信息的特征,并根据时间信息和访问次数信息生成第一行为预测序列。
上述域名行为识别方法,将第一时间段内的域名行为序列输入域名行为识别模型中,得到第一时间段内的域名行为序列的时间信息和访问次数信息,并根据时间信息和访问次数信息生成第一行为预测序列,不会影响其他请求源的正常访问,能够提取域名行为序列的特征,且仅提取时间特征和访问次数特征,特征量较少,提高域名行为识别效率。
在一个实施例中,如图11(a)所示,为一个实施例中LSTM模型的结构示意图。其中,A表示一个cell,即表示一个神经元。上述三个A是表示同一个神经元在三个时间段的不同状态。LSTM包括三个门:遗忘门、输入门和输出门。其中,以第一时间段为一分钟为例,ht-1表示t时间段的上一分钟对应的行为预测序列,xt表示t时间段内的域名访问次数序列。Wi、bi、Wc和bc均为LSTM模型的参数。σ表示sigmoid函数,该函数可输出0-1的值。遗忘门用于控制信息传递;遗忘门的输出为ft=σ(Wf·[ht-1,xt]+bf)。
如图11(b)所示,为一个实施例中LSTM模型的输入门结构示意图。输入门用于控制信息中的ht-1和xt中的哪些信息可以加入cell中。输入门中,
it=σ(Wi·[ht-1,xt]+bi)
其中,表示新的候选值。Ct-1表示上一分钟的细胞状态。Ct表示这一分钟的细胞状态。it表示LSTM网络产生的中间参数。上式表示LSTM网络可遗忘距离当前时刻超过第一预设时长的特征,保留距离当前时刻不超过第二预设时长的重要特征。该特征例如时间信息和访问次数信息。其中,第一预设时长大于第二预设时长。第一预设时长和第二预设时长可根据需要设置。
输出门用于控制应被输出的变量,其中,
ot=σ(Wo[ht-1,xt]+bo)
ht=ot*tanh(Ct)
其中,ht表示与xt对应的第一行为预测序列;Ot表示LSTM网络产生的中间参数。
上述域名行为识别方法,通过将第一时间段内的域名行为序列输入LSTM域名行为识别模型中进行处理,得到第一行为预测序列,能保留重要的时序信息,使时间状态能对后续状态产生影响,提高域名行为识别的准确性。
在一个实施例中,将第一时间段内的域名行为序列输入域名行为识别模型中进行处理,得到第一行为预测序列,包括:将第一时间段内的域名行为序列输入域名行为识别模型中,提取第一时间段内的域名行为序列的进程信息、时间信息和访问次数信息,并根据进程信息、时间信息和访问次数信息生成第一行为预测序列。
上述域名行为识别方法,通过提取域名行为序列的进程信息、时间信息和访问次数信息,生成第一行为预测序列,能够更精确地生成第一行为预测序列,解决病毒等异常行为在不同的进程中产生特征不相同的访问序列而无法识别该序列的问题,提高域名行为识别的准确性。
在一个实施例中,该域名行为识别方法还包括:当第二时间段内的域名行为序列为已知的异常域名行为序列对应的类别时,获取第二时间段内的域名行为序列对应的目标域名标识;将目标域名标识作为异常域名标识,并存储。
其中,异常域名标识是指产生异常行为序列的域名标识。
具体地,当第二时间段内的域名行为序列为已知的异常域名行为序列对应的类别时,域名行为识别程序获取第二时间段内的域名行为序列对应的目标域名标识,该目标域名标识也为第一时间段内的域名行为序列对应的目标域名标识。域名行为识别程序将目标域名标识作为异常域名标识,并存储该目标域名标识以及该目标域名标识对应的类别。例如,域名行为识别程序可检测到病毒的域名标识,例如nitol病毒,暗云III,老裁缝病毒,挖矿病毒等对应的域名标识,并存储。服务器可禁止进程与该已存储的异常域名标识进行通信。
上述域名行为识别方法,当第二时间段内的域名行为序列为已知的异常域名行为序列对应的类别时,获取第二时间段内的域名行为序列对应的目标域名标识;将目标域名标识作为异常域名标识,并存储,能够有效捕获异常域名标识,并对异常域名标识进行拦截等操作,能提高网络运行的安全性。
在一个实施例中,该域名行为识别方法还包括:根据域名行为序列的类别输出对应的告警信息。
其中,输出是指将告警信息以数字、字符、图像、视频或声音等形式表现出来。
具体地,域名行为识别程序根据域名行为序列的类别,以数字、字符、图像、视频或声音等形式输出对应的告警信息。例如,当域名行为序列的类别为挖矿时,则输出与“挖矿”有关的告警信息。当域名行为序列的类别为远控时,则输出与“远控”有关的告警信息。当域名行为序列的类别为刷流量时,则输出与“刷流量”有关的告警信息。域名行为识别程序可将该告警信息推送至终端或者服务器,以进行网络维护。
上述域名行为识别方法,根据域名行为序列的类别输出对应的告警信息,能够直观地输出域名行为序列的类别,并可根据该类别对域名行为进行网络安全维护,提高网络安全性。
在一个实施例中,一种域名行为识别方法,包括:
步骤(b1),获取已知类别的异常域名行为序列样本集。
步骤(b2),将已知类别的异常域名行为序列样本集中的样本行为序列输入异常域名行为模型中,得到样本行为序列对应的预测行为序列。
步骤(b3),根据样本行为序列和预测行为序列调整异常域名行为模型的参数,得到用于识别异常域名行为序列的异常域名行为模型。
步骤(b4),获取进程的域名访问记录。
步骤(b5),根据域名访问记录获取至少一个域名在第一时间段内产生的域名行为序列。
步骤(b6),从至少一个域名在第一时间段内产生的域名行为序列中获取与目标域名标识对应的第一时间段内的域名行为序列。
步骤(b7),将第一时间段内的域名行为序列输入域名行为识别模型中,得到第一时间段内的域名行为序列的时间信息和访问次数信息,并根据时间信息和访问次数信息生成第一行为预测序列。其中,域名行为识别模型包括异常域名行为模型,异常域名行为模型是根据已知类别的异常域名行为序列样本集训练而成的。
步骤(b8),获取与目标域名标识对应的第二时间段内的域名行为序列,其中,第二时间段为与第一时间段相邻的下一时间段。
步骤(b9),将第一行为预测序列和第二时间段内的域名行为序列比对,得到第一行为预测序列和第二时间段内的域名行为序列的相似度。
步骤(b10),根据相似度生成第二时间段内的域名行为序列对应的第一比对分值。
步骤(b11),确定第一比对分值所对应的目标比对分值范围。
步骤(b12),根据目标比对分值范围,结合比对分值范围与类别之间的对应关系,确定第二时间段内的域名行为序列的类别。
步骤(b13),当根据第一比对分值确定第二时间段内的域名行为序列的类别为未知类别时,将第一时间段内的域名行为序列输入正常域名行为模型中进行处理,得到第二行为预测序列。
步骤(b14),将第二行为预测序列和第二时间段内的域名行为序列比对,生成第二时间段内的域名行为序列对应的第二比对分值。
步骤(b15),当第二比对分值处于正常域名行为序列对应的比对分值范围内时,确定第二时间段内的域名行为序列的类别为正常域名行为序列。
步骤(b16),获取连续预设数量的时间段内的域名行为序列对应的第一比对分值。
步骤(b17),根据预设数量的第一比对分值确定目标域名标识对应的域名行为序列的分值。
步骤(b18),根据目标域名标识对应的域名行为序列的分值确定目标域名标识的类别。
步骤(b19),当第二时间段内的域名行为序列为已知的异常域名行为序列对应的类别时,获取第二时间段内的域名行为序列对应的目标域名标识。
步骤(b20),将目标域名标识作为异常域名标识,并存储。
步骤(b21),根据域名行为序列的类别输出对应的告警信息。
虽然上述步骤(b1)至步骤(b21)按照数字的指示依次显示,但是这些步骤并不是必然按照数字指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。
上述域名行为识别方法,根据样本行为序列和预测序列得到用于识别异常域名行为序列的异常域名行为模型,可对异常域名行为模型进行不断训练;获取与目标域名标识对应的第一时间段内的域名行为序列,能够获取进程在过去时间段和当下时间段的域名访问记录;先输入至异常行为序列模型,再输入至正常行为序列模型,能得到第二时间段内的域名行为序列的类别;根据目标域名标识对应的域名行为序列的分值确定目标域名标识的类别,能根据更多比对分值数据确定域名行为序列的分值,并确定目标域名标识的类别,能减少在比对过程中产生的偶然误差,提高域名行为识别的精确度和准确性;将目标域名标识作为异常域名标识,并存储,输出对应的告警信息,能够有效捕获异常域名标识,并对异常域名标识进行拦截等操作,能提高网络运行的安全性。
在一个实施例中,一种域名行为识别方法,包括:
步骤(c1),获取已知类别的异常域名行为序列样本集。
步骤(c2),将已知类别的异常域名行为序列样本集中的样本行为序列输入异常域名行为模型中,得到样本行为序列对应的预测行为序列。
步骤(c3),根据样本行为序列和预测行为序列调整异常域名行为模型的参数,得到用于识别异常域名行为序列的异常域名行为模型。
步骤(c4),获取进程的域名访问记录。
步骤(c5),根据域名访问记录获取至少一个域名在第一时间段内产生的域名行为序列。
步骤(c6),从至少一个域名在第一时间段内产生的域名行为序列中获取与目标域名标识对应的第一时间段内的域名行为序列。
步骤(c7),将第一时间段内的域名行为序列输入正常域名行为模型进行处理,得到第二行为预测序列。
步骤(c8),将第二行为预测序列和第二时间段内的域名行为序列比对,生成第二时间段内的域名行为序列对应的第二比对分值。
步骤(c9),当第二比对分值未处于正常域名行为序列对应的比对分值范围内时,将第一时间段内的域名行为序列输入域名行为识别模型中进行处理,得到第一行为预测序列。其中,域名行为识别模型包括异常域名行为模型,异常域名行为模型是根据已知类别的异常域名行为序列样本集训练而成的。
步骤(c10),获取与目标域名标识对应的第二时间段内的域名行为序列,其中,第二时间段为与第一时间段相邻的下一时间段。
步骤(c11),将第一行为预测序列和第二时间段内的域名行为序列比对,得到第一行为预测序列和第二时间段内的域名行为序列的相似度。
步骤(c12),根据相似度生成第二时间段内的域名行为序列对应的第一比对分值。
步骤(c13),确定第一比对分值所对应的目标比对分值范围。
步骤(c14),根据目标比对分值范围,结合比对分值范围与类别之间的对应关系,确定第二时间段内的域名行为序列的类别。
步骤(c15),当第二时间段内的域名行为序列为已知的异常域名行为序列对应的类别时,获取第二时间段内的域名行为序列对应的目标域名标识。
步骤(c16),将目标域名标识作为异常域名标识,并存储。
步骤(c17),根据域名行为序列的类别输出对应的告警信息。
步骤(c18),当第一比对分值未处于任何比对分值范围内时,确定第二时间段内的域名行为序列的类别为未知的域名行为序列。
步骤(c19),根据未知的异常域名行为序列的时间信息和次数信息对未知域名行为序列进行聚类,生成至少一个未知域名行为序列样本集。
步骤(c20),获取至少一个未知域名行为序列样本集对应的类别标注。
步骤(c21),将未知域名行为序列样本集以及对应的类别标注输入域名行为识别模型进行训练,得到用于识别出未知域名行为序列的类别的域名行为识别模型。
虽然上述步骤(c1)至步骤(c21)按照数字的指示依次显示,但是这些步骤并不是必然按照数字指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。
上述域名行为识别方法,根据样本行为序列和预测序列得到用于识别异常域名行为序列的异常域名行为模型,可对异常域名行为模型进行不断训练;获取与目标域名标识对应的第一时间段内的域名行为序列,能够获取进程在过去时间段和当下时间段的域名访问记录;先输入至正常域名行为模型,再输入至异常域名行为模型中,能得到第二时间段内的域名行为序列的类别;根据目标域名标识对应的域名行为序列的分值确定目标域名标识的类别,能根据更多比对分值数据确定域名行为序列的分值,并确定目标域名标识的类别,能减少在比对过程中产生的偶然误差,提高域名行为识别的精确度和准确性;将目标域名标识作为异常域名标识,并存储,输出对应的告警信息,能够有效捕获异常域名标识,并对异常域名标识进行拦截等操作,能提高网络运行的安全性;当第一比对分值未处于任何比对分值范围内时,确定第二时间段内的域名行为序列的类别为未知的域名行为序列,能捕获到未知域名行为序列,收集更多的域名行为序列,后续可用于训练域名行为识别模型,能够捕获并识别更多的未知域名行为序列,提高与域名行为识别的成功率以及准确性。
应该理解的是,虽然图2-9的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2-9中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,一种域名行为识别装置,该装置包括获取模块1202、输入模块1204、比对模块1206和确定模块1208,其中:
获取模块1202,用于获取与目标域名标识对应的第一时间段内的域名行为序列;
输入模块1204,用于将第一时间段内的域名行为序列输入域名行为识别模型中进行处理,得到第一行为预测序列,其中,域名行为识别模型包括异常域名行为模型,异常域名行为模型是根据已知类别的异常域名行为序列样本集训练而成的;
获取模块1202,还用于获取与目标域名标识对应的第二时间段内的域名行为序列,其中,第二时间段为与第一时间段相邻的下一时间段;
比对模块1206,用于将第一行为预测序列和第二时间段内的域名行为序列比对,生成比对结果;
确定模块1208,用于根据比对结果确定目标域名标识对应的第二时间段内的域名行为序列的类别。
上述域名行为识别装置,获取与目标域名标识对应的第一时间段内的域名行为序列,将第一时间段内的域名行为序列输入域名行为识别模型中进行处理,得到第一行为预测序列,能得到目标域名标识对应的第一行为预测序列;获取与目标域名标识对应的第二时间段内的域名行为序列,将第一行为预测序列和第二时间段内的域名行为序列比对,生成比对结果,根据比对结果确定目标域名标识对应的第二时间段内的域名行为序列的类别,不仅可以检测到病毒序列,还能确定第二时间段内的域名行为序列具体是哪种已知类别的异常域名行为序列对应的类别,同时也能确定目标域名标识对应的类别,提高域名行为识别的精确度和准确性。
在一个实施例中,比对模块1206用于将第一行为预测序列和第二时间段内的域名行为序列比对,得到第一行为预测序列和第二时间段内的域名行为序列的相似度;根据相似度生成第二时间段内的域名行为序列对应的第一比对分值。确定模块1208用于确定第一比对分值所对应的目标比对分值范围;根据目标比对分值范围,结合比对分值范围与类别之间的对应关系,确定第二时间段内的域名行为序列的类别。
上述域名行为识别装置,将第一行为预测序列和第二时间段内的域名行为序列比对,得到第一行为预测序列和第二时间段内的域名行为序列的相似度,确定第一比对分值所对应的目标比对分值范围,根据目标比对分值范围,结合比对分值范围与类别之间的对应关系,确定第二时间段内的域名行为序列的类别,通过比对分值能具体得知第一行为预测序列和第二时间段内的域名行为序列的相似度,且能得到第二时间段内的域名行为序列的类别,提高域名行为识别的精确度和准确性。
在一个实施例中,获取模块1202用于获取连续预设数量的时间段内的域名行为序列对应的第一比对分值。确定模块1208用于根据预设数量的第一比对分值确定目标域名标识对应的目标域名行为序列的分值;根据目标域名标识对应的域名行为序列的分值确定目标域名标识的类别。
上述域名行为识别装置,通过获取连续预设数量的时间段内的域名行为序列对应的第一比对分值,能获取更多比对分值数据;根据预设数量的第一比对分值确定目标域名标识对应的域名行为序列的分值,根据目标域名标识对应的域名行为序列的分值确定目标域名标识的类别,能根据更多比对分值数据确定域名行为序列的分值,并确定目标域名标识的类别,能减少在比对过程中产生的偶然误差,提高域名行为识别的准确性。
在一个实施例中,域名行为识别模型包括正常域名行为模型。正常域名行为模型是根据至少一种已知的正常域名行为序列训练而成的。输入模块1204用于当根据第一比对分值确定第二时间段内的域名行为序列的类别为未知类别时,将第一时间段内的域名行为序列输入正常域名行为模型中进行处理,得到第二行为预测序列。比对模块1206用于将第二行为预测序列和第二时间段内的域名行为序列比对,生成第二时间段内的域名行为序列对应的第二比对分值。确定模块1208用于当第二比对分值处于正常域名行为序列对应的比对分值范围内时,确定第二时间段内的域名行为序列的类别为正常域名行为序列。
上述域名行为识别装置,当第二时间段内的域名行为序列的类别为未知类别时,输入正常域名行为模型中进行处理,并比对得到第二比对分值,当第二比对分值处于正常域名行为序列对应的比对分值范围内时,确定第二时间段内的域名行为序列的类别为正常域名行为序列,能进一步判断域名行为序列的类别,提高域名行为识别的精确性。
在一个实施例中,域名行为识别模型包括正常域名行为模型;正常域名行为模型是根据至少一种已知的正常域名行为序列训练而成的。输入模块1204用于将第一时间段内的域名行为序列输入正常域名行为模型进行处理,得到第二行为预测序列。比对模块1206用于将第二行为预测序列和第二时间段内的域名行为序列比对,生成第二时间段内的域名行为序列对应的第二比对分值。输入模块1204还用于当第二比对分值未处于正常域名行为序列对应的比对分值范围内时,将第一时间段内的域名行为序列输入域名行为识别模型中进行处理,得到第一行为预测序列。
上述域名行为识别装置,将第一时间段内的域名行为序列先输入正常域名行为模型进行处理,得到第二预测序列,能判断第二时间段内的域名行为序列是否为正常域名行为序列,当该域名行为序列不是正常域名行为序列时,输入异常域名行为模型,能够进一步确定第二时间段内的域名行为序列的类别,提高域名行为识别的精确性。
在一个实施例中,确定模块1208用于当第一比对分值未处于任何比对分值范围内时,确定第二时间段内的域名行为序列的类别为未知的域名行为序列。
上述域名行为识别装置,当第一比对分值未处于任何比对分值范围内时,确定第二时间段内的域名行为序列的类别为未知的域名行为序列,能捕获到未知域名行为序列,收集更多的域名行为序列,后续可用于训练域名行为识别模型,提高域名行为识别的精确性。
在一个实施例中,如图13所示,该域名行为识别装置还包括聚类模块1210。聚类模块1210用于根据未知的异常域名行为序列的时间信息和次数信息对未知域名行为序列进行聚类,生成至少一个未知域名行为序列样本集。获取模块1202用于获取至少一个未知域名行为序列样本集对应的类别标注。输入模块1204用于将未知域名行为序列样本集以及对应的类别标注输入域名行为识别模型进行训练,得到用于识别出未知域名行为序列的类别的域名行为识别模型。
上述域名行为识别装置,对未知的域名行为序列进行聚类,生成至少一个未知域名行为序列样本集,再进行训练,得到用于识别出该未知域名行为序列的类别的域名行为识别模型,能够捕获并识别更多的未知域名行为序列,提高与域名行为识别的成功率以及准确性。
在一个实施例中,如图13所示,该域名行为识别装置还包括调整模块1212。获取模块1202用于获取已知类别的异常域名行为序列样本集。输入模块1204用于将已知类别的异常域名行为序列样本集中的样本行为序列输入异常域名行为模型中,得到样本行为序列对应的预测行为序列。调整模块1212用于根据样本行为序列和预测行为序列调整异常域名行为模型的参数,得到用于识别异常行为序列的异常域名行为模型。
上述域名行为识别装置,获取已知类别的异常域名行为序列样本集,将样本集中的样本行为序列输入异常域名行为模型中,得到预测序列,根据样本行为序列和预测序列调整异常域名行为模型的参数,得到用于识别异常域名行为序列的异常域名行为模型,可对异常域名行为模型进行不断训练,提高异常域名行为模型识别异常行为序列的准确性。
在一个实施例中,获取模块1202用于获取进程的域名访问记录;根据域名访问记录获取至少一个域名在第一时间段内产生的域名行为序列;从至少一个域名在第一时间段内产生的域名行为序列中获取与目标域名标识对应的第一时间段内的域名行为序列。
上述域名行为识别装置,获取进程的域名访问记录,根据域名访问记录获取至少一个域名在第一时间段内产生的域名行为序列,从至少一个域名在第一时间段内产生的域名行为序列中获取与目标域名标识对应的第一时间段内的域名行为序列,能够获取进程在过去时间段和当下时间段的域名访问记录,得到第二时间段对应的域名行为序列的类别。
在一个实施例中,输入模块1204用于将第一时间段内的域名行为序列输入域名行为识别模型中,得到第一时间段内的域名行为序列的时间信息和访问次数信息,并根据时间信息和访问次数信息生成第一行为预测序列。
上述域名行为识别装置,将第一时间段内的域名行为序列输入域名行为识别模型中,得到第一时间段内的域名行为序列的时间信息和访问次数信息,并根据时间信息和访问次数信息生成第一行为预测序列,仅提取时间特征和访问次数特征,特征量较少,提高域名行为识别效率。
在一个实施例中,如图13所示,该域名行为识别装置还包括存储模块1214。获取模块1202用于当第二时间段内的域名行为序列为已知的异常域名行为序列对应的类别时,获取第二时间段内的域名行为序列对应的目标域名标识。存储模块1214用于将目标域名标识作为异常域名标识,并存储。
上述域名行为识别装置,当第二时间段内的域名行为序列为已知的异常域名行为序列对应的类别时,获取第二时间段内的域名行为序列对应的目标域名标识;将目标域名标识作为异常域名标识,并存储,能够有效捕获异常域名标识,并对异常域名标识进行拦截等操作,能提高网络运行的安全性。
在一个实施例中,如图13所示,该域名行为识别装置还包括告警模块1216。告警模块1216用于根据域名行为序列的类别输出对应的告警信息。
上述域名行为识别装置,根据域名行为序列的类别输出对应的告警信息,能够直观地输出域名行为序列的类别,并可根据该类别对域名行为进行网络安全维护,提高网络安全性。
图14示出了一个实施例中计算机设备的内部结构图。该计算机设备具体可以是图1中的终端110或服务器120。如图14所示,该计算机设备包括该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,存储器包括非易失性存储介质和内存储器。该计算机设备的非易失性存储介质存储有操作系统,还可存储有计算机程序,该计算机程序被处理器执行时,可使得处理器实现域名行为识别方法。该内存储器中也可储存有计算机程序,该计算机程序被处理器执行时,可使得处理器执行域名行为识别方法。
本领域技术人员可以理解,图14中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,本申请提供的域名行为识别装置可以实现为一种计算机程序的形式,计算机程序可在如图14所示的计算机设备上运行。计算机设备的存储器中可存储组成该域名行为识别装置的各个程序模块,比如,图11所示的获取模块1202、输入模块1204、比对模块1206和确定模块1208。各个程序模块构成的计算机程序使得处理器执行本说明书中描述的本申请各个实施例的域名行为识别方法中的步骤。
例如,图14所示的计算机设备可以通过如图所示的域名行为识别装置中的获取模块执行获取与目标域名标识对应的第一时间段内的域名行为序列。计算机设备可通过输入模块执行将第一时间段内的域名行为序列输入域名行为识别模型中进行处理,得到第一行为预测序列;其中,域名行为识别模型包括异常域名行为模型,异常域名行为模型是根据已知类别的异常域名行为序列样本集训练而成的。计算机设备可通过获取模块获取与目标域名标识对应的第二时间段内的域名行为序列,其中,第二时间段为与第一时间段相邻的下一时间段。计算机设备可通过比对模块执行将第一行为预测序列和第二时间段内的域名行为序列比对,生成比对结果。计算机设备可通过确定模块执行根据比对结果确定目标域名标识对应的第二时间段内的域名行为序列的类别。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器存储有计算机程序,计算机程序被处理器执行时,使得处理器执行上述域名行为识别方法的步骤。此处域名行为识别方法的步骤可以是上述各个实施例的域名行为识别方法中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,存储有计算机程序,计算机程序被处理器执行时,使得处理器执行上述域名行为识别方法的步骤。此处域名行为识别方法的步骤可以是上述各个实施例的域名行为识别方法中的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一非易失性计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (15)

1.一种域名行为识别方法,包括:
获取与目标域名标识对应的第一时间段内的域名行为序列;
将所述第一时间段内的域名行为序列输入域名行为识别模型中进行处理,得到第一行为预测序列,其中,所述域名行为识别模型包括异常域名行为模型,所述异常域名行为模型是根据已知类别的异常域名行为序列样本集训练而成的;
获取与所述目标域名标识对应的第二时间段内的域名行为序列,其中,所述第二时间段为与所述第一时间段相邻的下一时间段;
将所述第一行为预测序列和所述第二时间段内的域名行为序列比对,生成比对结果;
根据所述比对结果确定所述目标域名标识对应的所述第二时间段内的域名行为序列的类别。
2.根据权利要求1所述的方法,其特征在于,所述将所述第一行为预测序列和所述第二时间段内的域名行为序列比对,生成比对结果,包括:
将所述第一行为预测序列和所述第二时间段内的域名行为序列比对,得到所述第一行为预测序列和所述第二时间段内的域名行为序列的相似度;
根据所述相似度生成所述第二时间段内的域名行为序列对应的第一比对分值;
所述根据所述比对结果确定所述域名行为序列的类别,包括:
确定所述第一比对分值所对应的目标比对分值范围;
根据所述目标比对分值范围,结合比对分值范围与类别之间的对应关系,确定所述第二时间段内的域名行为序列的类别。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
获取连续预设数量的时间段内的域名行为序列对应的第一比对分值;
根据预设数量的第一比对分值确定所述目标域名标识对应的域名行为序列的分值;
根据所述目标域名标识对应的域名行为序列的分值确定所述目标域名标识的类别。
4.根据权利要求2所述的方法,其特征在于,所述域名行为识别模型包括正常域名行为模型;所述正常域名行为模型是根据至少一种已知的正常域名行为序列训练而成的;
所述方法还包括:
当根据所述第一比对分值确定所述第二时间段内的域名行为序列的类别为未知类别时,将所述第一时间段内的域名行为序列输入正常域名行为模型中进行处理,得到第二行为预测序列;
将所述第二行为预测序列和所述第二时间段内的域名行为序列比对,生成所述第二时间段内的域名行为序列对应的第二比对分值;
当所述第二比对分值处于正常域名行为序列对应的比对分值范围内时,确定所述第二时间段内的域名行为序列的类别为正常域名行为序列。
5.根据权利要求1或2所述的方法,所述域名行为识别模型包括正常域名行为模型;所述正常域名行为模型是根据至少一种已知的正常域名行为序列训练而成的;
在所述获取待识别的域名行为序列之后,还包括:
将所述第一时间段内的域名行为序列输入正常域名行为模型进行处理,得到第二行为预测序列;
将所述第二行为预测序列和所述第二时间段内的域名行为序列比对,生成所述第二时间段内的域名行为序列对应的第二比对分值;
当所述第二比对分值未处于正常域名行为序列对应的比对分值范围内时,执行所述将所述第一时间段内的域名行为序列输入域名行为识别模型中进行处理,得到第一行为预测序列的步骤。
6.根据权利要求5任一项所述的方法,其特征在于,所述方法还包括:
当所述第一比对分值未处于任何比对分值范围内时,确定所述第二时间段内的域名行为序列的类别为未知的域名行为序列。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
根据所述未知的异常域名行为序列的时间信息和次数信息对未知域名行为序列进行聚类,生成至少一个未知域名行为序列样本集;
获取所述至少一个未知域名行为序列样本集对应的类别标注;
将所述未知域名行为序列样本集以及所述对应的类别标注输入所述域名行为识别模型进行训练,得到用于识别出所述未知域名行为序列的类别的域名行为识别模型。
8.根据权利要求1所述的方法,其特征在于,在所述获取进程在预设时间段内对至少一个域名产生的域名行为序列之前,所述方法还包括:
获取已知类别的异常域名行为序列样本集;
将所述已知类别的异常域名行为序列样本集中的样本行为序列输入异常域名行为模型中,得到所述样本行为序列对应的预测行为序列;
根据所述样本行为序列和所述预测行为序列调整所述异常域名行为模型的参数,得到用于识别异常域名行为序列的异常域名行为模型。
9.根据权利要求1所述的方法,其特征在于,所述获取与目标域名标识对应的第一时间段内的域名行为序列,包括:
获取进程的域名访问记录;
根据所述域名访问记录获取至少一个域名在第一时间段内产生的域名行为序列;
从所述至少一个域名在第一时间段内产生的域名行为序列中获取与目标域名标识对应的第一时间段内的域名行为序列。
10.根据权利要求1或9所述的方法,所述将所述第一时间段内的域名行为序列输入域名行为识别模型中进行处理,得到第一行为预测序列,包括:
将所述第一时间段内的域名行为序列输入域名行为识别模型中,得到所述第一时间段内的域名行为序列的时间信息和访问次数信息,并根据所述时间信息和所述访问次数信息生成第一行为预测序列。
11.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述第二时间段内的域名行为序列为已知的异常域名行为序列对应的类别时,获取所述第二时间段内的域名行为序列对应的目标域名标识;
将所述目标域名标识作为异常域名标识,并存储。
12.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
根据所述域名行为序列的类别输出对应的告警信息。
13.一种域名行为识别装置,其特征在于,所述装置包括:
获取模块,用于获取与目标域名标识对应的第一时间段内的域名行为序列;
输入模块,用于将所述第一时间段内的域名行为序列输入域名行为识别模型中进行处理,得到第一行为预测序列,其中,所述域名行为识别模型包括异常域名行为模型,所述异常域名行为模型是根据已知类别的异常域名行为序列样本集训练而成的;
所述获取模块,还用于获取与所述目标域名标识对应的第二时间段内的域名行为序列,其中,所述第二时间段为与所述第一时间段相邻的下一时间段;
比对模块,用于将所述第一行为预测序列和所述第二时间段内的域名行为序列比对,生成比对结果;
确定模块,用于根据所述比对结果确定所述目标域名标识对应的所述第二时间段内的域名行为序列的类别。
14.一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行如权利要求1至12中任一项所述方法的步骤。
15.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如权利要求1至12中任一项所述方法的步骤。
CN201910257877.1A 2019-04-01 2019-04-01 域名行为识别方法、装置、可读存储介质和计算机设备 Active CN110166422B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910257877.1A CN110166422B (zh) 2019-04-01 2019-04-01 域名行为识别方法、装置、可读存储介质和计算机设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910257877.1A CN110166422B (zh) 2019-04-01 2019-04-01 域名行为识别方法、装置、可读存储介质和计算机设备

Publications (2)

Publication Number Publication Date
CN110166422A true CN110166422A (zh) 2019-08-23
CN110166422B CN110166422B (zh) 2021-09-10

Family

ID=67638955

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910257877.1A Active CN110166422B (zh) 2019-04-01 2019-04-01 域名行为识别方法、装置、可读存储介质和计算机设备

Country Status (1)

Country Link
CN (1) CN110166422B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110489307A (zh) * 2019-08-27 2019-11-22 中国工商银行股份有限公司 接口异常调用监测方法及装置
CN115118463A (zh) * 2022-06-10 2022-09-27 深信服科技股份有限公司 一种失陷主机检测方法、装置、电子设备及存储介质
TWI796706B (zh) * 2021-06-11 2023-03-21 安碁資訊股份有限公司 資料外洩偵測方法與裝置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170126730A1 (en) * 2015-10-29 2017-05-04 Duo Security, Inc. Methods and systems for implementing a phishing assesment
CN107070885A (zh) * 2017-03-06 2017-08-18 北京安博通科技股份有限公司 信息处理方法、装置及系统
CN108306997A (zh) * 2018-01-25 2018-07-20 中国工商银行股份有限公司 域名解析监控方法及装置
CN108449349A (zh) * 2018-03-23 2018-08-24 新华三大数据技术有限公司 防止恶意域名攻击的方法及装置
US20180262520A1 (en) * 2015-06-29 2018-09-13 Palo Alto Networks, Inc. Dga behavior detection

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180262520A1 (en) * 2015-06-29 2018-09-13 Palo Alto Networks, Inc. Dga behavior detection
US20170126730A1 (en) * 2015-10-29 2017-05-04 Duo Security, Inc. Methods and systems for implementing a phishing assesment
CN107070885A (zh) * 2017-03-06 2017-08-18 北京安博通科技股份有限公司 信息处理方法、装置及系统
CN108306997A (zh) * 2018-01-25 2018-07-20 中国工商银行股份有限公司 域名解析监控方法及装置
CN108449349A (zh) * 2018-03-23 2018-08-24 新华三大数据技术有限公司 防止恶意域名攻击的方法及装置

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110489307A (zh) * 2019-08-27 2019-11-22 中国工商银行股份有限公司 接口异常调用监测方法及装置
CN110489307B (zh) * 2019-08-27 2023-04-07 中国工商银行股份有限公司 接口异常调用监测方法及装置
TWI796706B (zh) * 2021-06-11 2023-03-21 安碁資訊股份有限公司 資料外洩偵測方法與裝置
CN115118463A (zh) * 2022-06-10 2022-09-27 深信服科技股份有限公司 一种失陷主机检测方法、装置、电子设备及存储介质

Also Published As

Publication number Publication date
CN110166422B (zh) 2021-09-10

Similar Documents

Publication Publication Date Title
CN110263846B (zh) 基于故障数据深度挖掘及学习的故障诊断方法
CN108881194B (zh) 企业内部用户异常行为检测方法和装置
CN111428231B (zh) 基于用户行为的安全处理方法、装置及设备
CN101399672B (zh) 一种多神经网络融合的入侵检测方法
Bamakan et al. A new intrusion detection approach using PSO based multiple criteria linear programming
CN107992746A (zh) 恶意行为挖掘方法及装置
CN106411921B (zh) 基于因果贝叶斯网络的多步攻击预测方法
CN105677791B (zh) 用于分析风力发电机组的运行数据的方法和系统
CN111783442A (zh) 入侵检测方法、设备和服务器、存储介质
CN109522716A (zh) 一种基于时序神经网络的网络入侵检测方法及装置
CN105897714A (zh) 基于dns流量特征的僵尸网络检测方法
CN110166422A (zh) 域名行为识别方法、装置、可读存储介质和计算机设备
CN111143838B (zh) 数据库用户异常行为检测方法
CN111126820B (zh) 反窃电方法及系统
Anil et al. A hybrid method based on genetic algorithm, self-organised feature map, and support vector machine for better network anomaly detection
CN115438102B (zh) 时空数据异常识别方法、装置和电子设备
CN116248362A (zh) 一种基于双层隐马尔可夫链的用户异常网络访问行为识别方法
CN115913691A (zh) 一种网络流量异常检测方法及系统
CN116865994A (zh) 一种基于大数据的网络数据安全预测方法
CN117407880A (zh) 基于合成生物安全数据库的风险评估平台
CN110290101B (zh) 智能电网环境中基于深度信任网络的关联攻击行为识别方法
CN104035866B (zh) 基于系统调用分析的软件行为评估方法和装置
CN116956282A (zh) 基于网络资产内存时间序列多特征数据的异常检测系统
CN113469816A (zh) 基于多组学技术的数字货币识别方法、系统和存储介质
Popolizio et al. The GAIN Method for the Completion of Multidimensional Numerical Series of Meteorological Data.

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant