CN110674370A - 域名识别方法及装置、存储介质及电子设备 - Google Patents
域名识别方法及装置、存储介质及电子设备 Download PDFInfo
- Publication number
- CN110674370A CN110674370A CN201910899351.3A CN201910899351A CN110674370A CN 110674370 A CN110674370 A CN 110674370A CN 201910899351 A CN201910899351 A CN 201910899351A CN 110674370 A CN110674370 A CN 110674370A
- Authority
- CN
- China
- Prior art keywords
- domain name
- identified
- detection information
- neural network
- initial neural
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
- G06F16/90335—Query processing
- G06F16/90344—Query processing by using string matching techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/084—Backpropagation, e.g. using gradient descent
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Databases & Information Systems (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Evolutionary Computation (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明提供了一种域名识别方法及装置、存储介质及电子设备。该方法通过获取待识别域名;按预先设置的提取规则,对所述待识别域名进行关键字提取,得到所述待识别域名对应的关键字信息;对所述关键字信息进行预处理,得到与所述待识别域名对应的检测信息;将所述检测信息输入至预先构建的域名识别模型中,得到与所述待识别域名对应的识别结果。应用本发明实施例提供的域名识别方法,能够应用域名识别模型,确定待识别域名是否为DGA域名,提高了检测效率,进而能够及时的抵御DGA域名攻击。
Description
技术领域
本发明涉及机器学习领域,特别涉及一种域名识别方法及装置、存储介质及电子设备。
背景技术
随着科学技术的发展,互联网技术也得到了蓬勃的发展,互联网的出现给人们带来的便捷的生活方式,也给人们带来了网络风险的隐患,网络攻击的问题日益严重,其中,域名是网络攻击的一类重要基础设施,攻击者通常将域名生成算法(DomainGenerationAlgorithm,DGA)根植于恶意代码中,用于生成DGA域名,DGA域名往往可以避开黑名单列表的检测,具有较大的威胁。
经本发明人研究发现,现有技术中,为实现对DGA域名的检测,往往需要对恶意代码进行逆向分析,从恶意代码中识别出DGA的相关代码;以形成对该恶意代码生成的DGA域名的检测能力,然而,对恶意代码进行逆向分析的难度较高,耗费的时间长,难以快速形成对该恶意代码生成的DGA域名的检测能力,进而导致难以及时抵御DGA域名攻击。
发明内容
本发明所要解决的技术问题是提供一种域名识别方法,能够应用域名识别模型,检测出待识别域名是否为DGA域名,提高了检测效率,进而能够及时抵御DGA域名攻击。
本发明还提供了一种域名识别装置,用于保证上述方法在实际中的实现及应用。
一种域名识别方法,包括:
获取待识别域名;
按预先设置的提取规则,对所述待识别域名进行关键字提取,得到所述待识别域名对应的关键字信息;
对所述关键字信息进行预处理,得到与所述待识别域名对应的检测信息;
将所述检测信息输入至预先构建的域名识别模型中,得到与所述待识别域名对应的识别结果。
上述的方法,可选的,所述按预设的提取规则,对所述待识别域名进行关键字提取,得到所述待识别域名对应的关键字信息,包括:
确定所述待识别域名的域名类型;
若所述待识别域名的域名类型为二级域名,则提取所述待识别域名中的第二级域名,以得到所述待识别域名对应的关键字信息;
若所述待识别域名的域名类型为三级域名,则判断所述待识别域名中的第二级域名是否表征为动态域名服务商的域名,若表征为动态服务商的域名,则提取所述待识别域名的第三级域名,以得到所述待识别域名对应的关键字信息;若不表征为动态服务商的域名,则提取所述待识别域名中的目标域名,以得到所述待识别域名对应的关键字信息;
若所述待识别域名的域名类型为三级以上的域名;则提取所述待识别域名中的目标域名,以得到待识别域名对应的关键字信息;
其中,所述目标域名为所述待识别域名的各个级别的域名中,字符串长度最长的域名。
上述的方法,可选的,对所述关键字信息进行预处理,得到与所述待识别域名对应的检测信息,包括:
确定所述关键字信息的字符串长度;
判断所述字符串长度是否小于预先设置的长度阈值;
若所述字符串长度小于预先设置的长度阈值,则应用预先设置的补齐字符,对所述关键字信息进行补齐操作,使已进行补齐操作的所述关键字信息的字符串长度与所述长度阈值一致;并将已进行补齐操作的所述关键字信息进行向量化,得到与所述待识别域名对应的检测信息。
上述的方法,可选的,所述域名识别模型的构建过程,包括:
获取预先设置的各个训练数据,所述训练数据包含训练域名和所述训练域名的标签信息;
确定各个所述训练域名对应的检测信息;
依次将各个所述训练域名对应的检测信息输入至初始神经网络模型,直至所述初始神经网络模型的网络参数满足预先设置的训练条件;
其中,将每个所述训练数据包含的检测信息输入至所述初始神经网络模型时,得到当前输入至所述初始神经网络模型的检测信息对应的识别结果;调用预先设置的损失函数,对所述识别结果与当前输入至所述初始神经网络的检测信息对应的标签信息进行计算,得到损失函数值;依据所述损失函数值,判断所述初始神经网络模型的网络参数是否满足所述训练条件;若不满足,则依据所述损失函数值调整所述初始神经网络模型的网络参数;若满足,则将所述初始神经网络模型确定为域名识别模型。
上述的方法,可选的,所述域名识别模型的构建过程,包括:
获取预先设置的各个训练数据,所述训练数据包含训练域名和所述训练域名的标签信息;
确定各个所述训练域名对应的检测信息;
依次将各个所述训练域名对应的检测信息输入至初始神经网络模型,直到输入至所述初始神经网络模型的检测信息的数量满足预设的数量阈值时,将当前所述初始神经网络模型确定为域名识别模型;
其中,将每个所述检测信息输入至所述初始神经网络模型时,得到当前输入至所述初始神经网络模型的检测信息的识别结果;调用预先设置的损失函数,对所述识别结果与当前输入至所述初始神经网络的检测信息对应的标签信息进行计算,得到损失函数值;依据所述损失函数值调整所述初始神经网络模型的网络参数。
上述的方法,可选的,所述将所述检测信息输入至预先构建的域名识别模型中,得到与所述待识别域名对应的识别结果,包括:
将所述检测信息输入至预先构建的域名识别模型时,确定所述检测信息与所述域名识别模型的各个预设的输出标签对应的预测概率值;
在各个所述输出标签中,将数值最大的预测概率值所对应的输出标签确定为与所述待识别域名对应的识别结果。
上述的方法,可选的,还包括:
若所述识别结果表征所述待识别域名为DGA域名,则依据所述DGA域名的DGA类型生成报警信息,以进行报警。
一种域名识别装置,包括:
第一获取单元,用于获取待识别域名;
提取单元,用于按预先设置的提取规则,对所述待识别域名进行关键字提取,得到所述待识别域名对应的关键字信息;
生成单元,用于对所述关键字信息进行预处理,得到与所述待识别域名对应的检测信息;
识别单元,用于将所述检测信息输入至预先构建的域名识别模型中,得到与所述待识别域名对应的识别结果。
上述的装置,可选的,所述提取单元,包括:
第一确定子单元,用于确定所述待识别域名的域名类型;
第一提取子单元,用于当所述待识别域名的域名类型为二级域名时,提取所述待识别域名中的第二级域名,以得到所述待识别域名对应的关键字信息;
第二提取子单元,用于当所述待识别域名的域名类型为三级域名时,判断所述待识别域名中的第二级域名是否表征为动态域名服务商的域名,若表征为动态服务商的域名,则提取所述待识别域名的第三级域名,以得到所述待识别域名对应的关键字信息;若不表征为动态服务商的域名,则提取所述待识别域名中的目标域名,以得到所述待识别域名对应的关键字信息;
第三提取子单元,用于当所述待识别域名的域名类型为三级以上的域名时,提取所述待识别域名中的目标域名,以得到待识别域名对应的关键字信息;
其中,所述目标域名为所述待识别域名的各个级别的域名中,字符串长度最长的域名。
上述的装置,可选的,所述生成单元,包括:
第二确定子单元,用于确定所述关键字信息的字符串长度;
判断子单元,用于判断所述字符串长度是否小于预先设置的长度阈值;
补齐子单元,用于当所述字符串长度小于预先设置的长度阈值时,应用预先设置的补齐字符,对所述关键字信息进行补齐操作,使已进行补齐操作的所述关键字信息的字符串长度与所述长度阈值一致;并将已进行补齐操作的所述关键字信息进行向量化,得到与所述待识别域名对应的检测信息。
上述的装置,可选的,还包括:
第二获取单元,用于获取预先设置的各个训练数据,所述训练数据包含训练域名和所述训练域名的标签信息;
第一确定单元,用于确定各个所述训练域名对应的检测信息;
第一训练单元,用于依次将各个所述训练域名对应的检测信息输入至初始神经网络模型,直至所述初始神经网络模型的网络参数满足预先设置的训练条件;
其中,将每个所述训练数据包含的检测信息输入至所述初始神经网络模型时,得到当前输入至所述初始神经网络模型的检测信息对应的识别结果;调用预先设置的损失函数,对所述识别结果与当前输入至所述初始神经网络的检测信息对应的标签信息进行计算,得到损失函数值;依据所述损失函数值,判断所述初始神经网络模型的网络参数是否满足所述训练条件;若不满足,则依据所述损失函数值调整所述初始神经网络模型的网络参数;若满足,则将所述初始神经网络模型确定为域名识别模型。
上述的装置,可选的,还包括:
第三获取单元,用于获取预先设置的各个训练数据,所述训练数据包含训练域名和所述训练域名的标签信息;
第二确定单元,用于确定各个所述训练域名对应的检测信息;
第二训练单元,用于依次将各个所述训练域名对应的检测信息输入至初始神经网络模型,直到输入至所述初始神经网络模型的检测信息的数量满足预设的数量阈值时,将当前所述初始神经网络模型确定为域名识别模型;
其中,将每个所述检测信息输入至所述初始神经网络模型时,得到当前输入至所述初始神经网络模型的检测信息的识别结果;调用预先设置的损失函数,对所述识别结果与当前输入至所述初始神经网络的检测信息对应的标签信息进行计算,得到损失函数值;依据所述损失函数值调整所述初始神经网络模型的网络参数。
上述的装置,可选的,所述识别单元,包括:
第三确定子单元,用于将所述检测信息输入至预先构建的域名识别模型时,确定所述检测信息与所述域名识别模型的各个预设的输出标签对应的预测概率值;
第四确定子单元,用于在各个所述输出标签中,将数值最大的预测概率值所对应的输出标签确定为与所述待识别域名对应的识别结果。
上述的装置,可选的,还包括:
报警单元,用于当所述识别结果表征所述待识别域名为DGA域名时,依据所述DGA域名的DGA类型生成报警信息,以进行报警。
一种存储介质,所述存储介质包括存储的指令,其中,在所述指令运行时控制所述存储介质所在的设备执行上述的域名识别方法。
一种电子设备,包括存储器,以及一个或者一个以上的指令,其中一个或者一个以上指令存储于存储器中,且经配置以由一个或者一个以上处理器执行上述的域名识别方法。
与现有技术相比,本发明包括以下优点:
本发明提供了一种域名识别方法,包括:获取待识别域名;按预先设置的提取规则,对所述待识别域名进行关键字提取,得到所述待识别域名对应的关键字信息;对所述关键字信息进行预处理,得到与所述待识别域名对应的检测信息;将所述检测信息输入至预先构建的域名识别模型中,得到与所述待识别域名对应的识别结果。能够基于域名识别模型,检测出待识别域名是否为DGA域名,提高了检测效率,进而能够及时抵御DGA域名攻击。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种域名识别方法的方法流程图;
图2为本发明提供的一种域名识别方法的又一方法流程图;
图3为本发明提供的一种域名识别方法的一示例图;
图4为本发明提供的一种域名识别装置的结构示意图;
图5为本发明提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明可用于众多通用或专用的计算装置环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器装置、包括以上任何装置或设备的分布式计算环境等等。
本发明实施例提供了一种域名识别方法,该方法可以应用在多种系统平台,其执行主体可以为计算机终端或各种移动设备的处理器,所述方法的方法流程图如图1所示,具体包括:
S101:获取待识别域名。
本发明实施例提供的方法中,该待识别域名可以从流量数据中进行获取,具体的获取方式可以为,对已获取流量数据中的数据包进行解析,获得数据包的数据属性;基于数据包的数据属性确定数据包对应的待识别域名。
S102:按预先设置的提取规则,对所述待识别域名进行关键字提取,得到所述待识别域名对应的关键字信息。
本发明实施例提供的方法中,可以通过确定待识别域名的域名类型;依据该域名类型,在待识别域名的各个级别的域名中,确定关键域名;提取关键域名中的字符串,得到待识别域名对应的关键字信息。
S103:对所述关键字信息进行预处理,得到与所述待识别域名对应的检测信息。
本发明实施例提供的方法中,该检测信息为域名识别模型的输入向量,具体的,对该关键字信息进行补齐操作,并将已进行补齐操作的关键字信息向量化,得到该待识别域名对应的检测信息。
S104:将所述检测信息输入至预先构建的域名识别模型中,得到与所述待识别域名对应的识别结果。
本发明实施例提供的方法中,该域名识别模型包含输入层、长短期记忆网络(LongShort-Term Memory,LSTM)层、注意力机制层、全连接层和输出层。
本发明实施例提供的方法中,该检测信息为54×128的矩阵。
本发明实施例提供的域名识别方法,通过获取待识别域名;按预先设置的提取规则,对所述待识别域名进行关键字提取,得到所述待识别域名对应的关键字信息;对所述关键字信息进行预处理,得到与所述待识别域名对应的检测信息;将所述检测信息输入至预先构建的域名识别模型中,得到与所述待识别域名对应的识别结果。应用本发明实施例提供的域名识别方法,能够基于域名识别模型,检测出待识别域名是否为DGA域名,提高了检测效率,进而能够及时抵御DGA域名攻击。
本发明实施例提供的方法中,基于上述的实施过程,具体的,所述按预设的提取规则,对所述待识别域名进行关键字提取,得到所述待识别域名对应的关键字信息,包括:
确定所述待识别域名的域名类型;
若所述待识别域名的域名类型为二级域名,则提取所述待识别域名中的第二级域名,以得到所述待识别域名对应的关键字信息;
若所述待识别域名的域名类型为三级域名,则判断所述待识别域名中的第二级域名是否表征为动态域名服务商的域名,若表征为动态服务商的域名,则提取所述待识别域名的第三级域名,以得到所述待识别域名对应的关键字信息;若不表征为动态服务商的域名,则提取所述待识别域名中的目标域名,以得到所述待识别域名对应的关键字信息;
若所述待识别域名的域名类型为三级以上的域名;则提取所述待识别域名中的目标域名,以得到待识别域名对应的关键字信息;
其中,所述目标域名为所述待识别域名的各个级别的域名中,字符串长度最长的域名。
本发明实施例提供的方法中,可以调用预先设置的算法以确定域名的格式,进而确定域名的域名类型(域名级别);该待识别的域名类型可以为一级域名、二级域名、三级域名和四级域名等等。
具体的,为提升可控性,避免被快速封杀,多数攻击者会自己注册二级域名,如“h7smcnrwlddsdn34fgv.info”为Sality恶意代码注册使用的DGA域名;有的攻击者为了节省攻击成本会使用动态域名服务(如dnsdynamic.org、no-ip.com)生成三级域名,例如“blackshadespro.no-ip.org”。二级域名、动态域名服务的三级域名,不一定是完全割裂的,一个攻击或同一组织发动的不同攻击中可能同时使用两类域名,因此,应用本发明实施例提供的方法,通过提取域名的关键字信息,能够快速准确的识别不同类型的域名,能有效的抵御攻击者的攻击。
本发明实施例提供的方法中,基于上述的实施过程,具体的,对所述关键字信息进行预处理,得到与所述待识别域名对应的检测信息,如图2所示,可以包括:
S201:确定所述关键字信息的字符串长度。
本发明实施例提供的方法中,在待识别域名中提取到关键字信息时,确定当前提取的关键字信息的字符串长度。
本发明实施例提供的方法中,不同的DGA域名的长度通常是不同的,如表1所示,展示了11类常见的DGA域名的长度:
表1S202:判断所述字符串长度是否小于预先设置的长度阈值;若是,则执行S203;若否,则执行S205。
本发明实施例提供的方法中,该长度阈值可以为54,其中,该长度阈值可以由技术人员依据实际需求进行设定。
S203:应用预先设置的补齐字符,对所述关键字信息进行补齐操作,使已进行补齐操作的所述关键字信息的字符串长度与所述长度阈值一致。
本发明实施例提供的方法中,若关键字信息的字符串长度小于长度阈值,则获取预先设置的补齐字符,该补齐字符的设置原则为域名中不允许出现的符号,具体的,该补齐字符可以为“*”;应用该补齐字符对该关键字信息进行补齐操作,例如,该关键字信息的字符串长度为40,长度阈值为54,则可以将14个补齐字符添加至该关键信息的末尾,以对该关键字信息进行补齐,使得关键字信息的字符串长度等于该长度阈值。
S204:将已进行补齐操作的所述关键字信息进行向量化,得到与所述待识别域名对应的检测信息。
本发明实施例提供的方法中,每个关键字信息补齐之后的形式可以表示为:d=[a1,a2,…,an],其中,a的下标表示字符在字符串中的位置,n为字符串长度阈值。应用Word2Vec的CBOW模型,计算关键字信息中所有字符的词向量,可以将词向量的维度为m维,每个字符的词向量可表示为
其中a表示域名中的字符,m的取值可以为128。然后按照域名中字符的顺序组织词向量,具体的,每个域名均被转换为n×m的矩阵,如下所示:
S205:将所述关键字信息的对应的待识别域名进行记录,以生成异常域名记录信息。
本发明实施例提供的方法中,通过应用域名中不允许出现的字符对关键字信息进行补齐,能够保留待识别域名的特征,规范了域名识别模型的输入格式,能够提高域名识别的效率以及识别精度。
本发明实施例提供的方法中,基于上述的实施过程,具体的,所述域名识别模型的构建过程,包括:
获取预先设置的各个训练数据,所述训练数据包含训练域名和所述训练域名的标签信息;
确定各个所述训练域名对应的检测信息;
依次将各个所述训练域名对应的检测信息输入至初始神经网络模型,直至所述初始神经网络模型的网络参数满足预先设置的训练条件;
其中,将每个所述训练数据包含的检测信息输入至所述初始神经网络模型时,得到当前输入至所述初始神经网络模型的检测信息对应的识别结果;调用预先设置的损失函数,对所述识别结果与当前输入至所述初始神经网络的检测信息对应的标签信息进行计算,得到损失函数值;依据所述损失函数值,判断所述初始神经网络模型的网络参数是否满足所述训练条件;若不满足,则依据所述损失函数值调整所述初始神经网络模型的网络参数;若满足,则将所述初始神经网络模型确定为域名识别模型。
本发明实施例提供的方法中,可以确定该损失函数值是否小于预先设定的损失函数阈值,若小于,则可以确定该初始神经网络模型的网络参数满足训练条件。
可选的,该损失函数可以为多分类交叉熵损失函数,该损失函数具体为:
其中,yi为第i个训练数据与各个预设的输出标签对应的概率分布,
为第i个训练数据的标签信息,该标签信息为该训练数据正确的分类结果;若初始神经网络模型的网络参数不满足该训练条件时,应用损失函数值,进行反向传播(Back Propagation,BP)以调整网络参数。
本发明实施例提供的方法中,所述域名识别模型的构建过程,还可以为:
获取预先设置的各个训练数据,所述训练数据包含训练域名和所述训练域名的标签信息;
确定各个所述训练域名对应的检测信息;
依次将各个所述训练域名对应的检测信息输入至初始神经网络模型,直到输入至所述初始神经网络模型的检测信息的数量满足预设的数量阈值时,将当前所述初始神经网络模型确定为域名识别模型;
其中,将每个所述检测信息输入至所述初始神经网络模型时,得到当前输入至所述初始神经网络模型的检测信息的识别结果;调用预先设置的损失函数,对所述识别结果与当前输入至所述初始神经网络的检测信息对应的标签信息进行计算,得到损失函数值;依据所述损失函数值调整所述初始神经网络模型的网络参数。
本发明实施例提供的方法中,该数量阈值可以由技术人员依据实际需求进行设定。
本发明实施例提供的方法中,基于上述的实施过程,具体的,所述将所述检测信息输入至预先构建的域名识别模型中,得到与所述待识别域名对应的识别结果,包括:
将所述检测信息输入至预先构建的域名识别模型时,确定所述检测信息与所述域名识别模型的各个预设的输出标签对应的预测概率值;
在各个所述输出标签中,将数值最大的预测概率值所对应的输出标签确定为与所述待识别域名对应的识别结果。
本发明实施例提供的方法中,该域名识别模型的应用Softmax分类器,以对检测信息进行分类,具体如下:
其中,其中vj为向量的第j个元素,k为分类结果的类型数量;通过该分类器,即可确定该检测信息与各个预设的输出标签对应的预测概率值;在各个预测概率值中,将数值最大的预测概率值确定为目标概率值;将该目标概率值对应的输出标签,作为该待识别域名对应的识别结果。
本发明实施例提供的方法中,各个预设的输出标签可以为banjori类型DGA域名、corebot类型DGA域名、cryptolocker类型DGA域名、dircrypt类型DGA域名、kraken类型DGA域名、locky类型DGA域名、pykspa类型DGA域名、qakbot类型DGA域名、ramdo类型DGA域名、ramnit类型DGA域名、simda类型DGA域名和合法域名等。
本发明实施例提供的方法中,基于上述的实施过程,具体的,还包括:
若所述识别结果表征所述待识别域名为DGA域名,则依据所述DGA域名的DGA类型生成报警信息,以进行报警。
本发明实施例提供的方法中,当应用到域名识别模型检测该待识别域名的检测信息所得到的结果为DGA域名时,依据DGA域名的DGA类型生成报警信息,以进行报警,使得技术人员能快速对域名攻击进行有效的抵御。
本发明实施例提供的方法中,该域名识别模型模型的网络结构,如图3所示,具体包括:
输入层,用于接收待识别域名的检测信息,该检测信息的维度为54x128的矩阵,故该输入层的输入维度为54x128;
LSTM层,用于序列输出,输出54x128的特征向量,该特征向量为该检测信息对应的特征组成的;
注意力机制(Attention)层,输出54x128的特征向量,其中,该层包含子输入层、第一序列变换(Permute)层、子全连接(dense)层、第二序列变换(Permute)层和融合层。
全连接(FC)层,该层对注意力机制层输出的特征向量进行拉伸,每个像素代表一个神经元,使用全连接层操作输出特征为6912个神经元;
随机失活(DROPOUT)层,该层的概率设为0.5,通过阻止某些特征的协同作用,防止过拟合;在每次训练时,神经元间随机被移除,可以让一个神经元的出现不依赖另一个神经无,防止特征相互依赖、减少错误信息的传递。
输出层,该层与全连接层进行全连接,输出长度为需要的分类数,代表所抽取的特征属于哪个分类,分类函数为Softmax。
本发明实施例在实际应用过程中,可以实时获取流量数据中传输的数据包的数据属性,该数据属性包含该数据包的传输层协议信息,依据该传输层协议信息可以获取待识别域名;按预先设置的提取规则,对待识别域名进行关键字提取,得到所述待识别域名对应的关键字信息;对所述关键字信息进行预处理,得到与所述待识别域名对应的检测信息;将所述检测信息输入至预先构建的域名识别模型中,得到与所述待识别域名对应的识别结果,若所述识别结果表征所述待识别域名为DGA域名,则依据所述DGA域名的DGA类型生成报警信息,以提示用户,使得系统能依据该域名的DGA类型,快速形成针对该DGA类型的抵御能力。
上述各个具体的实现方式,及各个实现方式的衍生过程,均在本发明保护范围内。
与图1所述的方法相对应,本发明实施例还提供了一种域名识别装置,用于对图1中方法的具体实现,本发明实施例提供的域名识别装置可以应用计算机终端或各种移动设备中,其结构示意图如图4所示,具体包括:
第一获取单元301,用于获取待识别域名;
提取单元302,用于按预先设置的提取规则,对所述待识别域名进行关键字提取,得到所述待识别域名对应的关键字信息;
生成单元303,用于对所述关键字信息进行预处理,得到与所述待识别域名对应的检测信息;
识别单元304,用于将所述检测信息输入至预先构建的域名识别模型中,得到与所述待识别域名对应的识别结果。
本发明实施例提供的域名识别装置中,通过获取待识别域名;按预先设置的提取规则,对所述待识别域名进行关键字提取,得到所述待识别域名对应的关键字信息;对所述关键字信息进行预处理,得到与所述待识别域名对应的检测信息;将所述检测信息输入至预先构建的域名识别模型中,得到与所述待识别域名对应的识别结果。应用本发明实施例提供的域名识别方法,能够基于域名识别模型,检测出待识别域名是否为DGA域名,提高了检测效率,进而能够及时抵御DGA域名攻击。
本发明实施例提供的装置中,基于上述的方案,可选的,所述提取单元302,包括:
第一确定子单元,用于确定所述待识别域名的域名类型;
第一提取子单元,用于当所述待识别域名的域名类型为二级域名时,提取所述待识别域名中的第二级域名,以得到所述待识别域名对应的关键字信息;
第二提取子单元,用于当所述待识别域名的域名类型为三级域名时,判断所述待识别域名中的第二级域名是否表征为动态域名服务商的域名,若表征为动态服务商的域名,则提取所述待识别域名的第三级域名,以得到所述待识别域名对应的关键字信息;若不表征为动态服务商的域名,则提取所述待识别域名中的目标域名,以得到所述待识别域名对应的关键字信息;
第三提取子单元,用于当所述待识别域名的域名类型为三级以上的域名时,提取所述待识别域名中的目标域名,以得到待识别域名对应的关键字信息;
其中,所述目标域名为所述待识别域名的各个级别的域名中,字符串长度最长的域名。
本发明实施例提供的装置中,基于上述的方案,可选的,所述生成单元303,包括:
第二确定子单元,用于确定所述关键字信息的字符串长度;
判断子单元,用于判断所述字符串长度是否小于预先设置的长度阈值;
补齐子单元,用于当所述字符串长度小于预先设置的长度阈值时,应用预先设置的补齐字符,对所述关键字信息进行补齐操作,使已进行补齐操作的所述关键字信息的字符串长度与所述长度阈值一致;并将已进行补齐操作的所述关键字信息进行向量化,得到与所述待识别域名对应的检测信息。
本发明实施例提供的装置中,基于上述的方案,可选的,还包括:
第二获取单元,用于获取预先设置的各个训练数据,所述训练数据包含训练域名和所述训练域名的标签信息;
第一确定单元,用于确定各个所述训练域名对应的检测信息;
第一训练单元,用于依次将各个所述训练域名对应的检测信息输入至初始神经网络模型,直至所述初始神经网络模型的网络参数满足预先设置的训练条件;
其中,将每个所述训练数据包含的检测信息输入至所述初始神经网络模型时,得到当前输入至所述初始神经网络模型的检测信息对应的识别结果;调用预先设置的损失函数,对所述识别结果与当前输入至所述初始神经网络的检测信息对应的标签信息进行计算,得到损失函数值;依据所述损失函数值,判断所述初始神经网络模型的网络参数是否满足所述训练条件;若不满足,则依据所述损失函数值调整所述初始神经网络模型的网络参数;若满足,则将所述初始神经网络模型确定为域名识别模型。
本发明实施例提供的装置中,基于上述的方案,可选的,还包括:
第三获取单元,用于获取预先设置的各个训练数据,所述训练数据包含训练域名和所述训练域名的标签信息;
第二确定单元,用于确定各个所述训练域名对应的检测信息;
第二训练单元,用于依次将各个所述训练域名对应的检测信息输入至初始神经网络模型,直到输入至所述初始神经网络模型的检测信息的数量满足预设的数量阈值时,将当前所述初始神经网络模型确定为域名识别模型;
其中,将每个所述检测信息输入至所述初始神经网络模型时,得到当前输入至所述初始神经网络模型的检测信息的识别结果;调用预先设置的损失函数,对所述识别结果与当前输入至所述初始神经网络的检测信息对应的标签信息进行计算,得到损失函数值;依据所述损失函数值调整所述初始神经网络模型的网络参数。
本发明实施例提供的装置中,基于上述的方案,可选的,所述识别单元,包括:
第三确定子单元,用于将所述检测信息输入至预先构建的域名识别模型时,确定所述检测信息与所述域名识别模型的各个预设的输出标签对应的预测概率值;
第四确定子单元,用于在各个所述输出标签中,将数值最大的预测概率值所对应的输出标签确定为与所述待识别域名对应的识别结果。
本发明实施例提供的装置中,基于上述的方案,可选的,还包括:
报警单元,用于当所述识别结果表征所述待识别域名为DGA域名时,依据所述DGA域名的DGA类型生成报警信息,以进行报警。
本发明实施例还提供了一种存储介质,所述存储介质包括存储的指令,其中,在所述指令运行时控制所述存储介质所在的设备执行上述域名识别方法。
本发明实施例还提供了一种电子设备,其结构示意图如图5所示,具体包括存储器401,以及一个或者一个以上的指令402,其中一个或者一个以上指令402存储于存储器401中,且经配置以由一个或者一个以上处理器403执行所述一个或者一个以上指令402进行以下操作:
获取待识别域名;
按预先设置的提取规则,对所述待识别域名进行关键字提取,得到所述待识别域名对应的关键字信息;
对所述关键字信息进行预处理,得到与所述待识别域名对应的检测信息;
将所述检测信息输入至预先构建的域名识别模型中,得到与所述待识别域名对应的识别结果。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本发明时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
以上对本发明所提供的一种域名识别方法及装置进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (16)
1.一种域名识别方法,其特征在于,包括:
获取待识别域名;
按预先设置的提取规则,对所述待识别域名进行关键字提取,得到所述待识别域名对应的关键字信息;
对所述关键字信息进行预处理,得到与所述待识别域名对应的检测信息;
将所述检测信息输入至预先构建的域名识别模型中,得到与所述待识别域名对应的识别结果。
2.根据权利要求1所述的方法,其特征在于,所述按预设的提取规则,对所述待识别域名进行关键字提取,得到所述待识别域名对应的关键字信息,包括:
确定所述待识别域名的域名类型;
若所述待识别域名的域名类型为二级域名,则提取所述待识别域名中的第二级域名,以得到所述待识别域名对应的关键字信息;
若所述待识别域名的域名类型为三级域名,则判断所述待识别域名中的第二级域名是否表征为动态域名服务商的域名,若表征为动态服务商的域名,则提取所述待识别域名的第三级域名,以得到所述待识别域名对应的关键字信息;若不表征为动态服务商的域名,则提取所述待识别域名中的目标域名,以得到所述待识别域名对应的关键字信息;
若所述待识别域名的域名类型为三级以上的域名;则提取所述待识别域名中的目标域名,以得到待识别域名对应的关键字信息;
其中,所述目标域名为所述待识别域名的各个级别的域名中,字符串长度最长的域名。
3.根据权利要求1所述的方法,其特征在于,对所述关键字信息进行预处理,得到与所述待识别域名对应的检测信息,包括:
确定所述关键字信息的字符串长度;
判断所述字符串长度是否小于预先设置的长度阈值;
若所述字符串长度小于预先设置的长度阈值,则应用预先设置的补齐字符,对所述关键字信息进行补齐操作,使已进行补齐操作的所述关键字信息的字符串长度与所述长度阈值一致;并将已进行补齐操作的所述关键字信息进行向量化,得到与所述待识别域名对应的检测信息。
4.根据权利要求1所述的方法,其特征在于,所述域名识别模型的构建过程,包括:
获取预先设置的各个训练数据,所述训练数据包含训练域名和所述训练域名的标签信息;
确定各个所述训练域名对应的检测信息;
依次将各个所述训练域名对应的检测信息输入至初始神经网络模型,直至所述初始神经网络模型的网络参数满足预先设置的训练条件;
其中,将每个所述训练数据包含的检测信息输入至所述初始神经网络模型时,得到当前输入至所述初始神经网络模型的检测信息对应的识别结果;调用预先设置的损失函数,对所述识别结果与当前输入至所述初始神经网络的检测信息对应的标签信息进行计算,得到损失函数值;依据所述损失函数值,判断所述初始神经网络模型的网络参数是否满足所述训练条件;若不满足,则依据所述损失函数值调整所述初始神经网络模型的网络参数;若满足,则将所述初始神经网络模型确定为域名识别模型。
5.根据权利要求1所述的方法,其特征在于,所述域名识别模型的构建过程,包括:
获取预先设置的各个训练数据,所述训练数据包含训练域名和所述训练域名的标签信息;
确定各个所述训练域名对应的检测信息;
依次将各个所述训练域名对应的检测信息输入至初始神经网络模型,直到输入至所述初始神经网络模型的检测信息的数量满足预设的数量阈值时,将当前所述初始神经网络模型确定为域名识别模型;
其中,将每个所述检测信息输入至所述初始神经网络模型时,得到当前输入至所述初始神经网络模型的检测信息的识别结果;调用预先设置的损失函数,对所述识别结果与当前输入至所述初始神经网络的检测信息对应的标签信息进行计算,得到损失函数值;依据所述损失函数值调整所述初始神经网络模型的网络参数。
6.根据权利要求1所述的方法,其特征在于,所述将所述检测信息输入至预先构建的域名识别模型中,得到与所述待识别域名对应的识别结果,包括:
将所述检测信息输入至预先构建的域名识别模型时,确定所述检测信息与所述域名识别模型的各个预设的输出标签对应的预测概率值;
在各个所述输出标签中,将数值最大的预测概率值所对应的输出标签确定为与所述待识别域名对应的识别结果。
7.根据权利要求1至6任意一项所述的方法,其特征在于,还包括:
若所述识别结果表征所述待识别域名为DGA域名,则依据所述DGA域名的DGA类型生成报警信息,以进行报警。
8.一种域名识别装置,其特征在于,包括:
第一获取单元,用于获取待识别域名;
提取单元,用于按预先设置的提取规则,对所述待识别域名进行关键字提取,得到所述待识别域名对应的关键字信息;
生成单元,用于对所述关键字信息进行预处理,得到与所述待识别域名对应的检测信息;
识别单元,用于将所述检测信息输入至预先构建的域名识别模型中,得到与所述待识别域名对应的识别结果。
9.根据权利要求8所述的装置,其特征在于,所述提取单元,包括:
第一确定子单元,用于确定所述待识别域名的域名类型;
第一提取子单元,用于当所述待识别域名的域名类型为二级域名时,提取所述待识别域名中的第二级域名,以得到所述待识别域名对应的关键字信息;
第二提取子单元,用于当所述待识别域名的域名类型为三级域名时,判断所述待识别域名中的第二级域名是否表征为动态域名服务商的域名,若表征为动态服务商的域名,则提取所述待识别域名的第三级域名,以得到所述待识别域名对应的关键字信息;若不表征为动态服务商的域名,则提取所述待识别域名中的目标域名,以得到所述待识别域名对应的关键字信息;
第三提取子单元,用于当所述待识别域名的域名类型为三级以上的域名时,提取所述待识别域名中的目标域名,以得到待识别域名对应的关键字信息;
其中,所述目标域名为所述待识别域名的各个级别的域名中,字符串长度最长的域名。
10.根据权利要求8所述的装置,其特征在于,所述生成单元,包括:
第二确定子单元,用于确定所述关键字信息的字符串长度;
判断子单元,用于判断所述字符串长度是否小于预先设置的长度阈值;
补齐子单元,用于当所述字符串长度小于预先设置的长度阈值时,应用预先设置的补齐字符,对所述关键字信息进行补齐操作,使已进行补齐操作的所述关键字信息的字符串长度与所述长度阈值一致;并将已进行补齐操作的所述关键字信息进行向量化,得到与所述待识别域名对应的检测信息。
11.根据权利要求8所述的装置,其特征在于,还包括:
第二获取单元,用于获取预先设置的各个训练数据,所述训练数据包含训练域名和所述训练域名的标签信息;
第一确定单元,用于确定各个所述训练域名对应的检测信息;
第一训练单元,用于依次将各个所述训练域名对应的检测信息输入至初始神经网络模型,直至所述初始神经网络模型的网络参数满足预先设置的训练条件;
其中,将每个所述训练数据包含的检测信息输入至所述初始神经网络模型时,得到当前输入至所述初始神经网络模型的检测信息对应的识别结果;调用预先设置的损失函数,对所述识别结果与当前输入至所述初始神经网络的检测信息对应的标签信息进行计算,得到损失函数值;依据所述损失函数值,判断所述初始神经网络模型的网络参数是否满足所述训练条件;若不满足,则依据所述损失函数值调整所述初始神经网络模型的网络参数;若满足,则将所述初始神经网络模型确定为域名识别模型。
12.根据权利要求8所述的装置,其特征在于,还包括:
第三获取单元,用于获取预先设置的各个训练数据,所述训练数据包含训练域名和所述训练域名的标签信息;
第二确定单元,用于确定各个所述训练域名对应的检测信息;
第二训练单元,用于依次将各个所述训练域名对应的检测信息输入至初始神经网络模型,直到输入至所述初始神经网络模型的检测信息的数量满足预设的数量阈值时,将当前所述初始神经网络模型确定为域名识别模型;
其中,将每个所述检测信息输入至所述初始神经网络模型时,得到当前输入至所述初始神经网络模型的检测信息的识别结果;调用预先设置的损失函数,对所述识别结果与当前输入至所述初始神经网络的检测信息对应的标签信息进行计算,得到损失函数值;依据所述损失函数值调整所述初始神经网络模型的网络参数。
13.根据权利要求8所述的装置,其特征在于,所述识别单元,包括:
第三确定子单元,用于将所述检测信息输入至预先构建的域名识别模型时,确定所述检测信息与所述域名识别模型的各个预设的输出标签对应的预测概率值;
第四确定子单元,用于在各个所述输出标签中,将数值最大的预测概率值所对应的输出标签确定为与所述待识别域名对应的识别结果。
14.根据权利要求8至13任意一项所述的装置,其特征在于,还包括:
报警单元,用于当所述识别结果表征所述待识别域名为DGA域名时,依据所述DGA域名的DGA类型生成报警信息,以进行报警。
15.一种存储介质,其特征在于,所述存储介质包括存储的指令,其中,在所述指令运行时控制所述存储介质所在的设备执行如权利要求1~7任意一项所述的域名识别方法。
16.一种电子设备,其特征在于,包括存储器,以及一个或者一个以上的指令,其中一个或者一个以上指令存储于存储器中,且经配置以由一个或者一个以上处理器执行如权利要求1~7任意一项所述的域名识别方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910899351.3A CN110674370A (zh) | 2019-09-23 | 2019-09-23 | 域名识别方法及装置、存储介质及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910899351.3A CN110674370A (zh) | 2019-09-23 | 2019-09-23 | 域名识别方法及装置、存储介质及电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110674370A true CN110674370A (zh) | 2020-01-10 |
Family
ID=69077203
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910899351.3A Pending CN110674370A (zh) | 2019-09-23 | 2019-09-23 | 域名识别方法及装置、存储介质及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110674370A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113011499A (zh) * | 2021-03-22 | 2021-06-22 | 安徽大学 | 一种基于双注意力机制的高光谱遥感图像分类方法 |
| CN114363290A (zh) * | 2021-12-31 | 2022-04-15 | 恒安嘉新(北京)科技股份公司 | 域名识别方法、装置、设备及存储介质 |
| CN116074081A (zh) * | 2023-01-28 | 2023-05-05 | 鹏城实验室 | Dga域名检测方法、装置、设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108200054A (zh) * | 2017-12-29 | 2018-06-22 | 北京奇安信科技有限公司 | 一种基于dns解析的恶意域名检测方法及装置 |
| CN108600200A (zh) * | 2018-04-08 | 2018-09-28 | 腾讯科技(深圳)有限公司 | 域名检测方法、装置、计算机设备及存储介质 |
| US20180351972A1 (en) * | 2017-05-31 | 2018-12-06 | Infoblox Inc. | Inline dga detection with deep networks |
| CN109450886A (zh) * | 2018-10-30 | 2019-03-08 | 杭州安恒信息技术股份有限公司 | 一种域名识别方法、系统及电子设备和存储介质 |
| CN109788079A (zh) * | 2017-11-15 | 2019-05-21 | 瀚思安信(北京)软件技术有限公司 | Dga域名实时检测方法和装置 |
| CN110113327A (zh) * | 2019-04-26 | 2019-08-09 | 北京奇安信科技有限公司 | 一种检测dga域名的方法及装置 |
-
2019
- 2019-09-23 CN CN201910899351.3A patent/CN110674370A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180351972A1 (en) * | 2017-05-31 | 2018-12-06 | Infoblox Inc. | Inline dga detection with deep networks |
| CN109788079A (zh) * | 2017-11-15 | 2019-05-21 | 瀚思安信(北京)软件技术有限公司 | Dga域名实时检测方法和装置 |
| CN108200054A (zh) * | 2017-12-29 | 2018-06-22 | 北京奇安信科技有限公司 | 一种基于dns解析的恶意域名检测方法及装置 |
| CN108600200A (zh) * | 2018-04-08 | 2018-09-28 | 腾讯科技(深圳)有限公司 | 域名检测方法、装置、计算机设备及存储介质 |
| CN109450886A (zh) * | 2018-10-30 | 2019-03-08 | 杭州安恒信息技术股份有限公司 | 一种域名识别方法、系统及电子设备和存储介质 |
| CN110113327A (zh) * | 2019-04-26 | 2019-08-09 | 北京奇安信科技有限公司 | 一种检测dga域名的方法及装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113011499A (zh) * | 2021-03-22 | 2021-06-22 | 安徽大学 | 一种基于双注意力机制的高光谱遥感图像分类方法 |
| CN114363290A (zh) * | 2021-12-31 | 2022-04-15 | 恒安嘉新(北京)科技股份公司 | 域名识别方法、装置、设备及存储介质 |
| CN114363290B (zh) * | 2021-12-31 | 2023-08-29 | 恒安嘉新(北京)科技股份公司 | 域名识别方法、装置、设备及存储介质 |
| CN116074081A (zh) * | 2023-01-28 | 2023-05-05 | 鹏城实验室 | Dga域名检测方法、装置、设备及存储介质 |
| CN116074081B (zh) * | 2023-01-28 | 2023-06-13 | 鹏城实验室 | Dga域名检测方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Opara et al. | HTMLPhish: Enabling phishing web page detection by applying deep learning techniques on HTML analysis | |
| CN111241291B (zh) | 利用对抗生成网络生成对抗样本的方法及装置 | |
| CN113596007B (zh) | 一种基于深度学习的漏洞攻击检测方法和设备 | |
| EP2803031A1 (en) | Machine-learning based classification of user accounts based on email addresses and other account information | |
| CN111538929B (zh) | 网络链接识别方法、装置、存储介质及电子设备 | |
| CN111866004B (zh) | 安全评估方法、装置、计算机系统和介质 | |
| CN110674370A (zh) | 域名识别方法及装置、存储介质及电子设备 | |
| CN107832300A (zh) | 面向微创医疗领域文本摘要生成方法及装置 | |
| CN114330966A (zh) | 一种风险预测方法、装置、设备以及可读存储介质 | |
| CN113691542A (zh) | 基于HTTP请求文本的Web攻击检测方法及相关设备 | |
| US11886597B2 (en) | Detection of common patterns in user generated content with applications in fraud detection | |
| CN114826681A (zh) | 一种dga域名检测方法、系统、介质、设备及终端 | |
| CN113821587B (zh) | 文本相关性确定方法、模型训练方法、装置及存储介质 | |
| CN112948578B (zh) | 一种dga域名开集分类方法、装置、电子设备及介质 | |
| CN116402630A (zh) | 一种基于表征学习的财务风险预测方法及系统 | |
| CN113343235B (zh) | 基于Transformer的应用层恶意有效负载检测方法、系统、设备及介质 | |
| CN115759081A (zh) | 一种基于短语相似度的攻击模式抽取方法 | |
| CN112818688B (zh) | 文本处理方法、装置、设备及存储介质 | |
| CN115906797A (zh) | 文本实体对齐方法、装置、设备及介质 | |
| CN114817934A (zh) | 一种基于漏洞事件论元的漏洞严重度评估方法及系统 | |
| CN113420127A (zh) | 威胁情报处理方法、装置、计算设备及存储介质 | |
| CN116074081B (zh) | Dga域名检测方法、装置、设备及存储介质 | |
| CN110941705B (zh) | 干扰信息去除方法、去干扰模型组件及垃圾文本识别系统 | |
| CN115618843B (zh) | 文本检测方法、装置、电子设备及存储介质 | |
| Singh et al. | Axiomatic Analysis of Pre‐Processing Methodologies Using Machine Learning in Text Mining: A Social Media Perspective in Internet of Things |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200110 |