CN114401122A - 一种域名检测方法、装置、电子设备及存储介质 - Google Patents

一种域名检测方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN114401122A
CN114401122A CN202111622502.4A CN202111622502A CN114401122A CN 114401122 A CN114401122 A CN 114401122A CN 202111622502 A CN202111622502 A CN 202111622502A CN 114401122 A CN114401122 A CN 114401122A
Authority
CN
China
Prior art keywords
domain name
name information
request data
dns request
time interval
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111622502.4A
Other languages
English (en)
Other versions
CN114401122B (zh
Inventor
姬艳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN202111622502.4A priority Critical patent/CN114401122B/zh
Publication of CN114401122A publication Critical patent/CN114401122A/zh
Application granted granted Critical
Publication of CN114401122B publication Critical patent/CN114401122B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/36Creation of semantic tools, e.g. ontology or thesauri
    • G06F16/367Ontology
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2415Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on parametric or probabilistic models, e.g. based on likelihood ratio or false acceptance rate versus a false rejection rate
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/047Probabilistic or stochastic networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computing Systems (AREA)
  • Artificial Intelligence (AREA)
  • Computational Linguistics (AREA)
  • Evolutionary Computation (AREA)
  • Biophysics (AREA)
  • Molecular Biology (AREA)
  • General Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Probability & Statistics with Applications (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Animal Behavior & Ethology (AREA)
  • Databases & Information Systems (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本申请涉及计算机技术领域,特别涉及一种域名检测方法、装置、电子设备及存储介质,用以有效的对域名进行检测。本申请实施例将获取到的DNS请求数据流按照预设时间间隔进行划分得到多个DNS请求数据集合;针对任意一个预设时间间隔的DNS请求数据集合,根据DNS请求数据集合中各个DNS请求数据对应的域名信息,生成与预设时间间隔对应的域名信息结构图;根据各个域名信息结构图确定每个域名信息的传播演进特征;根据每个域名信息的传播演进特征,对每个域名信息的类型进行检测。本申请实施例提供一种有效进行域名检测的方案。

Description

一种域名检测方法、装置、电子设备及存储介质
技术领域
本申请涉及计算机技术领域,特别涉及一种域名检测方法、装置、电子设备及存储介质。
背景技术
域名系统给人们的生活带来了极大的便利,从网页访问、物联网、分布式系统到区块链、工业控制系统有着广泛的应用。
由于域名的灵活性和可访问性使得DNS在恶意软件中的使用变得很有吸引力;为了不同的目的几乎用于各种恶意软件中。在给我们的生活带来实质性便利的同时,也带来了潜在的安全隐患和DNS滥用的安全挑战。现代恶意软件使用域名进行网络钓鱼、发送垃圾邮件、促进命令、控制通信、传播恶意软件等。与此同时,恶意域名对抗检测的规避技术也一直在发展,如何有效的对域名进行检测成为亟待解决的问题。
发明内容
本申请提供一种域名检测方法、装置、电子设备及存储介质,用以有效的对域名进行检测。
第一方面,本申请实施例的域名检测方法,包括:
将获取到的DNS请求数据流按照预设时间间隔进行划分,得到多个DNS请求数据集合;其中所述DNS请求数据集合包括同一个预设时间间隔内的多个DNS请求数据;
针对任意一个预设时间间隔的DNS请求数据集合,根据所述DNS请求数据集合中各个DNS请求数据对应的域名信息,生成与所述预设时间间隔对应的表示各个域名信息之间关联关系的域名信息结构图;
根据各个预设时间间隔对应的域名信息结构图,确定每个域名信息的传播演进特征;其中,所述传播演进特征用于表示域名信息随时间在各个域名信息结构图中的变化信息;
根据每个域名信息的传播演进特征,对每个域名信息的类型进行检测。
可选的,所述根据所述DNS请求数据集合中各个DNS请求数据对应的域名信息,生成与所述预设时间间隔对应的表示各个域名信息之间关联关系的域名信息结构图,具体包括:
将所述DNS请求数据集合中各个DNS请求数据对应的域名信息作为所述域名信息结构图的节点,以及,将同一个客户端触发的DNS请求数据对应的域名信息进行连接,和将相同解析地址的域名信息进行连接,构建得到所述预设时间间隔对应的域名信息结构图。
可选的,所述根据各个预设时间间隔对应的域名信息结构图,确定每个域名信息的传播演进特征,具体包括:
针对任意一个预设时间间隔对应的域名信息结构图,从所述域名信息结构图中提取每个域名信息的邻域特征;其中,所述邻域特征用于表示对应的域名信息与所述域名信息结构图中其它域名信息之间的关联关系;
针对任意一个域名信息,根据所述域名信息对应的从不同域名信息结构图中提取的邻域特征,确定所述域名信息的传播演进特征。
可选的,所述从所述域名信息结构图中提取每个域名信息的邻域特征,具体包括:
基于已训练的图卷积神经网络,将所述域名信息结构图输入已训练的图卷积神经网络,获取所述已训练的图卷积神经网络输出的每个域名信息的邻域特征;
所述根据所述域名信息的不同邻域特征,确定所述域名信息的传播演进特征,具体包括:
基于已训练的循环神经网络,将所述域名信息的不同邻域特征输入所述已训练的循环神经网络,获取所述已训练的循环神经网络输出的所述域名信息的传播演进特征。
可选的,所述根据每个域名信息的传播演进特征,对每个域名信息的类型进行检测,具体包括:
将每个域名信息的传播演进特征输入已训练的分类网络;
基于已训练的分类网络,根据每个域名信息的传播演进特征对每个域名信息的类型进行检测,得到各个域名信息的类型。
第二方面,本申请实施例提供一种域名检测装置,该装置包括:
划分模块,用于将获取到的DNS请求数据流按照预设时间间隔进行划分,得到多个DNS请求数据集合;其中所述DNS请求数据集合包括同一个预设时间间隔内的多个DNS请求数据;
生成模块,用于针对任意一个预设时间间隔的DNS请求数据集合,根据所述DNS请求数据集合中各个DNS请求数据对应的域名信息,生成与所述预设时间间隔对应的表示各个域名信息之间关联关系的域名信息结构图;
确定模块,用于根据各个预设时间间隔对应的域名信息结构图,确定每个域名信息的传播演进特征;其中,所述传播演进特征用于表示域名信息随时间在各个域名信息结构图中的变化信息;
检测模块,用于根据每个域名信息的传播演进特征,对每个域名信息的类型进行检测。
第三方面,本申请实施例提供一种电子设备,包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序执行如上述第一方面所述的方法。
第四方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行如上述第一方面所述的方法。
由于本申请实施例提供一种域名检测方法,将DNS请求数据流按照预设时间间隔进行划分,得到多个DNS请求数据集合;根据每个DNS请求数据集合生成域名信息结构图,以及根据各个预设时间间隔对应的域名信息结构图,确定每个域名信息的传播演进特征;其中,传播演进特征用于表示域名信息随时间在各个域名信息结构图中的变化信息;根据每个域名信息的传播演进特征,对每个域名信息的类型进行检测;从而提供一种基于域名信息的传播演进特征对域名信息进行检测的方法,可以提高域名检测的准确性。
附图说明
图1为本申请实施例一种应用场景的示意图;
图2为本申请实施例一种域名检测方法的流程图;
图3为本申请实施例一种域名信息结构图的示意图;
图4为本申请实施例另一种域名信息结构图的示意图;
图5为本申请实施例基于神经网络的域名检测示意图;
图6为本申请实施例一种域名检测方法的整体流程图;
图7为本申请实施例一种域名检测装置的结构示意图;
图8为本申请实施例一种电子设备的结构示意图。
具体实施方式
本申请实施例中术语“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
本申请实施例中术语“多个”是指两个或两个以上,其它量词与之类似。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,并不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
如图1所示本申请实施例一种可选的应用场景,包括多个客户端10和域名检测服务器11;
用户通过客户端10触发DNS请求数据;
域名检测服务器11获取多个客户端10的DNS请求数据流,并将获取到的DNS请求数据流按照预设时间间隔进行划分,得到多个DNS请求数据集合;其中所述DNS请求数据集合包括同一个预设时间间隔内的多个DNS请求数据;针对任意一个预设时间间隔的DNS请求数据集合,域名检测服务器11根据所述DNS请求数据集合中各个DNS请求数据对应的域名信息,生成与所述预设时间间隔对应的表示各个域名信息之间关联关系的域名信息结构图;域名检测服务器11根据各个预设时间间隔对应的域名信息结构图,确定每个域名信息的传播演进特征;其中,所述传播演进特征用于表示域名信息随时间在各个域名信息结构图中的变化信息;域名检测服务器11根据每个域名信息的传播演进特征,对每个域名信息的类型进行检测。
在该应用场景中,域名检测服务器11可以用于检测恶意域名。
其中,本申请实施例的客户端既可以指软件类的应用程序(Application,APP),也可以指终端设备。它具有可视的显示界面,能与用户进行交互;是与服务器相对应,为客户提供本地服务。针对软件类的应用程序,除了一些只在本地运行的应用程序之外,一般安装在普通的客户终端上,需要与服务端互相配合运行。因特网发展以后,较常用的应用程序包括了如收寄电子邮件时的电子邮件客户端,以及即时通讯的客户端等。对于这一类应用程序,需要网络中有相应的服务器和服务程序来提供相应的服务,如数据库服务,配置参数服务等,这样在客户终端和服务器端,需要建立特定的通信连接,来保证应用程序的正常运行。
本申请实施例的服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(Content DeliveryNetwork,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。
下面结合上述描述的应用场景,参考图2-图6来描述本申请示例性实施方式提供的音频推荐方法。需要注意的是,上述应用场景仅是为了便于理解本申请的精神和原理而示出,本申请的实施方式在此方面不受任何限制。相反,本申请的实施方式可以应用于适用的任何场景。
如图2所示,本申请实施例域名检测方法,包括以下步骤:
步骤S201、将获取到的DNS请求数据流按照预设时间间隔进行划分,得到多个DNS请求数据集合;其中所述DNS请求数据集合包括同一个预设时间间隔内的多个DNS请求数据;
步骤S202、针对任意一个预设时间间隔的DNS请求数据集合,根据所述DNS请求数据集合中各个DNS请求数据对应的域名信息,生成与所述预设时间间隔对应的表示各个域名信息之间关联关系的域名信息结构图;
步骤S203、根据各个预设时间间隔对应的域名信息结构图,确定每个域名信息的传播演进特征;其中,所述传播演进特征用于表示域名信息随时间在各个域名信息结构图中的变化信息;
步骤S204、根据每个域名信息的传播演进特征,对每个域名信息的类型进行检测。
本申请实施例在进行域名检测时,获取所有客户端触发的DNS请求数据流,并且按照预设的时间间隔,将DNS请求数据流划分为多个DNS请求数据集合;
需要说明的是,本申请实施例在将DNS请求数据流按照预设时间间隔进行划分时,需要从DNS请求数据中解析中DNS请求数据的请求时间,根据DNS请求数据的请求时间,对DNS请求数据流进行划分。
实施中,在获取到DNS请求数据流之后,对DNS请求数据流中的所有的DNS请求数据进行解析,解析出每个DNS请求数据的请求记录(src,domain,time);
其中src表示触发DNS请求数据的客户端,domain表示请求的域名,time表示请求时间。
根据解析出的每个DNS请求数据对应的客户端,将同一个客户端的DNS请求数据进行聚合,针对每个客户端形成一个域名请求集合Di
Figure BDA0003438595510000071
其中,
Figure BDA0003438595510000072
表示客户端si在时间
Figure BDA0003438595510000073
触发的DNS请求数据的域名信息
Figure BDA0003438595510000074
Figure BDA0003438595510000075
在对DNS请求数据流按照预设时间间隔进行划分时,可以对每个客户端对应的集合中DNS请求数据按照预设时间间隔;
具体的,对客户端si域名请求集合Di,使用预设时间间隔进行切割,将同一客户端不同的DNS请求数据之间的时间间隔t大于阈值T的DNS请求数据分割到不同的时间快照窗口中;
将属于同一时间片段的所有客户端的DNS请求数据整合到同一个时间快照窗口中,形成时间快照窗口t的DNS请求数据集合U;
U={U1,U2,…,Un};
其中,
Figure BDA0003438595510000076
Ui是第i个客户端的ni个DNS请求数据组成的集合。
基于上述方法,可以得到多个时间段对应的DNS请求数据集合。
一种可选的实施方式为,在得到多个时间段对应的DNS请求数据集合之后,根据预设条件对DNS请求数据集合中的DNS请求数据进行过滤;
可选的,预设条件包括但不限于:
1、触发DNS请求数据的客户端在预设的白名单中;
2、DNS请求数据对应的域名为一次性域名;
3、DNS请求数据对应的域名为公共服务域;
4、触发DNS请求数据的客户端为云服务器。
需要说明的是,在DNS请求数据满足上述预设条件时,不需要对该DNS请求数据的域名进行检测,可以认为该DNS请求数据的域名为安全域名。
因此,本申请实施例一种可选的实施方式为,将不满足上述预设条件的DNS请求数据执行下列域名检测操作。
针对上述得到的任意一个预设时间间隔的DNS请求数据集合,生成该预设时间间隔对应的域名信息结构图;
可选的,本申请域名信息结构图中包括节点和边。
具体的,一种可选的实施方式为,将DNS请求数据集合中各个DNS请求数据对应的域名信息作为所述域名信息结构图的节点;以及,根据各个DNS请求数据对应的客户端,将同一个客户端触发的DNS请求数据对应的域名信息节点之间连接作为边;和,将相同解析地址的域名信息进行连接作为边,构建得到预设时间间隔对应的域名信息结构图。
其中,域名信息结构图中边的权重表示为两个域名信息有相同的请求客户端数量或解析地址的数量。
例如,一个预设时间间隔的DNS请求数据集合为:
{DNS请求数据1(客户端a,d1,8:00)、DNS请求数据2(客户端a,d2,8:05)、DNS请求数据3(客户端b,d3,8:07)、DNS请求数据4(客户端c,d4,8:09)、DNS请求数据1(客户端b,d5,8:10)};
假设,域名信息d2与域名信息d4对应的解析地址相同;
则该预设时间间隔对应的域名信息结构图如图3所示。
本申请实施例在得到各个预设时间间隔对应的域名信息结构图之后,确定每个域名信息的传播演进特征;
下面详细介绍下确定域名信息的传播演进特征的具体方式。
1、针对任意一个预设时间间隔对应的域名信息结构图,从所述域名信息结构图中提取每个域名信息的邻域特征;
其中,所述邻域特征用于表示对应的域名信息与所述域名信息结构图中其它域名信息之间的关联关系。
需要说明的是,本申请实施例域名信息的邻域特征可以通过向量表示;且域名信息的邻域特征通过向量表示的形式描述的是,该域名信息与域名信息结构图中其它域名信息之间的关联关系;
例如,如图4所示的域名信息结构图,其中节点包括域名信息d1、域名信息d2、域名信息d3、域名信息d4、域名信息d5;
则域名信息d1的邻域特征表示的含义为,域名信息d1与域名信息d2、域名信息d4连接;
域名信息d2的邻域特征表示的含义为,域名信息d2与域名信息d1、域名信息d3连接;
域名信息d3的邻域特征表示的含义为,域名信息d3与域名信息d2、域名信息d5连接;
域名信息d4的邻域特征表示的含义为,域名信息d4与域名信息d1、域名信息d5连接;
域名信息d5的邻域特征表示的含义为,域名信息d5与域名信息d3、域名信息d4连接。
可选的,本申请实施例可以基于已训练的图卷积神经网络(GCN)提取每个域名信息的邻域特征;
实施中,基于已训练的图卷积神经网络,将所述域名信息结构图输入已训练的图卷积神经网络,获取所述已训练的图卷积神经网络输出的每个域名信息的邻域特征。
已训练的图卷积神经网络的输入是域名信息结构图中各个节点的DNS请求数据集合Um={U1,U2,…,Un}m∈T;
已训练的图卷积神经网络的输出是每个节点域名信息的向量表示
Figure BDA0003438595510000101
Figure BDA0003438595510000102
表示对节点v在当前域名信息结构图的邻域特征。
需要说明的是,本申请实施例的图卷积神经网络是通过大量的域名信息结构图样本预先训练得到的,在图卷积神经网络训练完成后,可以从域名信息结构图中准确提取出各个域名信息的邻域特征。
2、针对任意一个域名信息,根据所述域名信息对应的从不同域名信息结构图中提取的邻域特征,确定所述域名信息的传播演进特征;
其中,所述域名信息的不同邻域特征是从不同预设时间间隔对应的域名信息结构图中提取出的所述域名信息的邻域特征。
需要说明的是,域名信息的传播演进特征反映的是该域名信息随时间在各个域名信息结构图中的变化。
可选的,本申请实施例可以基于已训练的循环神经网络确定域名信息的传播演进特征;
实施中,基于已训练的循环神经网络,将所述域名信息的不同邻域特征输入所述已训练的循环神经网络,获取所述已训练的循环神经网络输出的所述域名信息的传播演进特征。
已训练的循环神经网络的输入层是域名信息节点v在不同时间间隔的邻域特征的表示序列;对每个节点v,定义输入为
Figure BDA0003438595510000103
T是时间间隔的总数,输出层是节点v包含每一个时间间隔的上下文表示的新的节点表示;
利用位置嵌入的方法捕捉时间间隔顺序信息,{p1,…,pT},将时间间隔顺序信息与邻域特征结合,得到含顺序信息的节点表示序列
Figure BDA0003438595510000104
Figure BDA0003438595510000105
最终得到使用循环神经网络的最终表示
Figure BDA0003438595510000106
表示节点v的传播演进特征。
需要说明的是,本申请实施例的循环神经网络是通过大量的域名信息的不同邻域特征样本预先训练得到的,在循环神经网络训练完成后,可以根据域名信息的不同邻域特征,准确确定域名信息的传播演进特征。
本申请实施例在得到每个域名信息的传播演进特征之后,根据每个域名信息的传播演进特征,对每个域名信息的类型进行检测;
实施中,基于已训练的分类网络,根据每个域名信息的传播演进特征对每个域名信息的类型进行检测,得到各个域名信息的类型。
实施中,将每个域名信息的传播演进特征输入已训练的分类网络;基于已训练的分类网络,根据每个域名信息的传播演进特征对每个域名信息的类型进行检测,得到各个域名信息的类型。
需要说明的是,本申请实施例可以使用域名黑名单,标记数据集中的恶意域名构造训练集,对SOFTMAX分类器进行训练,以使训练后的SOFTMAX分类器可以对恶意域名进行检测;
将域名信息的传播演进特征输入已训练的SOFTMAX分类器之后,SOFTMAX分类器可以判断该域名信息是否为恶意域名。
本申请主要解决域名动态图在多个时间间隔的节点分类问题,尤其是各类难发现的特殊场景问题。如新注册恶意域名节点在刚被注册后或开始传播阶段与可疑域名关联关系很少的场景、访问量稀疏的场景、缺少有用的信息无法快速建立有效关联的场景等。具体的解决方法如下:
本申请使用每个域名节点的邻域特征,同时使用节点边的时间演变特征作为全局变化信息,不同时间间隔的特定形状的域名信息结构图特征随着在各个域名信息结构图的演进能够很好地区分恶意域名节点的传播演进,针对新注册恶意域名节点在刚被注册后或开始传播阶段与可疑域名关联关系很少、访问稀疏、缺少有用的信息无法建立有效的关联的问题,它通过邻域特征和时间演进两个维度作为基础依据,结合域名的节点属性特征,计算节点的表征,学习域名在不同时间间隔的潜在高阶特征。使用标记的恶意域名对节点的演进嵌入表示进行分类,检测恶意域名。
如图5所示,本申请实施例基于神经网络的域名检测示意图。
如图5中各个时间间隔对应的域名信息结构图,time1对应的域名信息结构图、time2对应的域名信息结构图、time3对应的域名信息结构图和time4对应的域名信息结构图;
将各个时间间隔对应的域名信息结构图输入图卷积神经网络,分别得到每个域名信息结构图中各个域名信息的邻域特征序列h;假设time1对应的域名信息结构图对应的各个域名信息的邻域特征序列h1、time2对应的域名信息结构图对应的各个域名信息的邻域特征序列h2、time3对应的域名信息结构图对应的各个域名信息的邻域特征序列h3、time4对应的域名信息结构图对应的各个域名信息的邻域特征序列h4。
将邻域特征序列h1、邻域特征序列h2、邻域特征序列h3、邻域特征序列h4分别输入循环神经网络,最终得到各个域名信息的传播演进特征;
将各个域名信息的传播演进特征输入softmax分类网络,确定输入的域名信息是否为恶意域名。
如图6所示的本申请实施例的域名检测方法的整体流程图,包括以下步骤:
步骤S601、获取DNS请求数据流。
步骤S602、将获取到的DNS请求数据流按照预设时间间隔进行划分,得到多个DNS请求数据集合;
其中所述DNS请求数据集合包括同一个预设时间间隔内的多个DNS请求数据。
步骤S603、针对任意一个预设时间间隔的DNS请求数据集合,根据所述DNS请求数据集合中各个DNS请求数据对应的域名信息,生成与所述预设时间间隔对应的表示各个域名信息之间关联关系的域名信息结构图;
实施中,将所述DNS请求数据集合中各个DNS请求数据对应的域名信息作为所述域名信息结构图的节点,以及,将同一个客户端触发的DNS请求数据对应的域名信息进行连接,和将相同解析地址的域名信息进行连接,构建得到所述预设时间间隔对应的域名信息结构图。
步骤S604、针对任意一个预设时间间隔对应的域名信息结构图,基于已训练的图卷积神经网络,将所述域名信息结构图输入已训练的图卷积神经网络,获取所述已训练的图卷积神经网络输出的每个域名信息的邻域特征。
步骤S605、针对任意一个域名信息,基于已训练的循环神经网络,将所述域名信息的不同邻域特征输入所述已训练的循环神经网络,获取所述已训练的循环神经网络输出的所述域名信息的传播演进特征。
步骤S606、将每个域名信息的传播演进特征输入已训练的分类网络;基于已训练的分类网络,根据每个域名信息的传播演进特征对每个域名信息的类型进行检测,得到各个域名信息的类型。
如图7所示,本申请实施例提供一种域名检测装置,该装置包括:
划分模块701,用于将获取到的DNS请求数据流按照预设时间间隔进行划分,得到多个DNS请求数据集合;其中所述DNS请求数据集合包括同一个预设时间间隔内的多个DNS请求数据;
生成模块702,用于针对任意一个预设时间间隔的DNS请求数据集合,根据所述DNS请求数据集合中各个DNS请求数据对应的域名信息,生成与所述预设时间间隔对应的表示各个域名信息之间关联关系的域名信息结构图;
确定模块703,用于根据各个预设时间间隔对应的域名信息结构图,确定每个域名信息的传播演进特征;其中,所述传播演进特征用于表示域名信息随时间在各个域名信息结构图中的变化信息;
检测模块704,用于根据每个域名信息的传播演进特征,对每个域名信息的类型进行检测。
可选的,所述生成模块702具体用于:
将所述DNS请求数据集合中各个DNS请求数据对应的域名信息作为所述域名信息结构图的节点,以及,将同一个客户端触发的DNS请求数据对应的域名信息进行连接,和将相同解析地址的域名信息进行连接,构建得到所述预设时间间隔对应的域名信息结构图。
可选的,所述确定模块703具体用于:
针对任意一个预设时间间隔对应的域名信息结构图,从所述域名信息结构图中提取每个域名信息的邻域特征;其中,所述邻域特征用于表示对应的域名信息与所述域名信息结构图中其它域名信息之间的关联关系;
针对任意一个域名信息,根据所述域名信息对应的从不同域名信息结构图中提取的邻域特征,确定所述域名信息的传播演进特征。
可选的,所述确定模块703具体用于:
基于已训练的图卷积神经网络,将所述域名信息结构图输入已训练的图卷积神经网络,获取所述已训练的图卷积神经网络输出的每个域名信息的邻域特征;
所述根据所述域名信息的不同邻域特征,确定所述域名信息的传播演进特征,具体包括:
基于已训练的循环神经网络,将所述域名信息的不同邻域特征输入所述已训练的循环神经网络,获取所述已训练的循环神经网络输出的所述域名信息的传播演进特征。
可选的,所述检测模块704具体用于:
将每个域名信息的传播演进特征输入已训练的分类网络;
基于已训练的分类网络,根据每个域名信息的传播演进特征对每个域名信息的类型进行检测,得到各个域名信息的类型。
如图8所示,本申请实施例提供一种电子设备包括存储器801和处理器802;
存储器801,用于存储程序指令;
处理器802,用于调用所述存储器801中存储的程序指令,按照获得的程序执行下列操作:
将获取到的DNS请求数据流按照预设时间间隔进行划分,得到多个DNS请求数据集合;其中所述DNS请求数据集合包括同一个预设时间间隔内的多个DNS请求数据;
针对任意一个预设时间间隔的DNS请求数据集合,根据所述DNS请求数据集合中各个DNS请求数据对应的域名信息,生成与所述预设时间间隔对应的表示各个域名信息之间关联关系的域名信息结构图;
根据各个预设时间间隔对应的域名信息结构图,确定每个域名信息的传播演进特征;其中,所述传播演进特征用于表示域名信息随时间在各个域名信息结构图中的变化信息;
根据每个域名信息的传播演进特征,对每个域名信息的类型进行检测。
可选的,所述处理器802具体用于:
将所述DNS请求数据集合中各个DNS请求数据对应的域名信息作为所述域名信息结构图的节点,以及,将同一个客户端触发的DNS请求数据对应的域名信息进行连接,和将相同解析地址的域名信息进行连接,构建得到所述预设时间间隔对应的域名信息结构图。
可选的,所述处理器802具体用于:
针对任意一个预设时间间隔对应的域名信息结构图,从所述域名信息结构图中提取每个域名信息的邻域特征;其中,所述邻域特征用于表示对应的域名信息与所述域名信息结构图中其它域名信息之间的关联关系;
针对任意一个域名信息,根据所述域名信息对应的从不同域名信息结构图中提取的邻域特征,确定所述域名信息的传播演进特征。
可选的,所述处理器802具体用于:
基于已训练的图卷积神经网络,将所述域名信息结构图输入已训练的图卷积神经网络,获取所述已训练的图卷积神经网络输出的每个域名信息的邻域特征;
所述根据所述域名信息的不同邻域特征,确定所述域名信息的传播演进特征,具体包括:
基于已训练的循环神经网络,将所述域名信息的不同邻域特征输入所述已训练的循环神经网络,获取所述已训练的循环神经网络输出的所述域名信息的传播演进特征。
可选的,所述处理器802具体用于:
将每个域名信息的传播演进特征输入已训练的分类网络;
基于已训练的分类网络,根据每个域名信息的传播演进特征对每个域名信息的类型进行检测,得到各个域名信息的类型。
本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序用于使所述计算机执行上述域名检测方法。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (12)

1.一种域名检测方法,其特征在于,该方法包括:
将获取到的DNS请求数据流按照预设时间间隔进行划分,得到多个DNS请求数据集合;其中所述DNS请求数据集合包括同一个预设时间间隔内的多个DNS请求数据;
针对任意一个预设时间间隔的DNS请求数据集合,根据所述DNS请求数据集合中各个DNS请求数据对应的域名信息,生成与所述预设时间间隔对应的表示各个域名信息之间关联关系的域名信息结构图;
根据各个预设时间间隔对应的域名信息结构图,确定每个域名信息的传播演进特征;其中,所述传播演进特征用于表示域名信息随时间在各个域名信息结构图中的变化信息;
根据每个域名信息的传播演进特征,对每个域名信息的类型进行检测。
2.如权利要求1所述的方法,其特征在于,所述根据所述DNS请求数据集合中各个DNS请求数据对应的域名信息,生成与所述预设时间间隔对应的表示各个域名信息之间关联关系的域名信息结构图,具体包括:
将所述DNS请求数据集合中各个DNS请求数据对应的域名信息作为所述域名信息结构图的节点,以及,将同一个客户端触发的DNS请求数据对应的域名信息进行连接,和将相同解析地址的域名信息进行连接,构建得到所述预设时间间隔对应的域名信息结构图。
3.如权利要求1所述的方法,其特征在于,所述根据各个预设时间间隔对应的域名信息结构图,确定每个域名信息的传播演进特征,具体包括:
针对任意一个预设时间间隔对应的域名信息结构图,从所述域名信息结构图中提取每个域名信息的邻域特征;其中,所述邻域特征用于表示对应的域名信息与所述域名信息结构图中其它域名信息之间的关联关系;
针对任意一个域名信息,根据所述域名信息对应的从不同域名信息结构图中提取的邻域特征,确定所述域名信息的传播演进特征。
4.如权利要求3所述的方法,其特征在于,所述从所述域名信息结构图中提取每个域名信息的邻域特征,具体包括:
基于已训练的图卷积神经网络,将所述域名信息结构图输入已训练的图卷积神经网络,获取所述已训练的图卷积神经网络输出的每个域名信息的邻域特征;
所述根据所述域名信息的不同邻域特征,确定所述域名信息的传播演进特征,具体包括:
基于已训练的循环神经网络,将所述域名信息的不同邻域特征输入所述已训练的循环神经网络,获取所述已训练的循环神经网络输出的所述域名信息的传播演进特征。
5.如权利要求1所述的方法,其特征在于,所述根据每个域名信息的传播演进特征,对每个域名信息的类型进行检测,具体包括:
将每个域名信息的传播演进特征输入已训练的分类网络;
基于已训练的分类网络,根据每个域名信息的传播演进特征对每个域名信息的类型进行检测,得到各个域名信息的类型。
6.一种域名检测装置,其特征在于,该装置包括:
划分模块,用于将获取到的DNS请求数据流按照预设时间间隔进行划分,得到多个DNS请求数据集合;其中所述DNS请求数据集合包括同一个预设时间间隔内的多个DNS请求数据;
生成模块,用于针对任意一个预设时间间隔的DNS请求数据集合,根据所述DNS请求数据集合中各个DNS请求数据对应的域名信息,生成与所述预设时间间隔对应的表示各个域名信息之间关联关系的域名信息结构图;
确定模块,用于根据各个预设时间间隔对应的域名信息结构图,确定每个域名信息的传播演进特征;其中,所述传播演进特征用于表示域名信息随时间在各个域名信息结构图中的变化信息;
检测模块,用于根据每个域名信息的传播演进特征,对每个域名信息的类型进行检测。
7.如权利要求6所述的装置,其特征在于,所述生成模块具体用于:
将所述DNS请求数据集合中各个DNS请求数据对应的域名信息作为所述域名信息结构图的节点,以及,将同一个客户端触发的DNS请求数据对应的域名信息进行连接,和将相同解析地址的域名信息进行连接,构建得到所述预设时间间隔对应的域名信息结构图。
8.如权利要求6所述的装置,其特征在于,所述确定模块具体用于:
针对任意一个预设时间间隔对应的域名信息结构图,从所述域名信息结构图中提取每个域名信息的邻域特征;其中,所述邻域特征用于表示对应的域名信息与所述域名信息结构图中其它域名信息之间的关联关系;
针对任意一个域名信息,根据所述域名信息对应的从不同域名信息结构图中提取的邻域特征,确定所述域名信息的传播演进特征。
9.如权利要求8所述的装置,其特征在于,所述确定模块具体用于:
基于已训练的图卷积神经网络,将所述域名信息结构图输入已训练的图卷积神经网络,获取所述已训练的图卷积神经网络输出的每个域名信息的邻域特征;
所述根据所述域名信息的不同邻域特征,确定所述域名信息的传播演进特征,具体包括:
基于已训练的循环神经网络,将所述域名信息的不同邻域特征输入所述已训练的循环神经网络,获取所述已训练的循环神经网络输出的所述域名信息的传播演进特征。
10.如权利要求6所述的装置,其特征在于,所述检测模块具体用于:
将每个域名信息的传播演进特征输入已训练的分类网络;
基于已训练的分类网络,根据每个域名信息的传播演进特征对每个域名信息的类型进行检测,得到各个域名信息的类型。
11.一种电子设备,其特征在于,所述电子设备包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序执行如权利要求1~5任一项所述的方法。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行权利要求1~5任一项所述的方法。
CN202111622502.4A 2021-12-28 2021-12-28 一种域名检测方法、装置、电子设备及存储介质 Active CN114401122B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111622502.4A CN114401122B (zh) 2021-12-28 2021-12-28 一种域名检测方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111622502.4A CN114401122B (zh) 2021-12-28 2021-12-28 一种域名检测方法、装置、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN114401122A true CN114401122A (zh) 2022-04-26
CN114401122B CN114401122B (zh) 2024-04-05

Family

ID=81228870

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111622502.4A Active CN114401122B (zh) 2021-12-28 2021-12-28 一种域名检测方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN114401122B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160294859A1 (en) * 2015-03-30 2016-10-06 Electronics And Telecommunications Research Institute Apparatus and method for detecting malicious domain cluster
CN110557382A (zh) * 2019-08-08 2019-12-10 中国科学院信息工程研究所 一种利用域名共现关系的恶意域名检测方法及系统
CN111371735A (zh) * 2018-12-26 2020-07-03 中兴通讯股份有限公司 僵尸网络检测方法、系统及存储介质
CN113515589A (zh) * 2021-01-12 2021-10-19 腾讯科技(深圳)有限公司 数据推荐方法、装置、设备以及介质
CN113765841A (zh) * 2020-06-01 2021-12-07 中国电信股份有限公司 恶意域名的检测方法和装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160294859A1 (en) * 2015-03-30 2016-10-06 Electronics And Telecommunications Research Institute Apparatus and method for detecting malicious domain cluster
CN111371735A (zh) * 2018-12-26 2020-07-03 中兴通讯股份有限公司 僵尸网络检测方法、系统及存储介质
CN110557382A (zh) * 2019-08-08 2019-12-10 中国科学院信息工程研究所 一种利用域名共现关系的恶意域名检测方法及系统
CN113765841A (zh) * 2020-06-01 2021-12-07 中国电信股份有限公司 恶意域名的检测方法和装置
CN113515589A (zh) * 2021-01-12 2021-10-19 腾讯科技(深圳)有限公司 数据推荐方法、装置、设备以及介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
JIAWEI SUN等: "FProbe:Detecting Stealthy DGA-based Botnets by Group Activities Analysis", 2020 IEEE 39TH INTERNATIONAL PERFORMANCE COMPUTING AND COMMUNICATIONS CONFERENCE (IPCCC), 31 December 2020 (2020-12-31) *
贾云刚等: "基于组行为分析检测隐蔽DGA 域名", 现代计算机, 31 July 2021 (2021-07-31) *

Also Published As

Publication number Publication date
CN114401122B (zh) 2024-04-05

Similar Documents

Publication Publication Date Title
US11030311B1 (en) Detecting and protecting against computing breaches based on lateral movement of a computer file within an enterprise
CN108768943B (zh) 一种检测异常账号的方法、装置及服务器
US9858404B2 (en) Controlling privacy in a face recognition application
US10665251B1 (en) Multi-modal anomaly detection
CN105704005B (zh) 恶意用户举报方法及装置、举报信息处理方法及装置
US10686807B2 (en) Intrusion detection system
CN112019575B (zh) 数据包处理方法、装置、计算机设备以及存储介质
US20160350675A1 (en) Systems and methods to identify objectionable content
US9973521B2 (en) System and method for field extraction of data contained within a log stream
CN107733968B (zh) 应用信息推送方法、装置、计算机设备和存储介质
CN111917740B (zh) 一种异常流量告警日志检测方法、装置、设备及介质
US11784948B2 (en) Cognitive determination of message suitability
US9942255B1 (en) Method and system for detecting abusive behavior in hosted services
CN110765134A (zh) 档案建立方法、设备及存储介质
US10061857B1 (en) Detecting and grouping users in electronic communications
CN111557014B (zh) 提供多个个人资料的方法及系统
CN110895811B (zh) 一种图像篡改检测方法和装置
CN116662875A (zh) 接口测绘方法及装置
US11005797B2 (en) Method, system and server for removing alerts
CN107766737B (zh) 一种数据库审计方法
CN114401122B (zh) 一种域名检测方法、装置、电子设备及存储介质
CN108540471B (zh) 移动应用网络流量聚类方法、计算机可读存储介质和终端
CN113783862B (zh) 一种边云协同过程中进行数据校验的方法及装置
CN106897619A (zh) 移动终端恶意软件感知方法及装置
CN107578297B (zh) 会员信息聚合方法以及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant