[发明专利]DGA域名检测模型构建方法、装置、服务器及存储介质

说明书

本申请公开了一种DGA域名检测模型构建方法、装置、服务器及存储介质，该方法包括获取训练数据集，该训练数据集中包括DGA域名及合法域名；将该训练数据集分成多个训练数据子集，每个该训练数据子集包括至少一个该DGA域名及至少一个该合法域名；利用分类算法对每个该训练数据子集进行训练，得到多个检测子模型；将测试样本依次输入每个该检测子模型中，得到该测试样本的预测标签集合；根据决策策略对该预测标签集合进行融合，得到该测试样本的最终标签。本申请实施例提供的DGA域名检测模型构建方法，通过对训练数据集的分组，得到多个检测子模型，实现了对训练数据集的完整学习，体现了实际DGA域名的特性。

技术领域

本申请一般涉及计算机技术领域，具体涉及一种DGA域名检测模型构建方法、装置、服务器及存储介质。

背景技术

域名生成算法(Domain generation algorihms，DGA)域名是一种通过算法自动生成的随机域名。恶意软件或潜伏的攻击程序常常通过DGA域名与外界的控制服务器建立网络连接，根据攻击者下发的指令，执行数据盗取等网络攻击。因此，DGA域名检测对于发现潜伏的攻击具有重要的意义。

目前，在DGA域名检测中，通常采用机器学习算法对获取的域名的结构特征进行训练，得到一个DGA检测模型，进而通过训练得到DGA检测模型对DGA域名进行检测。

在采用机器学习算法对域名的结构特征进行训练的过程中，得到的单个DGA域名检测模型无法完全学习到DGA域名的所有特征，导致得到的DGA域名检测模型无法充分体现实际DGA域名的特性，使得DGA域名检测模型的准确性低。

发明内容

鉴于现有技术中的上述缺陷或不足，期望提供一种DGA域名检测模型构建方法、装置、服务器及存储介质，以解决单个DGA域名检测模型无法充分体现实际DGA域名的特性的问题。

第一方面，本申请实施例提供一种DGA域名检测模型构建方法，该方法包括：

获取训练数据集，该训练数据集中包括DGA域名及合法域名；

将该训练数据集分成多个训练数据子集，每个该训练数据子集包括至少一个该DGA域名及至少一个该合法域名；

利用分类算法对每个该训练数据子集进行训练，得到多个检测子模型；

将测试样本依次输入每个该检测子模型中，得到该测试样本的预测标签集合；

根据决策策略对该预测结果标签进行融合，得到该测试样本的最终标签。

第二方面，本申请实施例提供的一种DGA域名检测模型构建装置，该装置包括：

获取模块，用于获取训练数据集，该训练数据集中包括DGA域名及合法域名；

分组模块，用于将该训练数据集分成多个训练数据子集，每个该训练数据子集包括至少一个该DGA域名及至少一个该合法域名；

训练模块，用于利用分类算法对每个该训练数据子集进行训练，得到多个检测子模型；

测试模块，用于将测试样本依次输入每个该检测子模型中，得到该测试样本的预测标签集合；

融合模块，用于根据决策策略对该预测标签集合进行融合，得到该测试样本的最终标签。

第三方面，本申请提供一种服务器，该服务器包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，该处理器执行该程序时实现如第一方面所述的DGA域名检测模型构建方法。

第四方面，本申请提供一种计算机存储介质，该计算机程序用于实现如第一方面所述的DGA域名检测模型构建方法。