[发明专利]用于检测生成域的系统和方法

权利要求书

1.一种用于域分析的计算机实施方法，包括：

通过计算设备获取域；以及

通过所述计算设备将获取的域输入到经训练的检测模型，以确定所述获取的域是否由一种或多种域生成算法生成，其中：

所述检测模型包括神经网络模型、基于n-gram的机器学习模型和集成层；

将所述获取的域输入到所述检测模型包括：将所述获取的域输入到所述神经网络模型和所述基于n-gram的机器学习模型中的每一个；

所述神经网络模型和所述基于n-gram的机器学习模型都输出到所述集成层；以及

所述集成层输出所述获取的域由域生成算法生成的概率。

2.根据权利要求1所述的方法，其中：

通过计算设备获取域包括：通过所述计算设备从DNS服务器的日志中获取所述域；以及

所述方法还包括通过所述计算设备将所述确定转发到所述本地DNS服务器以阻止所述域的查询。

3.根据权利要求1所述的方法，其中：

通过计算设备获取域包括：通过所述计算设备从安装在客户端设备上的代理软件获取所述域；以及

所述方法还包括通过所述计算设备将所述确定转发到所述代理软件以阻止与所述域的IP地址的通信。

4.根据权利要求1所述的方法，其中：

通过计算设备获取域包括：通过所述计算设备从网络监视服务器的日志中获取所述域；以及

所述方法还包括通过所述计算设备将所述确定转发到所述网络监视服务器以阻止所述域的查询。

5.根据权利要求1所述的方法，其中：

所述检测模型包括附加特征层；

将获取的域输入到检测模型包括：将所述获取的域输入到所述附加特征层；

所述附加特征层输出到所述集成层；

所述域与域名和TLD相关联；并且

所述附加特征层至少包括以下特征：所述域名的长度、所述TLD的长度、所述域名的长度是否超过域名阈值、所述TLD的长度是否超过TLD阈值、所述域名中的数字字符的数目、所述TLD是否包含任何数字字符、所述域名中包含的特殊字符的数目、或所述TLD是否包含任何特殊字符。

6.根据权利要求5所述的方法，其中：

所述集成层包括输出所述概率的顶层逻辑回归模型；

所述顶层逻辑回归模型包括分别与特征，所述神经网络模型的输出以及所述基于n-gram的机器学习模型的输出相关联的多个集成系数；以及

所述检测模型通过以下方式进行训练：

分别训练所述神经网络模型和所述基于n-gram的机器学习模型；以及

将训练后的神经网络模型和训练后的基于n-gram的机器学习模型的输出输入到所述顶层逻辑回归模型，以求解所述集成系数。

7.根据权利要求1所述的方法，其中：

所述神经网络模型包括概率网络；

所述域与作为对所述概率网络的单独输入的域名、TLD和域长度相关联；

所述域名被输入到独热编码层和循环神经网络层，然后被输入到密集和批量归一化层；

所述TLD被输入到嵌入和批量归一化层，然后被输入到所述密集和批量归一化层；

所述域长度被输入到所述密集和批量归一化层；并且

所述密集和批量归一化层输出所述获取的域为通过所述域生成算法生成的预测概率。

8.根据权利要求7所述的方法，其中：

所述循环神经网络层包括LSTM单元。

9.根据权利要求1所述的方法，其中：

所述神经网络模型包括表示网络；

所述域与作为对所述表示网络的单独输入的域名和TLD相关联；

所述域名被输入到嵌入和批量归一化层和循环神经网络层，然后被输入到密集和批量归一化层；

所述TLD被输入到嵌入和批量归一化层，然后被输入到所述密集和批量归一化层；并且

所述密集和批量归一化层输出所述域的密集表示。