[发明专利]一种异常域名的识别方法、装置及电子设备

说明书

本发明实施例提供了一种异常域名的识别方法，可以获取待识别域名，并且提取待识别域名的文本特征，以及将待识别域名的文本特征输入机器学习模型，得到机器学习模型输出的待识别域名的识别结果，机器学习模型为基于黑白样本集进行训练的分类模型，黑白样本集中包括黑样本和白样本，黑样本为已知的异常域名，白样本为已知的正常域名，因为是通过提取待识别域名的文本特征作为识别域名的依据，相比现有技术依靠已知的异常域名或已知的异常域名构成规则来识别域名，准确性更高，且通过预先构建的机器学习模型对域名进行识别，使得对域名的识别更具灵活性。

技术领域

本发明涉及域名识别技术领域，特别是涉及一种异常域名的识别方法、装置及电子设备。

背景技术

随着网络技术的不断发展，网络中出现的威胁不断增加，如恶意软件、僵尸网络和木马等，攻击者常常会使用域名将恶意程序控制的主机连接至C&C(Command&Control，命令与控制)服务器，从而使得网络攻击更具隐蔽性。

现有技术中，为了识别出携带有恶意程序的异常域名，通常采用情报系统或者专家规则的方法，即将待识别域名与已知的异常域名或者已知的异常域名的构成规则进行对比，判断待识别域名是否为异常域名。

发明人在实现本发明的过程中发现，现有技术至少存在如下问题：

随着技术的发展，攻击者往往会采用编码的方式随机的生成异常域名，使得这些异常域名不具备特定的构成规则，具有很强的灵活性，从而很难通过情报系统或者专家规则拦截。

发明内容

本发明实施例的目的在于提供一种异常域名的识别方法，以提高域名识别的准确性和灵活性。具体技术方案如下：

本发明实施例提供一种异常域名的识别方法，所述方法包括：

获取待识别域名；

提取所述待识别域名的文本特征；

将所述待识别域名的所述文本特征输入机器学习模型，得到所述机器学习模型输出的所述待识别域名的识别结果，所述机器学习模型为基于黑白样本集进行训练的分类模型，所述黑白样本集中包括黑样本和白样本，所述黑样本为已知的异常域名，所述白样本为已知的正常域名。

进一步的，所述文本特征包括：结构特征、信息熵特征、n元语法特征和词频特征；

所述提取所述待识别域名的文本特征，包括：

提取所述待识别域名的结构特征，所述结构特征包括域名长度、字母种类、数字种类、连续字母数和连续数据数；

使用信息熵公式，提取所述待识别域名的信息熵特征；

提取所述待识别域名的n元语法特征，所述n元语法特征包括2-gram均值、2-gram方差、3-gram均值和3-gram方差；

提取所述待识别域名的词频特征。

进一步的，所述使用信息熵公式，提取所述待识别域名的信息熵特征，包括：

使用下述公式计算所述待识别域名的信息熵特征：

其中，其中H(X)为所述待识别域名的信息熵，X为所述待识别域名中各字符的集合，x代表所述待识别域名中各字符的集合中的一个元素，p(x)为x在预先创建的黑白样本集出现的概率。

进一步的，所述机器学习模型的训练步骤，包括：

创建黑白样本集，所述黑白样本集中包括黑样本和白样本，所述黑样本为已知的异常域名，所述白样本为已知的正常域名；

提取所述黑白样本集中各个样本的文本特征和样本类型，所述样本类型表示文本特征对应的是黑样本还是白样本；