[发明专利]一种基于词嵌入技术和LSTM的异常域名检测方法

权利要求书

1.一种基于词嵌入技术和LSTM的异常域名检测方法，其特征在于，该方法包括如下步骤：

(1)数据收集与处理阶段，收集域名查询数据并进行预处理，获取域名词表及域名在词表中的索引表示；

(2)数据表示阶段，经过预处理的数据传入嵌入层，嵌入层将词表中的域名的索引表示转化成固定大小的向量表示；

(3)数据训练阶段，采用LSTM模型，将域名向量和模型一起训练，以获取分类器最佳性能为目标学习区分正常域名和异常域名的关键特征和域名的向量表示，然后通过逻辑回归层构建域名检测分类器，得到域名检测模型；

(4)数据应用阶段，应用模型实现对异常域名的检测。

2.根据权利要求1所述的基于词嵌入技术和LSTM的异常域名检测方法，其特征在于，步骤(1)中所述的数据收集与处理阶段，收集域名查询数据并进行预处理，获取域名词表及域名在词表中的索引表示，具体包括如下步骤：

a.收集数据构建正负样本集，正样本中是正常域名，负样本中是异常域名；

b.将域名中的字母全部用小写字母表示；

c.剔除正负样本中的顶级域名部分；

d.通过数据集构建词表，词表包含了数据集中的全部样本；

e.以词表中对应字符的索引对域名进行编码，获得词表大小的整数数组；

f.将编码后的结果统一成固定长度，长度不足的填补“0”；

e.对数据集进行标注，“0”代表正样本，“1”代表负样本。

3.根据权利要求1所述的基于词嵌入技术和LSTM的异常域名检测方法，其特征在于，步骤(2)中所述的数据表示阶段，经过预处理的数据传入嵌入层，嵌入层将词表中的域名的索引表示转化成固定大小的向量表示，具体包括如下步骤：

a.设置嵌入层的参数，即词向量的维度；

b.使用随机值初始化向量权重，经过Embedding()方法将域名的整数或索引表示转换成固定大小的向量表示。

4.根据权利要求1所述的基于词嵌入技术和LSTM的异常域名检测方法，其特征在于，步骤(3)中所述的数据训练阶段，采用LSTM模型，将域名向量和模型一起训练，以获取分类器最佳性能为目标学习区分正常域名和异常域名的关键特征和域名的向量表示，然后通过逻辑回归层构建域名检测分类器，再通过一些层级结构对整个网络模型进行补充和优化，最终得到域名检测模型，具体包括如下步骤：

a.设置LSTM层参数，即门限结构的隐藏单元个数；

b.通过逻辑回归构建分类器；

c.采用一些层级结构对整个网络进行补充和优化。