[发明专利]一种域名匹配检测方法及装置

说明书

本发明涉及域名检测技术领域，公开了一种域名匹配检测方法、装置及计算机存储介质，其中，方法包括以下步骤：收集域名样本，并将所述域名样本转换为样本向量，建立训练样本集；采用所述训练样本集对卷积神经网络进行训练，得到域名检测模型；根据所述域名检测模型对待测域名进行检测，得到检测结果；所述检测结果为异常域名时，进一步查询待测域名的IP地址，根据IP查询结果对所述检测结果进行修正。本发明提供的域名匹配检测方法、装置及计算机存储介质，具有不易产生异常域名误报的技术效果。

技术领域

本发明涉及域名检测技术领域，具体涉及一种域名匹配检测方法、装置以及计算机存储介质。

背景技术

DGA(域名生成算法)是一种利用随机字符来生成CC域名，从而逃避域名黑名单检测的技术手段。例如，一个由黑客编写算法创建的DGA生成域名dwqcukoqaht.com，如果我们的进程尝试与它建立连接，那么我们的机器就可能感染勒索病毒。域名黑名单通常用于检测和阻断这些域名的连接，但对于不断更新的DGA算法并不奏效。DGA生成域名的最大特征就是字符组合乱，导致域名无语意。

现在的技术主要有：

1、对已有DGA进行分析，猜测黑客使用的DGA算法，预知黑客将使用的DGA域名，使用这些预测域名匹配检测。

2、收集大量的正常域名和DGA域名，形成训练集，采用训练集训练卷积神经网络(CNN)模型。通过训练好的CNN模型，检测DGA域名。

第一种检测方法的检测效率以及准确度均低，而第二种检测方法存在误报的可能性。

发明内容

本发明的目的在于克服上述技术不足，提供一种一种域名匹配检测方法、装置以及计算机存储介质，解决现有技术中检测效率低、容易产生误报的技术问题。

为达到上述技术目的，本发明的技术方案提供一种域名匹配检测方法，包括以下步骤：

收集域名样本，并将所述域名样本转换为样本向量，建立训练样本集；

采用所述训练样本集对卷积神经网络进行训练，得到域名检测模型；

根据所述域名检测模型对待测域名进行检测，得到检测结果；

所述检测结果为异常域名时，进一步查询待测域名的I P地址，根据I P查询结果对所述检测结果进行修正。

本发明还提供一种域名匹配检测装置，包括处理器以及存储器，所述存储器上存储有计算机程序，所述计算机程序被所述处理器执行时，实现所述域名匹配检测方法。

本发明还提供一种计算机存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时，实现所述域名匹配检测方法。

与现有技术相比，本发明的有益效果包括：本发明通过卷积神经网络的训练得到域名检测模型，其检测效率较之传统分析DGA算法的方法更高。同时，在采用域名检测模型进行检测后，如果检测结果为异常域名时，进一步通过查询I P地址对该检测结果进行确认，防止误判，从而进一步提高域名检测的准确率。

附图说明

图1是本发明提供的域名匹配检测方法一实施方式的流程图；

图2是本发明提供的域名匹配检测方法一实施方式的检测结果修正流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

实施例1

如图1所示，本发明的实施例1提供了域名匹配检测方法，包括以下步骤：