[发明专利]一种恶意域名检测方法、装置、设备及存储介质

说明书

本发明公开了一种恶意域名检测方法、装置、设备及获取机可读存储介质；在本方案中，利用域名访问序列生成词向量后，可将黑域名以及与其相似度较高的未知域名一同生成无向图，通过该图可以反映出未知域名与黑域名的关联联系，从而通过该关联联系检测出更多的恶意域名；并且，本方案在判定恶意域名时，若未知域名与黑域名的节点数量比值大于第二阈值，则将未知域名判定为恶意域名，通过这种方式，使得判定结果具有较强的解释性及准确定，且结果可控。

技术领域

本发明涉及信息安全技术领域，更具体地说，涉及一种恶意域名检测方法、装置、设备及计算机可读存储介质。

背景技术

目前，恶意域名已经成为国内乃至全世界的网络安全领域最为关注的危害之一。现有的恶意域名检测方案是利用词向量技术将域名序列映射到一个低维空间中，然后计算相似度嵌入到图中，利用标签传播的方式检测恶意域名。但是，通过该方式检测恶意域名时，由于标签传播算法在实际应用中准确性低，且结果不可解释，实际效果不佳。

发明内容

本发明的目的在于提供一种恶意域名检测方法、装置、设备及计算机可读存储介质，以提高恶意域名的检测准确度。

为实现上述目的，本发明提供的一种恶意域名检测方法，包括：

获取主机的域名访问序列，确定所述域名访问序列中各个域名的词向量；所述域名访问序列中各个域名按照主机访问顺序进行排序；

获取所述域名访问序列中黑域名与未知域名的词向量之间的相似度，并确定相似度大于第一阈值的目标黑域名和目标未知域名；

将目标黑域名和目标未知域名分别作为节点、将相似度大于第一阈值的节点之间设置连通边，生成无向图；

获取所述无向图的连通分支中目标未知域名与目标黑域名的节点数量比值，若所述节点数量比值大于第二阈值，则判定连通分支中的目标未知域名为恶意域名。

其中，所述判定连通分支中的目标未知域名为恶意域名之后，还包括：

根据所述恶意域名对主机所访问的域名进行安全检测，生成安全事件。

其中，所述确定所述域名访问序列中各个域名的词向量，包括：

利用Skip-Gram模型训练所述域名访问序列中各个域名的词向量。

其中，所述获取所述域名访问序列中黑域名与未知域名的词向量之间的相似度，包括：

将所述域名访问序列中的域名与黑域名库中的域名进行比对，识别所述域名访问序列中黑域名；所述域名访问序列中包括黑域名和未知域名；

将每个黑域名作为种子域名，分别获取每个种子域名的词向量与所述域名访问序列中其他域名的词向量之间的相似度。

其中，所述确定相似度大于第一阈值的目标黑域名和目标未知域名，包括：

判断是否存在大于第一阈值的目标相似度；

若存在，则确定与所述目标相似度对应的目标黑域名和目标未知域名，并根据所述目标相似度、所述目标黑域名和所述目标未知域名生成三元组。

其中，所述将目标黑域名和目标未知域名分别作为节点、将相似度大于第一阈值的节点之间设置连通边，生成无向图之后，还包括：

判断所述无向图中是否存在仅有一条连通边的目标未知域名的节点；

若存在，则删除仅有一条连通边的目标未知域名的节点。

其中，所述获取所述无向图的连通分支中目标未知域名与目标黑域名的节点数量比值，若所述节点数量比值大于第二阈值，则判定连通分支中的目标未知域名为恶意域名，包括：

从所述无向图中确定待处理的目标连通分支；