[发明专利]基于可信度的互联网恶意域名检测方法

权利要求书

1.基于可信度的互联网恶意域名检测方法，其特征在于，包括：

第1、利用多个模型独立的对域名恶意情况进行预测，模型对于测试数据的预测结果和实际恶意情况作为第2步的输入，包括如下步骤：

第1.1步、通过网络爬虫以及用户网络行为收集作为训练集和校准集的域名，并且对训练集和校准集同时进行特征提取，获取域名的特征值，其中包括：域名长度、元音占比、有意义单词占比统计域、数字占比、字母占比、不同数字占比、字母与数字变换次数和k-grams；

第1.2步、多个机器学习模型算法各自独立的对训练集的域名的特征值进行拟合，得到基于域名特征值的机器学习数据模型，并对校准集数据的恶意情况进行预测；

第2、运用IVAPD统计学习算法，对先前生成的机器学习数据模型的预测结果计算模型的可信度；

第2.1、每一个机器学习算法，对域名特征值集合X，能根据模型t，利用IVAPD算法，计算出结果P₀(U)和P₁(U)；通过P₀(U)和P₁(U)，利用公式计算得到IVAPD得分P(U)，即为可信度；根据可信度P(U)，来直接对比模型预测结果的质量选取可信度较高的m个模型；

第2.2、IVAPD得分的输入：拟合后的m个机器学习模型T_test、校准域名集合Y_cal，IVAPD算法g：

①拟合后的机器学习模型T_test：包含m个机器学习模型t_i，i∈{1,2,...,m},T_test＝{t₁,...,t_m}；

②校准域名集合Y_cal：包含c个用于校准的域名y_j,j∈{1,2,...,c},Y_cal＝{y₁,...,y_c}；

③IVAPD算法g；返回值为一个IVAPD得分，该函数的输入为一个校准域名集Y_cal和机器学习模型t_i，返回值为一个实数，该实数表明待测该机器学习模型在校准集上的统计学习得分；

第2.3、IVAPD算法的输出：机器学习算法在统计上的可信度；

第2.4、可信度算法流程：

输入:训练集T_P＝{(x_-1,y_-1),......,(x_-r,y_-r)}

输入:校准集T_C＝{(x₁,y₁),......,(x_h,y_h)}

输入:测试样例x_h+1

输入:基本预测函数P:(x,T)→s

for i:＝1,...,r do

s_-i:＝P(x_-i,T\{(x_-i,y_-i)})

end for

找到(g_-1,......,g_-r)能使得最小其中

for i:＝1,...,h+1 do

s_i:＝P(x_i,T_P)

找到最接近s_i的s_-j(可能不唯一)

g_i:＝g_-j(取平均值并不是唯一的)

end for

令A:＝{i＝1,...,h:g_i＝g_h+1}

令

输出:

计算可信度：

第3、多个模型进行协同防御，即对第2步得到的模型可信度利用简单投票的方法对每个待测域名的恶意情况进行投票，来确定待测域名是否恶意；

第3.1、每一个已经训练好的机器学习模型，按照IVAPD可信度进行排序，取可信度最高的key个模型，根据待测域名特征值，对域名是否是恶意域名进行预测；

第3.2、多模型算法的输入：可信度较高的机器学习模型集合T_uesd、待测域名集合Y_detected，简单投票算法Vote：

①可信度较高的机器学习模型集合T_uesd：包含key个机器学习模型t_i，i∈{1,2,...,key},T_used＝{t₁,...,t_key}；

②待测域名集合Y_detected：包含q个待测域名y_j,j∈{1,2,...,q},Y_detected＝{y₁,...,y_q}；

③简单投票算法Vote；返回值为一个多模型融合后的预测结果，该函数的输入为一个待测域名、机器学习模型集合T_uesd以及通过率rate，返回值为该域名是否为恶意域名的bool值；

第3.3、简单投票算法流程：

令y_j∈Y_detected；T_used＝{t₁,…,t_key},t_i∈T_used；t_i的预测算法为h_i；算法集合的投票通过率为rate；

则投票的算法流程如下：

for i←1to key do

a_ij←h_i(t_i,y_j)

end for

b_i＝1

else

b_i＝0

end if

end for；

第3.4、简单投票算法的输出：对于待测域名的预测结果。