[发明专利]基于可信度的互联网恶意域名检测方法

说明书

一种基于可信度的互联网恶意域名检测方法，应用于网络空间安全领域。包括：第1、利用XGBoost、LSTM、Bagging等多种机器学习对海量的恶意域名样本和正常的域名样本进行学习，建立多种异构算法的恶意域名检测模型；第2、通过统计学习算法计算XGBoost、LSTM、Bagging等多种检测模型对可疑域名预测结果的可信度；第3、利用计算得到模型预测结果的可信度进行多模型预测结果的融合，实现异构模型的协同防御。本发明选择了13个域名特征值，利用多种机器学习模型对域名进行分析获取可信度，在可信度的基础上采用简单投票法进行模型的融合，提升了域名分析准确性。

技术领域

本发明属于计算机网络空间安全领域。

背景技术

随着网络的发展，网络空间安全已受到各方面的重视，而层出不穷的网络空间安全威胁也成为了人们不得不面对的新挑战。急速增长的针对性网络攻击直接催生了域名服务；而域名的分析一直是网络空间安全领域的热点问题，能够让威胁更加清晰可见，更快速响应针对性攻击，加强策略规划和投资，同时有效缓解目前在对抗网络攻击时的攻防不对等问题，也为网络态势实时感知提供了技术支持。近年来，我国网络空间安全威胁数量激增。而我国对恶意域名的分析仍然存在处理灵活性不足、利用率不高、应用型不强等问题。因此，国家急需一个能够跟上域名更新换代速度的处理方法，做到对域名的有效防御。

发明内容

本发明目的是为了解决在域名与日俱增的情况下，传统的分析手段难以抵御新型域名并且模型退化程度明显，导致对域名的预测无法得到全面准确的结果的问题，提供一种基于可信度的互联网恶意域名检测方法。本发明选择了多个域名的特征值，利用多个机器学习模型分析，改变传统基于阈值的分析方式，实现对域名的分析；利用统计学习算法，给出每个模型的可信度，通过一定方法实现模型的融合；通过实时监控用户访问网站的域名信息，判断其恶意性加入情报库中。

本发明的技术方案

基于可信度的互联网恶意域名检测方法，包括如下步骤：

基本概念：

(1)域名：某一台计算机或计算机组的字符型标识；

(2)机器学习：研究计算机怎样模拟或实现人类的学习行为，以获取新的知识或技能，重新组织已有的知识结构使之不断改善自身的性能；

(3)特征值：域名的静态特征数据，用于机器学习算法的数据分析；

(4)可信度：测量结果的一致性，用来评价各个模型的可信程度；

(5)多模型的融合：选取可信度最高的key个模型，采取简单投票的方式，实现多个模型的融合；

第1、利用多个模型独立的对域名恶意情况进行预测，模型对于测试数据的预测结果和实际恶意情况作为第2步的输入，包括如下步骤：

第1.1步、对域名进行静态分析，获取域名的特征值；

第1.1.1、通过网络爬虫以及用户网络行为收集作为训练集和校准集的域名，对于训练集和校准集的所有域名进行静态分析，统计域名长度、元音占比、有意义单词占比统计域、数字占比、字母占比、不同数字占比、字母与数字变换次数，这些特征提取了构成域名所使用的字母数字所产生的形式的静态规律；

第1.1.2、与此同时，还需要统计训练集和校准集的所有域名的1gram、2gram、3gram、4gram、5gram的特征，这些特征统计的是频率较高的单个字母、两个字母一直到5个字母在域名中的存在次数。

第1.2步、多个模型各自独立的对训练集的域名的特征值进行拟合

第1.2.1、运用bagging、随机森林、lstm、逻辑回归、SVM、xgboost等的多个机器学习算法，对域名的特征值进行拟合：