[发明专利]一种基于解析关系的域名图嵌入表示分析方法及装置

权利要求书

1.一种基于解析关系的域名图嵌入表示分析方法，其特征在于，包括以下步骤：

采集DNS解析数据，并获取域名解析关系；

利用域名解析关系，将“域名-IP-AS”网络图数据映射到反映域名与域名之间关联强度的加权无向域名关系图；

遍历域名关系图中的域名顶点，将命中黑名单的域名标签标记为恶意域名；

利用基于域名解析关系的域名图嵌入算法和恶意域名的标签信息，训练并获得域名关系图中各节点的嵌入表示。

2.根据权利要求1所述的方法，其特征在于，所述利用域名解析关系，将“域名-IP-AS”网络图数据映射到反映域名与域名之间关联强度的加权无向域名关系图，包括：

根据域名解析关系中域名与IP的关联关系将存在共享IP的域名之间建立关联，根据域名解析关系中IP与AS的映射关系将存在相同AS的域名间建立关联；

将存在共享IP的域名之间建立的关联以及存在相同AS的域名间建立的关联，映射到反映域名与域名之间关联强度的加权无向域名关系图。

3.根据权利要求2所述的方法，其特征在于，所述域名关系图中任意两个有相同IP的域名d₁和d₂之间的边的权重w(d₁,d₂)为：

w(d₁,d₂)＝1-1/[1+|asn(ip(d₁)∩ip(d₂))|]，

其中，ip(d₁)、ip(d₂)分别表示域名d₁、d₂的IP集合，asn()表示域名d₁和d₂的的共享IP所属的AS的数量。

4.根据权利要求3所述的方法，其特征在于，所述利用基于域名解析关系的域名图嵌入算法和恶意域名的标签信息，训练并获得域名关系图中各节点的嵌入表示，包括：

在node2vec算法中二阶随机游走算法的基础上添加基于节点标签的系数γ，控制游走到恶意域名的概率，再通过p、q两个超参数控制游走到不同图节点的转移概率α，获得节点序列，然后训练神经网络以获取节点嵌入表示。

5.根据权利要求4所述的方法，其特征在于，设在域名关系图G中有N个域名节点，当前游走的节点为v，采用以下步骤采样节点序列：

假设v节点有M个邻居节点，邻居节点集合表示为：

neighbors(v)＝{n₁,n₂,…,n_M},0≤MN；

假设M个邻居节点中有H个节点标签是恶意的，恶意节点集合表示为：

malicious(v)＝{m₁,m₂,…,m_H},0≤H≤M；

恶意节点集合malicious(v)是邻居节点集合neighbors(v)的子集，若v节点下一个游走的节点为x，则x∈neighbors(v)；设定参数r：

结合二阶随机游走的超参数p、q，控制随机游走到不同类型图节点的转移概率：

其中，t为当前节点v的上一个节点，x为当前节点v游走的下一个节点，d_tx为节点t到x之间的最短路径长度，参数p和q控制的是游走序列向外探索和离开原来邻居节点的速率；

从当前节点游走到节点x的概率为：其中，ω_vx为当前节点v到下一步节点x之间边的权重，Z为归一化常数；

对周围邻居求概率P(x)的值，P(x)值最大的邻居节点即为下一步到达的邻居节点。

6.根据权利要求1～5中任一权利要求所述的方法，其特征在于，将域名关系图中节点的嵌入表示结果作为下游任务的输入特征，并结合域名的其他维度特征，构建图神经网络进行建模以实现下游任务。