[发明专利]域名的异常检测方法、装置及设备

说明书

本申请提供一种域名的异常检测方法、装置及设备，该方法包括：将待检测域名的特征信息输入给目标翻译模型的目标编码子模型，得到待检测域名对应的目标状态向量；将该目标状态向量输入给目标翻译模型的目标解码子模型，得到目标翻译域名的特征信息；确定目标翻译域名的特征信息与待检测域名的特征信息的损失值；若损失值小于损失阈值，确定待检测域名是正常域名；若损失值不小于损失阈值，确定待检测域名是异常域名。通过本申请的技术方案，能够有效识别出异常域名，对异常域名进行有效拦截，保护受害者的主机。

技术领域

本申请涉及通信领域，尤其是涉及一种域名的异常检测方法、装置及设备。

背景技术

随着网络技术的不断发展和承载业务的逐渐增多，网络已成为人们生活和工作中不可或缺的一部分。与此同时，网络中的攻击行为越来越多，各类网络攻击活动日益猖獗，如端口扫描攻击、蠕虫病毒攻击、DDoS（Distributed Denial of Service，分布式拒绝服务）攻击、域名攻击等，这些攻击行为导致网络性能下降，干扰正常的网络行为，甚至引起网络中断或者瘫痪。因此，需要及时检测到网络中的异常流量（即攻击行为产生的流量），对异常流量进行控制。

域名攻击是一种常见的攻击行为，攻击者可以将域名（即异常域名）添加到恶意程序，该域名用于将访问请求连接至攻击服务器，并将恶意程序发送给受害者的主机，这样，受害者的主机在访问恶意程序中的域名时，就会连接至攻击服务器，导致攻击服务器操控受害者的主机，即主机被攻击者操控。

尤其是，攻击者会使用DGA（Domain Generation Algorithm，域名生成算法）来随机生成域名，针对使用DGA生成的域名，很难识别出这个域名是异常域名，也就无法对这个域名进行有效拦截，导致无法保护受害者的主机。

发明内容

本申请提供一种域名的异常检测方法，所述方法包括：

将待检测域名的特征信息输入给目标翻译模型的目标编码子模型，得到所述待检测域名对应的目标状态向量；将所述目标状态向量输入给目标翻译模型的目标解码子模型，得到目标翻译域名的特征信息；其中，所述目标翻译模型是基于训练数据集训练得到，且所述训练数据集包括的均是正常样本域名；

确定所述目标翻译域名的特征信息与待检测域名的特征信息的损失值；

若所述损失值小于损失阈值，则确定所述待检测域名是正常域名；

若所述损失值不小于所述损失阈值，则确定所述待检测域名是异常域名。

在一种可能的实施方式中，将待检测域名的特征信息输入给目标翻译模型的目标编码子模型之前，目标翻译模型的训练过程，包括：

获取训练数据集，所述训练数据集包括多个正常样本域名；

将所述训练数据集中的正常样本域名的特征信息输入给初始翻译模型的初始编码子模型，得到所述正常样本域名对应的初始状态向量；将所述初始状态向量输入给初始翻译模型的初始解码子模型，得到初始翻译域名的特征信息；

基于所述初始翻译域名的特征信息与所述正常样本域名的特征信息的损失值，对所述初始翻译模型进行训练，得到训练后的目标翻译模型；其中，所述目标翻译模型包括对初始编码子模型的网络参数进行调整后的目标编码子模型，及对初始解码子模型的网络参数进行调整后的目标解码子模型。

示例性的，所述训练数据集中的正常样本域名的获取过程，包括：

获取目标域名集合中的全部域名或部分域名，将获取的域名确定为正常样本域名；其中，所述目标域名集合包括多个正常域名；或者，

获取URL访问日志中的域名，将获取的域名确定为正常样本域名。

在一种可能的实施方式中，所述基于所述初始翻译域名的特征信息与所述正常样本域名的特征信息的损失值，对所述初始翻译模型进行训练，得到训练后的目标翻译模型，包括：确定所述初始翻译模型是否已收敛；