[发明专利]一种DGA域名检测方法、系统、介质、设备及终端

权利要求书

1.一种DGA域名检测方法，其特征在于，所述DGA域名检测方法包括：

对收集到的域名数据进行标记整理，并对正常域名及各个DGA家族域名按样本配对规则进行配对；建立基于孪生架构的学习模型Siam-BLA，并将配对数据逐对输入模型Siam-BLA；训练基于孪生架构的分类学习模型，拆分基于孪生架构的分类学习模型，得到特征提取网络BLA与相似性度量函数Weighted-vd；按照参考向量生成规则生成各个类别的参考向量；将捕获的待测域名输入特征提取网络BLA，得到待测域名的特征向量；构建孪生架构多分类及未知类识别算法，并根据多分类预测算法对待测域名的特征向量进行分类识别。

2.如权利要求1所述DGA域名检测方法，其特征在于，所述DGA域名检测方法包括以下步骤：

步骤一，对收集到的包含正常域名与DGA各类别域名的样本使用孪生架构样本配对规则进行域名配对；

步骤二，建立用于训练拟合域名复杂特征空间的基于孪生架构的学习模型Siam-BLA，其中包括预处理层、嵌入层、特征提取层及相似度计算层；

步骤三，将配对完毕的域名二元组逐对输入学习模型Siam-BLA进行模型训练后，将模型拆分得到用于提取域名特征的特征提取网络BLA及用于对两个域名样本进行相似性度量的相似性度量模块Weighted-vd；

步骤四，在模型应用前，将模型训练过程中的各个域名类别计算对应的参考向量；

步骤五，将现网捕获的待测域名使用所述多分类预测算法进行判断，判断结果包括是否为DGA域名、所属DGA类别及是否为未知类域名。

3.如权利要求2所述DGA域名检测方法，其特征在于，所述步骤一中，引入样本和同类其他样本间进行配对的数量与类别样本总数的比值作为配对系数，按满足孪生架构双输入训练机制下同异类样本训练的平衡性及克服DGA域名与正常域名极度类不平衡现象的要求进行域名配对。

4.如权利要求2所述DGA域名检测方法，其特征在于，所述步骤二中的基于孪生架构的学习模型Siam-BLA为双路并行权值共享结构，存在左右两个输入两路并行且权值共享的特征提取网络，包括预处理层、嵌入层、特征提取层以及相似性计算层；

其中，所述预处理层，用于对输入域名进行填充与截取为统一长度；嵌入层，用于对域名字符串进行向量化及将域名字符序列使用独热编码结合word embedding的方法建立词向量；特征提取层，用于使用BiLSTM结构对输入的域名词向量进行前序与后序两种方向的特征进行提取，同时使用注意力机制对各部位的特征进行重要性评估最终输出域名的特征向量；相似性计算层，用于将两个输入的特征向量进行综合的相似性度量并将值输出，具体包括：

将输入的域名字符串通过填充截取操作统一为固定大小，且根据域名合法字符及填充字符和非法字符形成对域名字符到数字的映射，从而将域名字符串预处理为统一长度的一维向量；

将一维向量通过独热编码结合word embedding的方式转化为二维非稀疏向量；

使用BiLSTM结合注意力机制的网络结构，融合域名前向和后向两种时序的特征，对BiLSTM最后时序进行加权求和作为注意力分布值，使域名“单词级”的样本特征强化为“句子级”的样本特征。

5.如权利要求2所述DGA域名检测方法，其特征在于，所述步骤三中，结合孪生架构损失函数，综合考虑域名特征向量、各种距离度量函数及域名原始字符集合之间的关系，提出相似性度量模块Weighted-vd；将两个输入的特征向量的各维度值与其曼哈顿距离值、加权欧式距离值、夹角余弦值以及原始域名字符元素集合的杰卡德距离值进行向量拼接，最终使用全连接网络映射到数值上的结果作为两个输入的相似性度量值。

6.如权利要求2所述DGA域名检测方法，其特征在于，所述步骤五中，提前使用所述特征提取网络BLA对已知类别计算参考向量代表对应特征参与多分类预测流程中，同时在多分类预测流程中使用相似性度量模块Weighted-vd计算待测域名与各个类别参考向量的相似性，根据相似性的大小与未知类界限值对待测域名进行分类或未知类判断。