[发明专利]一种恶意域名检测方法、装置及电子设备

说明书

本发明公开了一种恶意域名检测方法、装置及电子设备，包括：获取待检测的域名系统数据；对域名系统数据进行数据清洗，得到目标数据；对目标数据进行特征提取，并生成特征向量，其中，基于特征提取的特征至少包括域名统计特征和用户兴趣访问特征；将特征向量输入至目标检测模型，得到与域名系统数据对应的检测结果，目标检测模型为通过对域名统计特征和用户兴趣访问特征训练得到的神经网络模型，且目标检测模型用于检测域名系统数据是否为恶意域名。本发明能够基于域名统计特征与用户兴趣访问特征进行结合，能够有效对抗攻击者对域名的伪装，提升了恶意域名检测的准确性。

技术领域

本发明涉及信息处理技术领域，特别是涉及一种恶意域名检测方法、装置及电子设备。

背景技术

伴随着互联网技术的发展，网络安全威胁称为互联网技术研究和发展过程中亟待解决的问题。大多网络安全威胁都是并未记录、未知的威胁，检测和识别未知威胁保证网络空间安全意义重大。

常见的恶意域名检测方法需要提取域名特征来进行恶意域名的判定，但是，为了躲避基于域名统计特征的检测方式，攻击者通常会将恶意域名伪装为与良性域名相似的数据，从而降低了对恶意域名检测的准确性。

发明内容

针对于上述问题，本发明提供一种恶意域名检测方法、装置及电子设备，提升了恶意域名检测的准确性。

为了实现上述目的，本发明提供了如下技术方案：

一种恶意域名检测方法，所述方法包括：

获取待检测的域名系统数据；

对所述域名系统数据进行数据清洗，得到目标数据；

对所述目标数据进行特征提取，并生成特征向量，其中，基于特征提取的特征至少包括域名统计特征和用户兴趣访问特征；

将所述特征向量输入至目标检测模型，得到与所述域名系统数据对应的检测结果，所述目标检测模型为通过对域名统计特征和用户兴趣访问特征训练得到的神经网络模型，且所述目标检测模型用于检测域名系统数据是否为恶意域名。

可选地，所述对所述域名系统数据进行数据清洗，得到目标数据，包括：

基于数据来源特征，对所述域名系统数据进行数据来源清洗，得到第一数据集；

基于用户访问特征对所述第一数据集进行数据提取，得到目标数据，其中，所述用户访问特征包括用户IP地址、用户访问域名以及用户访问每个域名的时间戳。

可选地，所述对目标数据进行特征提取，生成特征向量，包括：

提取得到所述目标数据的域名统计特征，所述域名统计特征包括域名字符特征、信息熵以及语言模型均值序列均值信息；

对所述目标数据中的未知域名进行分类，得到域名分类结果；

根据域名分类结果，确定用户兴趣标签；

确定所述目标数据中每一域名是否被具有不同用户兴趣标签的用户同时间段访问过，得到用户兴趣访问特征；

基于所述用户兴趣访问特征，生成所述目标数据对应的每个域名的特征向量。

可选地，所述方法还包括：

对获得的原始域名系统数据进行数据清洗，得到有效数据集；

对所述有效数据集进行特征分析，得到域名统计特征和用户兴趣访问特征；

根据所述域名统计特征和用户兴趣访问特征，生成域名特征向量；

确定与每一域名特征向量相匹配的域名类别标签，所述域名类别标签包括良性域名标签和恶意域名标签；