[发明专利]DGA域名检测模型的训练方法、系统、应用方法及系统

权利要求书

1.一种DGA域名检测模型的训练方法，其特征在于，所述训练方法包括：

获取域名数据，所述域名数据包括DGA域名数据和合法域名数据，所述DGA域名数据包括基于单词表生成的DGA家族域名和域名字符数量小于预设阈值的DGA家族域名；

对所述域名数据按照字符进行划分，得到域名字符序列；

对所述域名数据进行分词处理，得到域名分词序列；

为所述域名分词序列中每一元素标注语义标签，得到语义标签序列；

将所述域名字符序列与所述语义标签序列合并，得到域名字符拓展序列；

基于卷积神经网络和长短期记忆神经网络，构建DGA域名检测模型，所述DGA域名检测模型包括依次连接的输入层、词嵌入层、多层卷积层、全连接层、LSTM层和输出层，所述词嵌入层用于对输入的域名字符拓展序列进行编码得到对应的词向量矩阵；所述多层卷积层、全连接层和LSTM层用于从所述词向量矩阵中提取域名特征，所述输出层用于根据域名特征输出域名检测结果；

将所述域名字符拓展序列输入DGA域名检测模型；

根据所述DGA域名检测模型的输出以及域名字符拓展序列对应的域名的实际类别，确定损失函数；

根据所述损失函数优化DGA域名检测模型的参数，以对所述DGA域名检测模型进行训练，得到训练好的DGA域名检测模型。

2.根据权利要求1所述的DGA域名检测模型的训练方法，其特征在于，所述对所述域名数据按照字符进行划分，得到域名字符序列，具体包括：

以单个字符为单位，对所述域名数据进行划分，得到域名字符序列X＝(c₁,c₂,...,c_L)，其中，C_L表示域名字符序列中第L个元素，L表示域名长度。

3.根据权利要求1所述的DGA域名检测模型的训练方法，其特征在于，所述对所述域名数据进行分词处理，得到域名分词序列，具体包括：

采用wordninja开源分词器对域名数据分别进行分词处理，得到域名分词序列X'＝(α₁,α₂,...,α_n)，其中，α_n表示域名分词序列中第n个元素。

4.根据权利要求3所述的DGA域名检测模型的训练方法，其特征在于，所述为所述域名分词序列中每一元素标注语义标签，得到语义标签序列，具体包括：

根据语义标签的类别，对所述域名分词序列X'＝(α₁,α₂,...,α_n)中每一元素进行语义标签标注，每一元素标注有对应的语义标签类别，得到语义标签序列T＝(t₁,t₂,...,t_n)，其中，t_n表示语义标签序列中第n个元素。

5.根据权利要求4所述的DGA域名检测模型的训练方法，其特征在于，所述语义标签的类别包括：数字类、“-”分隔符、“.”分隔符、单个字母类、双字母组bi-gram类和英语单词类，所述英语单词类包括名词类、动词类、形容词类和其他词类。

6.根据权利要求4所述的DGA域名检测模型的训练方法，其特征在于，所述将所述域名字符序列与所述语义标签序列合并，得到域名字符拓展序列，具体包括：

将域名字符序列X＝(c₁,c₂,...,c_L)与语义标签序列T＝(t₁,t₂,...,t_n)中的所有元素进行拼接处理，得到域名字符拓展序列X”＝(c₁,c₂,...,c_L,t₁,t₂,...,t_n)，其中，C_L表示域名字符序列中第L个元素，L表示域名长度，t_n表示语义标签序列中第n个元素。