【技術實現步驟摘要】
本專利技術涉及網絡安全,尤其涉及一種惡意域名自動檢測方法、裝置、設備以及介質。
技術介紹
1、隨著互聯網的快速發展,ipv6協議因其龐大的地址空間在應對部分網絡攻擊方面具有天然優勢,但同時也帶來了新的安全挑戰。其中,dga惡意域名是攻擊者利用特定算法生成大量偽隨機域名,以逃避域名黑名單檢測的一種技術手段,這些域名通常被用于僵尸網絡的c&c(command?and?control,命令與控制)服務器通信,嚴重威脅網絡安全。
2、現有技術中,基于dns圖挖掘的檢測算法、支持向量機和馬爾科夫鏈算法等已被用于dga惡意域名的識別,但存在檢測效率不高、誤報率較高等問題。特別是在ipv6環境下,由于地址空間的復雜性和協議本身的安全機制變化,傳統的檢測方法面臨更大的挑戰。
技術實現思路
1、基于此,本專利技術提供了一種惡意域名自動檢測方法、裝置、設備以及介質,以解決傳統dga惡意域名檢測方法準確率低的問題。
2、第一方面,本專利技術實施例提供了一種惡意域名自動檢測方法,該方法包括:
3、采集設定時間段內的域名解析系統dns流量數據,從所述dns流量數據中提取得到dns協議數據;
4、利用設定解析軟件對全部dns協議數據進行解析,得到與每個dns協議數據分別對應的dns日志數據;
5、對各dns日志數據進行數據清洗,并對數據清洗后的dns日志數據提取二級域名信息;
6、將提取出的二級域名信息進行黑白名單匹配,將未存在于
7、第二方面,本專利技術實施例提供了一種惡意域名自動檢測裝置,該裝置包括:
8、dns協議數據提取模塊,用于采集設定時間段內的域名解析系統dns流量數據,從所述dns流量數據中提取得到dns協議數據;
9、dns協議數據解析模塊,用于利用設定解析軟件對全部dns協議數據進行解析,得到與每個dns協議數據分別對應的dns日志數據;
10、二級域名信息提取模塊,用于對各dns日志數據進行數據清洗,并對數據清洗后的dns日志數據提取二級域名信息;
11、惡意域名檢測模塊,用于將提取出的二級域名信息進行黑白名單匹配,將未存在于黑白名單中的二級域名信息作為待檢測域名,輸入至預先訓練的多層感知機mlp模型中進行域名生成算法dga的檢測,判斷待檢測域名是否為惡意域名。
12、第三方面,本專利技術實施例提供了一種電子設備,所述電子設備包括:
13、至少一個處理器;以及
14、與所述至少一個處理器通信連接的存儲器;其中,
15、所述存儲器存儲有可被所述至少一個處理器執行的計算機程序,所述計算機程序被所述至少一個處理器執行,以使所述至少一個處理器能夠執行本專利技術任一實施例所述的一種惡意域名自動檢測方法。
16、第四方面,還提供了一種計算機可讀存儲介質,所述計算機可讀存儲介質存儲有計算機指令,所述計算機指令用于使處理器執行時實現本專利技術任一實施例所述的一種惡意域名自動檢測方法。
17、本專利技術實施例的技術方案,采用神經網絡多層感知機mlp模型,并結合詞袋模型的分析方法提取域名特征,實現了對正常域名以及dga惡意域名的精準分類,同時通過對域名黑白名單的持續更新能夠不斷優化神經網絡多層感知機模型,并通過定期選取特定時間段的域名數據進行重新訓練評估,使其靈活適應網絡環境變化,進而對網絡安全態勢感知提供了有力支持。
18、應當理解,本部分所描述的內容并非旨在標識本專利技術的實施例的關鍵或重要特征,也不用于限制本專利技術的范圍。本專利技術的其它特征將通過以下的說明書而變得容易理解。
本文檔來自技高網...【技術保護點】
1.一種惡意域名自動檢測方法,其特征在于,包括:
2.根據權利要求1所述的方法,其特征在于,在對數據清洗后的二級域名信息進行黑白名單匹配之前,還包括:
3.根據權利要求1或2所述的方法,其特征在于,在將未存在于黑白名單中的二級域名信息作為待檢測域名,輸入至預先訓練的多層感知機MLP模型中進行DGA的檢測之前,還包括:
4.根據權利要求3所述的方法,其特征在于,將與各域名分別對應的域名向量數據劃分為訓練集和測試集,并基于所述訓練集和測試集訓練得到滿足性能要求的所述MLP模型,包括:
5.根據權利要求4所述的方法,其特征在于,將測試集中的各域名數據分別輸入至所述損失最小的MLP模型中進行預測結果評估,得到模型評估結果,包括:
6.根據權利要求4所述的方法,其特征在于,在將訓練集中的各域名向量數據分別輸入至調參后的初始MLP模型中進行數據擬合之前,還包括:
7.根據權利要求1所述的方法,其特征在于,在判斷待檢測域名是否為惡意域名之后,還包括:
8.一種惡意域名自動檢測裝置,其特征在于,包括:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。