一种域名分类器检测方法、装置、设备及存储介质制造方法及图纸

本申请实施例公开了一种域名分类器检测方法，包括：获取训练域名集；训练域名集包括第一域名和第二域名；第一域名表征正常域名；第二域名表征恶意域名；获取基准域名集；基准域名集包括第三域名和第四域名；第三域名表征可信任的正常域名；第四域名表征可信任的恶意域名；基于训练域名集中每一域名的域名特征和基准域名集中每一域名的域名特征，对第一域名以及第二域名进行分类，得到异常域名集和疑似中毒域名集；基于第三域名和第四域名，给异常域名集中域名和疑似中毒域名集中域名打标签，生成待比对域名集；基于域名分类器对待比对域名集进行处理，检测域名分类器是否存在异常。本申请实施例同时还公开了一种域名分类器检测装置及设备。装置及设备。装置及设备。

【技术实现步骤摘要】
一种域名分类器检测方法、装置、设备及存储介质


[0001]本申请涉及网络安全领域，尤其涉及一种域名分类器检测方法、装置、设备及存储介质。

技术介绍

[0002]日常网络安全领域中，一直存在通过恶意域名进行注册来传播恶意软件或伺机控制服务器等不法行为的情况；为了避免上述情况的发生，通常用户会使用域名分类器来识别正常域名和恶意域名；但是，黑客可以通过攻击域名分类器，来干扰域名分类器给出的分类结果，导致对不法行为的识别会出错；因而，确定域名分类器是否被攻击已成为网络安全领域亟需解决的技术问题。

技术实现思路

[0003]为解决上述技术问题，本申请实施例期望提供一种域名分类器检测方法、装置、设备及存储介质，能够精准地确定出域名分类器是否存在异常。
[0004]为达到上述目的，本申请的技术方案是这样实现的：
[0005]一种域名分类器检测方法，所述方法包括：
[0006]获取训练域名集；其中，所述训练域名集包括第一域名和第二域名；所述第一域名表征正常域名；所述第二域名表征恶意域名；
[0007]获取基准域名集；其中，所述基准域名集包括第三域名和第四域名；所述第三域名表征可信任的正常域名；所述第四域名表征可信任的恶意域名；
[0008]基于所述训练域名集中每一域名的域名特征和所述基准域名集中每一域名的域名特征，对所述第一域名以及所述第二域名进行分类，得到异常域名集和疑似中毒域名集；
[0009]基于所述第三域名和所述第四域名，给所述异常域名集中域名和所述疑似中毒域名集中域名打标签，生成待比对域名集；
[0010]基于域名分类器对所述待比对域名集进行处理，检测所述域名分类器是否存在异常。
[0011]在一些实现方式中，所述基于所述训练域名集中每一域名的域名特征和所述基准域名集中每一域名的域名特征，对所述第一域名以及所述第二域名进行分类，得到异常域名集和疑似中毒域名集，包括：
[0012]计算所述训练域名集中每一域名的域名特征的值，得到每一所述第一域名和每一所述第二域名的第一域名特征值；
[0013]计算所述基准域名集中每一域名的域名特征的值，得到每一所述第三域名的第二域名特征值，以及每一所述第四域名的第三域名特征值；
[0014]获取域名特征的权重系数；
[0015]基于所述第一域名特征值、所述第二域名特征值、所述第三域名特征值和所述权重系数，对所述第一域名和所述第二域名进行分类，得到所述异常域名集和所述疑似中毒
域名集。
[0016]在一些实现方式中，所述基于所述第三域名和所述第四域名，给所述异常域名集中域名和所述疑似中毒域名集中域名打标签，生成待比对域名集，包括：
[0017]分别将所述异常域名集中每一域名和所述疑似中毒域名集中每一域名，与所述基准域名集中的域名进行比较，并基于比较结果给所述异常域名集中域名和所述疑似中毒域名集中域名打标签，生成所述待比对域名集。
[0018]在一些实现方式中，所述获取域名特征的权重系数，包括：
[0019]从所述第三域名中获取第一域名样本，并从所述第四域名中获取第二域名样本；
[0020]分别计算所述第一域名样本和所述第二域名样本在特征空间上的特征向量；其中，所述特征空间与所述域名特征具有对应关系；
[0021]基于所述特征向量和随机森林模型，得到所述域名特征的权重系数。
[0022]在一些实现方式中，所述基于所述第一域名特征值、所述第二域名特征值、所述第三域名特征值和所述权重系数，对所述第一域名和所述第二域名进行分类，得到所述异常域名集和所述疑似中毒域名集，包括：
[0023]计算所述第一域名特征值与第一均值的绝对差值，得到所述训练域名集中每一域名的第一绝对值；其中，所述第一均值为所述第二域名特征值的均值；
[0024]计算所述第一域名特征值与第二均值的绝对差值，得到所述训练域名集中每一域名的第二绝对值；其中，所述第二均值为所述第三域名特征值的均值；
[0025]基于所述第一绝对值、所述第二绝对值、所述第二域名特征值、所述第三域名特征值和所述权重系数，对所述第一域名和所述第二域名进行分类，得到所述异常域名集和所述疑似中毒域名集。
[0026]在一些实现方式中，所述基于所述第一绝对值、所述第二绝对值、所述第二域名特征值、所述第三域名特征值和所述权重系数，对所述第一域名和所述第二域名进行分类，得到所述异常域名集和所述疑似中毒域名集，包括：
[0027]基于所述第一绝对值、所述第一均值、第一标准差以及第一边界值，得到所述训练域名集中每一域名的第一得分；其中，所述第一标准差为所述第二域名特征值的标准差；所述第一边界值为所述第二域名特征值的边界值；
[0028]基于所述第二绝对值、所述第二均值、第二标准差以及第二边界值，得到所述训练域名集中每一域名的第二得分；其中，所述第二标准差为所述第三域名特征值的标准差；所述第二边界值为所述第三域名特征值的边界值；
[0029]基于所述每一域名的第一得分和所述权重系数，得到所述训练域名集中每一域名的第一加权值；
[0030]基于所述每一域名的第二得分和所述权重系数，得到所述训练域名集中每一域名的第二加权值；
[0031]基于所述第一加权值和所述第二加权值，对所述第一域名和所述第二域名进行分类，得到所述异常域名集和所述疑似中毒域名集。
[0032]在一些实现方式中，所述基于所述第一加权值和所述第二加权值，对所述第一域名和所述第二域名进行分类，得到所述异常域名集和所述疑似中毒域名集，包括：
[0033]计算所述每一域名的第一加权值和所述第二加权值之间的绝对差值；
[0034]从所述训练域名集中确定出所述绝对差值小于预设阈值的域名，生成所述疑似中毒域名集；
[0035]基于所述每一域名的第一加权值和所述第二加权值，确定所述训练域名集中每一域名的目标标签；
[0036]从所述训练域名集中确定出所述目标标签与原始标签不同的域名，生成所述异常域名集；其中，所述原始标签为所述训练域名集中每一域名的标签信息。
[0037]在一些实现方式中，所述分别将所述异常域名集中每一域名和所述疑似中毒域名集中每一域名，与所述基准域名集中的域名进行比较，并基于比较结果给所述异常域名集中域名和所述疑似中毒域名集中域名打标签，生成所述待比对域名集，包括：
[0038]基于所述异常域名集和所述疑似中毒域名集，生成待确认域名集；
[0039]将所述待确认域名集中每一域名，与所述第三域名、所述第四域名以及标准数据库进行匹配，并基于匹配结果给所述待确认域名集中域名打标签，生成所述待比对域名集。
[0040]在一些实现方式中，所述将所述待确认域名集中每一域名，与所述第三域名、所述第四域名以及标准数据库进行匹配，并基于匹配结果给所述待确认域名集中域名打标签，生成所述待比对域名集，包括：
[0041]将所述待确认域名集中每本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种域名分类器检测方法，其特征在于，所述方法包括：获取训练域名集；其中，所述训练域名集包括第一域名和第二域名；所述第一域名表征正常域名；所述第二域名表征恶意域名；获取基准域名集；其中，所述基准域名集包括第三域名和第四域名；所述第三域名表征可信任的正常域名；所述第四域名表征可信任的恶意域名；基于所述训练域名集中每一域名的域名特征和所述基准域名集中每一域名的域名特征，对所述第一域名以及所述第二域名进行分类，得到异常域名集和疑似中毒域名集；基于所述第三域名和所述第四域名，给所述异常域名集中域名和所述疑似中毒域名集中域名打标签，生成待比对域名集；基于域名分类器对所述待比对域名集进行处理，检测所述域名分类器是否存在异常。2.根据权利要求1所述的方法，其特征在于，所述基于所述训练域名集中每一域名的域名特征和所述基准域名集中每一域名的域名特征，对所述第一域名以及所述第二域名进行分类，得到异常域名集和疑似中毒域名集，包括：计算所述训练域名集中每一域名的域名特征的值，得到每一所述第一域名和每一所述第二域名的第一域名特征值；计算所述基准域名集中每一域名的域名特征的值，得到每一所述第三域名的第二域名特征值，以及每一所述第四域名的第三域名特征值；获取域名特征的权重系数；基于所述第一域名特征值、所述第二域名特征值、所述第三域名特征值和所述权重系数，对所述第一域名和所述第二域名进行分类，得到所述异常域名集和所述疑似中毒域名集。3.根据权利要求1所述的方法，其特征在于，所述基于所述第三域名和所述第四域名，给所述异常域名集中域名和所述疑似中毒域名集中域名打标签，生成待比对域名集，包括：分别将所述异常域名集中每一域名和所述疑似中毒域名集中每一域名，与所述基准域名集中的域名进行比较，并基于比较结果给所述异常域名集中域名和所述疑似中毒域名集中域名打标签，生成所述待比对域名集。4.根据权利要求2所述的方法，其特征在于，所述获取域名特征的权重系数，包括：从所述第三域名中获取第一域名样本，并从所述第四域名中获取第二域名样本；分别计算所述第一域名样本和所述第二域名样本在特征空间上的特征向量；其中，所述特征空间与所述域名特征具有对应关系；基于所述特征向量和随机森林模型，得到所述域名特征的权重系数。5.根据权利要求2所述的方法，其特征在于，所述基于所述第一域名特征值、所述第二域名特征值、所述第三域名特征值和所述权重系数，对所述第一域名和所述第二域名进行分类，得到所述异常域名集和所述疑似中毒域名集，包括：计算所述第一域名特征值与第一均值的绝对差值，得到所述训练域名集中每一域名的第一绝对值；其中，所述第一均值为所述第二域名特征值的均值；计算所述第一域名特征值与第二均值的绝对差值，得到所述训练域名集中每一域名的第二绝对值；其中，所述第二均值为所述第三域名特征值的均值；基于所述第一绝对值、所述第二绝对值、所述第二域名特征值、所述第三域名特征值和
所述权重系数，对所述第一域名和所述第二域名进行分类，得到所述异常域名集和所述疑似中毒域名集。6.根据权利要求5所述的方法，其特征在于，所述基于所述第一绝对值、所述第二绝对值、所述第二域名特征值、所述第三域名特征值和所述权重系数，对所述第一域名和所述第二域名进行分类，得到所述异常域名集和所述疑似中毒域名集，包括：基于所述第一绝对值、所述第一均值、第一标准差以及第一边界值，得到所述训练域名集中每一域名的第一得分；其中，所述第一标准差为所述第二域名特征值的标准差；所述第一边界值为所述第二域名特征值的边界值；基于所述第二绝对值、所述第二均值、第二标准差以及第二边界值，得到所述训练域名集中每一域名的第二得分；其中，所述第二标准差为所述第三域名特征值的标准差；所述第二边界值为所述第三域名特征值的边界值；基于所述每一域名的第一得分和所述权重系数，得到所述训练域名集中每一域名的第一加权值；基于所述每一域名的第二得分和所述权重系数，得到所述训练域名集中每一域名的第二加权值；基于所述第一加权值和所述第二加权值，对所述第一域名和所述第二域名进行分类，得到所述异常域名集和所述疑似中毒域名集。7.根据权利要求6所述的方法，其特征在于，所述基于所述第一加权值和所述第二加权值，对所述第一域名和所述第二域名进行分类，...

【专利技术属性】
技术研发人员：陈璨璨，付俊，郭智慧，
申请(专利权)人：中国移动通信集团有限公司，
类型：发明
国别省市：