技术特征:
1.一种恶意域名的检测方法,包括:根据各域名的网络请求的时间顺序,对所述各域名进行排序,生成域名序列;根据所述域名序列中相邻域名的网络请求的时间间隔,对所述各域名进行聚类,获取各域名集合;以所述各域名的特征向量为变量,根据所述各域名集合的联合概率分布,利用最大似然估计方法计算所述各域名的特征向量;根据所述各域名的特征向量,利用机器学习模型,判断所述各域名是否为恶意域名。2.根据权利要求1所述的检测方法,其中,所述以所述各域名的特征向量为变量,根据所述各域名集合的联合概率分布,利用最大似然估计方法计算所述各域名的特征向量包括:根据所述各域名集合的联合概率分布,确定所述域名序列的概率分布;根据所述域名序列的概率分布,确定目标函数;利用最大似然估计方法求解所述目标函数,获取所述各域名的特征向量。3.根据权利要求2所述的检测方法,其中,所述根据所述各域名集合的联合概率分布,确定所述域名序列的概率分布包括:在所述域名序列的各域名集合中,分别将所有排序距离小于阈值的两个域名组合为域名对;根据各域名对的联合概率分布,计算所述各域名集合的联合概率分布。4.根据权利要求3所述的检测方法,其中,所述根据所述各域名集合的联合概率分布,确定所述域名序列的概率分布包括:根据所述各域名对的联合概率分布的对数的加权和,计算所述各域名集合的联合概率分布的对数;根据所述各域名集合的联合概率分布的对数的加权和,计算所述域名序列的概率分布的对数;所述根据所述域名序列的概率分布,确定目标函数包括:根据所述域名序列的概率分布的对数,确定所述目标函数。5.根据权利要求3所述的检测方法,其中,所述根据各域名对的联合概率分布,计算所述各域名集合的联合概率分布包括:以域名对中一个域名的特征向量的转置与另一个域名的特征向量的向量积,作为sigmoid函数的变量,确定该域名对的联合概率分布。6.根据权利要求1-5任一项所述的检测方法,其中,所述根据所述域名序列中相邻域名的网络请求的时间间隔,对所述各域名进行聚类,得到各域名集合包括:将时间间隔小于阈值的相邻域名,划分到一个域名集合。7.一种恶意域名的检测装置,包括:生成单元,用于根据各域名的网络请求的时间顺序,对所述各域名进行排序,生成域名序列;聚类单元,用于根据所述域名序列中相邻域名的网络请求的时间间隔,对所述各域名进行聚类,获取各域名集合;计算单元,用于以所述各域名的特征向量为变量,根据所述各域名集合的联合概率分
布,利用最大似然估计方法计算所述各域名的特征向量;判断单元,用于根据所述各域名的特征向量,利用机器学习模型,判断所述各域名是否为恶意域名。8.根据权利要求7所述的检测装置,其中,所述计算单元根据所述各域名集合的联合概率分布,确定所述域名序列的概率分布,根据所述域名序列的概率分布,确定目标函数,利用最大似然估计方法求解所述目标函数,获取所述各域名的特征向量。9.根据权利要求8所述的检测装置,其中,所述计算单元在所述域名序列的各域名集合中,分别将所有排序距离小于阈值的两个域名组合为域名对,根据各域名对的联合概率分布,计算所述各域名集合的联合概率分布。10.根据权利要求9所述的检测装置,其中,所述计算单元根据所述各域名对的联合概率分布的对数的加权和,计算所述各域名集合的联合概率分布的对数,根据所述各域名集合的联合概率分布的对数的加权和,计算所述域名序列的概率分布的对数,根据所述域名序列的概率分布的对数,确定所述目标函数。11.根据权利要求9所述的检测装置,其中,所述计算单元以域名对中一个域名的特征向量的转置与另一个域名的特征向量的向量积,作为sigmoid函数的变量,确定该域名对的联合概率分布。12.根据权利要求7-11任一项所述的检测装置,其中,所述聚类单元将时间间隔小于阈值的相邻域名,划分到一个域名集合。13.一种恶意域名的检测装置,包括:存储器;和耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行权利要求1-6任一项所述的恶意域名的检测方法。14.一种非易失性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现权利要求1-6任一项所述的恶意域名的检测方法。
技术总结
本公开涉及一种恶意域名的检测方法和装置,涉及通信技术领域。该方法包括:根据各域名的网络请求的时间顺序,对各域名进行排序,生成域名序列;根据域名序列中相邻域名的网络请求的时间间隔,对各域名进行聚类,获取各域名集合;以各域名的特征向量为变量,根据各域名集合的联合概率分布,利用最大似然估计方法计算各域名的特征向量;根据各域名的特征向量,利用机器学习模型,判断各域名是否为恶意域名。名。名。
技术研发人员:马兆铭 渠凯 卞子琪 王铮 杨迪 任华 汪少敏
受保护的技术使用者:中国电信股份有限公司
技术研发日:2020.06.01
技术公布日:2021/12/6