一種用于域分析的計算機實施方法包括：通過計算設備獲取域；以及通過所述計算設備將獲取的域輸入到經訓練的檢測模型，以確定所述獲取的域是否由一種或多種域生成算法生成。所述檢測模型包括神經網絡模型、基于n?gram的機器學習模型和集成層。將所述獲取的域輸入到所述檢測模型包括：將所述獲取的域輸入到所述神經網絡模型和所述基于n?gram的機器學習模型。所述神經網絡模型和所述基于n?gram的機器學習模型都輸出到所述集成層。所述集成層輸出所述獲取的域由域生成算法生成的概率。

相關申請

本申請要求于2018年8月14日提交的題為“System and Method for DetectingGenerated Domain(用于檢測生成域的系統和方法)”的美國臨時申請No.62/718,736和于2018年12月14日提交的題為“System and Method for Detecting Generated Domain(用于檢測生成域的系統和方法)”的美國非臨時申請No.16/220,360的優先權的權益。上述申請的內容通過引用被整體并入本文。

技術領域

本公開總體上涉及域分析，且尤其涉及用于檢測生成域的系統和方法。

背景技術

隨著當今世界中技術的快速發展和數字設備的普及，生成、共享和存儲的數據量比以往任何時候都要多。這包括高度敏感的信息，諸如信用卡詳細信息、隱私和個人信息(諸如社會安全號碼、地址)、甚至是政府雇員信息等。盡管數字革命以例如在線購物、數字政府和銀行服務的形式帶來了更多的便利，但是網絡犯罪分子也意識到此類數據的價值。通過正在開發和部署新的先進技術以獲取對重要或敏感數據的訪問權限的網絡威脅不斷發展。

諸如后門、木馬、信息竊取木馬和自動運行型木馬的數字威脅會尤其具有破壞性，因為它們會主動竊取個人信息或允許惡意攻擊者出于惡意目的遠程控制計算機(諸如執行分布式拒絕服務攻擊(DDos攻擊)或發送垃圾郵件)。由于此類惡意軟件通常需要彼此進行網絡通信并且為了避免被黑名單方法剔除，因此許多惡意軟件使用域生成算法(domaingeneration algorithm，DGA)偽隨機地生成多個域進行通信。因此，檢測這些生成域對于發現數字威脅并且幫助修補漏洞很重要。

發明內容

本公開的各種實施例包括用于域分析的系統、方法和非暫時性計算機可讀介質。根據一個方面，一種用于域分析的計算機實施方法包括：通過計算設備獲取域；以及通過所述計算設備將獲取的域輸入到經訓練的檢測模型，以確定所述獲取的域是否由一種或多種域生成算法生成。所述檢測模型包括神經網絡模型、基于n-gram的機器學習模型(n-gram-based machine learning model)和集成層(ensemble layer)。將所述獲取的域輸入到所述檢測模型包括：將所述獲取的域輸入到所述神經網絡模型和所述基于n-gram的機器學習模型。所述神經網絡模型和所述基于n-gram的機器學習模型都輸出到所述集成層。所述集成層輸出所述獲取的域由所述域生成算法生成的概率。

在一些實施例中，通過計算設備獲取所述域包括：通過所述計算設備從本地域名服務(Domain Name Service，DNS)服務器的日志中獲取所述域。所述方法還包括通過所述計算設備將所述確定轉發到所述本地DNS服務器以阻止所述域的查詢。在一些實施例中，通過計算設備獲取所述域包括：通過所述計算設備從安裝在客戶端設備上的代理軟件獲取所述域。所述方法還包括通過所述計算設備將所述確定轉發到所述代理軟件以阻止與所述域的互聯網協議(IP)地址的通信。

在一些實施例中，通過計算設備獲取所述域包括：通過所述計算設備從網絡監視服務器的日志中獲取所述域。所述方法還包括通過所述計算設備將所述確定轉發到所述網絡監視服務器以阻止所述域的查詢。