[發明專利]一種基于N-Gram的惡意域名檢測方法有效
| 申請號: | 201910070765.5 | 申請日: | 2019-01-25 |
| 公開(公告)號: | CN109756510B | 公開(公告)日: | 2021-01-08 |
| 發明(設計)人: | 趙宏;常兆斌;孔東一;劉向東;岳魯鵬;楊永娟;王樂;黨育 | 申請(專利權)人: | 蘭州理工大學 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L29/12 |
| 代理公司: | 廣州藍晟專利代理事務所(普通合伙) 44452 | 代理人: | 欒洋洋 |
| 地址: | 730050 甘肅*** | 國省代碼: | 甘肅;62 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 基于 gram 惡意 域名 檢測 方法 | ||
1.一種基于N-Gram的惡意域名檢測方法,其特征在于,包括步驟
S1:合法域名子串集構造,選擇Alexa中排名前100,000的合法域名,在去除頂級域名后,利用N-Gram方法將域名按層進行分割,形成合法域名子串集;
S2:合法域名子串權值計算,根據子串在對合法域名進行N-Gram分割時出現的頻次,給合法域名子串集中子串賦予權值,將域名詞法特征的提取轉化為數值計算,所述域名子串權值計算如公式(2)所示,
WN-Gram(i)=log2(CN-Gram(i)/N) (2)
其中,WN-Gram(i)表示當N=3,4,5,6,7時,序號為i的域名子串的權值,CN-Gram(i)表示序號為i的域名子串在Alexa中排名前100,000的合法域名被分割后得到的子串中出現的總次數;
S3:待測域名信譽值計算,將待測域名進行N-Gram分割,將得到的子串按照合法域名子串權值計算待測域名的信譽值,所述信譽值計算如公式(3)所示,
其中,RV(l)表示序號為l的待測域名信譽值,{l∈N*|l>0},WN-Gram(i)表示當滑動窗口N=3,4,5,6,7時,經待測域名分割而來的序號為i的域名子串的權值,m表示待測域名l在滑動窗口N=3,4,5,6,7時,分割域名得到的子串總數;
S4:惡意域名檢測,通過計算Alexa排名前100,000的合法域名中最小的80個域名信譽值的平均值作為預設判定條件,并將計算得到的待測域名信譽值與預設判定條件進行比較,當待測域名的信譽值小于該預設判定條件時,則判定該域名為惡意域名,否則為合法域名。
2.如權利要求1所述的基于N-Gram的惡意域名檢測方法,其特征在于,所述的N-Gram方法是通過一個大小為N的滑動窗口對域名中的字符串進行分割,得到長度為N的多個子串,每個子串稱為一個gram,所述的域名進行N-Gram分割所得的域名子串個數統計是將Alexa中排名前100,000的合法域名,在去除頂級域名后,利用N-Gram方法將域名按層分割得到域名子串,每級域名分割得到的子串個數計算公式為count(j)=L-N+1,其中,count(j)(j=2,…,n)表示某域名第j級域名被分割后包含的域名子串數量,n表示某一域名的最大級數,L表示第j級域名長度,N表示滑動窗口大小,取值范圍為{N∈N*|3≤N≤7}。
3.如權利要求1所述的基于N-Gram的惡意域名檢測方法,其特征在于,步驟S4中所述的預設判定條件是通過計算Alexa排名前100,000的合法域名中最小的80個域名信譽值的平均值作為預設判定條件,所述的惡意域名檢測是根據待測域名的信譽值和預設判定條件,判斷待測域名是否為惡意域名。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于蘭州理工大學,未經蘭州理工大學許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201910070765.5/1.html,轉載請聲明來源鉆瓜專利網。
