本發(fā)明公開了一種域名流量特征提取方法，涉及網(wǎng)絡(luò)安全領(lǐng)域，利用神經(jīng)網(wǎng)絡(luò)學習域名流量波形序列的結(jié)構(gòu)特征與上下文依賴關(guān)系，可以提取出抽象的、高層次的流量特征的特性，對域名訪問流量數(shù)據(jù)進行統(tǒng)計以及歸一化處理后，生成可以進行特征提取的輸入序列，通過訓練好的序列到序列的模型自動化的提取域名抽象的、高層次的流量特征，與傳統(tǒng)的人工提取特征的手段相比，能夠更加完整的提取出域名流量特征構(gòu)成的時間序列對應的上下文依賴關(guān)系與結(jié)構(gòu)特征，提高域名流量特征提取的精確度。本發(fā)明還公開了一種域名流量特征提取裝置、設(shè)備及一種可讀存儲介質(zhì)，具有上述有益效果。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域，特別涉及一種域名流量特征提取方法、裝置、設(shè)備及可讀存儲介質(zhì)。

背景技術(shù)

域名用于進行網(wǎng)絡(luò)定位，人們輸入域名后，在DNS上轉(zhuǎn)換為IP，才能找到相應的服務(wù)器，打開相應的網(wǎng)頁。目前存在大量非法域名，嚴重影響正常域名的正常工作，導致正常域名網(wǎng)站被降權(quán)，甚至受到懲罰，為維持正常的網(wǎng)絡(luò)秩序，需要進行域名特征提取，以便于進一步進行域名類型的分析識別。

合法域名與非法域名注冊的目的不一樣，合法域名用于承載合法的業(yè)務(wù)，非法域名用于惡意利用實現(xiàn)非法請求，相應地，他們對應的流量特征也不盡相同，例如，一個合法網(wǎng)站的訪問流量可能主要集中在白天，而一個用于惡意軟件可能選擇在凌晨兩三點與CC服務(wù)器的域名進行通信，訪問的流量主要集中在凌晨；一個合法網(wǎng)站可能每天具有穩(wěn)定的訪問量以及類似的流量波動，而一個惡意軟件CC域名有可能是近期被注冊用來通信，在注冊之前的訪問流量一直為零，注冊后才會有突發(fā)的流量等。域名的流量特征可以作為一種有效的域名特征，從而可以進一步將流量特征相似的域名聚在一起，作為區(qū)分合法域名與非法域名的有效手段。

傳統(tǒng)的提取域名流量特征提取方法主要是人工提取流量的統(tǒng)計特征，如每個小時內(nèi)域名訪問的總次數(shù)、一段時間內(nèi)域名訪問次數(shù)的均值、中位數(shù)、方差、標準差、流量的波峰波谷的周期性等。但是，人工提特征只能提出一些人能夠理解的特征，往往會漏掉一些不那么直觀的高層次的特征。這些高層次特征的丟失會影響后續(xù)域名的合法性判定中的精度，導致識別準確率低。

因此，如何提高域名流量特征提取的精確度，從而進一步提升域名識別準確度，是本領(lǐng)域技術(shù)人員需要解決的技術(shù)問題。

發(fā)明內(nèi)容

本發(fā)明的目的是提供一種域名流量特征提取方法，該方法域名流量特征提取的精確度高，從而可以進一步提升域名識別的準確度；本發(fā)明的另一目的是提供一種域名流量特征提取裝置、設(shè)備及一種可讀存儲介質(zhì)。

為解決上述技術(shù)問題，本發(fā)明提供一種域名流量特征提取方法，包括：

獲取域名訪問流量，得到待處理流量數(shù)據(jù)；

統(tǒng)計預設(shè)時間內(nèi)所述待處理流量數(shù)據(jù)中各域名單位時間訪問次數(shù)，得到各域名對應的訪問次數(shù)序列；

對所述訪問次數(shù)序列進行歸一化處理，得到輸入序列；

將所述待輸入序列輸入至域名流量特征提取模型中進行深層次流量特征提取，得到流量特征輸出序列；其中，所述域名流量特征提取模型為經(jīng)過域名流量特征提取預訓練的序列到序列模型。

可選地，所述域名流量特征提取模型包括：卷積神經(jīng)網(wǎng)絡(luò)以及遞歸神經(jīng)網(wǎng)絡(luò)；

則相應地，將所述輸入序列輸入至域名流量特征提取模型中進行深層次流量特征提取具體為：

根據(jù)所述輸入序列構(gòu)建域名流量變化波形圖；

將所述域名流量變化波形圖輸入至卷積神經(jīng)網(wǎng)絡(luò)進行圖形結(jié)構(gòu)特征提取，得到第一輸出序列；

將所述輸入序列輸入至所述遞歸神經(jīng)網(wǎng)絡(luò)進行序列結(jié)構(gòu)特征提取，得到第二輸出序列；

將所述第一輸出序列以及所述第二輸出序列進行特征整合，得到流量特征輸出序列。