本發(fā)明涉及一種DGA域名檢測(cè)模型訓(xùn)練方法、DGA域名檢測(cè)方法、裝置及存儲(chǔ)介質(zhì)，該模型訓(xùn)練方法包括：步驟S1，獲取多個(gè)域名樣本的域名信息；步驟S2，對(duì)于所述多個(gè)域名樣本中的DGA域名和非DGA域名，分別根據(jù)所述域名信息中的至少一部分信息來(lái)訓(xùn)練用于特征提取的循環(huán)神經(jīng)網(wǎng)絡(luò)；并且，計(jì)算所述DGA域名對(duì)應(yīng)的所述循環(huán)神經(jīng)網(wǎng)絡(luò)的輸出與所述非DGA域名對(duì)應(yīng)的所述循環(huán)神經(jīng)網(wǎng)絡(luò)的輸出的比值，作為所述域名信息中的至少一部分信息的特征；步驟S3，將所述特征輸入到一個(gè)分類(lèi)器中進(jìn)行訓(xùn)練，以得到DGA域名分類(lèi)器，以便利用訓(xùn)練好的該DGA域名分類(lèi)器來(lái)判斷待檢測(cè)域名是否來(lái)自于域名生成算法DGA。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，特別是涉及一種DGA域名檢測(cè)模型訓(xùn)練方法、DGA域名檢測(cè)方法、裝置及存儲(chǔ)介質(zhì)。

背景技術(shù)

此處的陳述僅提供與本發(fā)明有關(guān)的背景信息，而不必然地構(gòu)成現(xiàn)有技術(shù)。

在大型的網(wǎng)絡(luò)系統(tǒng)中，特別是跨地域的互聯(lián)網(wǎng)絡(luò)系統(tǒng)中，如果某個(gè)節(jié)點(diǎn)或節(jié)點(diǎn)中的某個(gè)網(wǎng)元遭遇安全威脅攻擊，這個(gè)安全威脅攻擊往往會(huì)波及相鄰節(jié)點(diǎn)和節(jié)點(diǎn)中的其他網(wǎng)元，從而引發(fā)部署在網(wǎng)絡(luò)中安全監(jiān)測(cè)設(shè)備產(chǎn)生大量的、重復(fù)的、有用或無(wú)用的安全威脅告警信息。對(duì)于網(wǎng)絡(luò)安全管理人員來(lái)說(shuō)，如何從這些大量的、重復(fù)的、有用或無(wú)用的安全威脅告警信息中快速、準(zhǔn)確地定位具體哪些網(wǎng)元設(shè)備遭遇安全威脅攻擊，并進(jìn)行分析和解決問(wèn)題，就顯得尤為重要。

本發(fā)明涉及網(wǎng)絡(luò)攻擊識(shí)別監(jiān)測(cè)領(lǐng)域，具體而言，DGA(域名生成算法)是一種利用隨機(jī)字符來(lái)生成命令和控制(CC)域名，從而逃避域名黑名單檢測(cè)的技術(shù)手段。

在網(wǎng)絡(luò)攻擊事件中，控制者和被感染主機(jī)之間形成一個(gè)可以一對(duì)多控制的網(wǎng)絡(luò)，被感染的主機(jī)將通過(guò)一個(gè)CC接收攻擊者的指令。為了能和CC服務(wù)器取得聯(lián)系，同時(shí)又能規(guī)避入侵檢測(cè)系統(tǒng)，一般攻擊者會(huì)用一種隨機(jī)算法來(lái)生成大量的域名，并嘗試逐個(gè)連接這些域名，攻擊者也會(huì)從這些域名里選擇部分在DNS服務(wù)商注冊(cè)，一旦連接某個(gè)域名成功，即可與CC服務(wù)器取得聯(lián)系。因此，惡意域名又被稱(chēng)為傳播僵尸網(wǎng)絡(luò)病毒、木馬、蠕蟲(chóng)或是進(jìn)行詐騙、色情內(nèi)容傳播等不法行為的網(wǎng)站域名。惡意域名算法稱(chēng)為域名生成算法(DGA，DomainGeneration Algorithm)，算法的輸入稱(chēng)為Seeds，涵蓋日期、社交網(wǎng)絡(luò)搜索熱詞、隨機(jī)數(shù)或字典，生成的一串特殊字符前綴(比如gvevh44bvatey)，添加TLD后得到最終域名資源，該域名稱(chēng)為AGD(Algorithmically Generated Domain)。網(wǎng)絡(luò)安全防御方為了徹底關(guān)閉該僵尸網(wǎng)絡(luò)，需要屏蔽所有的AGD，成本極大。

檢測(cè)出DGA域名是僵尸程序檢測(cè)技術(shù)的重要步驟，由于DGA成算法規(guī)則是隨機(jī)的，生成惡意域名有時(shí)候看似是沒(méi)有惡意或看似正常的。因此對(duì)DGA的檢測(cè)缺乏自動(dòng)化的方法，可以分為人工經(jīng)驗(yàn)判斷和人工特征提取結(jié)合程序判斷兩種。但這兩種方法檢出率不高，DGA虛警率較高，不具備實(shí)用性。

目前較為先進(jìn)的方法是使用機(jī)器學(xué)習(xí)對(duì)大量正常和DGA域名進(jìn)行訓(xùn)練，再對(duì)位置DGA域名進(jìn)行檢測(cè)并識(shí)別。但是現(xiàn)有技術(shù)中的機(jī)器學(xué)習(xí)方法需要做大量的特征工程。另一些現(xiàn)有技術(shù)采用基于CNN的方法對(duì)DGA樣本進(jìn)行訓(xùn)練，但CNN與具有時(shí)間先后依賴關(guān)系的字符串特征提取場(chǎng)景不匹配。

現(xiàn)有的DGA域名檢測(cè)方法具有以下問(wèn)題和不足：

(1)人工特征提取結(jié)合人工經(jīng)驗(yàn)判斷，工作量巨大，而且不能適應(yīng)海量DGA域名不斷變化的攻擊方式。

(2)基于傳統(tǒng)機(jī)器學(xué)習(xí)的DGA域名檢測(cè)方法，但現(xiàn)有機(jī)器學(xué)習(xí)方法需要做大量的特征工程，工作量和計(jì)算成本非常大，同時(shí)檢測(cè)準(zhǔn)確率完全依賴于特征的處理，需要耗費(fèi)大量時(shí)間進(jìn)行人工特征研究。

(3)現(xiàn)有方法存在虛警率高，準(zhǔn)確率低的問(wèn)題。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種新的DGA域名檢測(cè)模型訓(xùn)練方法、DGA域名檢測(cè)方法、裝置及存儲(chǔ)介質(zhì)。