本發明公開了一種DGA域名的檢測方法、系統及裝置，其中，所述方法包括：獲取域名白名單樣本，并提取所述域名白名單樣本的詞嵌入特征；將所述詞嵌入特征編碼為中間特征，并將所述中間特征解碼為輸出特征；比較所述詞嵌入特征和所述輸出特征，并根據對比結果對編碼和解碼的過程進行校正，以通過校正后的編碼和解碼的過程，檢測目標域名是否為DGA域名。本申請提供的技術方案，能夠提高DGA域名的檢測精度。

技術領域

本發明涉及互聯網技術領域，特別涉及一種DGA域名的檢測方法、系統及裝置。

背景技術

隨著互聯網技術的不斷發展，網絡安全問題也日益突出。目前，通過DGA(DomainGeneration Algorithm，域名生成算法)可以快速地生成大量的DGA域名，通過DGA域名可以構建魯棒性較好的僵尸網絡。攻擊者利用僵尸網絡，可以向網絡中的設備發起網絡攻擊。

由于DGA域名可以快速地投入使用，并且可以快速地被廢棄，因此通過黑名單的方式來規避DGA域名的攻擊往往效果不佳。目前業內通常利用機器學習的方式，對大量的正常域名和DGA域名進行學習，從而能夠檢測出正常域名和DGA域名。然而，現有的這種機器學習的方式，如果要獲得較高的檢測精度，往往需要提供比較完備的正樣本(正常域名)和負樣本(DGA域名)。但DGA域名的變化相當快，很容易會出現新型的DGA域名，面對新型的DGA域名，現有的機器學習方式檢測的精度不高。

發明內容

本申請的目的在于提供一種DGA域名的檢測方法、系統及裝置，能夠提高DGA域名的檢測精度。

為實現上述目的，本申請一方面提供一種DGA域名的檢測方法，所述方法包括：獲取域名白名單樣本，并提取所述域名白名單樣本的詞嵌入特征；將所述詞嵌入特征編碼為中間特征，并將所述中間特征解碼為輸出特征；比較所述詞嵌入特征和所述輸出特征，并根據對比結果對編碼和解碼的過程進行校正，以通過校正后的編碼和解碼的過程，檢測目標域名是否為DGA域名。

為實現上述目的，本申請另一方面還提供一種DGA域名的檢測系統，所述系統包括：特征提取單元，用于獲取域名白名單樣本，并提取所述域名白名單樣本的詞嵌入特征；重構單元，用于將所述詞嵌入特征編碼為中間特征，并將所述中間特征解碼為輸出特征；校正單元，用于比較所述詞嵌入特征和所述輸出特征，并根據對比結果對編碼和解碼的過程進行校正，以通過校正后的編碼和解碼的過程，檢測目標域名是否為DGA域名。

為實現上述目的，本申請另一方面還提供一種DGA域名的檢測裝置，其所述裝置包括存儲器和處理器，所述存儲器用于存儲計算機程序，所述計算機程序被所述處理器執行時，實現上述的DGA域名的檢測方法。

由上可見，本申請一個或者多個實施方式提供的技術方案，可以采用自編碼的方式，將域名白名單樣本的詞嵌入特征經過編碼和解碼的過程，從而得到輸出特征。在對詞嵌入特征進行編碼和解碼的過程中，利用詞嵌入特征對輸出特征進行監督訓練，從而可以不斷校正編碼和解碼的過程。這樣，校正后的編碼和解碼的過程能夠重構輸出特征，最終使得重構的輸出特征能夠與輸入的詞嵌入特征比較接近。通過這種利用詞嵌入特征，對自編碼過程進行監督訓練的方式，一方面不需要負樣本(DGA域名)的參與，從而減少了訓練樣本的收集難度；另一方面通過上述方式對正樣本(域名白名單樣本)進行訓練，可以得到正常域名的一個判定基準，后續便可以利用該判定基準對目標域名進行檢測，從而提高了DGA域名檢測的精度。

附圖說明

為了更清楚地說明本發明實施方式中的技術方案，下面將對實施方式描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施方式，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。

圖1是本發明實施方式中DGA域名的檢測方法步驟圖；

圖2是本發明實施方式中自編碼器所處的系統架構示意圖；