本發明公開了一種基于詞向量的惡意域名集群檢測方法及裝置，包括：通過服務器日志中原始數據，生成各客戶端的訪問序列；對訪問序列從時間維度與空間維度上進行聚類，生成域名訪問序列；對各域名訪問序列進行訪問域名去重處理，生成域名集群；生成各訪問域名的域名語義向量；通過域名集群與域名語義向量，生成域名語義向量矩陣；依據域名語義向量矩陣對域名集群進行分類，得到惡意域名集群檢測結果。本發明可有效識別進行同一惡意活動的域名集群，為分析惡意活動提供更全面的視角，并且使用數據字段少，使用的計算資源少，提高了檢測效率，可有效部署在各類企業或服務商網絡中，無需安全人員手動調節參數，預訓練好的模型可以穩定有效的運行。

技術領域

本發明屬于計算機網絡空間安全領域，尤其涉及一種基于詞向量的惡意域名集群檢測方法及裝置。

背景技術

惡意域名是攻擊者進行惡意活動的基礎，目前有不少研究從各種角度旨在發現網絡中的惡意域名，主要檢測方法有兩種：1)基于對象的方法；2)基于關聯的方法。

(1)基于對象的檢測方法：這種方法主要根據先驗知識從多種角度提取用于識別域名惡意性的特征，然后構建分類器識別惡意域名。這類方法從多種類型的數據中收集相關信息，如DNS流量，whois信息，passiveDNS信息，地理位置信息等，常用的相關特征有域名解析IP地址，域名字符特征，域名訪問特征等。代表工作主要有Notos[1],EXPOSURE[2],Predator[3],Phonenix[4]等。

(2)基于關聯的檢測方法:這種方法則專注于分析域名之間的關聯來識別惡意域名。經常被使用的關聯包括重定向(ShadyPath[5],VisHunter[6])、轉移共現關系(GMAD[7],CoDetecter[8])、訪問客戶端關聯([9][10])、解析地址關聯[11]、域名注冊信息和承載文件關聯[12]等。

但是，現在攻擊者傾向于利用多個惡意域名組成的動態惡意基礎設施平臺來進行攻擊，與單一域名相比，部署多個惡意域名可以使攻擊更加有效和隱秘。

無論是基于對象的檢測還是基于關聯的檢測方法，它們最終的目的是都是檢測某一惡意域名，即判斷某域名是否是惡意的。這些工作專注于單一的惡意域名檢測，忽視了協同完成同一惡意活動域名之間的關聯，缺乏對協同工作的惡意域名集群的分析，無法提供觀察惡意活動的全景視角。此外，一些關注域名關聯的工作則需求復雜的數據集，比如重定向鏈，承載文件，域名注冊信息等，數據獲取不易，所需資源較多。

發明內容

本發明針對識別協同參與同一惡意活動的惡意域名集群這一空白，研究分析域名之間的行為關聯，設計一種基于詞向量的惡意域名集群檢測方法及裝置，利用客戶端訪問域名的順序關系，從時間和空間兩個維度提取協同作用完成同一活動的域名，并且利用word2vec的詞向量表達方法，提取域名的語義特征，結合CNN模型，綜合一個集群中所有域名的語義特征提取相應的集群特征，進而對域名集群進行分類，從而從全局視角觀察惡意活動，識別惡意域名集群。

為達到上述目的，本發明的技術方案包括：

一種基于詞向量的惡意域名集群檢測方法，其步驟包括：

1)提取服務器日志中原始數據的有效數據，并根據所述有效數據，生成各客戶端的訪問序列，其中有效數據包括：時間戳、源IP和訪問域名；

2)對每一訪問序列從時間維度與空間維度上進行聚類，生成一個域名訪問序列；

3)對每一域名訪問序列，若該域名訪問序列中相鄰的訪問域名相同，則進行去重，并將去重后包含多個訪問域名的域名訪問序列，作為一個域名集群；

4)將一個訪問域名視為一個單詞，將一個域名集群視為一個句子，并依據域名集群計算所有客戶端在訪問行為上的相似上下文關系，得到每一訪問域名的域名語義向量；