公开(公告)号：CN117792744A

公开(公告)日：2024-03-29

申请号：CN202311824404.8

申请日：2023-12-27

Applicant: 国家计算机网络与信息安全管理中心陕西分中心

Inventor： 魏军峰 ,  张永斌 ,  石乘齐 ,  王荔 ,  李成宁 ,  王栋

IPC: H04L9/40 ,  H04L61/4511 ,  G06V30/19 ,  G06V30/18 ,  G06N3/0455 ,  G06N3/0442 ,  G06N3/088

Abstract: 一种基于字符与行为双特征的DGA检测方法，包括以下步骤；1)收集原始流量数据里筛选出解析失败的NXDomain域名，进行数据预处理和过滤，将数据划分为训练集、验证集和测试集，用于后续的特征提取模型；2)先使用训练集和验证集数据对基于双向LSTM的自编码器进行训练，完成训练后再输入测试集数据，将编码器的输出作为提取到域名的字符特征向量；3)将得到的全部数据基于域名和IP请求关系转换为域名‑主机请求二分图，将其稀疏邻接矩阵和权重作为模型输入，提取每个节点的表示向量，作为提取到的域名的行为特征向量；4)采用层次聚类对所述行为特征向量进行聚类分组；本发明在实际网络流量中高效找到基于Domain‑flux的DGA域名，解决对拼音域名误报率高的问题。