公开(公告)号：CN116668076A

公开(公告)日：2023-08-29

申请号：CN202310469493.2

申请日：2023-04-27

Applicant: 中国科学院信息工程研究所

Inventor： 袁方方 ,  李志平 ,  曹亚男 ,  张春燕 ,  卢毓海 ,  曹聪 ,  刘燕兵

IPC: H04L9/40 ,  H04L61/4511

Abstract: 本发明公开了一种基于异质图鲁棒对抗学习的恶意域名检测方法和装置。所述方法包括：将DNS场景建模为一个原始异质图；其中，所述原始异质图中的节点包括：域名、客户端和IP地址；对原始异质图进行攻击注入，以得到若干个受攻击图；基于DoDe‑CL模型和多层感知机，计算原始异质图和受攻击图中的域名嵌入表示后，对同一域名进行域名嵌入表示组合，并根据组合后的域名嵌入表示，得到所述DNS场景中的恶意域名检测结果。本发明可以提升模型面对基于异质图的攻击时的鲁棒性。

公开(公告)号：CN116886327A

公开(公告)日：2023-10-13

申请号：CN202310469489.6

申请日：2023-04-27

Applicant: 中国科学院信息工程研究所

Inventor： 袁方方 ,  李志平 ,  曹亚男 ,  张啸梁 ,  卢毓海 ,  曹聪 ,  刘燕兵

IPC: H04L9/40 ,  H04L61/4511

Abstract: 本发明公开了一种基于异质图自监督学习的恶意域名检测方法和系统。所述方法包括：将DNS场景建模为一个原始异质图；其中，所述原始异质图中的节点包括：域名、客户端和IP地址；在数据层面上引入轻微的扰动来生成所述原始异质图的轻微扰动图；根据域名级的对比损失和图级的相似性损失，获取所述原始异质图中域名的节点表示；其中，所述域名级的对比损失是对原始异质图和轻微扰动图中域名的节点表示进行相似性对比得到，所述图级的相似性损失是对原始异质图和轻微扰动图的图嵌入表示进行相似性对比得到；基于所述原始异质图中域名的节点表示，得到所述DNS场景的恶意域名检测结果。本发明可以在域名标签稀疏的困境下解决恶意域名模型过拟合的问题。