(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210380837.8 (22)申请日 2022.04.12 (71)申请人 东莞职业 技术学院 地址 523808 广东省东莞 市松山湖高新 技 术产业开发区大 学路3号 (72)发明人 谭继安　刘树威　 (74)专利代理 机构 西安研创天下知识产权代理 事务所(普通 合伙) 61239 专利代理师 陈明星 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) (54)发明名称 基于大数据的计算机网络安全入侵检测方 法 (57)摘要 本发明涉及数据处理技术领域， 具体涉及一 种基于大数据的计算机网络安全入侵检测方法。 该方法包括： 根据域名字 符串中字符对应的像素 值和域名字符串的熵获得字 符图； 根据每个字 符 重构的字符值对应的字 符获得域名新字符串， 并 获得域名新字符串对应的新字 符图； 在域名检测 网络中输入域名字符串对应的字符图和新字符 图， 输出域名属于正常域名和属于异常域名的概 率。 本发明充分利用了神经网络在图像特征提取 方面的优势， 能够自动的提取域名的特征信息， 避免了人工设计域名特征， 能够广泛应用于各种 场景； 另外字符图和新字 符图的残差进行交互验 证， 避免过拟合导致网络输出不准确， 提高了检 测的准确性， 同时可以加快域名检测网络的收敛 速度。 权利要求书2页 说明书7页 附图1页 CN 114866246 A 2022.08.05 CN 114866246 A 1.一种基于大数据的计算机网络安全入侵检测方法， 其特征在于， 该方法包括： 对每个 域名进行 处理去除域名的顶级域和二级域获得域名字符串； 对所有用于表示域名的字符以 升序的顺序进 行标号， 字 符的标号还用于表示字符的值， 记 为字符值； 获得域名字符串中字 符标号和像素点的像素值的映射关系， 根据映射关系获得字符对应的像素值； 根据域名字 符串中字符对应的像素值和域名字符串的熵获得字符图； 设定预设尺寸的窗口在域名字符串上以窗口的长为步长进行滑动， 根据当前窗口内字 符的字符值、 元音字母的位置和下一个窗口内元音字母的位置获得字符值重构关系式； 根 据字符值重构关系式对域名字符串中每个字符的字符值进 行重构； 根据每个字符重构的字 符值对应的字符获得域名新字符串， 并获得域名新字符串对应的新字符图； 构建域名检测网络， 包括第一子损 失函数和第二子损 失函数； 所述第一子损 失函数由 对训练过程中字符图和新字符图对应的残差的差值的平方进 行求和获得； 所述第二子损失 函数根据设定的第一因子和第二因子、 每个样本的预测概率和样本的标签值获得； 在域名 检测网络中输入域名字符串对应的字符图和新字符图， 输出域名属于异常域名的概 率。 2.根据权利要求1所述的基于大数据的计算机网络安全入侵检测方法， 其特征在于， 所 述获得域名字符串中字符标号和像素点的像素值的映射关系包括： 将像素点的像素值均分 为若干个像素区间， 像素区间的数量与字符的标号数量相同， 且每一个字符的标号都对应 一个像素区间； 从字符标号映射到像素点的映射关系为： 一个字符标号对应一个像素点， 一 个字符标号对应一个 像素区间， 字符标号对应的像素值 为对应的像素区间的中值。 3.根据权利要求1所述的基于大数据的计算机网络安全入侵检测方法， 其特征在于， 在 所述根据域名字符串中字符对应的像素值和域名字符串的熵获得字符图之前还包括： 将域 名字符串的长度统一 为预设长度。 4.根据权利要求1所述的基于大数据的计算机网络安全入侵检测方法， 其特征在于， 所 述根据域名字符串中字符对应的像素值和域名字符串的熵获得字符图包括： 获得一个域名 字符串中所有字符对应的像素点像素值， 将对应的像素点像素值转换到RGB空间， 获得域名 RGB图像； 计算 域名字符串的熵， 结合 域名RGB图像生成四通道的字符图。 5.根据权利要求1所述的基于大数据的计算机网络安全入侵检测方法， 其特征在于， 所 述字符值重构关系式为： 其中， Bi表示当前窗 口内第i个字符重构的字符值； ai表示当前窗 口内第i个字符的字符 值， aj表示当前窗口内第j个字符的字符值， n表示 窗口内字符的数量； l1表示当前窗口内元 音字母所在的位置， l2表示下一个窗口内的原因字母所在的位置， 所述元音字母所在的位 置为元音字母与域名字符串中第一个字符的距离； 若当前窗口内第i个字 符为元音字母， 则 若当前窗口内第i个字符不为元音字母， 则 若当前窗 口和下一个窗口内有多个为元音字母的字符， 以当前窗口和下一个窗口内元音字母的平均 位置分别表示当前窗口和下一个窗口内元音字母的位置， 若当前窗口和下个窗口内不同时 存在为元音字母的字符， 则 的取值为第一预设值。权　利　要　求　书 1/2 页 2 CN 114866246 A 26.根据权利要求1所述的基于大数据的计算机网络安全入侵检测方法， 其特征在于， 所 述根据每个字符重构的字符值对应的字符获得域名新字符串包括： 获得字符重构的字符值 后进行向下取整， 取整的结果为字符最终字符值； 所述最终字符值为字符重构后对应的最 终标号， 获得最终标号对应的字符； 域名字符串中每个字符的最终标号对应的字符组成域 名新字符串。 7.根据权利要求1所述的基于大数据的计算机网络安全入侵检测方法， 其特征在于， 所 述第二子损失函数为： 其中， Loss2表示第二子损失函数； α 表示第一因子， 用于平衡样本数据中正负样本的重 要性； γ表示第二因子， 用于使负样本的权重衰减， 减少损失， 使得分类器提升对正样本的 关注度； y＝1表 示正样本， 正样本为异常域名， y＝0表 示负样本， 负样本为正常域名； y'表 示 计算出来的样本的预测概 率； 0和1表示样本的标签值。权　利　要　求　书 2/2 页 3 CN 114866246 A 3