(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211172640.1 (22)申请日 2022.09.26 (71)申请人 东华理工大 学 地址 330013 江西省南昌市昌北 经济技术 开发区广兰大道418号 申请人 江西神舟信息安全评估中心有限公 司 (72)发明人 何璘琳　何月顺　刘燚　张宸源　 (74)专利代理 机构 北京睿智保诚专利代理事务 所(普通合伙) 11732 专利代理师 韩迎之 (51)Int.Cl. H04L 9/40(2022.01) H04L 61/4511(2022.01) (54)发明名称 大数据环 境下网络空间精 准反制方法、 系统 及可存储介质 (57)摘要 本发明公开了一种大数据环境下网络空间 精准反制方法、 系统及可存储介质， 涉及网络安 全领域。 本发明包括以下步骤： 接收待检测报文 并获取待检测报文中的通信数据； 根据待检测报 文中的通信数据捕获DNS查询， 并提取诊断目标 域名； 利用DGA检测流程对诊断目标域名进行诊 断； 若所述诊断目标域名判定为恶意域名， 则启 动反制机制； 通过反制机制中断恶意域名的通信 节点。 本发明更好地提高网络安全攻击反制能 力， 保障网络空间安全。 权利要求书1页 说明书5页 附图1页 CN 115550021 A 2022.12.30 CN 115550021 A 1.一种大 数据环境下网络空间精准反制方法， 其特 征在于， 包括以下步骤： 接收待检测报文并获取待检测报文中的通信数据； 根据待检测报文中的通信数据捕获DNS查询， 并提取诊断目标域名； 利用DGA检测流 程对诊断目标域名进行诊断； 若所述诊断目标域名判定为恶意 域名， 则启动反制机制； 通过反制机制中断恶意 域名的通信节点。 2.根据权利要求1所述的一种大数据环境下网络空间精准反制方法， 其特征在于， 所述 反制机制的算法具体如下： 基于平均通信总流 量大小、 平均通信数据包、 平均通信连接次数 标准建立网络连接图； 删除网络图中和 异常域名节点未进行过通信的节点， 选取任意异常域名节点为起始节 点； 从所述起始节点遍历相邻节点， 利用蚁群算法遍历意义两个异常域名节点之间的最短 路径； 根据最短路径进行检索， 中断出现最多的节点与异常域名节点， 完成反制机制。 3.根据权利要求1所述的一种大数据环境下网络空间精准反制方法， 其特征在于， 所述 DGA检测流 程包括静态特 征检测和动态特 征检测。 4.根据权利要求3所述的一种大数据环境下网络空间精准反制方法， 其特征在于， 所述 静态特征检测具体为： 提取诊断目标域名的静态特征， 使用静态特征分类器做出判断， 对于 可信度高于预设阈值的判断结果， 直接给出结论， 结束流程， 并将诊断目标域名添加到白名 单； 对于其 他判断结果， 判别为 “可疑域名 ”进入动态特 征检测流 程。 5.根据权利要求4所述的一种大数据环境下网络空间精准反制方法， 其特征在于， 所述 动态特征检测具体为： 提取诊断目标的动态特征， 使用动态特征分类器来做出判断， 对于可 信度高于预设阈值的判断结果， 给出结论并将诊断目标放入相应的黑名单或白名单中， 对 于其他判断结果， 只给 出结论， 不修改黑白名单。 6.根据权利要求1所述的一种大数据环境下网络空间精准反制方法， 其特征在于， 还包 括数据库将DGA检测流程的检测结果进行存储， 所述数据库包括白名单数据库和黑名单数 据库； 所述白名单数据库存储安全的目的主机， 目的服务器域名； 所述黑名单数据库存储已 知的恶意特征， 恶意特征检测引擎使用所述黑名单数据库内容进行匹配， 临时运算数据库 存储临时数据存 储地址与每 个模块的计算结果。 7.一种大 数据环境下网络空间精准反制系统， 其特 征在于， 包括： 待检测数据接收与获取模块： 用于 接收待检测报文并获取待检测报文中的通信数据； 诊断目标域名提取模块： 用于根据待检测报文中的通信数据捕获DNS查询， 并提取诊断 目标域名； DGA诊断模块： 用于利用DGA检测流 程对诊断目标域名进行诊断； 恶意域名中断模块： 用于若所述诊断目标域名判定为恶意域名， 则启动反制机制， 通过 反制机制中断恶意 域名的通信节点。 8.一种计算机存储介质， 其特征在于， 所述计算机存储介质上存储有计算机程序， 所述 计算机程序被处理器执行时实现如权利要求 1‑6中任意一项 所述的一种大数据 环境下网络 空间精准反制方法的步骤。权　利　要　求　书 1/1 页 2 CN 115550021 A 2大数据环境下网 络空间精准反制方 法、 系统及 可存储介质 技术领域 [0001]本发明涉及网络安全领域， 更具体的说是涉及一种大数据环境下网络空间精准反 制方法、 系统及可存 储介质。 背景技术 [0002]网络信息技术的高速发展， 让人们的生活与工作都得到极大的便利性， 但同时网 络中也存在很多安全问题。 网络世界属于虚拟空间， 不法分子利用网络的虚拟性进行非法 入侵， 从而盗取他人的私人信息， 造成了较为 严重的安全问题。 [0003]并且随着攻击平台、 商用木马和开源恶意工具的使用， 网络攻 防战争的日趋深入 和精进， 亟需引入人工智能、 大数据等分析技术， 提高网络攻击反制能力， 形成了对攻击者 的威慑和反制。 发明内容 [0004]有鉴于此， 本发明提供了一种大数据环境下网络空间精准反制 方法、 系统及可存 储介质， 运用DGA算法识别恶意 域名， 及时定位到失陷主机， 完成精准反击 。 [0005]为了实现上述目的， 本发明采用如下技 术方案： [0006]一方面， 公开了一种大 数据环境下网络空间精准反制方法， 包括以下步骤： [0007]接收待检测报文并获取待检测报文中的通信数据； [0008]根据待检测报文中的通信数据捕获DNS查询， 并提取诊断目标域名； [0009]利用DGA检测流 程对诊断目标域名进行诊断； [0010]若所述诊断目标域名判定为恶意 域名， 则启动反制机制； [0011]通过反制机制中断恶意 域名的通信节点。 [0012]可选的， 所述反制机制的算法具体如下： [0013]基于平均通信总流量大小、 平均通信数据包、 平均通信连接次数标准建立网络连 接图； [0014]删除网络图中和异常域名节点未进行过通信的节点， 选取任意异常域名节点为起 始节点； [0015]从所述起始节点遍历相邻节点， 利用蚁群算法遍历意义两个异常域名节点之间的 最短路径； [0016]根据最短路径进行检索， 中断出现最多的节点与异常域名节点， 完成反制机制。 [0017]可选的， 所述DGA检测流 程包括静态特 征检测和动态特 征检测。 [0018]可选的， 所述静态特征检测具体为： 提取诊断目标域名的静态特征， 使用静态特征 分类器做出判断， 对于可信度高于预设阈值的判断结果， 直接给出结论， 结束流程， 并将诊 断目标域名添加到白名单； 对于其 他判断结果， 判别为 “可疑域名 ”进入动态特 征检测流 程。 [0019]可选的， 所述动 态特征检测具体为： 提取诊断目标的动 态特征， 使用动 态特征分类 器来做出判断， 对于可信度高于预设阈值的判断结果， 给出结论并将诊断目标放入相 应的说　明　书 1/5 页 3 CN 115550021 A 3