(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211118598.5 (22)申请日 2022.09.13 (66)本国优先权数据 202111069234.8 2021.09.13 CN (71)申请人 西安胡门网络技 术有限公司 地址 710075 陕西省西安市高新区茶张路1 号1幢1单 元11701室 申请人 成都西电网络安全研究院 (72)发明人 崔艳鹏　胡建伟　张芯馨　 (74)专利代理 机构 北京科家知识产权代理事务 所(普通合伙) 11427 专利代理师 郭晶 (51)Int.Cl. G06K 9/62(2022.01) G06N 3/04(2006.01)G06N 3/08(2006.01) G06N 20/00(2019.01) (54)发明名称 一种DGA域名检测方法、 检测装置及计算机 存储介质 (57)摘要 本发明公开了一种DGA域名检测方法、 检测 装置及计算机存储介质， 基于LSTM的DGA域名检 测模型对于检测百万级别DGA域名有一定的效 果， 能在短时间内提取域名中的特征并将特征用 于DGA域名的分类。 但由于DGA域名多类不平 衡特 性， 模型对于少数类的学习效果并不是特别明 显， 例如对于基于单词生成的DGA域名检测效果 差。 使用代价成本敏感的LSTM方法对DGA家族进 行检测和损失函数上加入惩罚因子， 提高训练学 习中数量少的DGA家族重要 性。 在DGA域名检测模 型基础上使用这种方法检测DGA域名的多分类， 在少数域名的检测准确率方面， 有较为明显的提 升。 权利要求书2页 说明书20页 附图5页 CN 115270996 A 2022.11.01 CN 115270996 A 1.一种DGA域名检测方法， 其特 征在于， 所述方法包括以下步骤： S1， 获取域名公开数据集， 所述 域名公开数据集包括： 多个良性 域名和多个DGA域名； S2： 对所述多个良性 域名和多个DGA域名进行 预处理， 得到域名向量； S3： 根据所述域名公开数据集来训练并生成用于特征提取的循环神经网络模型； 所述 循环神经网络模型为第一DGA域名检测模型； S4： 对S3得到的第一DGA域名检测模型， 输入所述域名向量进行优化， 得到第二D GA域名 检测模型； S5： 对所述第二DGA域名检测模型加入成本敏感矩阵， 得到初始DGA 家族检测模型； S6： 把所述 域名向量 导入到预设的深度置信网络中， 提取第一特 征数据； S7： 把所述第一特 征数据导入到预设阈值的长短期记 忆网络中， 提取第二特 征数据； S8： 把所述第二特 征数据输入到预设的分类 器中进行训练， 得到DGA 家族分类 器； S9： 根据得到 的DGA家族分类器， 更新所述初始DGA家族检测模型， 得到最终DGA家族检 测模型。 2.根据权利要求1所述的一种DGA域名检测方法， 其特征在于， 所述对所述多个良性域 名和多个DGA域名进行 预处理， 具体包括： 提取所述多个良性 域名和多个DGA域名中字符串的每一个字符； 把所述每一个字符中唯一出现的字符作为有 效字符， 并将所述有 效字符作为域名编码 的有效字典； 根据所述 域名编码的有效字典生成域名列表； 将所述域名列表编码成一个三维向量 L； 采用词嵌入法对所述 三维向量 L进行降为操作， 得到二维向量， 即所述 域名向量。 3.根据权利要求2所述的一种DGA域名检测方法， 其特征在于， 所述有效字符包括数字、 字母、 下划线和点 号符。 4.根据权利 要求3所述的一种DGA域名检测方法， 其特征在于， 在所述步骤S2之前， 所述 方法还包括： 将所述多个良性域名 和多个DGA域名的字符串中每个字符采用独热方式进行 编码， 得到编码后的零 一向量； 所述步骤S2中的根据所述域名公开数据集来训练并生成用于特征提取的循环神经网 络包括： 根据所述编码后的零 一向量， 训练所述循环神经网络 。 5.根据权利要求1所述的一种DGA域名检测方法， 其特征在于， 所述成本敏感矩阵公式 具体如下： 其中， 样本数据 为x， 类别的总数量是N， Ci,j表示当x是类别i时， 将x误分类为类别j的代 价成本。 6.根据权利要求1所述的一种DGA域名检测方法， 其特征在于， 所述预设的分类器采用权　利　要　求　书 1/2 页 2 CN 115270996 A 2Softmax分类 器。 7.根据权利要求1所述的一种DGA域名检测方法， 其特 征在于， 所述S7 具体包括： 使用长短期记忆网络提取所述第一特征数据； 计算所述良性域名和所述DGA域名的长 短期网络的输出值作为对比， 把得到的对比值作为 域名的特 征， 即第二特 征数据。 8.一种DGA域名检测装置， 包括： 存储器， 用于存 储非暂时性计算机可读指令； 处理器， 用于运行所述计算机可读指令， 使得所述计算机可读指令被所述处理器执行 时实现权利要求1 ‑7中任意一项所述的DGA域名检测方法。 9.一种计算机存储介质， 其特征在于， 包括计算机指令， 当所述计算机指令在设备上运 行时， 使得所述设备执行如权利要求1至7中任一项所述的一种DGA域名检测方法或执行如 权利要求8所述的一种DGA域名检测装置 。权　利　要　求　书 2/2 页 3 CN 115270996 A 3