公开(公告)号：CN114553496B

公开(公告)日：2022-11-15

申请号：CN202210105191.2

申请日：2022-01-28

Applicant: 中国科学院信息工程研究所

Inventor： 刘玉岭 ,  樊昭杉 ,  刘俊荣 ,  韩冬旭 ,  王青 ,  焦浩然

IPC: H04L9/40 ,  H04L61/4511 ,  G06K9/62 ,  G06N3/08

Abstract: 本发明提供了一种基于半监督学习的恶意域名检测方法及装置，所述方法包括：收集域名样本，构建原始样本集；针对每一域名样本抽取典型特征的特征表示；通过恶意域名标注信息，从原始样本集中提取恶意域名样本集；基于原始样本集中各域名样本的孤立分数，构建可信域名样本集；对恶意域名样本集与可信域名样本集并集后，根据是否为恶意域名样本与孤立分数赋予域名样本权重，得到加权训练样本集；基于加权训练样本集中域名样本的特征表示训练分类模型，得到恶意域检测模型；将待检测域名的特征表示输入恶意域名检测模型，得到恶意域名检测结果。本发明的恶意域名检测模型具有自动学习、高效性与普适性等特点，从而提高了恶意域名检测的准确度。

公开(公告)号：CN115037532A

公开(公告)日：2022-09-09

申请号：CN202210594687.0

申请日：2022-05-27

Applicant: 中国科学院信息工程研究所

Inventor： 刘玉岭 ,  王青 ,  卢志刚 ,  刘俊荣 ,  韩冬旭 ,  杜丹 ,  朱燕 ,  董聪 ,  樊昭杉 ,  祁银皓

IPC: H04L9/40 ,  H04L61/4511 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种基于异构图神经网络的恶意域名检测方法及装置，所述方法包括：基于DNS日志数据与Whois数据，构建DNS流量的异构图G＝(V，E)；基于边E，获取起始节点与终止节点类型均为域名节点的元路径；根据DNS日志数据与Whois数据在不同时期下的域名行为，提取各域名节点的时间序列特征与域名注册特征，以获取各域名节点的特征向量；基于所述元路径与所述特征向量，计算各域名节点的嵌入特征，以获取未标记域名节点的恶意域名检测结果。本发明从海量DNS流量中对存在的恶意域名的有效识别。

公开(公告)号：CN114553496A

公开(公告)日：2022-05-27

申请号：CN202210105191.2

申请日：2022-01-28

Applicant: 中国科学院信息工程研究所

Inventor： 刘玉岭 ,  樊昭杉 ,  刘俊荣 ,  韩冬旭 ,  王青 ,  焦浩然

IPC: H04L9/40 ,  H04L61/4511 ,  G06K9/62 ,  G06N3/08

Abstract: 本发明提供了一种基于半监督学习的恶意域名检测方法及装置，所述方法包括：收集域名样本，构建原始样本集；针对每一域名样本抽取典型特征的特征表示；通过恶意域名标注信息，从原始样本集中提取恶意域名样本集；基于原始样本集中各域名样本的孤立分数，构建可信域名样本集；对恶意域名样本集与可信域名样本集并集后，根据是否为恶意域名样本与孤立分数赋予域名样本权重，得到加权训练样本集；基于加权训练样本集中域名样本的特征表示训练分类模型，得到恶意域检测模型；将待检测域名的特征表示输入恶意域名检测模型，得到恶意域名检测结果。本发明的恶意域名检测模型具有自动学习、高效性与普适性等特点，从而提高了恶意域名检测的准确度。

公开(公告)号：CN115037532B

公开(公告)日：2023-03-24

申请号：CN202210594687.0

申请日：2022-05-27

Applicant: 中国科学院信息工程研究所

Inventor： 刘玉岭 ,  王青 ,  卢志刚 ,  刘俊荣 ,  韩冬旭 ,  杜丹 ,  朱燕 ,  董聪 ,  樊昭杉 ,  祁银皓

IPC: H04L9/40 ,  H04L61/4511

Abstract: 本发明公开了一种基于异构图的恶意域名检测方法、电子装置及存储介质，所述方法包括：基于DNS日志数据与Whois数据，构建DNS流量的异构图G＝(V,E)；基于边E，获取起始节点与终止节点类型均为域名节点的元路径；根据DNS日志数据与Whois数据在不同时期下的域名行为，提取各域名节点的时间序列特征与域名注册特征，以获取各域名节点的特征向量；基于所述元路径与所述特征向量，计算各域名节点的嵌入特征，以获取未标记域名节点的恶意域名检测结果。本发明从海量DNS流量中对存在的恶意域名的有效识别。