基于图神经网络模型的域名检测方法、系统及存储介质与流程

本申请涉及网络安全领域，尤其涉及一种基于图神经网络模型的域名检测方法、系统及存储介质。

背景技术：

1、互联网基础设施是互联网经济发展的根基，为互联网经济的良性运行和快速发展提供了保障。作为互联网的核心基础设施资源，域名、ip地址、as编码等域名系统的安全与管理是网络空间安全治理的根本问题。

2、为了便于注册域名，域名的注册流程更为简化，域名数量日益增加。但是大量的域名数量会导致域名产生非法应用，因此，需要大量域名中快速准确识别出不良域名，从而提高域名使用的安全性。

3、通过搭建图神经网络可以有效识别不良域名，域名、ip地址、as编码等通过相互间的连接构成了一张域名系统知识图谱。但是，多数图神经网络在信息传播过程只考虑节点间的相互影响，忽略了单节点在图中的重要程度，在使用注意力聚合节点信息时忽略了节点间的空间位置关系，从而遗漏部分域名的检测，导致不良域名识别准确率不高。

技术实现思路

1、为了提高识别不良域名的准确率，第一方面，本申请的部分实施例提供一种基于图神经网络模型的域名检测方法，包括：

2、获取域名图谱数据；

3、将所述域名图谱数据划分为训练集和测试集，所述训练集包括带有第一标签的域名图谱数据和带有第二标签的域名图谱数据，所述测试集包括不含有标签的域名图谱数据；

4、根据所述训练集构建第一知识图谱，以及，根据所述测试集构建第二知识图谱；

5、根据第一知识图谱对待训练模型执行二分类训练，得到训练后的图神经网络模型；

6、将所述第二知识图谱输入至所述训练后的图神经网络模型，以得到域名检测结果。

7、在一些实施例中，根据第一知识图谱对待训练模型执行二分类训练的步骤，还包括：

8、获取所述第一知识图谱的第一节点集合；

9、对所述第一节点集合执行向量编码，得到节点特征编码向量；

10、对所述节点特征编码向量执行特征映射，得到对齐后的节点特征向量；

11、获取所述第一节点集合的第一节点位置向量，以及，获取所述第一节点集合的加权度编码向量；

12、将初始特征输入至待训练模型，以更新待训练模型的模型参数，所述初始特征由所述第一节点位置向量、所述对齐后的第一节点特征向量、所属加权度编码向量拼接得到。

13、在一些实施例中，将初始特征输入至待训练模型的步骤前，还包括：

14、获取所述第一节点集合中的节点赋予加权度编码向量；

15、根据所述加权度编码向量、对齐后的节点特征向量、第一节点位置向量执行拼接，得到初始特征。

16、在一些实施例中，以更新待训练模型的模型参数的步骤后，还包括：

17、获取待训练模型根据当前参数输出的训练检测结果；

18、根据损失函数计算所述训练检测结果与标准检测结果的训练损失；

19、如果所述训练损失大于损失阈值，则对所述待训练模型执行迭代训练；

20、如果所述训练损失小于或等于损失阈值，则输出当前模型参数，以得到所述图神经网络模型。

21、在一些实施例中，获取所述第一节点集合的第一节点位置向量的步骤，包括：

22、获取所述第一节点集合在所述第一知识图谱中的节点连接关系；

23、根据所述节点连接关系获取节点对；

24、对所述节点对的位置信息执行编码，得到相对位置编码向量；

25、将所述相对位置编码向量与标识性编码向量执行拼接，得到第一节点位置向量。

26、在一些实施例中，获取所述第一节点集合在所述第一知识图谱中的节点连接关系的步骤包括：

27、遍历所述第一节点集合中的节点信息，所述节点信息包括节点名称、节点属性和节点长度；

28、根据所述节点名称、所述节点属性和所述节点长度确定节点连接关系。

29、在一些实施例中，对所述第一节点集合中的节点赋予加权度编码向量的步骤，包括：

30、获取所述第一节点集合中的节点的度数值；

31、根据所述度数值以及重要级顺序对所述第一节点集合中的节点执行分类；

32、根据不同类别的节点的重要级赋予节点对应的加权度编码向量。

33、在一些实施例中，将初始特征输入至待训练模型的步骤前，还包括：

34、通过所述待训练模型计算所述第一节点集合的节点最短路径，以获取第一偏置项；

35、计算第一知识图谱的边权重值，以获取第二偏置项，所述边权重值为所述第一节点集合中节点之间的边的向量权重值；

36、根据所述第一偏置项和所述第二偏置项生成第一知识图谱的空间结构信息；

37、根据所述空间结构信息更新所述对齐后的节点特征向量。

38、第二方面，本申请的部分实施例提供一种基于图神经网络模型的域名检测系统，包括存储器和执行器，所述存储器中存储有图神经网络模型，所述执行器被配置为：

39、获取域名图谱数据；

40、将所述域名图谱数据划分为训练集和测试集，所述训练集包括带有第一标签的域名图谱数据和带有第二标签的域名图谱数据，所述测试集包括不含有标签的域名图谱数据；

41、根据所述训练集构建第一知识图谱，以及，根据所述测试集构建第二知识图谱；

42、根据第一知识图谱对待训练模型执行二分类训练，得到训练后的图神经网络模型；

43、将所述第二知识图谱输入至所述训练后的图神经网络模型，以得到域名检测结果。

44、第三方面，本申请的部分实施例提供一种计算机可读存储介质，所述计算机可读存储介质中包括计算机指令，所述计算机指令用于指示计算机执行第一方面所述的基于图神经网络模型的域名检测方法。

45、由以上技术方案可知，本申请提供一种基于图神经网络模型的域名检测方法、系统及存储介质，通过获取域名图谱数据，然后将域名图谱数据划分为训练集和测试集，其中，训练集包括带有第一标签的域名图谱数据和带有第二标签的域名图谱数据，测试集包括不含有标签的域名图谱数据。根据训练集构建第一知识图谱，以及根据测试集构建第二知识图谱，根据第一知识图谱对待训练模型执行二分类训练，得到训练后的图神经网络模型，将第二知识图谱输入至训练后的图神经网络模型，得到域名检测结果。本申请通过构建知识图谱，根据知识图谱中的节点特征对齐图神经网络模型的输入端，并通过知识图谱扩大域名的检测范围，提高识别不良域名的准确率。

技术特征：

1.一种基于图神经网络模型的域名检测方法，其特征在于，包括：

2.根据权利要求1所述的基于图神经网络模型的域名检测方法，其特征在于，根据第一知识图谱对待训练模型执行二分类训练的步骤，还包括：

3.根据权利要求2所述的基于图神经网络模型的域名检测方法，其特征在于，将初始特征输入至待训练模型的步骤前，还包括：

4.根据权利要求2所述的基于图神经网络模型的域名检测方法，其特征在于，以更新待训练模型的模型参数的步骤后，还包括：

5.根据权利要求2所述的基于图神经网络模型的域名检测方法，其特征在于，获取所述第一节点集合的第一节点位置向量的步骤，包括：

6.根据权利要求5所述的基于图神经网络模型的域名检测方法，其特征在于，获取所述第一节点集合在所述第一知识图谱中的节点连接关系的步骤包括：

7.根据权利要求2所述的基于图神经网络模型的域名检测方法，其特征在于，对所述第一节点集合中的节点赋予加权度编码向量的步骤，包括：

8.根据权利要求3所述的基于图神经网络模型的域名检测方法，其特征在于，将初始特征输入至待训练模型的步骤前，还包括：

9.一种基于图神经网络模型的域名检测系统，其特征在于，包括存储器和执行器，所述存储器中存储有图神经网络模型，所述执行器被配置为：

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中包括计算机指令，所述计算机指令用于指示计算机执行权利要求1-8任一项所述的基于图神经网络模型的域名检测方法。

技术总结
本申请提供一种基于图神经网络模型的域名检测方法、系统及存储介质，通过获取域名图谱数据，然后将域名图谱数据划分为训练集和测试集，其中，训练集包括带有第一标签的域名图谱数据和带有第二标签的域名图谱数据，测试集包括不含有标签的域名图谱数据。根据训练集构建第一知识图谱，以及根据测试集构建第二知识图谱，根据第一知识图谱对待训练模型执行二分类训练，得到训练后的图神经网络模型，将第二知识图谱输入至训练后的图神经网络模型，得到域名检测结果。本申请通过构建知识图谱，根据知识图谱中的节点特征对齐图神经网络模型的输入端，并通过知识图谱扩大域名的检测范围，提高识别不良域名的准确率。

技术研发人员：李洪涛,杨学,张中献,陆冬婕,刘冰,马永征,王鹤子
受保护的技术使用者：中国互联网络信息中心
技术研发日：
技术公布日：2024/1/5