(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210921613.3 (22)申请日 2022.08.02 (71)申请人 中国科学院信息 工程研究所 地址 100093 北京市海淀区闵庄路甲89号 (72)发明人 袁方方　胡成　刘燕兵　曹聪　 卢毓海　肖奎　谭建龙　 (74)专利代理 机构 北京君尚知识产权代理有限 公司 11200 专利代理师 邱晓锋 (51)Int.Cl. H04L 9/40(2022.01) H04L 61/4511(2022.01) G06N 3/04(2006.01) G06N 3/08(2006.01) (54)发明名称 一种基于异质图传播网络的恶意域名检测 方法和系统 (57)摘要 本发明涉及一种基于异质图传播网络的恶 意域名检测方法和系统。 该方法使用异质图传播 网络进行恶意域名分类问题时， 将DNS场景建模 为包含主机、 域名、 IP地址的异质信息网络， 该异 质信息网络包含三种关系， 能够很好的模拟真实 DNS场景。 该方法使用的异质图传播网络模型包 含语义传播机制和语义融合机制。 语义传播机制 能够在聚合邻居节点特征时强调节 点自身特征， 即使增加语义传播机制的层数， 学习到的节点特 征依然可 以相互区分， 缓解语义混淆现象。 语义 融合机制能够在恶意域名检测任务下， 学习到每 个语义的重要性， 加权融合各个语义。 本发明能 够有效地实现恶意 域名检测。 权利要求书2页 说明书8页 附图3页 CN 115442075 A 2022.12.06 CN 115442075 A 1.一种基于异质图传播网络的恶意 域名检测方法， 其特 征在于， 包括以下步骤： 基于真实的DNS流 量数据将DNS场景建模为异质图； 根据异质图提取能够反映域名之间关系的元路径； 以异质图及元路径为输入， 利用异质图传播网络模型得到每个节点的分类结果， 即节 点类别为恶意 域名或者良性 域名。 2.根据权利要求1所述的方法， 其特征在于， 所述异质图包含域名、 IP地址、 客户端三种 不同类型的节 点， 并包含三种不同类型的边， 即客户端与域名的请求关系、 域名解析为IP地 址的解析关系 、 域名与域名之间的CNAM E关系。 3.根据权利要求1所述的方法， 其特征在于， 所述元路径有三种： 元路径P1表示两个不 同的域名属于同一个CNAME字段； 元路径P2表 示客户端和域名间的单向查询关系； 元路径P 3 表明域名与IP地址之间的映射关系。 4.根据权利要求1所述的方法， 其特征在于， 所述利用异质图传播网络模型得到每个节 点的分类结果， 包括： 异质图传播网络模型找到每个节点基于元路径的邻居节 点， 聚合邻居 节点的特 征信息， 更新每 个节点的节点特 征， 最终区分节点是恶意 域名还是良性 域名。 5.根据权利要求4所述的方法， 其特征在于， 所述异质图传播网络模型， 其包含语义传 播机制和语义融合机制； 所述语义传播机制在聚合邻居节点特征时强调节点自身特征， 以 缓解语义混淆现象； 所述语义融合机制学习每个元路径的重要性， 赋予每个元路径用于恶 意域名检测的最佳权 重。 6.根据权利要求5所述的方法， 其特 征在于， 所述语义传播机制包括： 给定一个异质图G＝(V, ε )， 对于异质图里每个元路径Φ， 语义传播机制ρΦ首先利用语 义投影函数fΦ将节点投影到语义空间， 之后通过语义聚合函数gΦ， 聚合基于元路径的邻居 节点特征， 学到特定语义的节点表示:ZΦ＝ρΦ(X)＝gΦ(fΦ(X))。 7.根据权利要求6所述的方法， 其特 征在于， 所述语义融合机制包括： 一组元路径{Φ1,Φ2,...,Φp}能够得到P组特定语义的节点表示 利用 语义传播机制学习到的P组特定语义的节点表示做为输入， 使用语义融合机制F聚合P组特 定语义的节点表示， 学习到的最终节点表示Z作为输出： 语义融合机制将特定语义下的节点表示投影到相同的空间， 然后利用语义融合向量q 学习元路径 ΦP的权重 8.一种基于异质图传播网络的恶意 域名检测系统， 其特 征在于， 包括： 异质图构建模块， 用于基于真实的DNS流 量数据将DNS场景建模为异质图； 元路径提取模块， 用于根据异质图提取能够反映域名之间关系的元路径； 节点分类模块， 用于异质图及元路径为输入， 利用异质图传播网络模型得到每个节点 的分类结果， 即节点类别为恶意 域名或者良性 域名。 9.一种电子装置， 其特征在于， 包括存储器和 处理器， 所述存储器存储计算机程序， 所 述计算机程序被配置为由所述处理器执行， 所述计算机程序包括用于执行权利要求 1～7中 任一项所述方法的指令 。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储计算机程权　利　要　求　书 1/2 页 2 CN 115442075 A 2序， 所述计算机程序被 计算机执 行时， 实现权利要求1～7中任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 115442075 A 3