(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210964118.0 (22)申请日 2022.08.11 (71)申请人 北京天融信网络安全技 术有限公司 地址 100085 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 刘柱　鲍青波　张楠　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 专利代理师 钟扬飞 (51)Int.Cl. H04L 9/40(2022.01) H04L 61/4511(2022.01) (54)发明名称 一种基于稠密子图的域名检测方法及系统 (57)摘要 本申请实施例提供一种基于稠密子图的域 名检测方法及系统， 涉及网络通信技术领域。 该 基于稠密子图的域名检测方法包括： 获取待检测 的日志数据； 根据所述日志数据构建域名 ‑主机 关联二部图； 对所述域名 ‑主机关联二部图进行 挖掘， 生成与所述域名 ‑主机关联二部图对应的 稠密子图， 所述稠密子图包括恶意域名数据； 对 所述稠密子图进行处理， 生 成恶意域名的风险分 数数据。 该基于稠密子图的域名检测方法可以实 现提高恶意域名检测的准确性、 可解释性和检测 效率的技 术效果。 权利要求书2页 说明书9页 附图3页 CN 115314310 A 2022.11.08 CN 115314310 A 1.一种基于稠密子图的域名检测方法， 其特 征在于， 包括： 获取待检测的日志数据； 根据所述日志数据构建域名 ‑主机关联二部图； 对所述域名 ‑主机关联二部图进行挖掘， 生成与所述域名 ‑主机关联二部图对应的稠密 子图， 所述稠密子图包括恶意 域名数据； 对所述稠密子图进行处 理， 生成恶意 域名的风险分数 数据。 2.根据权利要求1所述的基于稠密子图的域名检测方法， 其特征在于， 所述获取待检测 的日志数据的步骤之前， 所述方法还 包括： 获取网络原 始数据包数据； 解析所述网络原始数据包数据， 获得所述日志数据， 所述日志数据包括请求 时间信息、 源IP信息、 请求 域名信息 。 3.根据权利要求2所述的基于稠密子图的域名检测方法， 其特征在于， 所述获取网络原 始数据包数据的步骤， 包括： 根据预设W ireshark工具对网络原 始数据包进行采集， 获取网络原 始数据包数据。 4.根据权利要求2所述的基于稠密子图的域名检测方法， 其特征在于， 所述根据 所述日 志数据构建域名 ‑主机关联二部图的步骤， 包括： 将所述日志数据中的源IP信息和请求域名信息作为二部图的节点， 生成所述域名 ‑主 机关联二部图。 5.根据权利要求1所述的基于稠密子图的域名检测方法， 其特征在于， 在所述根据 所述 日志数据构建域名 ‑主机关联二部图的步骤之后， 所述方法还 包括： 根据预设全局优化函数对所述域名 ‑主机关联二部图进行处理， 生成节点总风险数据， 所述预设全局优化 函数为： R(S)＝F(S)/|S|＝(F(A)+F(B) )/(|A|+|B|)； 其中， F是节点的风险性， 所述节点为域名或主机， |S|是当前的节点数， A是主机， B 是域 名， R(S)是二部图中的每 个节点的平均风险性。 6.根据权利要求5所述的基于稠密子图的域名检测方法， 其特征在于， 所述对所述域 名‑主机关联二部图进行挖掘， 生成与所述域名 ‑主机关联二部图对应的稠密子图的步骤， 包括： 根据所述节点总风险数据和贪心算法对所述域名 ‑主机关联二部 图进行迭代移除， 生 成迭代数据； 根据回溯算法对所述迭代数据进行回溯处 理， 获得所述稠密子图。 7.根据权利要求6所述的基于稠密子图的域名检测方法， 其特征在于， 在所述根据回溯 算法对所述迭代数据进行回溯处 理， 获得所述稠密子图的步骤之前， 所述方法还 包括： 根据所述迭代数据更新所述节点总风险数据。 8.一种基于稠密子图的域名检测系统， 其特 征在于， 包括： 日志数据模块， 用于获取待检测的日志数据； 二部图模块， 用于根据所述日志数据构建域名 ‑主机关联二部图； 稠密子图模块， 用于对所述域名 ‑主机关联二部图进行挖掘， 生成与所述域名 ‑主机关 联二部图对应的稠密子图， 所述稠密子图包括恶意 域名数据；权　利　要　求　书 1/2 页 2 CN 115314310 A 2风险模块， 用于对所述稠密子图进行处 理， 生成恶意 域名的风险分数 数据。 9.一种电子设备， 其特征在于， 包括： 存储器、 处理器以及存储在所述存储器中并可在 所述处理器上运行的计算机程序， 所述处理器执行所述计算机程序时实现如权利要求 1至7 任一项所述的基于稠密子图的域名检测方法的步骤。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有指令， 当所述指 令在计算机上运行时， 使得所述计算机执行如权利要求 1至7任一项 所述的基于稠 密子图的域名检测方法。权　利　要　求　书 2/2 页 3 CN 115314310 A 3