本发明公开了一种基于沙箱流量构建异构图的恶意域名检测方法,目标是使用沙箱流量构建异构图并结合图神经网络算法进行恶意域名检测,包括：搜集恶意文件活跃样本,在cuckoo沙箱中运行并采集沙箱流量数据；根据沙箱流量数据构造沙箱流量场景异构图,并利用正常域名标注数据集与恶意域名标注数据集对沙箱场景异构图中的域名节点标注；通过异构图神经网络嵌入学习,检测沙箱流量场景异构图中的恶意域名。本发明通过提取沙箱流量中的四类节点以及对应的十种关系,构建沙箱流量异构图,并采用异构图神经网络学习域名的图嵌入特征,最后使用分类器对未知属性域名的图嵌入特征进行分类,从而检测恶意域名。

• 单位
  华东师范大学