(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210951261.6 (22)申请日 2022.08.09 (71)申请人 北京天融信网络安全技 术有限公司 地址 100085 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 吕晋　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 专利代理师 刘秋月 (51)Int.Cl. H04L 61/4511(2022.01) H04L 61/5046(2022.01) H04L 43/04(2022.01)H04L 43/028(2022.01) G06N 20/00(2019.01) G06N 3/08(2006.01) (54)发明名称 一种基于人工智能模型的特征构建方法及 装置 (57)摘要 本申请提供一种基于人工智能模型的特征 构建方法及装置， 该方法包括： 收集DNS日志； 对 DNS日志进行整理去重， 得到去重日志； 在去重日 志中提取特征字段； 该特征字段包括请求域名字 段、 响应长度字段、 查询类型字段、 返回码字段、 问题部分包含实体数量字段、 权威区包含实体数 量字段以及生存时间特征字段； 对 特征字段进行 特征向量化处理， 得到特征向量： 基于特征向量 构建多义特征。 可见， 实施这种实施方式， 能够生 成大量的多义特征， 以使该大量多义特征能够训 练出更优质的DGA人工智能检测模型， 从而能够 显著降低检测误报率。 权利要求书2页 说明书10页 附图3页 CN 115334039 A 2022.11.11 CN 115334039 A 1.一种基于人工智能模型的特 征构建方法， 其特 征在于， 包括： 收集DNS日志； 对所述DNS日志进行整理去重， 得到去重日志； 在所述去重日志中提取特征字段； 该特征字段包括请求域名字段、 响应长度字段、 查询 类型字段、 返回码字段、 问题部 分包含实体数量字段、 权威区包含实体数量字段以及生存时 间特征字段； 对所述特 征字段进行 特征向量化处理， 得到特 征向量： 基于所述特 征向量构建多义特 征。 2.根据权利要求1所述的基于人工智能模型的特征构建方法， 其特征在于， 所述对所述 DNS日志进行整理去重， 得到去重日志的步骤 包括： 将所述DNS日志整理成每行包括字段名、 字段值和类别标签的jso n文件； 计算所述jso n文件中每行字段名和字段值的md5值； 滤除相同md5值对应的jso n行数据， 得到去重日志。 3.根据权利要求1所述的基于人工智能模型的特征构建方法， 其特征在于， 所述对所述 特征字段进行 特征向量化处理， 得到特 征向量的步骤 包括： 获取所述特征字段包括的字符串特 征和类别特 征； 对所述类别特 征进行特征向量化处理， 得到语义特 征向量； 对所述字符串特 征进行特征向量化处理， 得到域名特 征向量； 组合所述语义特 征向量和所述 域名特征向量， 得到特 征向量。 4.根据权利要求1所述的基于人工智能模型的特征构建方法， 其特征在于， 所述基于所 述特征向量构建多义特 征的步骤 包括： 基于不同的字段语义对所述特 征向量进行划分， 得到多个 语义特征； 拼接所述多个 语义特征， 得到多义特 征。 5.根据权利要求1所述的基于人工智能模型的特征构建方法， 其特征在于， 所述方法还 包括： 搭建包括自动关注模块和全连接分类模块的人工智能模型； 基于所述多义特征， 使用梯度反向传播方法对所述人工智能模型进行训练， 得到DGA域 名检测模型。 6.一种基于人工智能模型的特征构建装置， 其特征在于， 所述基于人工智能模型的特 征构建装置包括： 收集单元， 用于收集DNS日志； 去重单元， 用于对所述DNS日志进行整理去重， 得到去重日志； 提取单元， 用于在所述去重日志中提取特征字段； 该特征字段包括请求域名字段、 响应 长度字段、 查询类型字段、 返回码字段、 问题部分包含实体数量字段、 权威区包含实体数量 字段以及生存时间特 征字段； 处理单元， 用于对所述特 征字段进行 特征向量化处理， 得到特 征向量： 构建单元， 用于基于所述特 征向量构建多义特 征。 7.根据权利要求6所述的基于人工智能模型的特征构建装置， 其特征在于， 所述去重单 元包括：权　利　要　求　书 1/2 页 2 CN 115334039 A 2整理子单元， 用于将所述DNS日志整理成每行包括字段名、 字段值和类别标签的j son文 件； 计算子单 元， 用于计算所述jso n文件中每行字段名和字段值的md5值； 去重子单元， 用于滤除相同md5值对应的jso n行数据， 得到去重日志。 8.根据权利要求6所述的基于人工智能模型的特征构建装置， 其特征在于， 所述处理单 元包括： 获取子单 元， 用于获取 所述特征字段包括的字符串特 征和类别特 征； 处理子单元， 用于对所述类别特 征进行特征向量化处理， 得到语义特 征向量； 所述处理子单元， 还用于对所述字符串特 征进行特征向量化处理， 得到域名特 征向量； 组合子单 元， 用于组合所述语义特 征向量和所述 域名特征向量， 得到特 征向量。 9.一种电子设备， 其特征在于， 所述电子设备包括存储器以及处理器， 所述存储器用于 存储计算机程序， 所述处理器运行所述计算机程序以使 所述电子 设备执行权利要求 1至5中 任一项所述的基于人工智能模型的特 征构建方法。 10.一种可读存储介质， 其特征在于， 所述可读存储介质中存储有计算机程序指令， 所 述计算机程序指 令被一处理器读取并运行时， 执行权利要求 1至5任一项 所述的基于人工智 能模型的特 征构建方法。权　利　要　求　书 2/2 页 3 CN 115334039 A 3