买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

龙图腾网获悉东南大学申请的专利基于流量分析的算法生成域名检测方法获国家发明授权专利权，本发明授权专利权由国家知识产权局授予，授权公告号为：CN119544286B 。

龙图腾网通过国家知识产权局官网在2025-09-30发布的发明授权授权公告中获悉：该发明授权的专利申请号/专利号为：202411648014.4，技术领域涉及：H04L9/40；该发明授权基于流量分析的算法生成域名检测方法是由冯渊;许艺凡;危嘉祺;方宇设计研发完成，并于2024-11-18向国家知识产权局提交的专利申请。

本基于流量分析的算法生成域名检测方法在说明书摘要公布了：本发明首先采集已知分类标签的算法生成域名DGA域名和良性域名的流量信息，包括域名的解析IP地址和Flow数据；对采集到的流量数据进行初步处理，统计域名各解析IP的出现次数，从Flow数据中筛选出源地址、目的地址、时间等信息；根据这些流量信息计算出域名的8个特征值，包括用户IP访问数目、活跃频率、各解析IP出现次数标准方差均值比等；将特征数据放入C4.5有监督分类模型进行训练，得到具有分类能力的分类模型；最后，采集待分类域名的流量信息，计算特征数据，放入训练好的分类模型进行分类。本发明利用了算法生成域名进行恶意活动时在流量行为的表现上与良性域名的差异，有效区分出了两类域名且抵御了对抗性攻击，维护了网络的安全。

本发明授权基于流量分析的算法生成域名检测方法在权利要求书中公布了：1.基于流量分析的算法生成域名检测方法，其特征在于，所述方法包括以下步骤： 步骤1收集已知分类标签的算法生成域名和良性域名，作为模型的训练集； 步骤2从检测网段中采集训练集域名的流量信息，包括域名的解析IP地址相关信息和Flow信息； 步骤3对收集到的流量信息进行初步处理，包括统计域名各解析IP地址的出现次数，从Flow信息中筛选出源IP地址、目的IP地址、解析具体时间、解析小时值数据； 步骤4将处理过的流量信息进行计算处理，得到8个流量特征值； 步骤5将所有训练集域名的特征值和分类标签放入C4.5分类模型中进行训练，得到具有分类能力的模型； 步骤6提取待分类域名的流量信息，计算其特征值； 步骤7将待分类域名的特征值放入分类模型中进行分类，得到分类结果； 其中，步骤4具体如下： 步骤4‑1具体计算方式为：client_IP_visit＝∑IPi_resolved,其中，client_IP_visit表示域名的用户IP地址访问次数，IPi_resolved表示该域名第i个解析IP地址在DNS流量中被解析的次数，用域名所有解析IP地址被解析在DNS流量中被解析的次数来表示其用户IP地址访问次数，client_IP_visit值越大，表明用户IP地址访问次数越多，将其作为特征值1； 步骤4‑2具体计算方式为：life_span＝last_seen_time‑first_seen_time，其中，life_span表示域名的生命周期，last_seen_time表示该域名在检测网段中最后一次出现时间，first_seen_time表示该域名在检测网段中第一次出现时间，last_seen_time与first_seen_time均以秒为单位，用两者的差值来表示域名的生命周期，life_span值越大，表明生命周期越长，将其作为特征值2； 步骤4‑3，具体计算方式为：其中，live_freq表示域名的活跃频率，life_span表示域名的生命周期，client_IP_visith表示该域名在h时间段内用户IP地址的访问量，用该域名有用户IP地址访问的时间段占整个生命周期的比重来表示活跃频率，live_freq值越大，表明活跃频率越高，将其作为特征值3； 步骤4‑4具体计算方式为：其中，periodic表示域名的周期性值，client_IP_visith表示该域名在h时间段内用户IP地址的访问量，用该域名前后两个时间段的用IP地址访问量时间序列曲线的欧拉距离与曲线均值的相对距离的比值来表示周期性，periodic值越小，表明周期性越强，将其作为特征值4； 步骤4‑5具体计算方式为：其中，abrupt表示域名的用户访问突发性值，client_IP_visitT,life_span表示该域名在生命周期内，固定时间段T中用户IP地址的访问量，Avg表示均值，Max表示最大值，用户IP地址访问量时间序列曲线中平均值和最大值的相对距离来表示用户访问突发性，abrupt值越大，表明用户访问突发性越高,将其作为特征值5； 步骤4‑6具体计算方式为：其中，IP_var表示域名的各解析IP地址出现次数标准方差均值比，varIP_appear_times表示该域名各解析IP出现次数的方差，avgIP_appear_times表示该域名各解析IP出现次数的平均值，用它们的比值来表示各解析IP出现次数标准方差均值比，IP_var值越大，表明解析IP出现次数标准方差均值比越大,将其作为特征值6； 步骤4‑7具体计算方式为：IP_domain_num＝|{dIP|IP∈resolvedIPsetW}|,其中，IP_domain_num表示域名所有解析IP地址反向映射的域名总数，dIP表示IP地址反向映射的域名，resolvedIPsetW表示当前时间窗口该域名的所有解析IP地址的集合，IP_domain_num值越大，表明解析IP地址反向映射的域名总数越多,将其作为特征值7； 步骤4‑8具体计算方式为：其中，IP_diff表示解析IP地址集合差异度，resolvedIPsetW表示当前时间窗口该域名的所有解析IP地址的集合，resolvedIPsetW’表示上一个时间窗口该域名的所有解析IP地址的集合，用它们的交集与并集的比值来计算域名的解析IP地址集合差异度，IP_diff值越大，表明解析IP地址集合的差异度越大,将其作为特征值8； 步骤6提取检测网段中待分类域名的流量信息，计算其特征值，具体的数据处理和计算过程与步骤3‑步骤6一致。

如需购买、转让、实施、许可或投资类似专利技术，可联系本专利的申请人或专利权人东南大学，其通讯地址为：211102 江苏省南京市江宁区东南大学路2号；或者联系龙图腾网官方客服，联系龙图腾网可拨打电话0551-65771310或微信搜索“龙图腾网”。