(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210995535.1 (22)申请日 2022.08.19 (65)同一申请的已公布的文献号 申请公布号 CN 115065567 A (43)申请公布日 2022.09.16 (73)专利权人 北京金睛云华科技有限公司 地址 100088 北京市海淀区北三环中路4 4 号58号1层21号 专利权人 金睛云华 （沈阳） 科技有限公司 (72)发明人 杨润峰　曲武　胡永亮　 (74)专利代理 机构 沈阳友和欣知识产权代理事 务所(普通 合伙) 21254 专利代理师 杨群　郭悦 (51)Int.Cl. H04L 9/40(2022.01)H04L 61/4511(2022.01) G06N 3/04(2006.01) G06F 8/35(2018.01) (56)对比文件 CN 107682348 A,2018.02.09 US 20213 57187 A1,2021.1 1.18 CN 109617909 A,2019.04.12 CN 10945 0845 A,2019.0 3.08 杜鹏等.基 于混合词向量深度学习模型的 DGA域名检测方法. 《计算机 研究与发展》 .2020, (第02期), 审查员 周倩 (54)发明名称 用于DGA域名研判推理机的插 件化执行方法 (57)摘要 本发明属于网络安全技术领域， 具体涉及一 种用于DGA域名研判推理机的插件化执行方法， 包括模型构建、 模型转换和模型执行， 模型构建 通过传统的机器学习框架构建DGA研判模型； 并 将DGA研判模型导出为模型序列化文件； 模型转 换包括语义解析、 语义转换、 平台加速和代码生 成； 模型执行为将获取的域名字符串执行归一化 处理， 输入到转换完成的模型中， 对域名字符串 是否为DGA域名进行研判， 输 出研判结果。 本方法 能够适应工业场景下的前端和后台异构大数据 环境， 推理机的执行性能高， 具有海量数据下的 可扩展性。 权利要求书3页 说明书8页 CN 115065567 B 2022.11.11 CN 115065567 B 1.用于DGA域名研判推理机的插 件化执行方法， 其特 征在于， 包括： 1） 模型构建： 101） 通过传统的机器学习框架构建DGA研判模型； 102） 将DGA研判模型导出为模型序列化文件； 2） 模型转换： 201） 语义 解析： 对步骤102） 中导出的模型序列化文件进行语义 解析， 得到抽象语法树； 202） 语义转换： 将抽象语法树进行语义转换， 把抽象语法树中的神经网络计算步骤转 化为数学计算步骤； 数学计算步骤包括对输入值进行有限次卷积乘法操作、 标量加法操作、 向量移位操作、 位屏蔽操作中的单一操作任意次数 的组合或两个/多个任意操作的任意次数 的组合， 具体 转换过程为： 将神经网络计算步骤中的神经元连接操作转换为卷积乘法操作， 以神经元连接 中的权 重参数作为卷积乘法的参数； 将神经网络计算步骤中的神经元偏移操作转换为标量加法操作， 将神经元中的偏移参 数作为标量加法中加数参数； 将神经网络计算步骤中的循环神经网络类模型中的记忆偏移操作转换为向量移位操 作， 以记忆偏移参数作为移位长度参数； 将神经网络计算 步骤中的Dropout操作转 为位屏蔽操作； 203） 平台加速： 根据目标平台提供的计算加速机制， 对步骤202） 得到的数学计算步骤 进行算力优化； 204） 代码生成： 根据 步骤203） 中形成的计算步骤， 生成针对目标平台的推理机代码， 完 成模型转换； 3） 模型执行： 将获取的域名字符串执行归一化处理， 输入到转换完成的模型中， 对域名 字符串是否为DGA域名进行研判， 输出研判结果。 2.根据权利要求1所述的用于DGA域名研判推理机的插件化执行方法， 其特征在于， 所 述步骤201） 中， 对 模型序列化文件进行语义 解析的过程 为： 读取模型序列化文件， 通过词法分析、 语法分析构建抽象语法树， 抽象语法树中每个树 节点代表一个神经网络计算 步骤， 树的边对应神经网络计算 步骤间的顺序和关联。 3.根据权利要求1所述的用于DGA域名研判推理机的插件化执行方法， 其特征在于， 对 于本方法中限定的DGA 域名研判推理机， 设变量为长度为n的向量， 即n ×1维的张量， 记 为x= (x1,x2,...,xn)： 将神经元连接操作转换为卷积乘法操作的转换 过程表示 为： z←Ax 其中， A为m ×n维张量， 上述 转换过程将x转换为长度为m的变量z； 将神经元偏移操作转换为标量加法操作的转换 过程表示 为： z←x+b， 那么有zi←xi+b， i=1,2,. ..,n 其中， b表示单个标量数值； 将记忆偏移操作转换为向量移位操作的转换 过程表示 为： z←R(x,k)=(0,. ..,0, x1,x2,...,xn‑k) 其中， R(x,k)表示x右 移k步， 转换结果表示 为：权　利　要　求　书 1/3 页 2 CN 115065567 B 2z=(z1,z2,...,zn)， zi=xi‑k ； 将Dropout操作转换为 位屏蔽操作的转换 过程表示 为： z ← D(x)， 使得 其中， 表示坐标转换器将x进行扩展定义， d(i)的计算结果作为 的下标， 有： 。 4.根据权利要求3所述的用于DGA域名研判推理机的插件化执行方法， 其特征在于， 对 于x=(x1,x2,...,xn)， 若n能够被p整除， 商为t， 记为： ； 如果n不能被p整除， 则将x的长度扩展为可以被p整除的整数， 记为： x ←(x1,x2,...,xn,xn+1,...,xpt) 其中， 对于i>n， xi =0； 将向量x进行p级并行化处 理的结果表示 为： x(j)=(x(j‑1)t+1,x(j‑1)t+2,...,xjt),j=1,2,. ..,p， 即x(j)为长度为t的向量； 当对x施加任意函数操作f( ·)时， 可以并行对x(j)执行f(·)， 再将结果进行聚合， P (f,·)表示系统提供的对f( ·)的并行加 速操作， S(j, ·)表示针对所有j值的结果聚合操 作， 则有： f(x)=S(j,P(f,x(j)))； 对转换完的卷积乘法操作结果进行p级并行加速， 过程 为： 取A=(a(1),...,a(i),...,a(n))， 其中a(i)为m×1维张量； 取A(j)=(a(j‑1)t+1,a(j‑1)t+2,...,ajt)， j=1,2,. ..,p， 为m×t维张量， 则有： y(j)←∑p j=1A(j)x(j) z ←∑p j=1y(j)； 利用并行加速机制， 实现并行卷积乘法， 计算y(j)值， 从而对卷积乘法运算进行加速处 理， 如下所示： y(j)←P(A(j)·,x(j)) z←S(j,y(j))=∑p j=1y(j)； 对转换完的标量加法操作结果进行p级并行加速， 表示 为： 利用并行加速 机制， 实现并行 标量加法运 算， 计算zi值， 从而进行加速处 理， 记作： zi←P(·+b,xi)； 对转换完的向量移位操作结果进行并行加速， 过程 为： 移位操作通过坐标转换器T(i,k)实现， 避免构造新的张量z， 坐标转换器将x进行扩展 定义：权　利　要　求　书 2/3 页 3 CN 115065567 B 3