一种受域生成算法恶意软件感染的主机识别方法及装置与流程

1.本发明涉及计算机网络安全技术领域，具体涉及一种受域生成算法恶意软件感染的主机识别方法及装置。


背景技术：

2.域生成算法(domain generation algorithm,dga)是一种先进的dns技术，常被应用于恶意软件家族以逃避域名黑名单检测。攻击者会定期生成数千个域，这些域可以用作c&c通信，攻击者从中并选择一个小子集用于实际的命令和控制(c&c)。c&c域随机生成的且生存时间短暂，使得依赖于静态域列表的检测方法变得无效。
3.生成的域是基于给定的种子计算的，种子可为数字常量、当前日期、时间等，生成的域由随机和不可读的字符连接组成。在大多数情况下，随机生成域的特征分布与合法域的特征分布是截然不同的。因此，可基于词法属性检测dga恶意软件。然而，攻击者可以通过模拟流行域或单词的字符分布来调整其dga生成域，逃避这些方法的检测。在这种情况下，应该提取更多的内在特征来检测dga恶意软件。
4.检测基于dga的恶意软件最常用的基于时间的特征是c&c连接的周期性和nxdomain流量的变化点。基于周期性的检测方法需要多个c&c连接来提取特征，如果被感染的主机没有定期连接c&c服务器，那么基于周期的方法是无效的。其次，对于变点检测方法，由于良性主机也很可能产生突然增加的流量，因此很难准确检测出基于dga的恶意软件。


技术实现要素：

5.因此，本发明要解决的技术问题在于克服现有技术中的难以准确检测出基于dga的恶意软件的缺陷，从而提供一种受域生成算法恶意软件感染的主机识别方法及装置。
6.本发明第一方面提供了一种受域生成算法恶意软件感染的主机识别方法，包括：根据主机对不存在域的查询时间间隔提取多个特征向量；对多个特征向量进行聚类，形成至少一个聚类簇；对聚类簇进行异常值分析确定恶意簇，将恶意簇中的特征向量对应的主机确定为受感染主机。
7.可选地，在本发明提供的受域生成算法恶意软件感染的主机识别方法中，根据主机对不存在域的查询时间间隔提取特征向量，包括：获取被主机查询的不存在域的域名；根据域名筛选不存在域中的非恶意域；根据主机对非恶意域之外的其他不存在域的查询时间间隔提取特征向量。
8.可选地，在本发明提供的受域生成算法恶意软件感染的主机识别方法中，对多个特征向量进行聚类，形成至少一个聚类簇，包括：将各特征向量分别作为一个候选簇；提取当前距离最近的两个候选簇，将当前距离最近的两个候选簇之间的距离与两个候选簇各自的内部距离进行比较，判断当前距离最近的两个候选簇是否满足合并条件；若当前距离最近的两个候选簇满足合并条件，将当前距离最近的两个候选簇进行合并成新的候选簇；若存在其他可合并的候选簇，则重复执行提取当前距离最近的两个候选簇，将当前距离最近
的两个候选簇之间的距离与两个候选簇各自的内部距离进行比较，判断当前距离最近的两个候选簇是否满足合并条件；若当前距离最近的两个候选簇满足合并条件，将当前距离最近的两个候选簇进行合并，形成新的候选簇的步骤，直到不存在其他可合并的候选簇，将当前存在的候选簇确定为聚类簇。
9.可选地，本发明提供的受域生成算法恶意软件感染的主机识别方法还包括：若当前距离最近的两个候选簇不满足合并条件，将当前距离最近的两个候选簇中的一个候选簇输出。
10.可选地，在本发明提供的受域生成算法恶意软件感染的主机识别方法中，根据当前距离最近的两个候选簇的特征向量的大小形成第一阈值；根据当前距离最近的两个候选簇的内部距离的平均差和标准差形成第二阈值；当当前距离最近的两个候选簇之间的距离小于第一阈值和第二阈值之间的最大值时，判定当前距离最近的两个候选簇满足合并条件，将当前距离最近的两个候选簇进行合并成新的簇。
11.可选地，在本发明提供的受域生成算法恶意软件感染的主机识别方法中，对聚类簇进行异常值分析确定恶意簇，包括：根据各聚类簇的大小及标准差确定各聚类簇的统计检验值；对统计检验值进行显著性测试，判断各聚类簇不是极大簇的假设是否被拒绝；若聚类簇不是极大簇的假设被拒绝，将聚类簇确定为恶意簇。
12.可选地，在本发明提供的受域生成算法恶意软件感染的主机识别方法中，根据各聚类簇的大小及标准差确定各聚类簇的统计检验值的公式为：其中，|c
i
|为聚类簇c
i
的大小，|c|为聚类簇c
i
的平均大小，s为聚类簇c
i
的标准差。
13.可选地，在本发明提供的受域生成算法恶意软件感染的主机识别方法中，对统计检验值进行显著性测试的过程为：当检验值时，表示聚类簇不是极大簇的假设被拒绝，将聚类簇确定为恶意簇，其中，表示具有q
‑
2自由度和显著性水平的t
‑
分布的上临界值，α表示显著性水平。
14.本发明第二方面提供了一种受域生成算法恶意软件感染的主机识别装置，包括：特征提取模块，用于根据主机对不存在域的查询时间间隔提取多个特征向量；聚类模块，用于对多个特征向量进行聚类，形成至少一个聚类簇；受感染主机识别模块，用于对聚类簇进行异常值分析确定恶意簇，将恶意簇中的特征向量对应的主机确定为受感染主机。
15.本发明第三方面提供了一种计算机设备，包括：至少一个处理器；以及与至少一个处理器通信连接的存储器；其中，存储器存储有可被至少一个处理器执行的指令，指令被至少一个处理器执行，从而执行如本发明第一方面提供的受域生成算法恶意软件感染的主机识别方法。
16.本发明第四方面提供了一种计算机可读存储介质，计算机可读存储介质存储有计算机指令，计算机指令用于使计算机执行如本发明第一方面提供的受域生成算法恶意软件感染的主机识别方法。
17.本发明技术方案，具有如下优点：
18.本发明提供的受域生成算法恶意软件感染的主机识别方法及装置，首先根据主机对不存在域查询的时间间隔提取特征向量，由于主机在被恶意软件家族感染后将在固有的时间延迟中查询许多不存在域，以找到命令和控制(c&c)连接的集合点，即使存在基于域生成算法的恶意软件家族倾向于间隔常数时间进行域的查询，但一些复杂的恶意软件仍然可以实现基于某些概率分布(如高斯分布)的时间间隔查询以掩盖相似性，因此，基于这个特性，根据主机对不存在域的查询时间间隔提取的特征向量能够准确识别到被基于域生成算法的恶意软件感染的主机，除此之外，当被感染的主机试图连接c&c服务器时，它们将比合法主机查询更多的不存在域，而且特征向量也更加相似，因此，在提取到特征向量后，本发明提供的受域生成算法恶意软件感染的主机识别方法及装置对特征向量进行聚类并对各聚类簇进行分析，当聚类簇中存在恶意簇时，即可将恶意簇中的特征向量对应的主机确定为受感染主机，通过对聚类簇进行分析确定受感染主机的方式，不仅能够快速完成对大量的特征向量的分析，更高效地确定受感染主机，并且，先对特征向量进行聚类然后基于聚类簇识别受感染主机，能够结合各特征向量之间的关系识别受感染主机，使得识别结果更准确。基于上述分析，通过实施本发明提供的受域生成算法恶意软件感染的主机识别方法及装置，能够更准确、快速地识别到受域生成算法恶意软件感染的主机。
附图说明
19.为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
20.图1为本发明实施例中受域生成算法恶意软件感染的主机识别方法的一个具体示例的流程图；
21.图2为本发明实施例中执行本发明提供的受域生成算法恶意软件感染的主机识别方法的有限状态机的工作流示意图；
22.图3为本发明实施例中受域生成算法恶意软件感染的主机识别装置的一个具体示例的原理框图；
23.图4为本发明实施例中提供的计算机设备的示意图。
具体实施方式
24.下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
25.在本发明的描述中，需要说明的是，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性。
26.此外，下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。
27.本发明实施例提供了一种受域生成算法恶意软件感染的主机识别方法，如图1所
示，包括：
28.步骤s10：根据主机对不存在域(nxdomain)的查询时间间隔提取多个特征向量。在本发明实施例中，因为基于dga的恶意软件家族通常将他们的服务器映射到二级域名和由动态dns服务的域(如ddns.net)，因此对不存在域的分析只分析二级域名和由动态dns服务的域(如ddns.net)。
29.在一可选实施例中，根据主机对不存在域(nxdomain)的查询时间间隔提取特征向量时，主机对多个不存在域的查询时间间隔可以形成一个或多个时间间隔序列，然后分别根据各时间间隔序列形成不同的特征向量。示例性地，若预先设置主机每查询10个不存在域则形成一个时间间隔序列，则在具体实施过程中，当主机查询20个不存在域后，可以根据主机查询1
‑
10个不存在域时的时间间隔形成第一时间间隔序列，根据主机查询11
‑
20个不存在域时的时间间隔形成第二时间间隔序列，然后分别通过第一时间间隔序列和第二时间间隔序列提取特征向量。
30.由于被相同恶意软件家族感染的主机将在固有的时间延迟中查询许多nxdomain，以找到c&c连接的集合点，即使存在基于dga的恶意软件家族倾向于间隔常数时间进行域的查询，但一些复杂的恶意软件仍然可以实现基于某些概率分布(如高斯分布)的时间间隔查询以掩盖相似性，无论如何，它们有相似的统计值，如查询时间间隔的均值、标准差等，因此，在一可选实施例中，可以根据主机对nxdomain的查询时间间隔提取查询时间间隔的均值、方差、中位数、最大值、最小值和众数等，构造特征向量。
31.本发明实施例所提取的特征可以在更短的时间内被提取，而且不依赖于特定的时间模式。
32.在一可选实施例中，由于反复查询的域不能用于找到c&c连接点，因此在执行本发明实施例提供的受域生成算法恶意软件感染的主机识别方法时，一天内只需要获取主机对不同的域进行查询时的查询时间间隔。
33.步骤s20：对多个特征向量进行聚类，形成至少一个聚类簇。
34.在一可选实施例中，由于被监控网络中基于dga的恶意软件族的数量是不确定的，因此在对特征向量进行聚类时，使用层次聚类算法，无需输入集群数量。层次聚类算法随着层次的上升，合并最相似的聚类对，直到满足终止条件。
35.步骤s30：对聚类簇进行异常值分析确定恶意簇，将恶意簇中的特征向量对应的主机确定为受感染主机。
36.在一可选实施例中，当被感染的主机试图连接c&c服务器时，它们将比合法主机查询更多的nxdomain，而且特征向量也更加相似。当有恶意软件出现时，由于其行为具有高度的相似性，对应簇内的元素数量将远大于其他簇。因此，可基于异常(大)值检测算法检测大的簇，进而识别出恶意软件。
37.本发明实施例提供的受域生成算法恶意软件感染的主机识别方法，首先根据主机对不存在域查询的时间间隔提取特征向量，由于主机在被恶意软件家族感染后将在固有的时间延迟中查询许多不存在域，以找到命令和控制(c&c)连接的集合点，即使存在基于域生成算法的恶意软件家族倾向于间隔常数时间进行域的查询，但一些复杂的恶意软件仍然可以实现基于某些概率分布(如高斯分布)的时间间隔查询以掩盖相似性，因此，基于这个特性，根据主机对不存在域的查询时间间隔提取的特征向量能够准确识别到被基于域生成算
法的恶意软件感染的主机，除此之外，当被感染的主机试图连接c&c服务器时，它们将比合法主机查询更多的不存在域，而且特征向量也更加相似，因此，在提取到特征向量后，本发明实施例提供的受域生成算法恶意软件感染的主机识别方法对特征向量进行聚类并对各聚类簇进行分析，当聚类簇中存在恶意簇时，即可将恶意簇中的特征向量对应的主机确定为受感染主机，通过对聚类簇进行分析确定受感染主机的方式，不仅能够快速完成对大量的特征向量的分析，更高效地确定受感染主机，并且，先对特征向量进行聚类然后基于聚类簇识别受感染主机，能够结合各特征向量之间的关系识别受感染主机，使得识别结果更准确。基于上述分析，通过实施本发明实施例提供的受域生成算法恶意软件感染的主机识别方法，能够更准确、快速地识别到受域生成算法恶意软件感染的主机。
38.在一可选实施例中，在执行上述步骤s10根据主机对不存在域的查询时间间隔提取多个特征向量前，先判断主机查询的nxdomain的量(n
nx
)是否大于预设值(n)，当主机所查询的nxdomain的量小于或等于预设值时，不执行步骤s10，当主机所查询的nxdomain的量大于预设值时(nxdomain为d1,d2,
…
,d
n
)，执行步骤s10，设查询时间戳为t1,t2,
…
,t
n
，提取查询的时间间隔，即s
t
＝{l
k
:t
k 1
‑
t
k
}，k∈[1,n
‑
1]。
[0039]
在一可选实施例中，上述预设值可以根据实际需求进行设定，示例性地，在一般校园网络环境中，可以将预设值设置为10，当n
nx
>10时，提取查询的时间间隔，即s
t
＝{l
k
:t
k 1
‑
t
k
}，k∈[1,9]，然后执行上述步骤s10。
[0040]
在一可选实施例中，在上述步骤s10具体包括：
[0041]
首先，获取被主机查询的不存在域的域名。
[0042]
在一可选实施例中，可以收集监控网络中产生的nxdomain流量，从而获取监控网络中的主机所查询的不存在域的域名。
[0043]
然后，根据域名筛选不存在域中的非恶意域。
[0044]
在一可选实施例中，当域名满足以下条件之一时，即可认为该不存在域是非恶意域：
[0045]
1、无效顶级域名：若主机查询的不存在域的顶级域名不在预设的注册顶级域名列表中，则表示当前不存在域为非恶意域。示例性地，预设的注册顶级域名列表可以为iana提供的注册顶级域名列表。
[0046]
2、不规则字符：若主机查询的不存在域中包含非法字符，则判定当前不存在域为非恶意域，非法字符是指合法域中不应该包含的字符，示例性地，若合法域只能由字母、数字、破折号、连字符组成，则主机查询的不存在域中包含除字母、数字、破折号、连字符之外的其他字符时，表示该域可能是由输入错误或错误配置引起的，其为非恶意域。
[0047]
3、流行域名：若主机查询的不存在域的域名为预设流行域名，则表示当前不存在域为非恶意域。示例性地，预设流行域名可以为alexa中排名前10万的域名和福布斯中世界500强公司的网站是流行的合法域名，由于这些nxdomain大多被合法服务利用，用于传输一次性信号，因此，这些不存在域可以确定为非恶意域。
[0048]
最后，根据主机对非恶意域之外的其他不存在域的查询时间间隔提取特征向量，详细内容参见上述步骤s10中的描述。
[0049]
在本发明实施例提供的受域生成算法恶意软件感染的主机识别方法中，先对非恶意域进行过滤，然后通过过滤后的其他不存在域的查询时间间隔提取特征向量，能够减小
计算量，提高对受域生成算法恶意软件感染的主机的识别效率。
[0050]
在一可选实施例中，如图2所示，计算机设备在确定主机查询的不存在域的数量时处于等待状态，执行上述步骤s10提取特征向量时处于准备状态，执行上述步骤s20、步骤s30时处于检测状态，计算机设备持续监控主机查询的不存在域的数量以及查询各不存在域的时间间隔，每当主机查询的不存在域的数量n达到一定值n
nx
，执行步骤s10根据提取特征向量，并判断从起始时刻到当前时刻的时间t是否超过时间窗口t，若未超过，则重置n的值，继续监测主机查询的不存在域的数量以及查询各不存在域的时间间隔，若从起始时刻到当前时刻的时间t超过时间窗口t，则进入检测状态执行步骤s20、步骤s30。时间窗口t可以根据当前网络环境进行设置，示例性地，若当前网络环境为一般校园网络环境，则时间窗口t可以设置为1h。在执行步骤s20、步骤s30后，重置主机所查询的不存在域的数量n
nx
，以及计算机设备处于准备状态的时间t(t＝0、n
nx
＝0)，并返回到等待状态。
[0051]
由于主机查询不存在域是持续不断的过程，且主机查询不存在域的数量较多，时间较长，若在获取到多个时间间隔序列后，再一次性根据多个时间间隔序列分别提取特征，则计算量大，且计算时间较长，在如图2所示的实施例中，在监测主机对不确定域的查询数量即时间间隔时，每形成一个时间间隔序列执行一次特征向量的计算，避免了同时对多个时间间隔序列进行计算时导致的耗时较长，计算量较大的问题。
[0052]
在一可选实施例中，上述步骤s20具体包括：
[0053]
首先，将各特征向量分别作为一个候选簇。
[0054]
然后，提取当前距离最近的两个候选簇，将当前距离最近的两个候选簇之间的距离与两个候选簇各自的内部距离进行比较，判断当前距离最近的两个候选簇是否满足合并条件。在一可选实施例中，可以通过getclusters()函数提取最近的簇对。
[0055]
若当前距离最近的两个候选簇满足合并条件，将当前距离最近的两个候选簇进行合并成新的候选簇。
[0056]
在本发明实施例中，两个候选簇进行合并时所参考的合并条件是根据这两个候选簇确定的，即，合并不同的两个候选簇时，条件是不同的，固定的合并条件可能无法适用于所有的簇对，根据两个候选簇确定的合并条件判断这两个候选簇时候可以合并，能够使候选簇之间的合并更加合理。
[0057]
若当前距离最近的两个候选簇不满足合并条件，将当前距离最近的两个候选簇中的一个候选簇输出。
[0058]
若存在其他可合并的候选簇，则重复执行提取当前距离最近的两个候选簇，将当前距离最近的两个候选簇之间的距离与两个候选簇各自的内部距离进行比较，判断当前距离最近的两个候选簇是否满足合并条件；若当前距离最近的两个候选簇满足合并条件，将当前距离最近的两个候选簇进行合并，形成新的候选簇的步骤，直到不存在其他可合并的候选簇，将当前存在的候选簇确定为聚类簇。
[0059]
在一可选实施例中，在对当前距离最近的两个候选簇进行合并时，判断两个候选簇是否满足合并条件的过程具体包括：
[0060]
首先，根据当前距离最近的两个候选簇的特征向量的大小形成第一阈值。
[0061]
在一可选实施例中，由于大多数基于dga的恶意软件家族的时间滞后都小于1秒，
因此，由它们产生的向量的距离很可能小于因此，由它们产生的向量的距离很可能小于其中|v|是向量的大小，可以将作为第一阈值。
[0062]
在本发明实施例中，从时间滞后中提取的特征可以与基于周期性、变化点或词汇的检测相兼容。例如，当检测到周期性或变化点时，还可以通过分析时间滞后来提高精度。
[0063]
然后，根据当前距离最近的两个候选簇的内部距离的平均差和标准差形成第二阈值。
[0064]
在一可选实施例中，若距离最近的两个候选簇为c
i
和c
j
，先根据第一候选簇c
i
的内部距离的平均差和标准差计算第一候选阈值：a
i
＝mean(c
i
) 2*std(c
i
)，根据第二候选簇c
j
的内部距离的平均差和标准差计算第二候选阈值a
j
＝mean(c
j
) 2*std(c
j
)，然后将第一候选阈值和第二候选阈值中的最小值确定为第二阈值min{a
i
,a
j
}。
[0065]
当当前距离最近的两个候选簇之间的距离d
ij
小于第一阈值和第二阈值之间的最大值时，判定当前距离最近的两个候选簇满足合并条件，将当前距离最近的两个候选簇进行合并成新的簇。
[0066]
在一可选实施例中，上述步骤s30中基于grubbs检验对聚类簇进行异常值分析确定恶意簇，具体包括：
[0067]
首先，根据各聚类簇的大小及标准差确定各聚类簇的统计检验值：
[0068][0069]
其中，|c
i
|为聚类簇c
i
的大小，|c|为聚类簇c
i
的平均大小，s为聚类簇c
i
的标准差。
[0070]
然后，对统计检验值进行显著性测试，判断各聚类簇不是极大簇的假设是否被拒绝，在本发明实施例中，定义了两个假设h1和h0，分别表示是否存在极大簇。
[0071]
由于被感染的主机试图连接c&c服务器时，它们将比合法主机查询更多的nxdomain，而且特征向量也更加相似。当有恶意软件出现时，由于其行为具有高度的相似性，对应簇内的元素数量将远大于其他簇。因此，可基于异常(大)值检测算法检测大的簇，进而识别出恶意软件。
[0072]
在一可选实施例中，当检验值时，表示聚类簇不是极大簇的假设被拒绝，将聚类簇确定为恶意簇，其中，表示具有q
‑
2自由度和显著性水平的t
‑
分布的上临界值，α表示显著性水平(一般设为0.001)。
[0073]
最后，若聚类簇不是极大簇的假设被拒绝，将聚类簇确定为恶意簇。若聚类簇不是极大簇的假设被接受，检验过程终止。
[0074]
本发明实施例提供了一种受域生成算法恶意软件感染的主机识别装置，如图3所示，包括：
[0075]
特征提取模块10，用于根据主机对不存在域的查询时间间隔提取多个特征向量，详细内容参见上述实施例中对步骤s10的描述，在此不再赘述。
[0076]
聚类模块20，用于对多个特征向量进行聚类，形成至少一个聚类簇，详细内容参见上述实施例中对步骤s20的描述，在此不再赘述。
[0077]
受感染主机识别模块30，用于对聚类簇进行异常值分析确定恶意簇，将恶意簇中的特征向量对应的主机确定为受感染主机，详细内容参见上述实施例中对步骤s30的描述，在此不再赘述。
[0078]
本发明实施例提供的受域生成算法恶意软件感染的主机识别装置，首先根据主机对不存在域查询的时间间隔提取特征向量，由于主机在被恶意软件家族感染后将在固有的时间延迟中查询许多不存在域，以找到命令和控制(c&c)连接的集合点，即使存在基于域生成算法的恶意软件家族倾向于间隔常数时间进行域的查询，但一些复杂的恶意软件仍然可以实现基于某些概率分布(如高斯分布)的时间间隔查询以掩盖相似性，因此，基于这个特性，根据主机对不存在域的查询时间间隔提取的特征向量能够准确识别到被基于域生成算法的恶意软件感染的主机，除此之外，当被感染的主机试图连接c&c服务器时，它们将比合法主机查询更多的不存在域，而且特征向量也更加相似，因此，在提取到特征向量后，本发明实施例提供的受域生成算法恶意软件感染的主机识别装置对特征向量进行聚类并对各聚类簇进行分析，当聚类簇中存在恶意簇时，即可将恶意簇中的特征向量对应的主机确定为受感染主机，通过对聚类簇进行分析确定受感染主机的方式，不仅能够快速完成对大量的特征向量的分析，更高效地确定受感染主机，并且，先对特征向量进行聚类然后基于聚类簇识别受感染主机，能够结合各特征向量之间的关系识别受感染主机，使得识别结果更准确。基于上述分析，通过实施本发明实施例提供的受域生成算法恶意软件感染的主机识别装置，能够更准确、快速地识别到受域生成算法恶意软件感染的主机。
[0079]
本发明实施例提供了一种计算机设备，如图4所示，该计算机设备主要包括一个或多个处理器31以及存储器32，图4中以一个处理器31为例。
[0080]
该计算机设备还可以包括：输入装置33和输出装置34。
[0081]
处理器31、存储器32、输入装置33和输出装置34可以通过总线或者其他方式连接，图4中以通过总线连接为例。
[0082]
处理器31可以为中央处理器(central processing unit，cpu)。处理器31还可以为其他通用处理器、数字信号处理器(digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field
‑
programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片，或者上述各类芯片的组合。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。存储器32可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储根据受域生成算法恶意软件感染的主机识别装置的使用所创建的数据等。此外，存储器32可以包括高速随机存取存储器，还可以包括非暂态存储器，例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中，存储器32可选包括相对于处理器31远程设置的存储器，这些远程存储器可以通过网络连接至受域生成算法恶意软件感染的主机识别装置。输入装置33可接收用户输入的计算请求(或其他数字或字符信息)，以及产生与受域生
成算法恶意软件感染的主机识别装置有关的键信号输入。输出装置34可包括显示屏等显示设备，用以输出计算结果。
[0083]
本发明实施例提供了一种计算机可读存储介质，该计算机可读存储介质存储计算机指令，计算机存储介质存储有计算机可执行指令，该计算机可执行指令可执行上述任意方法实施例中的受域生成算法恶意软件感染的主机识别方法。其中，存储介质可为磁碟、光盘、只读存储记忆体(read
‑
only memory，rom)、随机存储记忆体(random access memory，ram)、快闪存储器(flash memory)、硬盘(hard disk drive，缩写：hdd)或固态硬盘(solid
‑
state drive，ssd)等；存储介质还可以包括上述种类的存储器的组合。
[0084]
显然，上述实施例仅仅是为清楚地说明所作的举例，而并非对实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。