基于图模型和多层次启发式关系的恶意DNS流量检测方法及系统

本发明公开了基于图模型和多层次启发式关系的恶意DNS流量检测方法，所述方法包括：采集DNS解析数据并提取域名、CNAME、IP地址的集合，获取二级域名、持有人、网段、ASN及运营商信息，分层次提取域名间的资源相关性、类别相关性和补充相关性关系，得到域名间的关联关系；以域名为顶点、关联关系为边构建多层次关联图，通过子图分析排除特殊场景干扰，并计算可量化与不可量化边的权重；基于节点标签和特征向量更新关联图，采用至少一种图推理算法对恶意域名进行检测，并对不同层次关联图的分类结果进行融合输出最终检测结果。