基于多源NLP的DNS异常检测与域名劫持预警方法

本发明公开了一种基于多源NLP的DNS异常检测与域名劫持预警方法，属于网络安全技术领域。本发明方法先进行多源情报采集与NLP语义分析，从采集的外部情报中识别恶意实体，推理攻击模式；再将识别的恶意实体与预设时间窗口内检测到的异常模式进行关联评分，若分数超过阈值，判定存在域名劫持或DNS投毒行为，执行域名劫持预警流程，存储异常事件日志；根据系统告警结果的反馈、日志以及情报关联分析与劫持判定输出的样本数据，更新多源情报采集与NLP语义分析模块以及DNS异常检测模型。本发明能实现对域名劫持及DNS异常的快速发现、精准定位与及时预警，并降低误报和漏报。