發(fā)布時間：2020-05-27 01:07

【摘要】：隨著大數(shù)據(jù)、云計算及人工智能等基于互聯(lián)網(wǎng)新技術(shù)熱潮的到來,人民的生活更加智能化,如智慧出行、無人支付、無人銀行等。而互聯(lián)網(wǎng)給人們帶來便捷的同時也面臨巨大的安全威脅,如用戶信息竊取、銀行數(shù)據(jù)的泄露、垃圾郵件群發(fā)等,而這主要是因為網(wǎng)絡(luò)攻擊人員利用僵尸網(wǎng)絡(luò)對目標(biāo)主機(jī)進(jìn)行惡意攻擊。如今的僵尸網(wǎng)絡(luò)大多采用Domain-Flux技術(shù),其在Bots中嵌入域名生成算法DGA并在短期內(nèi)生成大量域名去輪詢僵尸主控機(jī)的IP從而逃避防御系統(tǒng)的檢測。針對主流的基于人工規(guī)則的檢測算法對最新生成的DGA惡意域名無法識別、基于傳統(tǒng)機(jī)器學(xué)習(xí)的檢測算法遲滯性較強(qiáng)和缺少演化的訓(xùn)練數(shù)據(jù)問題,本文在分析了僵尸網(wǎng)絡(luò)機(jī)理和DGA域名特性的基礎(chǔ)上提出了一種基于AscaII的歸一化編碼方式定義域名編、解碼器并結(jié)合生成對抗網(wǎng)絡(luò)設(shè)計字符級域名生成模型去生成和預(yù)測DGA變體樣本的方法。目的在于通過GAN的對抗式學(xué)習(xí)算法去學(xué)習(xí)DGA域名的固有特性,并采用GAN中的生成網(wǎng)絡(luò)去生成類似的DGA惡意域名。通過兩次分類器參數(shù)的對比與分析,可以看出本文基于GAN神經(jīng)網(wǎng)絡(luò)架構(gòu)的字符級域名生成模型生成的DGA變體樣本數(shù)據(jù)可充當(dāng)真實的DGA樣本用于分類器的訓(xùn)練。驗證了生成數(shù)據(jù)的有效性,實現(xiàn)了對惡意DGA域名的變體樣本的預(yù)測和檢測。此外,本文提出了基于LSTM的生成序列模型,該模型通過one-hot編碼和n-gram字符結(jié)合的方式對域名的字符信息進(jìn)行了分析,基于LSTM生成序列作為GAN的輸入,并對該模型進(jìn)行了理論上的可行性評估。
【圖文】：

圖 2-1 Fast-Flux 僵尸網(wǎng)絡(luò)機(jī)理Fig. 2-1 Fast-Flux botnet mechanism意域名解析 意 域 名 的 解 析 與 正 常 域 名 的 解 析 相 類 似 。 本 文 以 解 析 惡e.xx.com’為列，描述惡意域名在 DNS 系統(tǒng)中的解析流程。惡意域出現(xiàn)的域名，本地服務(wù)器中一般不會留有緩存數(shù)據(jù)，需要到 DNS詢，查詢流程如圖 2-2 所示[35]，當(dāng)在本地 DNS 服務(wù)器查詢不到請址時，先向互聯(lián)網(wǎng)運(yùn)營 DNS 服務(wù)器進(jìn)行查詢，如果存在該惡意回域名的 IP 地址；如果不存在該域名緩存，則繼續(xù)請求根域名域名服務(wù)器中存在該惡意域名則返回域名的 IP 地址，如果不存在 ， 則 繼 續(xù) 請 求 “.com” 服 務(wù) 器 ； 如 果 “.com”服 務(wù) 器 中 存 在 二m”，則繼續(xù)請求二級緩存“.xx.com”服務(wù)器；如果 “.xx.com”服務(wù)gle.xx.com”域名，則返回域名“google.xx.com”的對應(yīng) IP 地址。經(jīng)后，客戶端 Client 收到惡意域名的 IP 地址，，用戶可能受到攻擊或。

圖 2-2 惡意域名的解析流程Fig.2-2 The resolution process of malicious domains.4 DGA 惡意域名.4.1 DGA 惡意域名分析域名在構(gòu)造上可分為兩部分：主機(jī)名和域名（包括頂級域及可能的二級域級域等）。DGA 域名在構(gòu)造上一般用隨機(jī)算法來生成主機(jī)名，域名部分相定或變化較少。如 symmi 的 DGA 域名 hakueshoubar.ddns.net，其域名是由音字符生成器生成的字符和 ddns.net 組合而成；Conficker.C 的 DGA 域lrjgcjzf.net、gkrobqo.info 等也是由同頻率的字符生成器和一級域名組合而成此本文中在生成類似 DGA 域名時不考慮域名數(shù)據(jù)集中的一、二級域名部分對 DGA 算法生成器的主機(jī)名的字符特性進(jìn)行分析。目前已經(jīng)出現(xiàn)的部GA 算法的示例域名如表 2-1 所示，它們都是字符級 DGA 算法產(chǎn)生,其他常 DGA 如 beebone 具 有 固 定 的 結(jié) 構(gòu) ， 產(chǎn) 生 類 似 ns1.backdates13.biz s1.backdates0.biz 的域名,symmi DGA 通過隨機(jī)選擇元輔音來生成幾乎可以
【學(xué)位授予單位】：北京建筑大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2018
【分類號】：TP393.08

【參考文獻(xiàn)】

相關(guān)期刊論文 前7條

1 林海倫;李焱;王偉平;岳銀亮;林政;;高效的基于段模式的惡意URL檢測方法[J];通信學(xué)報;2015年S1期

2 張亮;寧芊;;CART決策樹的兩種改進(jìn)及應(yīng)用[J];計算機(jī)工程與設(shè)計;2015年05期

3 胡蓓蓓;彭艷兵;程光;;基于Counting Bloom Filter的DNS異常檢測[J];計算機(jī)工程與應(yīng)用;2014年15期

4 張雪松;徐小琳;李青山;;算法生成惡意域名的實時檢測[J];現(xiàn)代電信科技;2013年07期

5 王天佐;王懷民;劉波;史佩昌;;僵尸網(wǎng)絡(luò)中的關(guān)鍵問題[J];計算機(jī)學(xué)報;2012年06期

6 曹玲玲;潘建壽;;基于Fisher判別分析的貝葉斯分類器[J];計算機(jī)工程;2011年10期

7 宋楓溪,高林;文本分類器性能評估指標(biāo)[J];計算機(jī)工程;2004年13期

相關(guān)博士學(xué)位論文 前1條

1 王穎;僵尸網(wǎng)絡(luò)對抗關(guān)鍵技術(shù)研究[D];北京郵電大學(xué);2014年

相關(guān)碩士學(xué)位論文 前8條

1 徐琳;Domain Flux僵尸網(wǎng)絡(luò)中的惡意域名檢測系統(tǒng)的設(shè)計與實現(xiàn)[D];哈爾濱工業(yè)大學(xué);2017年

2 毛藝;基于深度神經(jīng)網(wǎng)絡(luò)的人臉識別算法研究[D];浙江大學(xué);2017年

3 張堯;激活函數(shù)導(dǎo)向的RNN算法優(yōu)化[D];浙江大學(xué);2017年

4 趙友帥;基于DNS記錄特征和CART的Fast-flux惡意域名識別研究和實現(xiàn)[D];北京郵電大學(xué);2016年

5 鄧詩釗;DNS域名安全實時檢測的研究[D];電子科技大學(xué);2015年

6 劉肖琛;基于大數(shù)據(jù)的網(wǎng)絡(luò)惡意流量分析系統(tǒng)的設(shè)計與實現(xiàn)[D];北京郵電大學(xué);2015年

7 章思宇;基于DNS流量的惡意軟件域名挖掘[D];上海交通大學(xué);2014年

8 李楠;基于改進(jìn)隨機(jī)決策樹的入侵檢測方法研究[D];合肥工業(yè)大學(xué);2007年

本文編號：2682693