近年來,新型僵尸網(wǎng)絡開始使用域名生成算法（DGA）和命令與控制（C&C）服務器通信。針對基于深度學習的檢測模型缺少對新出現(xiàn)的DGA變體域名的識別能力等問題,結合文本生成的思想,文章對原始Char-RNN模型進行改進,使用長短期記憶網(wǎng)絡（LSTM）構建模型并引入注意力機制,從而生成用于模擬未知變體算法的惡意域名。實驗證明,基于該方法生成的域名數(shù)據(jù)與真實數(shù)據(jù)在字符組成結構和頻率方面具有高度相似性,且以生成數(shù)據(jù)作為訓練集的檢測模型保持了較好的性能,驗證了基于文本生成模型的數(shù)據(jù)有效性以及將其作為訓練數(shù)據(jù)集來預測未知DGA變體的可行性。 

【文章來源】：信息網(wǎng)絡安全. 2020,20(09)北大核心CSCD

【文章頁數(shù)】：6 頁

【部分圖文】：

改進的Char-RNN模型框架

LSTM網(wǎng)絡[18]是一種特殊的RNN,與標準RNN相比,LSTM結構在捕獲長期依賴性方面更有優(yōu)勢。在LSTM中,隱藏層中的每個傳統(tǒng)節(jié)點都被存儲器單元替換。存儲器單元是LSTM中最重要的結構,可以有效緩解梯度消失或者梯度爆炸的問題。LSTM單元由存儲器單元和它們包含的門單元共同組成。門是一種讓信息有選擇性通過的結構,一個LSTM單元由遺忘門、輸入門和輸出門構成。圖2給出了LSTM存儲器單元的內(nèi)部結構。惡意域名經(jīng)過預處理后,輸入嵌入層得到字符向量,然后通過第一層LSTM網(wǎng)絡得到輸出,通過第二層LSTM網(wǎng)絡得到輸出,其中為LSTM的隱藏層在時刻的輸出,LSTM隱藏層的具體輸出公式如下:

真實數(shù)據(jù)與生成數(shù)據(jù)字符統(tǒng)計頻率

【參考文獻】：
期刊論文
[1]一種改進的卷積神經(jīng)網(wǎng)絡惡意域名檢測算法[J]. 楊路輝,劉光杰,翟江濤,劉偉偉,白惠文,戴躍偉.  西安電子科技大學學報. 2020(01)
[2]惡意域名檢測研究與應用綜述[J]. 王媛媛,吳春江,劉啟和,譚浩,周世杰.  計算機應用與軟件. 2019(09)
[3]基于AGD的惡意域名檢測[J]. 臧小東,龔儉,胡曉艷.  通信學報. 2018(07)
[4]基于word-hashing的DGA僵尸網(wǎng)絡深度檢測模型[J]. 趙科軍,葛連升,秦豐林,洪曉光.  東南大學學報(自然科學版). 2017(S1)
[5]僵尸網(wǎng)絡機理與防御技術[J]. 江健,諸葛建偉,段海新,吳建平.  軟件學報. 2012(01)

碩士論文
[1]基于對抗模型的惡意域名檢測方法的研究與實現(xiàn)[D]. 袁辰.北京建筑大學 2018



本文編號：3557852