近年來,新型僵尸網(wǎng)絡(luò)開始使用域名生成算法（DGA）和命令與控制（C&C）服務(wù)器通信。針對基于深度學(xué)習(xí)的檢測模型缺少對新出現(xiàn)的DGA變體域名的識別能力等問題,結(jié)合文本生成的思想,文章對原始Char-RNN模型進行改進,使用長短期記憶網(wǎng)絡(luò)（LSTM）構(gòu)建模型并引入注意力機制,從而生成用于模擬未知變體算法的惡意域名。實驗證明,基于該方法生成的域名數(shù)據(jù)與真實數(shù)據(jù)在字符組成結(jié)構(gòu)和頻率方面具有高度相似性,且以生成數(shù)據(jù)作為訓(xùn)練集的檢測模型保持了較好的性能,驗證了基于文本生成模型的數(shù)據(jù)有效性以及將其作為訓(xùn)練數(shù)據(jù)集來預(yù)測未知DGA變體的可行性。 

【文章來源】：信息網(wǎng)絡(luò)安全. 2020,20(09)北大核心CSCD

【文章頁數(shù)】：6 頁

【部分圖文】：

改進的Char-RNN模型框架

LSTM網(wǎng)絡(luò)[18]是一種特殊的RNN,與標準RNN相比,LSTM結(jié)構(gòu)在捕獲長期依賴性方面更有優(yōu)勢。在LSTM中,隱藏層中的每個傳統(tǒng)節(jié)點都被存儲器單元替換。存儲器單元是LSTM中最重要的結(jié)構(gòu),可以有效緩解梯度消失或者梯度爆炸的問題。LSTM單元由存儲器單元和它們包含的門單元共同組成。門是一種讓信息有選擇性通過的結(jié)構(gòu),一個LSTM單元由遺忘門、輸入門和輸出門構(gòu)成。圖2給出了LSTM存儲器單元的內(nèi)部結(jié)構(gòu)。惡意域名經(jīng)過預(yù)處理后,輸入嵌入層得到字符向量,然后通過第一層LSTM網(wǎng)絡(luò)得到輸出,通過第二層LSTM網(wǎng)絡(luò)得到輸出,其中為LSTM的隱藏層在時刻的輸出,LSTM隱藏層的具體輸出公式如下:

真實數(shù)據(jù)與生成數(shù)據(jù)字符統(tǒng)計頻率

【參考文獻】：
期刊論文
[1]一種改進的卷積神經(jīng)網(wǎng)絡(luò)惡意域名檢測算法[J]. 楊路輝,劉光杰,翟江濤,劉偉偉,白惠文,戴躍偉.  西安電子科技大學(xué)學(xué)報. 2020(01)
[2]惡意域名檢測研究與應(yīng)用綜述[J]. 王媛媛,吳春江,劉啟和,譚浩,周世杰.  計算機應(yīng)用與軟件. 2019(09)
[3]基于AGD的惡意域名檢測[J]. 臧小東,龔儉,胡曉艷.  通信學(xué)報. 2018(07)
[4]基于word-hashing的DGA僵尸網(wǎng)絡(luò)深度檢測模型[J]. 趙科軍,葛連升,秦豐林,洪曉光.  東南大學(xué)學(xué)報(自然科學(xué)版). 2017(S1)
[5]僵尸網(wǎng)絡(luò)機理與防御技術(shù)[J]. 江健,諸葛建偉,段海新,吳建平.  軟件學(xué)報. 2012(01)

碩士論文
[1]基于對抗模型的惡意域名檢測方法的研究與實現(xiàn)[D]. 袁辰.北京建筑大學(xué) 2018



本文編號：3557852