【摘要】：隨著大數據、云計算及人工智能等基于互聯(lián)網新技術熱潮的到來,人民的生活更加智能化,如智慧出行、無人支付、無人銀行等。而互聯(lián)網給人們帶來便捷的同時也面臨巨大的安全威脅,如用戶信息竊取、銀行數據的泄露、垃圾郵件群發(fā)等,而這主要是因為網絡攻擊人員利用僵尸網絡對目標主機進行惡意攻擊。如今的僵尸網絡大多采用Domain-Flux技術,其在Bots中嵌入域名生成算法DGA并在短期內生成大量域名去輪詢僵尸主控機的IP從而逃避防御系統(tǒng)的檢測。針對主流的基于人工規(guī)則的檢測算法對最新生成的DGA惡意域名無法識別、基于傳統(tǒng)機器學習的檢測算法遲滯性較強和缺少演化的訓練數據問題,本文在分析了僵尸網絡機理和DGA域名特性的基礎上提出了一種基于AscaII的歸一化編碼方式定義域名編、解碼器并結合生成對抗網絡設計字符級域名生成模型去生成和預測DGA變體樣本的方法。目的在于通過GAN的對抗式學習算法去學習DGA域名的固有特性,并采用GAN中的生成網絡去生成類似的DGA惡意域名。通過兩次分類器參數的對比與分析,可以看出本文基于GAN神經網絡架構的字符級域名生成模型生成的DGA變體樣本數據可充當真實的DGA樣本用于分類器的訓練。驗證了生成數據的有效性,實現了對惡意DGA域名的變體樣本的預測和檢測。此外,本文提出了基于LSTM的生成序列模型,該模型通過one-hot編碼和n-gram字符結合的方式對域名的字符信息進行了分析,基于LSTM生成序列作為GAN的輸入,并對該模型進行了理論上的可行性評估。
【圖文】：

圖 2-1 Fast-Flux 僵尸網絡機理Fig. 2-1 Fast-Flux botnet mechanism意域名解析 意 域 名 的 解 析 與 正 常 域 名 的 解 析 相 類 似 。 本 文 以 解 析 惡e.xx.com’為列，描述惡意域名在 DNS 系統(tǒng)中的解析流程。惡意域出現的域名，本地服務器中一般不會留有緩存數據，需要到 DNS詢，查詢流程如圖 2-2 所示[35]，當在本地 DNS 服務器查詢不到請址時，先向互聯(lián)網運營 DNS 服務器進行查詢，如果存在該惡意回域名的 IP 地址；如果不存在該域名緩存，則繼續(xù)請求根域名域名服務器中存在該惡意域名則返回域名的 IP 地址，如果不存在 ， 則 繼 續(xù) 請 求 “.com” 服 務 器 ； 如 果 “.com”服 務 器 中 存 在 二m”，則繼續(xù)請求二級緩存“.xx.com”服務器；如果 “.xx.com”服務gle.xx.com”域名，則返回域名“google.xx.com”的對應 IP 地址。經后，客戶端 Client 收到惡意域名的 IP 地址，，用戶可能受到攻擊或。

圖 2-2 惡意域名的解析流程Fig.2-2 The resolution process of malicious domains.4 DGA 惡意域名.4.1 DGA 惡意域名分析域名在構造上可分為兩部分：主機名和域名（包括頂級域及可能的二級域級域等）。DGA 域名在構造上一般用隨機算法來生成主機名，域名部分相定或變化較少。如 symmi 的 DGA 域名 hakueshoubar.ddns.net，其域名是由音字符生成器生成的字符和 ddns.net 組合而成；Conficker.C 的 DGA 域lrjgcjzf.net、gkrobqo.info 等也是由同頻率的字符生成器和一級域名組合而成此本文中在生成類似 DGA 域名時不考慮域名數據集中的一、二級域名部分對 DGA 算法生成器的主機名的字符特性進行分析。目前已經出現的部GA 算法的示例域名如表 2-1 所示，它們都是字符級 DGA 算法產生,其他常 DGA 如 beebone 具 有 固 定 的 結 構 ， 產 生 類 似 ns1.backdates13.biz s1.backdates0.biz 的域名,symmi DGA 通過隨機選擇元輔音來生成幾乎可以
【學位授予單位】：北京建筑大學
【學位級別】：碩士
【學位授予年份】：2018
【分類號】：TP393.08

【參考文獻】

相關期刊論文 前7條

1 林海倫;李焱;王偉平;岳銀亮;林政;;高效的基于段模式的惡意URL檢測方法[J];通信學報;2015年S1期

2 張亮;寧芊;;CART決策樹的兩種改進及應用[J];計算機工程與設計;2015年05期

3 胡蓓蓓;彭艷兵;程光;;基于Counting Bloom Filter的DNS異常檢測[J];計算機工程與應用;2014年15期

4 張雪松;徐小琳;李青山;;算法生成惡意域名的實時檢測[J];現代電信科技;2013年07期

5 王天佐;王懷民;劉波;史佩昌;;僵尸網絡中的關鍵問題[J];計算機學報;2012年06期

6 曹玲玲;潘建壽;;基于Fisher判別分析的貝葉斯分類器[J];計算機工程;2011年10期

7 宋楓溪,高林;文本分類器性能評估指標[J];計算機工程;2004年13期

相關博士學位論文 前1條

1 王穎;僵尸網絡對抗關鍵技術研究[D];北京郵電大學;2014年

相關碩士學位論文 前8條

1 徐琳;Domain Flux僵尸網絡中的惡意域名檢測系統(tǒng)的設計與實現[D];哈爾濱工業(yè)大學;2017年

2 毛藝;基于深度神經網絡的人臉識別算法研究[D];浙江大學;2017年

3 張堯;激活函數導向的RNN算法優(yōu)化[D];浙江大學;2017年

4 趙友帥;基于DNS記錄特征和CART的Fast-flux惡意域名識別研究和實現[D];北京郵電大學;2016年

5 鄧詩釗;DNS域名安全實時檢測的研究[D];電子科技大學;2015年

6 劉肖琛;基于大數據的網絡惡意流量分析系統(tǒng)的設計與實現[D];北京郵電大學;2015年

7 章思宇;基于DNS流量的惡意軟件域名挖掘[D];上海交通大學;2014年

8 李楠;基于改進隨機決策樹的入侵檢測方法研究[D];合肥工業(yè)大學;2007年

本文編號：2682693