近年來(lái),新型僵尸網(wǎng)絡(luò)開(kāi)始使用域名生成算法（DGA）和命令與控制（C&C）服務(wù)器通信。針對(duì)基于深度學(xué)習(xí)的檢測(cè)模型缺少對(duì)新出現(xiàn)的DGA變體域名的識(shí)別能力等問(wèn)題,結(jié)合文本生成的思想,文章對(duì)原始Char-RNN模型進(jìn)行改進(jìn),使用長(zhǎng)短期記憶網(wǎng)絡(luò)（LSTM）構(gòu)建模型并引入注意力機(jī)制,從而生成用于模擬未知變體算法的惡意域名。實(shí)驗(yàn)證明,基于該方法生成的域名數(shù)據(jù)與真實(shí)數(shù)據(jù)在字符組成結(jié)構(gòu)和頻率方面具有高度相似性,且以生成數(shù)據(jù)作為訓(xùn)練集的檢測(cè)模型保持了較好的性能,驗(yàn)證了基于文本生成模型的數(shù)據(jù)有效性以及將其作為訓(xùn)練數(shù)據(jù)集來(lái)預(yù)測(cè)未知DGA變體的可行性。 

【文章來(lái)源】：信息網(wǎng)絡(luò)安全. 2020,20(09)北大核心CSCD

【文章頁(yè)數(shù)】：6 頁(yè)

【部分圖文】：

改進(jìn)的Char-RNN模型框架

LSTM網(wǎng)絡(luò)[18]是一種特殊的RNN,與標(biāo)準(zhǔn)RNN相比,LSTM結(jié)構(gòu)在捕獲長(zhǎng)期依賴性方面更有優(yōu)勢(shì)。在LSTM中,隱藏層中的每個(gè)傳統(tǒng)節(jié)點(diǎn)都被存儲(chǔ)器單元替換。存儲(chǔ)器單元是LSTM中最重要的結(jié)構(gòu),可以有效緩解梯度消失或者梯度爆炸的問(wèn)題。LSTM單元由存儲(chǔ)器單元和它們包含的門(mén)單元共同組成。門(mén)是一種讓信息有選擇性通過(guò)的結(jié)構(gòu),一個(gè)LSTM單元由遺忘門(mén)、輸入門(mén)和輸出門(mén)構(gòu)成。圖2給出了LSTM存儲(chǔ)器單元的內(nèi)部結(jié)構(gòu)。惡意域名經(jīng)過(guò)預(yù)處理后,輸入嵌入層得到字符向量,然后通過(guò)第一層LSTM網(wǎng)絡(luò)得到輸出,通過(guò)第二層LSTM網(wǎng)絡(luò)得到輸出,其中為L(zhǎng)STM的隱藏層在時(shí)刻的輸出,LSTM隱藏層的具體輸出公式如下:

真實(shí)數(shù)據(jù)與生成數(shù)據(jù)字符統(tǒng)計(jì)頻率

【參考文獻(xiàn)】：
期刊論文
[1]一種改進(jìn)的卷積神經(jīng)網(wǎng)絡(luò)惡意域名檢測(cè)算法[J]. 楊路輝,劉光杰,翟江濤,劉偉偉,白惠文,戴躍偉.  西安電子科技大學(xué)學(xué)報(bào). 2020(01)
[2]惡意域名檢測(cè)研究與應(yīng)用綜述[J]. 王媛媛,吳春江,劉啟和,譚浩,周世杰.  計(jì)算機(jī)應(yīng)用與軟件. 2019(09)
[3]基于AGD的惡意域名檢測(cè)[J]. 臧小東,龔儉,胡曉艷.  通信學(xué)報(bào). 2018(07)
[4]基于word-hashing的DGA僵尸網(wǎng)絡(luò)深度檢測(cè)模型[J]. 趙科軍,葛連升,秦豐林,洪曉光.  東南大學(xué)學(xué)報(bào)(自然科學(xué)版). 2017(S1)
[5]僵尸網(wǎng)絡(luò)機(jī)理與防御技術(shù)[J]. 江健,諸葛建偉,段海新,吳建平.  軟件學(xué)報(bào). 2012(01)

碩士論文
[1]基于對(duì)抗模型的惡意域名檢測(cè)方法的研究與實(shí)現(xiàn)[D]. 袁辰.北京建筑大學(xué) 2018



本文編號(hào)：3557852