域名生成算法检测技术综述

C&C服务器是网络攻击者用于控制僵尸主机的中间服务器,在僵尸网络中处于核心位置。为增强C&C服务器的隐蔽性,网络攻击者使用域名生成算法来隐藏C&C服务器地址。近年来,域名生成算法检测技术作为检测僵尸网络的重要手段,已经成为一个研究热点。首先,介绍了当前网络安全的发展态势和僵尸网络的拓扑结构。其次,介绍了域名生成算法和相关数据集。接着,介绍了域名生成算法检测技术的分类,并对这些检测技术进行总结综述。最后,探讨了现阶段域名生成算法检测技术存在的问题,并对未来研究方向进行了展望。

基于XGBoost和粒子群优化算法的DGA恶意域名识别

恶意域名生成算法(DGA)已成为一种常见的网络攻击手段,为了提高对DGA恶意域名的检测能力,提出了一种基于XGBoost和粒子群优化(PSO)算法的恶意域名识别方法。首先,以交叉验证准确率作为评估指标,使用PSO算法对XGBoost进行超参数寻优,然后基于XGBoost进行分类识别。实验结果显示,经过PSO优化的XGBoost模型在DGA恶意域名分类识别中性能得到提升,相较于其他分类模型,在准确率、精确率、召回率和F1分数等评价指标上获得了更优的效果。研究表明,结合PSO算法进行参数能够有效地提升XGBoost模型在DGA恶意域名识别任务中的表现。

基于改进马尔可夫链的高效域名生成算法

首先,结合多种策略进行子域名的初步筛选,包括字典枚举、搜索引擎挖掘和网站信息抓取。接着,使用改进的马尔可夫模型算法对筛选数据进行分析,生成并添加新的子域名到结果集中。然后,检查并验证数据的真实性,若数据未达标准,则重复分析过程。最终,形成一个经过严格验证的数据集。该算法显著提升了子域名发现的效率及覆盖范围,有效弥补了传统方法的不足。

基于人工特征与深度特征的DGA域名检测算法

当前,各种各样的恶意软件常使用域名生成算法(Domain Generation Algorithms,DGAs)来生成大量的随机域名,然后尝试与C&C服务器建立通信,发动相应的攻击。现有的检测方法基于DGA域名的随机性构建人工特征,利用机器学习方法学习分类模式,但该类算法存在人工构建特征费时费力、检测误报率高等问题;或利用LSTM,GRU等深度学习技术学习DGA域名的序列关系,但该类算法对低随机性的DGA域名的检测准确率较低。文中提出了一种域名通用特征的提取方案,建立了包含41种DGA域名家族的数据集,并设计了基于人工特征与深度特征的检测算法,提高了模型的泛化能力,增加了对DGA域名家族的识别种类。实验结果表明,基于人工特征与深度特征的DGA域名检测算法取得了比传统深度学习方法更高的准确率和更好的泛化能力。

基于字典的域名生成算法生成域名的检测方法

针对基于字典的域名生成算法(DGA)生成域名与良性域名构成十分相似,现有技术难以有效检测的问题,提出一种卷积神经网络(CNN)和长短时记忆(LSTM)网络相结合的网络模型——CL模型。该模型由字符嵌入层、特征提取层及全连接层三部分组成。首先,字符嵌入层对输入域名的字符进行编码;然后,特征提取层将CNN与LSTM串行连接在一起,对域名字符特征进行提取,即通过CNN提取域名字符的n-grams特征,并将提取结果输入给LSTM,以便学习n-grams间的上下文特征,同时,为了学习不同长度的n-grams特征,可选择多组CNN与LSTM结合使用;最后,全连接层根据提取到的特征对基于字典的DGA生成域名进行分类预测。实验结果表明:当CNN选择的卷积核大小为3和4时,所提模型性能最佳。在四个基于字典的DGA家族的测试对比实验中,CL模型与CNN模型相比,准确率提升了2.20%,且随着样本家族数量的增加,CL模型具有更好的稳定性。

基于深度学习的DGA恶意域名检测

攻击者常使用域名生成算法(DGA)生成大量的随机域名来传输恶意软件控制指令,而传统DGA检测方法存在计算量大、检测精确度低等问题,采用机器学习和深度学习的方法可极大缓解上述问题。首先从域名的基本特征、语言特征和统计特征3个方面对DGA域名和正常域名进行特征提取,在特征集上采用机器学习算法进行模型训练;同时,采用长短期记忆(LSTM)网络以域名字符串的嵌入向量作为输入,提取域名的深度特征进行域名检测。通过查准率、召回率、F1-score、ROC曲线、AUC值等评测指标对模型训练结果进行对比,获得较优的DGA域名检测模型。

算法生成恶意域名的实时检测

当前对算法生成域名技术的检测,检测所用时间周期过长,无法对算法生成的恶意域名进行快速检测。针对此问题,本文基于新增域名与已分类恶意域名之间的关联关系,提出一种算法生成域名的实时检测方法,并在某省运营商DNS服务器机房部署本系统,实验验证本检测方法。实验表明与已有方法相比,本方法能够快速筛选用于恶意网络行为的算法生成域名。但本方法需要消耗大量的计算资源和内存资源,需要在后续的工作中研究解决。

基于优化CS-SVM算法的DGA域名检测研究

近年来恶意软件融合域名生成算法,生成大量的恶意域名严重威胁网络安全。目前现有的恶意域名检测方法大多都存在检测效率低等问题。提出一种通过采用优化后的布谷鸟搜索算法(CS)对支持向量机(SVM)进行优化,即BCS-SVM方法,该方法能够适应DGA域名检测场景。实验采用开放域名数据作为样本集,对文章提出的DGA域名检测方法进行训练,并通过域名向量转换、检测模型训练、参数调优,最终完成了一种较为高效的DGA域名检测模型。

基于改进的CNN-LSTM的DGA域名检测算法

近年来,网络安全问题层出不穷,其中僵尸网络是造成网络瘫痪的重要原因之一。僵尸网络利用域名生成算法(DGA)生成大量恶意域名进行网络攻击,对网络安全造成威胁。现有的DGA域名主要分为字典型和字符型,传统的深度学习方法无法同时检测出两种类型的DGA域名,尤其是无法检测出基于字典的DGA域名。针对这个问题,本文提出了改进的CNN-LSTM的DGA域名检测算法,该算法融合了卷积神经网络(CNN)、注意力机制和双向长短时记忆网络(BiLSTM),可以同时检测出两种类型的DGA域名。最后进行了不同算法的对比实验,实验结果表明,与其他深度学习模型相比,该算法提高了DGA域名的二分类和多分类的准确率和F1值。在多分类实验中,通过改进损失函数,提高了小样本数据的域名检测率。

一种针对算法自动生成恶意域名的检测方法

当前许多僵尸木马程序(如Conficker、Kraken)通过域名解析回连服务器,接受攻击者的命令,发动相应攻击。为成功发动攻击,抵抗检测,攻击者采用算法生成大量域名,但仅注册其中之一,保证一个域名解析成功即可。为防止僵尸木马程序成功回连,提出一种针对算法自动生成恶意域名的检测方法,该算法基于合法域名与算法自动生成恶意域名在域名知名程度、域名构词等特性的差异,利用上述差异生成4维分类特征,用于对恶意域名分类和检测。实验结果表明,文章方法能够准确地检测算法自动生成恶意域名,且虚警率、漏报率较低。

面向DGA域名多分类的深度学习集成模型

现代僵尸网络广泛采用域名生成算法(domain generation algorithm,DGA),以生成大量随机域名。通过这些域名,僵尸主机可以与其命令和控制(command and control,C&C)服务器通信,并躲避黑名单和逆向工程等传统防御措施。近年来,基于循环神经网络(recurrent neural network,RNN)的深度学习模型,如长短时记忆(long short-term memory,LSTM)和门控循环单元(gated recurrent unit,GRU),被引入到DGA域名的实时检测中,这些模型只需使用域名,而无需人工的特征提取或附加信息。为了尽可能充分地提取域名序列内部的信息,提出了一种由并行的卷积神经网络(parallel convolutional neural network,PCNN)和含注意力机制的双向GRU(bidirectional GRU,BiGRU)组成的集成模型。与只学习单向时序信息的GRU不同,BiGRU学习双向时序信息。PCNN可以设置不同的卷积核大小,学习域名的局部序列信息。注意力机制用于对域名序列进行加权,学习域名字符组合在域名中的重要程度,挑选出关键的全局时序特征,有效增强捕获关键特征的能力。实验结果表明,提出的集成模型的F1分数最高,为0.9343,次优模型为0.9241,最低的卷积神经网络(convolutional neural network,CNN)模型仅为0.8546。相比单一结构的CNN和LSTM模型,以及结合注意力机制的LSTM模型,集成模型具有更好的多分类效果。

基于LSTM的DGA域名检测算法研究与应用

随着互联网技术的快速发展,网络服务于各类行业,域名数量与日俱增的同时恶意域名的检测也变得愈来愈困难且更加重要。恶意服务常利用域名生成算法(DGA)逃避域名检测,DGA域名常见于一些僵尸网络和APT攻击中,针对DGA域名可以轻易地绕过传统防火墙和入侵检测设备、现有方法检测速度慢、实用性不强等问题,采用深度学习技术,基于LSTM设计了DGA域名检测方法,从海量域名样本中分辨出异常域名,借助机器代替人力完成这样重复性的工作。经实验结果证明,该方法检测准确率高达99.1%以上,是有效可行的。同时结合流量探针构建实时监测系统,实时准确地监测流量中的DGA域名,提高网络空间安全性。

融合字符级滑动窗口和深度残差网络的僵尸网络DGA域名检测方法

本文提出了一种基于字符级滑动窗口的深度残差网络(Sliding Window-Depth Residual Network,SWDRN),首次将轻量级深度可分离式卷积应用于僵尸网络中DGA(Domain Generation Algorithm)域名检测.SW-DRN采用深度可分离式卷积,相比标准卷积减少了约56%的参数,增强了模型检测效率.采集两种不同来源的数据,分别命名为Real-Dataset和Gen-Dataset.SW-DRN与对照组模型在两个数据集上进行实验,实验结果表明:SW-DRN模型在DGA域名二分类任务中的F-Score评估指标上分别取得了99.23%和97.81%的成绩;并且在少样本DGA域名家族以及域名字符串易混淆DGA域名情形下多分类任务中取得不错的成绩,相比目前已有的DGA域名分类模型在总体FScore上提升了1.23%和1.01%的性能,增强了DGA域名家族之间的识别;同时还对所提出的模型在生成对抗模型产生域名进行测试,均能得到有效的识别.

采用深度学习的DGA域名检测模型比较

针对DGA域名难以检测的问题,构建了一种面向字符的采用深度学习的DGA域名检测模型,模型由字符嵌入层、特征检测层和分类预测层组成。字符嵌入层实现对输入DGA域名的数字编码;特征检测层采用深度学习模型自动提取特征;分类预测层采用全连接网络进行分类预测。为了选取最优的特征提取模型,分析比较了采用Bidirectional机制、Stack机制和Attention机制的LSTM模型与GRU模型,CNN模型,以及将CNN模型分别与LSTM模型和GRU模型相组合的模型。结果表明,与LSTM和GRU模型相比,采用Stack机制、前向Attention机制结合Bidirectional机制的LSTM和GRU模型,CNN模型,CNN模型与LSTM和GRU相组合的模型可提升模型的检测效果,但采用CNN和Bi-GRU组合构建的DGA域名检测模型可获得最优的检测效果。

基于迁移学习的小样本DGA恶意域名检测方法

域名生成算法(DGA)存在变化多、部分类别样本难获取的特点,使得采用传统机器学习的恶意域名检测模型准确性不高。提出一种基于迁移学习和多核CNN的小样本DGA恶意域名检测模型。该模型将目标域名映射到向量空间中,使用样本充足的DGA种类进行预训练,并迁移预训练得到的参数到小样本检测模型。采用多核CNN小样本分类模型根据发音习惯进行域名特征提取并分类。通过实验对比发现,无知识迁移的小样本分类模型只有11类域名准确率超过92%,经过迁移学习的多核CNN模型20类准确率超过92%,11类准确率超过97%,检测效果接近数据充足时的分类效果。

基于Deep-IndRNN的DGA域名检测方法

恶意服务常利用域名生成算法(DGA)逃避域名检测,针对DGA域名隐蔽性强、现有检测方法检测速度较慢、实用性不强等问题,采用深度学习技术,提出了一种基于Deep-IndRNN的DGA域名检测方法。方法运用词袋模型(BoW)将域名向量化,然后通过Deep-IndRNN提取域名字符间特征,并使用Sigmoid函数对域名分类检测。其主要特点在于:通过将Deep-IndRNN的多序列输入拼接为单向量输入,以单步处理代替循环处理,同时结合Deep-IndRNN能保存更长时间记忆的特点,可有效释放深度学习时占用的GPU、CPU等系统资源,且在保证高准确率和精确度的前提下提高训练、检测速度。实验结果表明,基于Deep-IndRNN的DGA域名检测方法在检测任务中具有较高的准确率和精确度,相比于DNN、CNN、LSTM、BiLSTM、CNN-LSTM-Concat等同类检测方法,能显著提高训练、检测速度,是有效可行的。

一种改进的卷积神经网络恶意域名检测算法

针对现有检测方法对算法生成的恶意域名检测效率不高,尤其对几种难检测的恶意域名类型检测率低的问题,提出了一种改进的基于卷积神经网络的恶意域名检测算法。该算法在现有的卷积神经网络模型的基础上,增加了提取更深层字符级特征的卷积分支,从而同时提取恶意域名的浅层和深层字符级特征并融合;引入一种聚焦损失函数以解决样本难易程度和数量的双重不平衡导致检测率低的问题,可提高对难样本的检测准确率。改进后的算法对20种恶意域名的平均检测准确率为97.62%,与原算法相比提高了0.94%;对4种较难检测域名的检测准确率分别提高了3.71%、4.6%、11.18%和17.8%。实验结果表明,改进的算法能够提高对恶意域名的检测准确率,尤其能够显著提升对部分难检测域名的检测准确率。

基于Char-RNN改进模型的恶意域名训练数据生成技术

近年来,新型僵尸网络开始使用域名生成算法(DGA)和命令与控制(C&C)服务器通信。针对基于深度学习的检测模型缺少对新出现的DGA变体域名的识别能力等问题,结合文本生成的思想,文章对原始Char-RNN模型进行改进,使用长短期记忆网络(LSTM)构建模型并引入注意力机制,从而生成用于模拟未知变体算法的恶意域名。实验证明,基于该方法生成的域名数据与真实数据在字符组成结构和频率方面具有高度相似性,且以生成数据作为训练集的检测模型保持了较好的性能,验证了基于文本生成模型的数据有效性以及将其作为训练数据集来预测未知DGA变体的可行性。

基于APCNN和BiGRU-Att的单词DGA域名检测方法

为了提高对基于单词的域名生成算法(domain generation algorithm,DGA)生成的恶意域名的检测准确率,提出了一种结合改进的并行卷积神经网络(APCNN)和融合简化注意力机制的双向门控循环单元(BiGRU-Att)的网络模型,该模型能充分学习单词特征、单词之间的组合关系和关键字符信息。实验结果表明,相比Bilbo和CL模型,APCNN-BiGRU-Att模型的分类准确率和F_(1)值更高,表明该模型具有更好的检测效果、多分类效果和稳定性。

基于机器学习的僵尸网络DGA域名检测系统设计与实现

僵尸网络广泛采用域名生成算法(Domain Generation Algorithm,DGA)生成大量的随机域名来躲避检测。针对僵尸网络DGA域名问题,本文设计实现了一种DGA域名检测系统。首先使用基于随机森林算法的轻量级分类分析检测模块,通过分析域名字符特征区分正常域名与疑似恶意域名,满足现网实际应用中快速检测的要求;然后使用基于X-means算法的聚类分析检测模块,在分类分析检测的基础上,根据DGA域名的字符相似性和查询行为相似性,通过聚类和集合分析方法对疑似恶意域名进一步检测,降低系统误检率。通过部署基于Spark的检测系统对某运营商现网真实DNS日志数据进行连续20天的处理和分析,检测系统平均每天挖掘出约250万DGA域名,经过正则匹配分析,其中约55%属于5类已知的DGA;在前两个实验日,共发现13,000个已知DGA域名分属于3个DGA类别。实验结果表明检测系统可有效检测出多种DGA域名,此外,检测系统也可满足现网实际应用中快速检测的要求。