基于多原型指导的小样本家族域名入侵检测算法

恶意域名只有攻击后才被加入到域名黑名单数据库中,这使得传统模型对新变种或新出现的家族域名检测精度不高,极易导致新出现或新变种家族恶意域名的漏报。为此,提出一种基于多原型指导的小样本家族恶意域名入侵检测算法,该算法首先利用一组共享权重的Transformer网络将输入的支持与查询域名对映射到深度特征空间;其次,设计了一种任务关联注意力模块挖掘支持分支和查询分支输入域名对的共有语义;再次,在共有语义特征图上利用平均池化策略生成多个代表家族团聚特征的原型集;最后,利用原型集细粒度地指导未知家族域名和已知支持域名的标签,并根据真实标签与预测标签之间的损失端到端优化原型集,强化原型的表达能力。通过在多个恶意域名家族数据集上测试,所提出模型在传统二分类任务上可以实现0.983 9和0.987 6的识别准确率和识别精度,在细粒度的多分类任务上可以实现5个家族0.980 0以上的识别精准率,11个家族0.970 0以上的识别精准率,30个家族0.940 0以上的识别精准率。

基于迁移学习的小样本恶意域名检测

恶意域名的变种随着检测方法的增多而不断丰富,现有模型对于该类恶意域名的检测精度不高。为此,提出一种基于迁移学习的小样本变种域名检测算法。通过构造双向长短时记忆神经网络(bi-directional long short term memory,BiLSTM)和卷积神经网络(convolutional neural networks,CNN)的组合模型BiLSTM-CNN,提取域名上下文特征和局部语义特征,利用数据量充足的多家族恶意域名数据集进行预训练;迁移BiLSTM-CNN模型预训练的参数到小样本的恶意域名检测模型中,对新出现或新变种的小样本恶意域名进行检测。在多个小样本数据集和数据量充足的多家族恶意域名集上进行测试,运行结果表明,所提模型在数据量充足的多家族恶意域名数据集上可以实现95.17%的平均检测精度,在多个小样本数据集可以实现94.26%的平均检测精度。与当前经典的检测模型相比,所提模型整体检测性能表现良好。

基于Ngram+Bi-GRU的多家族恶意域名检测

针对现有恶意域名检测方法存在检测精度不高和检测范围局限等问题,提出一种基于Ngram+Bi-GRU的多家族恶意域名检测算法。首先,利用Ngram模型对去除顶级域名的剩余域名级进行分割,获取到包含上下文语义信息的多个域名字符片段序列,并将域名字符片段序列转换成向量;然后,利用双向门控循环型网络(Bi-Directional Gated Recurrent Unit, Bi-GRU)自动学习域名向量的特征;最后,利用Softmax分类器实现合法域名与恶意域名的分类。通过在360Netlab和Malware Domain List等多家族恶意域名集上进行测试,算法运行结果表明,本文模型可对19种家族恶意域名保持检测精度在93%以上,平均检测精度为94.92%,并与当前主流的基于域名字符特征的恶意域名检测算法相比,本文模型在保持检测精度较高的基础上具有更广的检测范围。