基于字符级滑动窗口和深度残差网络的DGA域名检测系统技术方案

本发明专利技术提出了一种基于字符级滑动窗口和深度残差网络的DGA域名检测系统，包括获取预处理模块、原始特征提取处理模块、特征提取模块、批标准化处理模块、域名分类模块和数据展示模块；获取预处理模块用于获取域名数据，对获取的域名数据作为待处理数据，对待处理数据进行预处理；原始特征提取处理模块用于对获取预处理模块中处理后的数据进行原始特征提取处理；特征提取模块用于对原始特征提取处理模块中处理后的数据进行更深层次的特征提取；批标准化处理模块用于对特征提取模块中处理后的数据进行批标准化处理；域名分类模块用于对域名进行分类；数据展示模块用于展示域名分类模块的结果。本发明专利技术能够对获取的域名进行分类。

【技术实现步骤摘要】
基于字符级滑动窗口和深度残差网络的DGA域名检测系统
本专利技术涉及DGA域名检测领域，特别是涉及一种基于字符级滑动窗口和深度残差网络的DGA域名检测系统。
技术介绍
僵尸网络(Botnet)是指采用一种或多种传播手段，将大量主机感染bot程序(僵尸程序)病毒，从而控制者和被感染主机之间形成一个可一对多控制的网络。僵尸网络的构建主要利用软件或者硬件设备的漏洞、以及社会工程学(利用人性的弱点完成目标任务)等方式使受害主机在未发觉的情况下感染恶意僵尸程序，并使用一对多的commandandcontrol(C&C)的信道，控制僵尸主机完成控制主机发出的指定的攻击行为。随着互联网用户的增多以及用户安全意识的缺乏，导致僵尸网络是互联网的主要威胁之一。僵尸网络在互联网的兴起时就逐渐开始发展，而第一个具有恶意行为的大规模僵尸网络是与1999年6月发现PrettyPark，它通过IRC协议与感染的僵尸主机维持通讯。僵尸网络中控制者通过特定的信道控制数量非常庞大僵尸主机进行多种网络攻击，例如一些常见的分布式拒绝服务攻击(DDoS)、发送垃圾邮件、窃取用户隐私、加密勒索、网络挖矿等。为了更好控制僵尸主机，攻击者设计出了多种类型的命令控制信道，且多数的僵尸网络的通信依靠命令控制服务器(C&CServer)传递至僵尸主机。于是僵尸网络的检测研究也开始提上日程。僵尸网络的检测有多种方法，目前主要针对网络和主机两种方式检测，即一种通过僵尸主机通信检测，另一种依赖主机是否植入僵尸程序。由于当前僵尸程序越来越隐蔽，且主机的安全绝大数取决于用户安全意识，因此通过主机方式来检测僵尸网络变得困难。而僵尸网络的控制主机需要和每一个僵尸主机通信，针对僵尸网络依赖的命令控制服务器的特性，一经发现僵尸网络依赖的命令控制服务器对应的域名，通过黑名单、Sinkhole或者直接夺取控制服务器的方式使僵尸网络失效。如果采用固定IP地址或者域名的僵尸网络，其命令控制服务器非常容易被安全人员发现，为此为了对抗安全研究人员，僵尸网络通常会采用域名生成算法(DGA)随机生成大量的命令控服务器域名。且根据DGA算法可知在不同时间段内注册不同域名，以隐藏真实使用的命令控制器域名。这使得发现僵尸网络命令控制服务器变得更加困难。因此DGA域名的检测变成了防范僵尸网络的重要研究课题之一。
技术实现思路
本专利技术旨在至少解决现有技术中存在的技术问题，特别创新地提出了一种基于字符级滑动窗口和深度残差网络的DGA域名检测系统。为了实现本专利技术的上述目的，本专利技术提供了一种基于字符级滑动窗口和深度残差网络的DGA域名检测系统，包括获取预处理模块、原始特征提取处理模块、特征提取模块、批标准化处理模块、域名分类模块和数据展示模块；所述获取预处理模块的数据输出端与原始特征提取处理模块的数据输入端相连，原始特征提取处理模块的数据输出端与特征提取模块的数据输入端相连，特征提取模块的数据输出端与批标准化处理模块的数据输入端相连，批标准化处理模块的数据输出端与域名分类模块的数据输入端相连，域名分类模块的数据输出端与数据展示模块的数据输入端相连；所述获取预处理模块用于获取域名数据，对获取的域名数据作为待处理数据，对待处理数据进行预处理；所述原始特征提取处理模块用于对所述获取预处理模块中处理后的数据进行原始特征提取处理；所述特征提取模块用于对所述原始特征提取处理模块中处理后的数据进行更深层次的特征提取；所述批标准化处理模块用于对所述特征提取模块中处理后的数据进行批标准化处理；所述域名分类模块用于对域名进行分类；所述数据展示模块用于展示所述域名分类模块的结果。在本专利技术的一种优选实施方式中，还包括批标准化处理第一模块，所述批标准化处理第一模块用于对所述原始特征提取处理模块中处理后的数据进行批标准化处理；所述获取预处理模块的数据输出端与原始特征提取处理模块的数据输入端相连，原始特征提取处理模块的数据输出端与批标准化处理第一模块的数据输入端相连，批标准化处理第一模块的数据输出端与特征提取模块的数据输入端相连，特征提取模块的数据输出端与批标准化处理模块的数据输入端相连，批标准化处理模块的数据输出端与域名分类模块的数据输入端相连，域名分类模块的数据输出端与数据展示模块的数据输入端相连；在本实施方式中，在所述批标准化处理第一模块中批标准化的计算方法为：计算一个mini-batch大小的样本均值：其中，m表示输入样本的个数；xi表示输入的第i样本；μB表示样本均值；计算一个mini-batch大小样本方差：其中，m表示输入样本的个数；xi表示输入的第i样本；μB表示样本均值；σB表示样本方差；对输入的第i样本xi归一化：其中，xi表示输入的第i样本；μB表示样本均值；σB表示样本方差；ε表示拟合参数；表示归一化值；其中，γ表示第一训练参数；表示归一化值；β表示第二训练参数；yi表示经过BatchNormalization后得到值。在本专利技术的一种优选实施方式中，在所述获取预处理模块中对待处理数据进行预处理包括以下步骤：S11，对域名进行数值化处理，使用字符级词典把域名中每个字符映射成one-hot编码向量；S12，将one-hot编码向量的V1维度向量映射成d维度。在本专利技术的一种优选实施方式中，在原始特征提取处理模块中包括：定义为一条DGA域名样本中第i个字符的字符向量；那么使用代表输入的DGA域名；然后定义k为滤波器的长度，引入作为一个卷积滤波器感受野大小；对于句子中的每个位置j，都有一个带有k个连续字符向量的窗口向量wj，表示为：wj＝[aj,aj+1,...,aj+k-1]，然后滤波器m以’VALID’方式与每个位置窗口向量进行卷积，生成特征图窗口向量wj的特征图的每个元素Aj的产生如下：Aj＝f(wj⊙m+b)，对于长度相同n个滤波器，可生成n个特征图为每个窗口向量wj特征进行表示，W＝[A1,A2,...,An]。在本专利技术的一种优选实施方式中，在所述特征提取模块中包括：xl＝xl′-1+H(xl-1)，其中，xl′-1表示xl-1经过下采样后得到的值；xl-1表示第l-1层残差块的输入；H(xl-1)表示两层卷积层进行特征提取得到结果；xl表示残差块第l层的输入。在本专利技术的一种优选实施方式中，在所述批标准化处理模块中批标准化的计算方法为：计算一个mini-batch大小的样本均值：其中，m表示输入样本的个数；xi表示输入的第i样本；μB表示样本均值；计算一个mini-batch大小样本方差：其中，m表示输入样本的个数；xi表示输入的第i样本；μB表示样本均值；...

【技术保护点】
1.一种基于字符级滑动窗口和深度残差网络的DGA域名检测系统，其特征在于，包括获取预处理模块、原始特征提取处理模块、特征提取模块、批标准化处理模块、域名分类模块和数据展示模块；/n所述获取预处理模块的数据输出端与原始特征提取处理模块的数据输入端相连，原始特征提取处理模块的数据输出端与特征提取模块的数据输入端相连，特征提取模块的数据输出端与批标准化处理模块的数据输入端相连，批标准化处理模块的数据输出端与域名分类模块的数据输入端相连，域名分类模块的数据输出端与数据展示模块的数据输入端相连；/n所述获取预处理模块用于获取域名数据，对获取的域名数据作为待处理数据，对待处理数据进行预处理；/n所述原始特征提取处理模块用于对所述获取预处理模块中处理后的数据进行原始特征提取处理；/n所述特征提取模块用于对所述原始特征提取处理模块中处理后的数据进行更深层次的特征提取；/n所述批标准化处理模块用于对所述特征提取模块中处理后的数据进行批标准化处理；/n所述域名分类模块用于对域名进行分类；/n所述数据展示模块用于展示所述域名分类模块的结果。/n

【技术特征摘要】
1.一种基于字符级滑动窗口和深度残差网络的DGA域名检测系统，其特征在于，包括获取预处理模块、原始特征提取处理模块、特征提取模块、批标准化处理模块、域名分类模块和数据展示模块；
所述获取预处理模块的数据输出端与原始特征提取处理模块的数据输入端相连，原始特征提取处理模块的数据输出端与特征提取模块的数据输入端相连，特征提取模块的数据输出端与批标准化处理模块的数据输入端相连，批标准化处理模块的数据输出端与域名分类模块的数据输入端相连，域名分类模块的数据输出端与数据展示模块的数据输入端相连；
所述获取预处理模块用于获取域名数据，对获取的域名数据作为待处理数据，对待处理数据进行预处理；
所述原始特征提取处理模块用于对所述获取预处理模块中处理后的数据进行原始特征提取处理；
所述特征提取模块用于对所述原始特征提取处理模块中处理后的数据进行更深层次的特征提取；
所述批标准化处理模块用于对所述特征提取模块中处理后的数据进行批标准化处理；
所述域名分类模块用于对域名进行分类；
所述数据展示模块用于展示所述域名分类模块的结果。


2.根据权利要求1所述的基于字符级滑动窗口和深度残差网络的DGA域名检测系统，其特征在于，在所述获取预处理模块中对待处理数据进行预处理包括以下步骤：
S11，对域名进行数值化处理，使用字符级词典把域名中每个字符映射成one-hot编码向量；
S12，将one-hot编码向量的V1维度向量映射成d维度。


3.根据权利要求1所述的基于字符级滑动窗口和深度残差网络的DGA域名检测系统，其特征在于，在原始特征提取处理模块中包括：
定义为一条DGA域名样本中第i个字符的字符向量；那么使用代表输入的DGA域名；
然后定义k为滤波器的长度，引入作为一个卷积滤波器感受野大小；对于句子中的每个位置j，都有一个带有k个连续字符向量的窗口向量wj，表示为：
wj＝[aj,aj+1,...,aj+k-1]，
然后滤波器m以’VALID’方式与每个位置窗口向量进行卷积，生成特征图窗口向量wj的特征图的每个元素Aj的产生如下：
Aj＝f(wj⊙m+b)，
对于长度相同n个滤波器，可生成n个特征图为每个窗口向量wj特征进行表示，
W＝[A1,A2,...,An]。


4.根据权利要求1所述的基于字符级滑动窗口和深度残差网络的DGA域名检测系统，其特征在于，在所述特征提取模块中包括：
xl＝x′l-1+H(xl-1)，
其中，x′l...

【专利技术属性】
技术研发人员：刘小洋，马敏，刘加苗，叶舒，
申请(专利权)人：重庆理工大学，
类型：发明
国别省市：重庆;50