【技术实现步骤摘要】
一种具备高抗检测能力的对抗域名生成模型
[0001]本专利技术属于网络空间安全
,涉及一种具备高抗检测能力的对抗域名生成模型。
技术介绍
[0002]僵尸网络是常见的网络攻击之一,其设计目的是窃取受感染受害者的敏感信息、发送恶意邮件并进行分布式拒绝服务(DDoS)。攻击的前提是在受感染的受害者(僵尸)和命令与控制(C&C)服务器之间建立可靠的连接,以便botmaster可以操纵这些受害者。僵尸和C&C服务器之间通过域名建立连接。域名生成算法(DGA)是可以生成一组伪随机域名(每天几十到几万个)的算法,可以有效躲避黑名单对僵尸和C&C服务器之间建立连接的防御。因此,相比使用固定的域名池来建立通信通道,使用DGA生成的域名更具吸引力。
[0003]在过去的几年中,研究人员对DGA生成的域名的自动检测方法进行了大量研究。这些方法可以分为两类,一类是基于人工设计特征的传统机器学习,一类是端到端的深度学习。与传统机器学习相比,深度学习普遍具有更高的检测性能。此外,基于深度学...
【技术保护点】
【技术特征摘要】
1.一种具备高抗检测能力的对抗域名生成模型,其特征在于,包括如下步骤:(1)采集用于模型训练的良性域名数据集和整理常见的TLD列表并保存;(2)从采集到的数据中提取能够用于模型训练的子域名,接着使用处理后的数据集,进行深度学习的模型训练;(3)利用步骤(2)中训练获得的深度学习模型对输入的良性域名列表进行字符替换,生成候选的域名列表;(4)根据设定的规则对步骤(3)生成的候选域名列表进行筛选工作,剔除不满足使用要求的域名。2.根据权利要求1所述的具备高抗检测能力的对抗域名生成模型,其特征在于,所述步骤(1)具体包括如下子步骤:(1.1)在网站上下载Alexa数据集;(1.2)从Alexa数据集中提取出每个域名的TLD;(1.3)从提取中得到的TLD列表中删除重复的TLD;(1.4)根据每个TLD在Alexa数据集中出现的次数对列表里的TLD进行排序;(1.5)从排序好的TLD列表中选取前30个TLD作为常见TLD列表。3.根据权利要求1所述的具备高抗检测能力的对抗域名生成模型,其特征在于,所述步骤(2)具体包括如下子步骤:(2.1)首先对步骤1中下载的良性域名数据集的中的域名数据进行处理,提取每个域名的SLD作为模型训练使用的良性域名字符串;(2.2)使用自回归的思想对域名进行建模,即使用如下的公式来表示隐藏在良性域名字符之间的相关关系;其中:W
t
代表位于域名的第t个字符;代表域名前t
‑
1个字符组成的一个子序列;(2.3)使用Onehot技术对良性域名字符串进行编码,获得良性域名向量数据集;(2.4)使用LSTM搭建神经网络模型,LSTM网络的计算公式如下:f
t
=σ(x
t
·
U
f
+h
t
‑1·
W
f
)i
t
=σ(x
t
·
U
i
+h
t
‑1·
W
i
)o
t
=σ(x
t
·
U
o
+h
t
‑1·
W
o
)C
t
′
=tanh(x
t
·
U
c
+h
t
‑1·
W
c
)C
t
=(f
t
·
C
t
‑1+i
t
·
C
t
)h
t
=tanh(C
t
)
·
o
t
式中:f
t
代表t时刻遗忘门f的输出;σ代表Sigmoid函数;x
t
代表t时刻网络的输入;U
f
代表遗忘门网络层的偏差值;h
t
‑1代表t
‑
1时刻网络隐藏层的输出;W
f
代表遗忘门网络层的参数值;i
t
代表t时刻输入门i的输入;o
t
代表t时刻输出门o的输出;C
t
′
代表t时刻长记忆的中间值;C
t
代表t时刻长记忆的值;h
t
代表t时刻网络隐藏层的值;
(2.5)使用MSE函数作为损失函数,通过不断训练迭代降低损失,MSE函数的计算如下:(2.6...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。