基于改进Transformer和强化学习的僵尸网络DGA域名检测 被引量：5

1

作者 马永忠 夏保丽 《广西科学》 CAS 北大核心 2023年第1期139-148,共10页

针对现有僵尸网络检测方法检测精度不高和检测时间开销较大的问题,提出一种基于改进Transformer和强化学习的僵尸网络域名生成算法(Domain Generation Algorithm,DGA)的域名检测方法。首先,利用深度可分离卷积替换ResNet和ResNeXt网络... 针对现有僵尸网络检测方法检测精度不高和检测时间开销较大的问题,提出一种基于改进Transformer和强化学习的僵尸网络域名生成算法(Domain Generation Algorithm,DGA)的域名检测方法。首先,利用深度可分离卷积替换ResNet和ResNeXt网络中的卷积块,通过减少网络模型参数来降低模型的时间开销;其次,利用改进后的ResNet和ResNeXt网络将域名字符串映射到深度特征空间,构造多尺度特征,强化特征的表达能力;再次,利用长短期记忆神经网络(Long Short-Term Memory,LSTM)对Transformer网络进行改进,在保持字符间相对位置的同时,进一步建立上下文的长距离依赖编码,并在此基础上引入注意力机制,强化模型对关键特征的捕获能力;最后,引入强化学习对模型进行微调,提高DGA域名的检测精度。在多个DGA域名数据集上进行测试验证,结果表明该模型在保持检测时间开销较小的基础上,具有更高的检测精度。 展开更多

关键词 僵尸网络dga域名检测 深度可分离卷积 多尺度特征 TRANSFORMER 强化学习

在线阅读 下载PDF 职称材料

一种结合自监督学习与解耦注意力的DGA域名检测方法

2

作者 李子川 罗文华 《小型微型计算机系统》 北大核心 2025年第10期2495-2501,共7页

随着网络空间战略地位的不断提升和网络安全事件的频发,在网络安全领域,检测和分类由域名生成算法(DGA)生成的恶意域名是防范恶意软件和高级持续性威胁的关键挑战.现有检测方法大多依赖人工提取特征或大量带标记数据集,这不仅耗时且容... 随着网络空间战略地位的不断提升和网络安全事件的频发,在网络安全领域,检测和分类由域名生成算法(DGA)生成的恶意域名是防范恶意软件和高级持续性威胁的关键挑战.现有检测方法大多依赖人工提取特征或大量带标记数据集,这不仅耗时且容易受到复杂网络环境的影响,尤其是当攻击者识别并规避这些特征时,检测效果会大打折扣,因此传统检测方法在应对复杂且动态变化的DGA域名时常常表现不佳.为了解决已有方法泛化能力弱的缺点,本文提出了一种基于自监督学习和解耦注意力机制的DGA恶意域名检测系统,该系统基于DeBERTa序列模型,包含自监督预训练和微调两个训练步骤.首先自监督预训练从未标注的大规模数据中自动学习特征表示,减少了对标记数据的依赖.随后,在DGA数据集上对预训练模型进行微调,进一步优化其在异常检测任务中的表现.通过引入解耦注意力机制,模型能够更准确地融合URL中的位置和字符信息,从而提升恶意域名的检测性能.实验结果显示,所提出的基于DeBERTa的自监督预训练模型在DGA检测中的准确率、召回率和F1分数显著优于传统方法,展示了其在复杂网络环境中的卓越性能和鲁棒性.该研究为利用先进的自监督学习技术提升网络安全检测系统的效果提供了重要参考. 展开更多

关键词 自监督学习 解耦注意力 dga域名检测 异常检测 URL分类 预训练模型 网络安全

在线阅读 下载PDF 职称材料

基于双分支特征提取和自适应胶囊网络的DGA域名检测方法 被引量：2

3

作者 杨宏宇 章涛 +2 位作者 张良 成翔 胡泽 《软件学报》 EI CSCD 北大核心 2024年第8期3626-3646,共21页

面向域名生成算法(domain generation algorithm,DGA)的域名检测方法普遍具有特征提取能力弱、特征信息压缩比高等特点,这导致特征信息丢失、特征结构破坏以及域名检测效果较差等诸多不足.针对上述问题,提出一种基于双分支特征提取和自... 面向域名生成算法(domain generation algorithm,DGA)的域名检测方法普遍具有特征提取能力弱、特征信息压缩比高等特点,这导致特征信息丢失、特征结构破坏以及域名检测效果较差等诸多不足.针对上述问题,提出一种基于双分支特征提取和自适应胶囊网络的DGA域名检测方法.首先,通过样本清洗和字典构建重构原始样本并生成重构样本集;其次,通过双分支特征提取网络处理重构样本,在其中,利用切片金字塔网络提取域名局部特征,利用Transformer提取域名全局特征,并利用轻量级注意力融合不同层次的域名特征;然后,利用自适应胶囊网络计算域名特征图的重要度系数,将域名文本特征转换为向量域名特征,并通过特征转移计算基于文本特征的域名分类概率;同时,利用多层感知机处理域名统计特征,以此计算基于统计特征的域名分类概率;最后,通过合并得到的两种不同视角的域名分类概率进行域名检测.大量的实验表明,所提方法在DGA域名检测以及DGA域名家族检测分类方面均取得了当前领先的检测效果.在DGA域名检测中,F1分数提升了0.76%-5.57%;在DGA域名家族检测分类中,F1分数(宏平均)提升了1.79%-3.68%. 展开更多

关键词 dga域名检测 深度学习 双分支特征提取网络 切片金字塔网络 自适应胶囊网络

在线阅读 下载PDF 职称材料

Domain-flux僵尸网络域名检测 被引量：6

4

作者 李青山 陈钟 《计算机工程与设计》 CSCD 北大核心 2012年第8期2915-2919,共5页

针对现有Domain-flux僵尸网络检测方法在检测范围方面的不足,提出基于域名访问活跃特征的Domain-flux僵尸网络域名检测方法。通过阐述Domain-flux僵尸网络所利用的域名集合在访问方面所表现出的时间行为特征,提出一种基于域名访问活跃... 针对现有Domain-flux僵尸网络检测方法在检测范围方面的不足,提出基于域名访问活跃特征的Domain-flux僵尸网络域名检测方法。通过阐述Domain-flux僵尸网络所利用的域名集合在访问方面所表现出的时间行为特征,提出一种基于域名访问活跃特征的检测算法,给出检测算法的具体描述、检测处理流程及系统整体结构,利用某运行商DNS服务器镜像数据实验验证检测算法。实验结果显示,检测算法不依赖于具体的域名字符特征,可以有效过滤出Domain-flux僵尸网络所利用的域名。 展开更多

关键词 域名 域名系统 域名检测 域名变换 僵尸网络

在线阅读 下载PDF 职称材料

MCL4DGA:基于多视角对比学习的DGA域名检测方法 被引量：1

5

作者 王继虎 刘子雁 +2 位作者 倪金超 孔凡玉 史玉良 《软件学报》 EI CSCD 北大核心 2024年第11期5228-5248,共21页

在网络安全领域,由域名生成算法(domain generation algorithm,DGA)产生的虚假域名被称为DGA域名.与正常域名类似的是,DGA域名通常是字母或数字的随机组合,这使得DGA域名具有较强的伪装性.网络黑客利用DGA域名的伪装性实施网络攻击,以... 在网络安全领域,由域名生成算法(domain generation algorithm,DGA)产生的虚假域名被称为DGA域名.与正常域名类似的是,DGA域名通常是字母或数字的随机组合,这使得DGA域名具有较强的伪装性.网络黑客利用DGA域名的伪装性实施网络攻击,以达到绕过安全检测的目的.如何有效地对DGA域名进行检测,进而维护信息系统安全,成为当前的研究热点.传统的统计机器学习检测方法需要人工构建域名字符特征集合.然而,人工或者半自动化方式构建的域名特征存在质量参差不齐的情况,进而影响检测的准确性.鉴于深度神经网络强大的特征自动化抽取和表示能力,提出一种基于多视角对比学习的DGA域名检测方法(MCL4DGA).与现有方法不同的是,所提方法结合了注意力神经网络、卷积神经网络和循环神经网络,能够有效地捕获域名字符序列中的全局、局部和双向多视角特征依赖关系.除此之外,通过多视角表示向量之间的对比学习而产生的自监督信号,能够增强模型的学习能力,进而提高检测的准确性.通过在真实数据集上与当前DGA域名检测方法实验对比验证了所提方法的有效性. 展开更多

关键词 网络安全 dga(domain generation algorithm)域名检测 深度神经网络 对比学习

在线阅读 下载PDF 职称材料

域名生成算法检测技术综述 被引量：1

6

作者 汪绪先 黄缙华 +6 位作者 翟优 李础南 王宇 张宇鹏 张翼鹏 杨立群 李舟军 《计算机科学》 CSCD 北大核心 2024年第8期371-378,共8页

C&C服务器是网络攻击者用于控制僵尸主机的中间服务器,在僵尸网络中处于核心位置。为增强C&C服务器的隐蔽性,网络攻击者使用域名生成算法来隐藏C&C服务器地址。近年来,域名生成算法检测技术作为检测僵尸网络的重要手段,已... C&C服务器是网络攻击者用于控制僵尸主机的中间服务器,在僵尸网络中处于核心位置。为增强C&C服务器的隐蔽性,网络攻击者使用域名生成算法来隐藏C&C服务器地址。近年来,域名生成算法检测技术作为检测僵尸网络的重要手段,已经成为一个研究热点。首先,介绍了当前网络安全的发展态势和僵尸网络的拓扑结构。其次,介绍了域名生成算法和相关数据集。接着,介绍了域名生成算法检测技术的分类,并对这些检测技术进行总结综述。最后,探讨了现阶段域名生成算法检测技术存在的问题,并对未来研究方向进行了展望。 展开更多

关键词 僵尸网络 C&C服务器 域名生成算法 域名生成算法检测 网络安全威胁

在线阅读 下载PDF 职称材料

基于ON-LSTM与自注意力机制的单词DGA域名检测方法 被引量：2

7

作者 刘立婷 欧毓毅 凌捷 《计算机应用研究》 CSCD 北大核心 2022年第12期3781-3785,共5页

针对单词DGA域名字符随机性低,字符结构和分布与良性域名相似,现有方法对其检测效果不佳的问题,提出一种单词DGA域名检测方法。首先,对域名进行BiGRAM字符编码,使模型的输入涵盖更多的域名特征;其次,构建ON-LSTM-SA特征提取模块,充分提... 针对单词DGA域名字符随机性低,字符结构和分布与良性域名相似,现有方法对其检测效果不佳的问题,提出一种单词DGA域名检测方法。首先,对域名进行BiGRAM字符编码,使模型的输入涵盖更多的域名特征;其次,构建ON-LSTM-SA特征提取模块,充分提取域名的层级语义特征并为其分配权重;最后,通过softmax函数输出分类结果。实验结果表明,相较于四种对比模型,该方法在检测性能和多分类性能方面均表现最佳,具有更高的鲁棒性和泛化能力。 展开更多

关键词 单词dga域名检测 特征提取 深度学习 有序长短记忆神经网络 自注意力机制

在线阅读 下载PDF 职称材料

基于字符特征的DGA域名检测方法研究综述 被引量：3

8

作者 王宇 王祖朝 潘瑞 《计算机科学》 CSCD 北大核心 2023年第8期251-259,共9页

利用域名生成算法(Domain Generation Algorithm,DGA)可以生成大量的随机域名,近年来僵尸网络普遍使用DGA域名来增强隐蔽性。高效的检测DGA域名,对发现僵尸网络和保障网络信息安全具有重要意义。基于字符特征的DGA域名检测指仅利用域名... 利用域名生成算法(Domain Generation Algorithm,DGA)可以生成大量的随机域名,近年来僵尸网络普遍使用DGA域名来增强隐蔽性。高效的检测DGA域名,对发现僵尸网络和保障网络信息安全具有重要意义。基于字符特征的DGA域名检测指仅利用域名的字符串完成检测,是一种实时检测方法,也是近年来对DGA域名检测研究的热点。对此类方法进行研究发现,使用传统机器学习和深度学习算法能够有效地检测DGA域名。但是对基于单词表的DGA域名、长度较短的DGA域名和新型DGA域名,还需要通过改进词嵌入方式、引入注意力机制或加入对抗样本等方法,来提高检测能力。最后对基于字符特征的DGA域名检测方法进行总结,分析不同检测方法的优点和存在的问题,提出了未来的研究方向和研究中需要解决的关键问题。 展开更多

关键词 网络安全 dga域名检测 机器学习 深度学习 词嵌入 注意力机制 对抗样本

在线阅读 下载PDF 职称材料

基于相似度的DGA域名检测方法

9

作者 孙海栋 刘万平 黄东 《计算机科学》 CSCD 北大核心 2023年第S01期740-745,共6页

僵尸网络使互联网面临着巨大的威胁。依托僵尸网络的分布式拒绝服务攻击和垃圾邮件等恶意行为能给攻击目标造成巨大损失,其通信主要基于DGA域名,因此需要对域名进行检测。现有检测方法主要基于字符编码提取域名特征,再利用神经网络进行... 僵尸网络使互联网面临着巨大的威胁。依托僵尸网络的分布式拒绝服务攻击和垃圾邮件等恶意行为能给攻击目标造成巨大损失,其通信主要基于DGA域名,因此需要对域名进行检测。现有检测方法主要基于字符编码提取域名特征,再利用神经网络进行分类。由于仅考虑了字符特征,因此对DGA域名检测的准确率往往不高。为准确检测出DGA域名,提出了域名字符相似度和域名节点相似度的计算方法,并依据相似度对DGA域名进行检测。首先构建以双向门控循环单元神经网络为基学习器的模型,从数据集中筛选出具有明显特征的DGA域名;然后,使用循环神经网络对被筛选出的DGA域名进行聚类;最后,计算数据集中待检测域名与DGA域名的相似度,将相似度大于阈值的域名分类为DGA域名。实验结果表明,该方法在检测含多类DGA域名的数据集时准确率可达到99.03%。 展开更多

关键词 dga域名 僵尸网络 域名检测 相似度计算 门控循环单元

在线阅读 下载PDF 职称材料

基于多模态特征融合的Fast-Flux恶意域名检测方法 被引量：8

10

作者 郎波 谢冲 +1 位作者 陈少杰 刘宏宇 《信息网络安全》 CSCD 北大核心 2022年第4期20-29,共10页

Fast-Flux恶意域名是僵尸网络通信中的一种重要载体,通过快速变换域名解析的IP抵御检测。目前,恶意域名检测系统大多基于传统机器学习模型,需要对数据进行复杂处理和特征提取,并且需要借助大量第三方数据源,导致检测的实时性较差。域名... Fast-Flux恶意域名是僵尸网络通信中的一种重要载体,通过快速变换域名解析的IP抵御检测。目前,恶意域名检测系统大多基于传统机器学习模型,需要对数据进行复杂处理和特征提取,并且需要借助大量第三方数据源,导致检测的实时性较差。域名解析是一个复杂的过程,并且具有丰富的特征,文章设计了基于多模态特征融合的Fast-Flux恶意域名检测方法。首先利用GCN模块提取空间特征,采用BiLSTM模块提取域名文本特征,然后利用MLP模块提取侧信息特征,最后利用神经网络将这3种特征进行融合。在Fast-Flux-Attack-Datasets公开数据集上进行实验,实验结果表明,该方法的精确率达99.94%、召回率达99.76%、准确率达99.69%,总体效果优于当前同类方法。文章所提方法有效融合了域名解析的多模态特征,明显提升了检测效果,对于提高僵尸网络检测能力具有重要意义。 展开更多

关键词 Fast-Flux恶意域名检测 僵尸网络 GCN 多模态特征

在线阅读 下载PDF 职称材料

基于生成对抗网络的恶意域名训练数据生成 被引量：13

11

作者 袁辰 钱丽萍 +1 位作者 张慧 张婷 《计算机应用研究》 CSCD 北大核心 2019年第5期1540-1543,1568,共5页

当前僵尸网络大量采用DGA算法躲避检测,针对主流的基于人工规则的检测算法无法对最新产生的DGA域名进行识别检测和基于机器学习的检测算法缺乏演化的训练数据的问题,提出了一种基于ASCII编码方式定义域名编/解码器,并结合生成对抗网络... 当前僵尸网络大量采用DGA算法躲避检测,针对主流的基于人工规则的检测算法无法对最新产生的DGA域名进行识别检测和基于机器学习的检测算法缺乏演化的训练数据的问题,提出了一种基于ASCII编码方式定义域名编/解码器,并结合生成对抗网络构造域名字符生成器来预测生成DGA变体样本的方法。实验结果表明,在采用生成数据进行分类器训练和性能评估中,此方法生成的DGA域名变体样本可充当真实DGA样本,验证了生成数据的有效性并可用于DGA域名检测器的训练评估。 展开更多

关键词 恶意域名 dga 生成对抗网络 检测 分类

在线阅读 下载PDF 职称材料

基于被动DNS流量的Fast⁃Flux域名检测方法 被引量：2

12

作者 张玉 刘纪伟 《南京邮电大学学报（自然科学版）》 北大核心 2021年第4期74-81,共8页

近年来,速变域名(Fast⁃Flux)技术已成为在速变服务网络(Fast⁃Flux Service Network,FFSN)中组建僵尸网络的常见做法,这些FFSN能够以非常高的可用性维持非法在线服务。文中基于FFSN工作原理以及速变域名技术特点,提出了一系列检测特征,... 近年来,速变域名(Fast⁃Flux)技术已成为在速变服务网络(Fast⁃Flux Service Network,FFSN)中组建僵尸网络的常见做法,这些FFSN能够以非常高的可用性维持非法在线服务。文中基于FFSN工作原理以及速变域名技术特点,提出了一系列检测特征,设计了一种基于被动DNS流量的Fast⁃Flux域名检测方法。利用DNS协议、黑白名单、DNS流量实时特征对流量数据进行过滤,采用基于信息增益率和基尼系数线性组合的随机森林算法作为模型训练算法,然后用实验数据集和现网真实数据集对所提的方法进行验证。实验结果证明,该方法能够有效识别出Fast⁃Flux域名,并且具有较高的精确率。 展开更多

关键词 僵尸网络 速变域名 域名检测 机器学习 随机森林算法

在线阅读 下载PDF 职称材料