-
题名基于CRNet的可读DGA恶意域名检测模型
- 1
-
-
作者
赵宏
丁艳娇
王伟杰
-
机构
兰州理工大学计算机与通信学院
-
出处
《计算机工程与应用》
北大核心
2025年第22期278-287,共10页
-
基金
国家自然科学基金(62166025)。
-
文摘
针对现有域名检测模型对部分可读DGA(domain generation algorithm)恶意域名检测性能不佳的问题,提出一种基于卷积保留网络(convolutional retentive network,CRNet)的可读DGA恶意域名检测模型。首先提出轻量级保留网络(lightweight retentive network,LRN)捕获域名字符串的全局语义特征,充分挖掘可读DGA域名与合法域名之间的上下文特征差异。其中多尺度保留(multi-scale retention,MSR)机制捕获域名字符串的浅层语义信息;为深入挖掘深层语义信息,设计了一种轻量级卷积前馈网络(lightweight convolutional feed forward network,LCFFN),通过在前馈网络(feed forward network,FFN)的两个线性层间引入深度可分离卷积(depthwise separable convolution,DSC)优化特征信息,并采用Delight变换模块降低域名特征表示维度,缓解FFN中相邻层之间语义信息高度冗余的问题。其次采用卷积神经网络(convolutional neural network,CNN)捕获域名字符串中不同字符间的组合特征。最后将LRN与CNN相结合,充分利用域名的全局语义特征和字符组合特征,以提升可读DGA域名检测的效果。在Majestic Million合法域名数据集和360 DGA恶意域名数据集上进行实验,结果表明,相较于当前先进的DGA域名检测模型,CRNet在提升检测效率的同时,对于可读DGA域名检测的F1分数提升了0.59%~3.48%,随机域名检测的F1分数提升了0.32%~1.42%。
-
关键词
可读dga域名
轻量级保留网络
轻量级卷积前馈网络
多尺度保留
全局语义特征
-
Keywords
readable dga domain names
lightweight retentive network
lightweight convolutional feed forward network
multi-scale retention
global semantic features
-
分类号
TP391
[自动化与计算机技术—计算机应用技术]
-
