基于对抗模型的恶意域名检测方法的研究与实现

发布时间：2020-05-27 01:07

【摘要】：随着大数据、云计算及人工智能等基于互联网新技术热潮的到来,人民的生活更加智能化,如智慧出行、无人支付、无人银行等。而互联网给人们带来便捷的同时也面临巨大的安全威胁,如用户信息窃取、银行数据的泄露、垃圾邮件群发等,而这主要是因为网络攻击人员利用僵尸网络对目标主机进行恶意攻击。如今的僵尸网络大多采用Domain-Flux技术,其在Bots中嵌入域名生成算法DGA并在短期内生成大量域名去轮询僵尸主控机的IP从而逃避防御系统的检测。针对主流的基于人工规则的检测算法对最新生成的DGA恶意域名无法识别、基于传统机器学习的检测算法迟滞性较强和缺少演化的训练数据问题,本文在分析了僵尸网络机理和DGA域名特性的基础上提出了一种基于AscaII的归一化编码方式定义域名编、解码器并结合生成对抗网络设计字符级域名生成模型去生成和预测DGA变体样本的方法。目的在于通过GAN的对抗式学习算法去学习DGA域名的固有特性,并采用GAN中的生成网络去生成类似的DGA恶意域名。通过两次分类器参数的对比与分析,可以看出本文基于GAN神经网络架构的字符级域名生成模型生成的DGA变体样本数据可充当真实的DGA样本用于分类器的训练。验证了生成数据的有效性,实现了对恶意DGA域名的变体样本的预测和检测。此外,本文提出了基于LSTM的生成序列模型,该模型通过one-hot编码和n-gram字符结合的方式对域名的字符信息进行了分析,基于LSTM生成序列作为GAN的输入,并对该模型进行了理论上的可行性评估。
【图文】：

域名,地址,缓存,服务器

图 2-1 Fast-Flux 僵尸网络机理Fig. 2-1 Fast-Flux botnet mechanism意域名解析意域名的解析与正常域名的解析相类似。本文以解析恶e.xx.com’为列，描述恶意域名在 DNS 系统中的解析流程。恶意域出现的域名，本地服务器中一般不会留有缓存数据，需要到 DNS询，查询流程如图 2-2 所示[35]，当在本地 DNS 服务器查询不到请址时，先向互联网运营 DNS 服务器进行查询，如果存在该恶意回域名的 IP 地址；如果不存在该域名缓存，则继续请求根域名域名服务器中存在该恶意域名则返回域名的 IP 地址，如果不存在，则继续请求 “.com” 服务器；如果 “.com”服务器中存在二m”，则继续请求二级缓存“.xx.com”服务器；如果 “.xx.com”服务gle.xx.com”域名，则返回域名“google.xx.com”的对应 IP 地址。经后，客户端 Client 收到恶意域名的 IP 地址，，用户可能受到攻击或。

流程图,域名,流程,主机名

图 2-2 恶意域名的解析流程Fig.2-2 The resolution process of malicious domains.4 DGA 恶意域名.4.1 DGA 恶意域名分析域名在构造上可分为两部分：主机名和域名（包括顶级域及可能的二级域级域等）。DGA 域名在构造上一般用随机算法来生成主机名，域名部分相定或变化较少。如 symmi 的 DGA 域名 hakueshoubar.ddns.net，其域名是由音字符生成器生成的字符和 ddns.net 组合而成；Conficker.C 的 DGA 域lrjgcjzf.net、gkrobqo.info 等也是由同频率的字符生成器和一级域名组合而成此本文中在生成类似 DGA 域名时不考虑域名数据集中的一、二级域名部分对 DGA 算法生成器的主机名的字符特性进行分析。目前已经出现的部GA 算法的示例域名如表 2-1 所示，它们都是字符级 DGA 算法产生,其他常 DGA 如 beebone 具有固定的结构，产生类似 ns1.backdates13.biz s1.backdates0.biz 的域名,symmi DGA 通过随机选择元辅音来生成几乎可以
【学位授予单位】：北京建筑大学
【学位级别】：硕士
【学位授予年份】：2018
【分类号】：TP393.08

【参考文献】