恶意域名检测技术的研究与实现

发布时间：2020-10-29 09:47

　　 随着计算机的蓬勃发展,互联网走进千家万户,与此同时互联网恶意行为也逐渐增多。僵尸网络是其中影响力和破坏力较大的一种恶意行为,它大范围地使用了DGA(Domain Generated Algorithm)这项技术。一旦主机访问由DGA生成的域名,且该域名已被恶意服务器注册,那么恶意服务器就可轻松地与该受控僵尸主机进行通信。DGA种类繁多,最近有文献提出了基于PCFG模型的DGA,在现有检测方法的测试下,它的抗检测效果非常显著。由于针对PCFG模型的DGA目前还没有具体的检测方案,因此本文首先研究了基于PCFG模型的DGA域名生成机制,并研究了由此类DGA所生成域名的特点。研究表明由PCFG模型所生成的域名通常基于合法域名生成,因此该域名的字符统计特征与合法域名相似。而且同一个PCFG模型往往可以生成多种类型的域名,很难通过人工提取合适的特征。因此本文针对该DGA域名的特点,提出了基于卷积神经网络CNN和多头注意力机制的恶意域名检测模型。CNN网络可以通过多种大小的卷积核来替代人工提取域名的关键信息,而多头注意力机制则可以一次性获得整个字符序列间的潜在关系,从而使得模型可以提取字符序列更深层的特征。之后文章设计了对比实验,分别验证多头注意力机制在域名检测中的效果,以及比较不同类型的神经网络在域名检测中的效果。实验证明结合神经网络和多头注意力机制的恶意域名检测模型针对基于PCFG模型的域名具有更好的检测效果。本文在提出恶意域名检测模型的基础上,构建了恶意域名检测系统。该系统可以实时检测恶意域名并及时展示,利用同步机制更新本地恶意域名库。同时本文针对该系统设计了对比实验,实验表明,该系统能对恶意域名及时响应,且针对恶意域名的检测效果优于现有的检测手段。
【学位单位】：北京邮电大学
【学位级别】：硕士
【学位年份】：2019
【中图分类】：TP393.08;TP183
【部分图文】：

。??２．１域名系统??２丄１域名解析过程??域名系统（ＤＮＳ）是存储ＤＮＳ数据库记录的物理服务器。这些域名服务器??是每天处理数十亿次查询的硬件。每次有人在浏览器中输入Ｗｅｂ地址时，世界??某个地方的域名服务器会接收查询，定位ＩＰ地址并将个人计算机指向正确的网??站，整个过程仅需要几秒种。??ＤＮＳ解析过程涉及将主机名（例如ｗｗｗ．ｅｘａｍｐｌｅ．ｃｏｍ）转换为计算机可识??别的ＩＰ地址（例如１９２．１６８．１．１）。网络上的每个设备都会获得一个ＩＰ地址，该??地址是查找相应网络设备所必需的－就像使用街道地址查找特定的家庭一样。??当用户想要加载网页时，ＤＮＳ会将用户键入Ｗｅｂ浏览器的网址（ｅｘａｍｐｌｅ．ｃｏｍ）??翻译成机器可识别的地址。??ＤＮＳ的解析过程如图所示：??Ｉ?ＤＳＳ？产ｆｔ解析器?Ｉ?客—續到￡务ＩＩ査痛?Ｉ?ＤＮＳＥ务ｇ之ｉ＿Ｃ５询??

Ｊａｃｃａｒｄ距离之差来判断该域名是否是恶意的。??令Ａ＃＝＃（ｄ，Ｚ〇－?／／（ｄ，Ｍ），可以得到：??ＡｊＩ?＝?Ｗ＼?Ｚ?（２－ｌ〇）ｌ?￡Ｌ?丨丨？ｎ?ｅＭ??则以下公式可以对域名的分类进行判断：??（ｉｆ?Ａｊ，?＞０，ｄ?ｉｓ?ｍａｌｉｃｉｏｕｓ??［ｉｆ?Ａｊ，＜０，ｄ?ｉｓ?ｌｅｇｉｔｉｍａｔｅ?（２?１１）深度学习??人工神经网路ＭＬＰ??ＭＬＰ即多层感知机（ｍｕｌｔｉｌａｙｅｒｐｅｒｃｅｐｔｒｏｎ，ＭＬＰ）?［３３］。它是一种最简单的络，各神经元分层排列。每个神经元只与前一层的神经元相连。??最简单的ＭＬＰ只含一个隐层，它具有三层结构：??

?２?４??图２－３?ＲｅＬＵ函数??它的优点在于首先保留了许多线性模型易于使用梯度优化的属性，其次在??ｘ＜０时ＲｅＬＵ函数的值为０，这使得网络变得稀疏，减少了参数的依存关系，从??而解决了网络过度拟合的问题，而且ＲｅＬＵ函数的计算量也更小。??２．４．２循环神经网路ＬＳＴＭ??＇?＼?ｔ?／?，??＾?Ｘ＾Ｏｕｔｐｕｔ?Ｇａｔｅ?“??＼?？??ｘ?Ｆｏｒｇｅｔ?Ｇａｔｅ???（＾）?Ｂｌｏｃｋ??７Ｔ＼??图２－４循环神经网络ＬＳＴＭ的网络结构??ＬＳＴＭ神经网络即长短期记忆网络［３４】，它是ＲＮＮ循环神经网络的一种类型。??ＬＳＴＭ网络在普通ＲＮＮ网络的基础上，在隐藏层各神经单元中增加了记忆??单元，从而使时间序列上的记忆信息可控。它通过几个可控门，可以控制之前历??史信息和当前信息的记忆和遗忘程度
【相似文献】

相关期刊论文 前10条

1 李晓东;毛伟;阎保平;;域名服务体系安全问题研究[J];计算机工程与应用;2007年34期

2 ;主要免费域名服务[J];电子计算机与外部设备;2001年05期

3 ;免费动态域名服务[J];电子计算机与外部设备;2001年10期

4 黄学军,钟敏,孔炯;域名服务系统及管理[J];机械与电子;1998年04期

5 薛少华;域名服务系统的结构及运行过程[J];郑州大学学报(自然科学版);1998年02期

6 尚文刚,冯天亮;域名服务系统的建立[J];计算机应用研究;1999年01期

7 刘丰,孙继银;域名服务系统DNS及其配置[J];微机发展;1998年05期

8 薛少华,朱国贞;域名服务系统的应用研究[J];微计算机应用;1998年02期

9 刘宝新;;统一域名服务系统设计方案[J];电脑知识与技术;2012年36期

10 阿达;善用Win2000的域名服务[J];电脑爱好者;2000年23期

相关硕士学位论文 前10条

1 黄偲琪;恶意域名检测技术的研究与实现[D];北京邮电大学;2019年

2 赵菁菁;域名信息分析子系统的设计与实现[D];哈尔滨工业大学;2018年

3 任晓蕊;张四毛盗窃域名案的法理分析[D];河北经贸大学;2018年

4 徐晶;基于Spark框架的恶意域名实时检测系统的设计与实现[D];华中科技大学;2016年

5 张乐;域名依赖性的监测[D];东南大学;2017年

6 张颖;多因素融合的域名推荐引擎研究[D];哈尔滨工业大学;2017年

7 林珈;分布式域名服务系统的分析与设计[D];北京邮电大学;2009年

8 熊书珺;基于DNS日志的IP属性分析系统的设计与实现[D];哈尔滨工业大学;2017年

9 刘井强;基于私有根域名的DNS解析试验系统设计与实现[D];哈尔滨工业大学;2017年

10 高颖;Anycast技术在DNS系统应用分析[D];吉林大学;2017年

本文编号：2860728