基于Char-RNN改进模型的恶意域名训练数据生成技术
发布时间:2021-12-30 08:40
近年来,新型僵尸网络开始使用域名生成算法(DGA)和命令与控制(C&C)服务器通信。针对基于深度学习的检测模型缺少对新出现的DGA变体域名的识别能力等问题,结合文本生成的思想,文章对原始Char-RNN模型进行改进,使用长短期记忆网络(LSTM)构建模型并引入注意力机制,从而生成用于模拟未知变体算法的恶意域名。实验证明,基于该方法生成的域名数据与真实数据在字符组成结构和频率方面具有高度相似性,且以生成数据作为训练集的检测模型保持了较好的性能,验证了基于文本生成模型的数据有效性以及将其作为训练数据集来预测未知DGA变体的可行性。
【文章来源】:信息网络安全. 2020,20(09)北大核心CSCD
【文章页数】:6 页
【部分图文】:
改进的Char-RNN模型框架
LSTM网络[18]是一种特殊的RNN,与标准RNN相比,LSTM结构在捕获长期依赖性方面更有优势。在LSTM中,隐藏层中的每个传统节点都被存储器单元替换。存储器单元是LSTM中最重要的结构,可以有效缓解梯度消失或者梯度爆炸的问题。LSTM单元由存储器单元和它们包含的门单元共同组成。门是一种让信息有选择性通过的结构,一个LSTM单元由遗忘门、输入门和输出门构成。图2给出了LSTM存储器单元的内部结构。恶意域名经过预处理后,输入嵌入层得到字符向量,然后通过第一层LSTM网络得到输出,通过第二层LSTM网络得到输出,其中为LSTM的隐藏层在时刻的输出,LSTM隐藏层的具体输出公式如下:
真实数据与生成数据字符统计频率
【参考文献】:
期刊论文
[1]一种改进的卷积神经网络恶意域名检测算法[J]. 杨路辉,刘光杰,翟江涛,刘伟伟,白惠文,戴跃伟. 西安电子科技大学学报. 2020(01)
[2]恶意域名检测研究与应用综述[J]. 王媛媛,吴春江,刘启和,谭浩,周世杰. 计算机应用与软件. 2019(09)
[3]基于AGD的恶意域名检测[J]. 臧小东,龚俭,胡晓艳. 通信学报. 2018(07)
[4]基于word-hashing的DGA僵尸网络深度检测模型[J]. 赵科军,葛连升,秦丰林,洪晓光. 东南大学学报(自然科学版). 2017(S1)
[5]僵尸网络机理与防御技术[J]. 江健,诸葛建伟,段海新,吴建平. 软件学报. 2012(01)
硕士论文
[1]基于对抗模型的恶意域名检测方法的研究与实现[D]. 袁辰.北京建筑大学 2018
本文编号:3557852
【文章来源】:信息网络安全. 2020,20(09)北大核心CSCD
【文章页数】:6 页
【部分图文】:
改进的Char-RNN模型框架
LSTM网络[18]是一种特殊的RNN,与标准RNN相比,LSTM结构在捕获长期依赖性方面更有优势。在LSTM中,隐藏层中的每个传统节点都被存储器单元替换。存储器单元是LSTM中最重要的结构,可以有效缓解梯度消失或者梯度爆炸的问题。LSTM单元由存储器单元和它们包含的门单元共同组成。门是一种让信息有选择性通过的结构,一个LSTM单元由遗忘门、输入门和输出门构成。图2给出了LSTM存储器单元的内部结构。恶意域名经过预处理后,输入嵌入层得到字符向量,然后通过第一层LSTM网络得到输出,通过第二层LSTM网络得到输出,其中为LSTM的隐藏层在时刻的输出,LSTM隐藏层的具体输出公式如下:
真实数据与生成数据字符统计频率
【参考文献】:
期刊论文
[1]一种改进的卷积神经网络恶意域名检测算法[J]. 杨路辉,刘光杰,翟江涛,刘伟伟,白惠文,戴跃伟. 西安电子科技大学学报. 2020(01)
[2]恶意域名检测研究与应用综述[J]. 王媛媛,吴春江,刘启和,谭浩,周世杰. 计算机应用与软件. 2019(09)
[3]基于AGD的恶意域名检测[J]. 臧小东,龚俭,胡晓艳. 通信学报. 2018(07)
[4]基于word-hashing的DGA僵尸网络深度检测模型[J]. 赵科军,葛连升,秦丰林,洪晓光. 东南大学学报(自然科学版). 2017(S1)
[5]僵尸网络机理与防御技术[J]. 江健,诸葛建伟,段海新,吴建平. 软件学报. 2012(01)
硕士论文
[1]基于对抗模型的恶意域名检测方法的研究与实现[D]. 袁辰.北京建筑大学 2018
本文编号:3557852
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3557852.html
