摘要
随着互联网信息技术的快速发展,人们享受到了巨大的便利。但与此同时,网络攻击呈现出惊人的增长趋势,特别是针对互联网用户个人财产安全的恶意攻击,例如僵尸网络和勒索软件。利用僵尸网络发起攻击需要在僵尸主机与命令和控制(Camp;C)服务器之间建立连接,为了使连接更加稳定,攻击者通常使用域名生成算法(DGA)来生成大量恶意域名,通过这些恶意域名建立连接,进行通信。因此,检测DGA域名是防范僵尸网络和保障网络安全的关键步骤。 域名检测技术经历了依赖人工提取特征的机器学习阶段,但由于DGA域名的动态性和随机性,人工提取特征无法跟上DGA域名的更新速度。如今随着深度学习技术在不同领域的广泛应用,域名检测技术也向能够自动提取域名特征的深度学习技术转变,并且检测性能相比机器学习有所提升,但仍然存在着两个问题:一是无论在域名可读性方面,还是字符分布方面,基于单词的DGA域名都与良性域名高度相似,导致现有检测方法对这类域名检测效果不佳;二是相比单一模型,如今在域名检测领域广泛使用的混合模型,虽然检测效果好,但模型的参数量也在大幅增加。针对这两个问题,本文的具体研究工作如下: (1)分析单词DGA域名的组成特征,及其在可读性和字符分布两方面与良性域名的相似性,提出一种结合APCNN和BiGRU-Att的神经网络模型来提高对单词DGA域名的检测性能,一方面利用改进的并行卷积神经网络APCNN来提取单词特征和学习单词之间的组合关系;另一方面利用BiGRU-Att能提取域名中字符的关键信息。一系列实验结果表明:相比于其他四种模型,APCNN-BiGRU-Att模型对基于单词的DGA域名有更好的检测效果、多分类效果和稳定性。 (2)进一步研究单词DGA域名的构成及其组成单词长度分布情况,并对nymiam家族进行统计分析。为了增强模型对多尺度单词特征的学习能力,提出了一种基于深度可分离卷积和ECA注意力机制的域名检测方法。在第三章模型的基础上,一方面利用结合ECA通道注意力机制的并行卷积网络来提取域名的多尺度n-gram特征,为多尺度特征分配权重,同时使用深度可分离卷积来降低参数量和计算量;另一方面仍然利用BiGRU-Att模型来提取域名中字符之间的时序特征。实验结果表明:对比其他五种模型,无论是二分类性能,还是多分类性能,该模型均有更好的表现。同时相比于第三章模型,参数量和计算量也有所下降,提高了检测效率。因此,该模型在分类性能和模型复杂度之间取得更好的平衡。
NETL