[发明专利]一种DGA域名检测分类方法及装置在审
申请号: | 202110124333.5 | 申请日: | 2021-01-29 |
公开(公告)号: | CN112953914A | 公开(公告)日: | 2021-06-11 |
发明(设计)人: | 林兰芬;周少芳;袁俊坤 | 申请(专利权)人: | 浙江大学 |
主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L29/12;G06F16/35;G06N3/04;G06N3/08 |
代理公司: | 杭州求是专利事务所有限公司 33200 | 代理人: | 应孔月 |
地址: | 310058 浙江*** | 国省代码: | 浙江;33 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 一种 dga 域名 检测 分类 方法 装置 | ||
本申请公开了一种DGA域名检测分类方法及装置,包括:获取待分类的DGA域名;采用混合粒度的域名分割方法,将所述DGA域名分割成字符粒度或单词粒度的元素;为每个所述元素进行哈希计算,得到对应的整数编码;将所述整数编码输入基于多层空洞因果卷积的DGA域名检测分类网络中,得到分类结果。本申请采用混合粒度的域名分割方法,将域名分割为字符粒度或单词粒度的元素,可以有效利用域名的字符组合及单词组合特征,实现对不同种类DGA域名的统一检测,并提高对基于单词列表的DGA域名的检测能力。使用基于多层空洞因果卷积的DGA域名检测分类网络计算分类结果,其计算效率高,可以取得性能与效率的平衡。
技术领域
本申请涉及网络安全技术领域,尤其涉及一种DGA域名检测方法及装置。
背景技术
僵尸网络(Botnet)是一种危害严重的恶意攻击,其控制者(Botmaster)出于恶意目的,传播僵尸程序,将大量主机感染为僵尸主机(Bots),并在控制者的服务器与僵尸主机间建立一对多的命令与控制(Command and Control)信道。僵尸网络一旦形成,攻击者可以获得强大的分布式计算能力和丰富的信息资源储备,从而更易于发起各种网络攻击。
为了更好的隐藏自己并逃逸检测,许多僵尸网络在僵尸程序中编码域名生成算法(Domain Generation Algorithm,简称DGA),动态地生成大量域名(称为DGA域名),但只将其中的少数域名注册并投入使用。此时,僵尸主机通过逐个访问DGA域名,最终总能与服务器建立连接,但防御人员却无法判断服务器的真实地址,为了切断信道,必须屏蔽所有DGA域名。
目前已有许多计算机安全领域人士投入对DGA域名检测的研究,其中,深度学习方法因具有检测精度高、无需手工特征、能够实时检测等优点,已经成为这一问题的主流解决方法。
基于深度学习的DGA域名检测技术通常做法是先将域名转化为多维数值向量,然后将向量输入某种结构的深度神经网络,由网络提取特征并预测域名属于某一分类的概率。
根据所使用的深度神经网络结构的不同,现有检测算法可分为:(1)基于递归神经网络的算法,例如Woodbridge等人提出使用长短期记忆(Long-Short Term Memory,简称LSTM)网络来检测DGA域名,其后,Yu等人还提出双向LSTM网络(简称BiLSTM)作为分类网络;(2)基于卷积神经网络的算法,例如Yu等人提出的堆叠卷积神经网络(简称S-CNN),及Saxe等人提出的平行卷积神经网络(简称P-CNN);(3)基于混合网络的方法,即网络中既使用了卷积层,又使用了递归结构,例如Yu等人提出的使用CNN-LSTM网络作为分类器的算法;(4)基于胶囊网络的算法,例如Berman探索了基于一维胶囊网络(Capsule Network,简称CapsNet)的DGA域名检测算法。
但是,上述检测算法存在局限性,主要包括以下两点:
第一,将域名转化为多维数值向量时,通常采用字符粒度的域名分割方法,也就是将域名中的每个字符都视作单独的元素分隔开,之后再对不同字符分别进行编码及语义嵌入。这种方法的局限性在于后续的深度神经网络只能挖掘字符层面的特征,而忽略了域名中可能存在的单词结构。这使得算法虽然能够检测由随机字符组成的DGA域名,却难以分辨那些由多个常见单词组成、字符分布频率与正常域名十分相似的DGA域名。
第二,现有方法所使用的深度神经网络各有优劣,难以兼顾准确性与高效性。其中,递归神经网络适合处理序列信息,但训练时间长;普通卷积神经网络,可提取局部特征,但难以提取全局信息;混合网络能综合利用局部和全局特征,但在提取特征的过程中易出现信息的损失;胶囊网络分类准确率高,但计算复杂,算法效率较低。
发明内容
本申请实施例的目的是提供一种DGA域名检测方法及装置,以解决相关技术中存在的难以识别基于单词列表的DGA域名、难以兼顾方法的准确性与高效性的问题。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于浙江大学,未经浙江大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110124333.5/2.html,转载请声明来源钻瓜专利网。