[发明专利]基于GAN压缩算法的DGA域名威胁检测系统及其训练方法

说明书

本发明公开基于GAN压缩算法的DGA域名威胁检测系统及其训练方法，通过生成对抗网络GAN生成对抗域名，生成对抗网络GAN中的生成器网络和判别器网络一起训练，相互博弈，使得生成的对抗域名可以很好地模拟低随机性的热门域名，对抗域名是算法生成的且随机性低，可视为低随机性的DGA域名，将其添加到训练样本集中可提升训练样本集的丰富度，有效提高了低随机性DGA域名的检测召回率。

技术领域

本发明涉及网络安全技术领域，尤其涉及基于GAN压缩算法的DGA域名威胁检测系统及其训练方法。

背景技术

近年来，恶意软件的数量和复杂度持续增长，催生了大量黑色产业链和网络犯罪行为，据统计，网络空间犯罪的资本市场到2018年止已经高达1500亿美元，为了维持持续增长的经济效益或其它目的，攻击者对肉鸡的管理是僵尸网络控制的重要问题。对肉鸡进行有效的管理，不仅有利于各种攻击类型的发起，更可以延长攻击被发现时间，并且实现攻击者真实身份的隐藏。现代恶意软件一般通过使用DGA算法与C2服务器建立通信，从而达到上述目的。对应地，针对DGA算法的研究现在也是安全圈讨论的热点话题，学术界和工业界也有大量DGA域名检测的工作，主要使用深度学习技术，自动化提取特征，找出其中的DGA域名。

由于算法计算量问题，导致缺乏较快响应的处理结果数据。一些深度学习，虽然模型可以自己学习并训练数据，但是其初始化调参时仍然需要输入样本进行基本的训练，所以仍然存在输入样本被攻击的问题。

发明内容

本发明的目的在于提供基于GAN压缩算法的DGA域名威胁检测系统及其训练方法。

本发明采用的技术方案是：

基于GAN压缩算法的DGA域名威胁检测系统，包括域名编码器、生成器、判别器和域名解析器，

域名编码器：对根域名进行编码生成一路域名向量至生成器和判别器；

生成器：生成器接收由高斯分布模型随机产生的100维数据并输出15维域名向量；生成器中有两个输入，一个随机生成的变量，一个是经过编码的根域名，训练时根域名会随机从根域名列表中取，两个输入相乘后送入生成器网络，

判别器：判别器接收由15维真实DGA域名向量和生成器生成的15维域名向量构成的30维域名向量，将其拆分为两个15维向量进行判别；判别器的网络采用双层LSTM网络来判断输入的域名向量的真假，即将域名向量进行分类，输出的是分类后的标签，

域名解析器：对生成器输出15维域名向量进行域名解析以得到二级域名的编码。

进一步地，生成器网络结构与判别器保持一致。

进一步地，生成器和判别器均4层神经网络构成，即输入层、两层隐含层和输出层。

进一步地，分类标签包括正常域名DGA域名、生成器生成的域名。

基于GAN压缩算法的DGA域名威胁检测系统的训练方法，其包括以下步骤：

步骤1，给定一个预训练的生成器G’，通过蒸馏的方法获取一个较小的的生成器G，

步骤2，从生成器中提取许多子生成器，并评估其性能，无需重新训练；

步骤3，根据给定的压缩率目标和性能目标，选择最佳子生成器，进行微调，并获得最终的压缩模型；其具体压缩步骤如下：

步骤3-1，构造合适的损失函数：

其中，V(G，D)表示真实样本和生成样本的差异程度；表示固定生成器G，最大地判别出样本来自于真实数据还是生成的数据；是在固定判别器D的条件下得到生成器G，G最小化真实样本与生成样本的差异；

步骤3-2，在损失函数中加入第二项，统一非配对和配对学习的损失：