[发明专利]一种基于生成对抗网络的域名生成方法、装置和设备

说明书

本发明的实施例提供了一种基于生成对抗网络的域名生成方法、装置和设备。所述方法包括获取良性域名和恶意域名，得到良性域名数据集和恶意域名数据集；构建自编码器模型，将良性域名数据集和恶意域名数据集转换为对应的良性域名向量和恶意域名向量，作为训练样本对自编码器模型进行训练；构建生成对抗网络并得到生成域名，对生成对抗网络进行生成对抗训练，得到训练后的生成器和鉴别器；将所述第一随机数种子输入训练后的生成器，得到候选域名列表。以此方式，能够在模拟良性域名隐藏特征的同时规避掉已被检测恶意域名中的隐藏特征，使得生成的域名能躲避域名检测器的检测，拥有较高的抗检测能力，同时加快对抗生成网络的对抗速度。

技术领域

本发明一般涉及域名生成领域，并且更具体地，涉及一种基于生成对抗网络的域名生成方法、装置和设备。

背景技术

随着恶意木马产业的发展，很多木马早已摆脱了过去“单打独斗”的作战方式，而是通过网络相互关联起来，通过指挥大量受到感染的计算机共同行动，进而发挥出协同效果。这样既可以集中起来同时对某个目标进行打击，也可以互相分散各自所承受的风险。在木马攻击过程中进行指挥的关键节点便是命令及控制服务器（Command and ControlServer，CC服务器）。受到感染的计算机通过生成域名与CC服务器建立连接。域名生成算法(Domain generation algorithms，DGA)可以快速产生大量生成域名的算法。

传统基于黑名单的防护手段无法有效应对DGA生成的域名，一方面，黑名单的更新速度远远赶不上DGA域名的生成速度；另一方面问题是防御者必须阻断所有的DGA域名才能阻断CC服务器通信。

近几年，研究人员对DGA域名的检测进行了大量的研究。这些方法主要分为两类，一类是基于域名状态进行检测，一类是对域名名称进行分析检测。对于域名状态的检测主要是通过域名在商业平台注册的情况和流量分析来进行评判，本质是通过域名的一些行为特征指标判别域名性质，但是这些性质常在僵尸控制者操作受感染电脑后才会表现出来；而对域名名称进行的分析检测可以拥有更好的实时效果，尤其借助深度学习对于域名数据进行表征学习，可以更快的适应不断变化的DGA生成方法，也大大减少了人力物力的巨大投入。

基于对抗样本的域名生成方式可以使得生成的对抗域名具备很高的抗检测能力，能够误导DGA域名检测器做出错误的分类，提高DGA的抗检测性能，但如果对样本的生成方式不加以限制，可能会导致生成的对抗样本过于自由化，无法最大限度的提升对抗样本的抗检测能力。在基于生成对抗网络的域名生成方式在生成对抗的过程中，由于生成器生成对抗样本的过程只考虑了良性域名特征，未考虑已经被检测器检测出的恶意域名的特征，会导致生成对抗网络的训练往往耗时较长，严重影响对抗网络训练的速度和效率，而且会在生成的样本中出现恶意域名的隐藏特征。

发明内容

根据本发明的实施例，提供了一种基于生成对抗网络的域名生成方案。本方案能够在模拟良性域名隐藏特征的同时规避掉已被检测恶意域名中的隐藏特征，使得生成的域名能躲避域名检测器的检测，拥有较高的抗检测能力，同时加快对抗生成网络的对抗速度。

在本发明的第一方面，提供了一种基于生成对抗网络的域名生成方法。该方法包括：

获取良性域名，将所述良性域名整理为良性域名数据集；以及，获取恶意域名，将所述恶意域名整理为恶意域名数据集；

构建自编码器模型，将所述良性域名数据集和恶意域名数据集对应转换为良性域名向量和恶意域名向量，将所述良性域名向量和恶意域名向量作为训练样本对所述自编码器模型进行训练；

利用训练后的自编码器构建生成对抗网络并得到生成域名，对所述生成对抗网络进行生成对抗训练，得到训练后的生成器和鉴别器；

对当前时间进行Hash，得到第一随机数种子，将所述第一随机数种子输入训练后的生成器，得到候选域名列表。

进一步地，所述将所述良性域名整理为良性域名数据集，包括：