[发明专利]一种面向物联僵尸网络的DGA域名检测方法

说明书

本发明属于物联网安全技术领域，公开了一种面向物联僵尸网络的DGA域名检测方法，包括：获取物联网设备发出的DNS域名解析请求中的域名字符串；将域名字符串输入训练好的域名检测模型中得到域名的二分类和多分类结果；其中，所述域名检测模型是基于Small BERT预训练模型与CNN的融合网络进行训练所得到的。本发明通过结合SmallBERT模型对域名以子词为粒度和基于CNN对域名以字符为粒度的两种特征提取能力，提高算法对域名语义、词法、发音性、字符随机性等综合特征的学习能力，提升针对随机单词型DGA域名的检测性能，改善域名多分类任务性能不平衡的问题，满足物联网环境下计算资源受限、推理速度高的要求，具有检测性能高、流程简单、易于部署、可用范围广的优点。

技术领域

本发明涉及物联网安全检测技术领域，尤其涉及一种DGA域名检测方法及系统。

背景技术

僵尸网络是由恶意软件感染大量计算机形成的一个网络，该网络可以被控制者用来执行各种恶意网络活动，例如发起DDoS攻击、传播垃圾邮件、窃取用户信息等。域名生成算法(Domain GenerationAlgorithm，DGA)是构建僵尸网络的命令控制信道的技术之一。DGA域名指的是通过DGA算法生成的恶意域名。僵尸网络控制者将DGA算法集成到恶意软件中，动态生成大量DGA域名，随机选择其中一部分作为控制服务器的地址，从而实现对僵尸机的控制。而防病毒软件和网络安全设备通常依赖于已知的恶意域名或IP地址来识别和阻止恶意流量，因此，检测和阻止DGA域名需要更高级的安全防御措施和技术。

最初的DGA算法采用了比较简单的随机数生成方法，例如基于时间戳、硬件信息、固定种子值等生成随机数，再将随机数与一个预设的字符串进行组合生成域名列表。随着网络攻防技术的发展，提出了许多新的算法和改进方法。例如使用辅音字母和元音字母组合生成音节，然后随机拼接多个音节生成可发音的域名。还有将词典中的单词随机拼接，生成与合法域名相似度较高的DGA域名，现有技术对单词拼接型DGA域名的检测性能不高，是DGA域名检测技术面临的挑战之一。

人工智能时代下，DGA域名检测算法主要分为两类：基于人工特征提取的机器学习方法和基于无特征提取的深度学习方法。深度学习方法可以减少人工提取特征的步骤，并且在自然语言处理领域中取得了很大的成功，近年来被广泛应用于DGA域名检测方法中。在基于深度学习的DGA域名检测方法中，前期的方法研究中较多地采用循环神经网络为基础框架，对于随机性高的DGA域名具有较好的检测性能，但是对于基于单词拼接生成的DGA域名的检测性能表现不佳。后期逐渐使用注意力机制融合于循环神经网络、卷积神经网络，以及采用Transformer等多种网络混合的方法提升DGA域名多分类任务的效果。虽然整体的检测性能有所改善，但是对于70多个DGA家族的域名多分类任务，始终存在检测性能不平衡的问题。

此外，在当下物联网设备数量爆发式增长的环境中，物联网设备由于各种软件漏洞等因素容易被僵尸网络侵袭，物联僵尸网络也已经发展为当前物联网安全领域内的一个重大威胁，对人们的生活和生产活动有直接的负面影响。尤其是设备资产金额较大、数据敏感程度高的物联网环境，例如工业物联网、智慧城市物联网和医疗物联网等，其设备和数据的安全性得到人们更多的重视。但是，适用于实际物联网应用环境的高性能的DGA域名检测方法，还有待研究和提出。

发明内容

本发明提供一种面向物联僵尸网络的DGA域名检测方法，用以解决现有技术中对于单词拼接型DGA域名检测性能低、DGA域名多分类任务性能不平衡的问题，以及不适用于物联网环境的缺陷。

面向物联僵尸网络的DGA域名检测方法，包括：

获取物联网设备发出的DNS域名解析请求中的域名字符串；

将域名字符串输入训练好的域名检测模型中，得到域名的二分类和多分类结果；其中，所述域名检测模型是基于Small BERT与CNN的融合神经网络进行训练所得到的。

进一步地，所述域名检测模型，通过以下步骤获得：