本發(fā)明提出了一種基于GAN和Char?CNN的DGA域名檢測(cè)方法，用于解決現(xiàn)有技術(shù)存在的低隨機(jī)性DGA域名的檢測(cè)召回率低的問題，實(shí)現(xiàn)步驟為：獲取訓(xùn)練樣本集和驗(yàn)證樣本集；構(gòu)建生成對(duì)抗網(wǎng)絡(luò)GAN和字符級(jí)卷積神經(jīng)網(wǎng)絡(luò)Char?CNN；對(duì)生成對(duì)抗網(wǎng)絡(luò)GAN進(jìn)行迭代訓(xùn)練；獲取增廣訓(xùn)練集；對(duì)字符級(jí)卷積神經(jīng)網(wǎng)絡(luò)Char?CNN進(jìn)行迭代訓(xùn)練；基于訓(xùn)練好的字符級(jí)卷積神經(jīng)網(wǎng)絡(luò)Char?CNN`對(duì)域名進(jìn)行檢測(cè)。本發(fā)明利用GAN生成對(duì)抗域名用以增廣數(shù)據(jù)集，提升了訓(xùn)練樣本集的豐富度，殘差塊結(jié)構(gòu)降低了檢測(cè)模型的錯(cuò)誤率，提高了低隨機(jī)性DGA域名的檢測(cè)召回率，同時(shí)Char?CNN需要計(jì)算的超參數(shù)少，縮短了檢測(cè)模型的訓(xùn)練時(shí)間。

技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，涉及一種DGA域名檢測(cè)方法，特別涉及一種基于GAN和Char-CNN的DGA域名檢測(cè)方法，可用于定位感染主機(jī)、關(guān)閉僵尸網(wǎng)絡(luò)和防御網(wǎng)絡(luò)攻擊。

背景技術(shù)

DGA域名是一種根據(jù)數(shù)字、日期、Twitter熱點(diǎn)等隨機(jī)種子，采用域名生成算法DGA(Domain Generation Algorithms)定期生成的域名。網(wǎng)絡(luò)攻擊者注冊(cè)DGA域名，作為僵尸程序與命令和控制服務(wù)器通信的媒介，這些大量潛在的DGA域名使執(zhí)法人員很難有效地關(guān)閉僵尸網(wǎng)絡(luò)。DGA域名嚴(yán)重威脅網(wǎng)絡(luò)主機(jī)的安全，尤其是新出現(xiàn)的低隨機(jī)性DGA域名隱蔽性強(qiáng)，威脅更大，對(duì)DGA域名進(jìn)行有效檢測(cè)具有重要意義。DGA域名檢測(cè)任務(wù)就是對(duì)域名的特征進(jìn)行提取，通過對(duì)提取的特征進(jìn)行計(jì)算，輸出預(yù)測(cè)概率，進(jìn)而檢測(cè)域名是否為DGA域名。評(píng)價(jià)DGA域名檢測(cè)效果的指標(biāo)有很多，如受試者工作特征曲線、F1值、檢測(cè)召回率等，其中，檢測(cè)召回率表示被檢測(cè)出的DGA域名占所有DGA域名的比值，因而對(duì)檢測(cè)召回率指標(biāo)的評(píng)價(jià)較為重要。

DGA域名檢測(cè)方法可分為基于黑名單的DGA域名檢測(cè)方法、基于機(jī)器學(xué)習(xí)的DGA域名檢測(cè)方法和基于深度學(xué)習(xí)的DGA域名檢測(cè)方法。其中，基于黑名單的DGA域名檢測(cè)方法通過判斷域名是否在預(yù)先設(shè)置的黑名單列表中，來檢測(cè)域名是否為DGA域名，黑名單需要不斷更新，導(dǎo)致該方法實(shí)時(shí)性差。基于機(jī)器學(xué)習(xí)的DGA域名檢測(cè)方法先手動(dòng)提取域名的長(zhǎng)度、信息熵、元輔音字符比例和重復(fù)字符數(shù)等特征，再使用支持向量機(jī)、隨機(jī)森林等機(jī)器學(xué)習(xí)算法檢測(cè)DGA域名，可進(jìn)行實(shí)時(shí)檢測(cè)。基于深度學(xué)習(xí)的DGA域名檢測(cè)方法通過神經(jīng)網(wǎng)絡(luò)模型自動(dòng)提取域名的潛在特征，經(jīng)過神經(jīng)元計(jì)算后輸出預(yù)測(cè)概率，從而檢測(cè)域名是否為DGA域名，在基于深度學(xué)習(xí)的DGA域名檢測(cè)方法中，特征維度的多少、訓(xùn)練樣本集的豐富度和檢測(cè)模型的錯(cuò)誤率是影響召回率的主要因素。

傳統(tǒng)的基于深度學(xué)習(xí)的DGA域名檢測(cè)方法都是通過單個(gè)神經(jīng)網(wǎng)絡(luò)提取特征，特征提取的維度單一，為解決這一問題，近些年又陸續(xù)提出了通過集成神經(jīng)網(wǎng)絡(luò)提取域名多維度特征，進(jìn)而檢測(cè)DGA域名的方法。例如，中電長(zhǎng)城網(wǎng)際系統(tǒng)應(yīng)用有限公司的羅赟騫等人在2018年第37卷第10期的《信息技術(shù)與網(wǎng)絡(luò)安全》上發(fā)表了論文“基于深度學(xué)習(xí)的集成DGA域名檢測(cè)方法”，提出了一種基于深度學(xué)習(xí)的集成DGA域名檢測(cè)方法。該方法融合深度學(xué)習(xí)中的循環(huán)神經(jīng)網(wǎng)絡(luò)RNN和卷積神經(jīng)網(wǎng)絡(luò)CNN，構(gòu)建了由字符嵌入層、特征提取層和分類層三部分組成的集成檢測(cè)模型。特征提取層采用CNN模型和RNN模型分別從空間和時(shí)間的維度自動(dòng)提取輸入字符的特征，有效提高了DGA域名的檢測(cè)召回率。但是該方法仍然存在不足：訓(xùn)練樣本集中包含的低隨機(jī)性DGA域名的數(shù)量太少，豐富度低，同時(shí)在網(wǎng)絡(luò)層次過深時(shí)會(huì)出現(xiàn)梯度消失的問題，錯(cuò)誤率升高，導(dǎo)致低隨機(jī)性DGA域名的檢測(cè)召回率低；循環(huán)神經(jīng)網(wǎng)絡(luò)RNN中每個(gè)時(shí)間步的計(jì)算都依賴于前一個(gè)時(shí)間步的計(jì)算和輸出，需要計(jì)算的超參數(shù)多，增加了檢測(cè)模型的訓(xùn)練時(shí)間。

發(fā)明內(nèi)容

本發(fā)明的目的在于針對(duì)上述現(xiàn)有技術(shù)的不足，提出一種基于GAN和Char-CNN的DGA域名檢測(cè)方法，用于解決現(xiàn)有技術(shù)存在的低隨機(jī)性DGA域名的檢測(cè)召回率低的問題。

為實(shí)現(xiàn)上述目的，本發(fā)明采取的技術(shù)方案包括如下步驟：

(1)獲取訓(xùn)練樣本集和驗(yàn)證樣本集：

(1a)從熱門域名集Alexa中順次選取前L個(gè)熱門域名組成訓(xùn)練樣本集A，L≥600000；