[发明专利]一种对抗训练DGA域名检测模型的方法及装置

说明书

本发明公开了一种对抗训练DGA域名检测模型的方法及装置，包括获取DNS流量样本数据，并提取获得域名文件；基于预先构造的分词词典对域名文件中的各域名进行分割，并根据分割结果构建编码向量文件；通过预先训练的词向量模型确定编码向量文件的各域名的训练词向量集，以及利用生成模型生成DGA域名的模拟词向量；基于训练词向量集中的词向量和所生成的模拟词向量训练判别模型和生成模型。在按照本公开的方法进行训练后，能够生成低随机性的DAG域名，而无需收集恶意样本。并且基于所生成的低随机性的DAG域名训练的判别模型，能够有效地检测出由DGA算法产生的低随机性DGA域名，从根源处遏制网络攻击的发生。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种对抗训练DGA域名检测模型的方法及装置。

背景技术

在网络安全领域，早期的僵尸主机通常采用轮询的方法访问硬编码的CC域名或IP来访问服务器获取控制命令，从而进行恶意的网络活动，但是这种方式在安全人员进行逆向之后会得到有效的屏蔽。目前，攻击者为了防止恶意域名被发现，会使用Domain Flux或者IP Flux来快速生成大量的恶意域名。Domain Flux是通过不断变换域名，指向同一个IP，IP Flux是只有一个域名，不断变换IP，一个域名可以使用多个IP。域名生成算法(Domain Generation Algorithm)，是一种利用随机字符来生成CC域名，同时结合DomainFlux或IP Flux技术，从而有效地逃避域名黑名单检测的技术手段。目前基于机器学习的DGA检测方法通过判断域名是否由DGA算法生成，从而阻断DGA域名与其CC的连接，从根源处遏制网络攻击的发生。但现有的技术的生成模型生成样本的字符分布随机性比正常域名高，与正常样本差异较大，因此使用这些高随机性样本训练的判别模型无法有效地用于检测低随机性的DGA家族域名。

发明内容

本发明实施例提供一种对抗训练DGA域名检测模型的方法及装置，用以能够通过训练获得的生成模型能够生成低随机性DAG域名，同时通过使用所生成的低随机性DAG域名对抗训练的判别模型可以有效地检测出由DGA算法生成的低随机性DGA域名，从根源处遏制网络攻击的发生。

第一方面，本发明实施例提供一种对抗训练DGA域名检测模型的方法，包括：

获取DNS流量样本数据，并提取各DNS流量样本数据的主域名和顶级域名，以获得域名文件；

基于预先构造的分词词典对所述域名文件中的各域名进行分割，并根据分割结果构建编码向量文件，其中，所述分词词典是基于常用词汇形成的，包括整词和子词；

通过预先训练的词向量模型确定所述编码向量文件各域名的训练词向量集，以及利用生成模型生成DGA域名的模拟词向量；

利用所述训练词向量集中的词向量和所生成的模拟词向量训练判别模型和所述生成模型。

在一些实施例中，根据分割结果构建编码向量文件包括：

根据分割结果按照前向最大匹配原则，将域名分割为整词和子词的序列片段；

按照出现频率高低顺序，基于所述序列片段中出现频率靠前的指定数量的整词或子词，构建向量映射字典；

基于所述向量映射字典形成所述编码向量文件。

在一些实施例中，基于所述向量映射字典形成所述编码向量文件包括：

基于所述向量映射字典，将域名文件中的各域名编码至预设长度，以形成所述编码向量文件。

在一些实施例中，所述词向量模型是预先利用无监督学习方法训练获得的。

在一些实施例中，利用生成模型生成DGA域名的模拟词向量包括：

基于期望分布随机产生对抗样本，并将产生的对抗样本输入所述生成模型，以生成DGA域名的模拟词向量。