Large Language Models for Effective Detection of Algorithmically Generated Domains:A Comprehensive Review

1

作者 Hamed Alqahtani Gulshan Kumar 《Computer Modeling in Engineering & Sciences》 2025年第8期1439-1479,共41页

Domain Generation Algorithms(DGAs)continue to pose a significant threat inmodernmalware infrastructures by enabling resilient and evasive communication with Command and Control(C&C)servers.Traditional detection me... Domain Generation Algorithms(DGAs)continue to pose a significant threat inmodernmalware infrastructures by enabling resilient and evasive communication with Command and Control(C&C)servers.Traditional detection methods-rooted in statistical heuristics,feature engineering,and shallow machine learning-struggle to adapt to the increasing sophistication,linguistic mimicry,and adversarial variability of DGA variants.The emergence of Large Language Models(LLMs)marks a transformative shift in this landscape.Leveraging deep contextual understanding,semantic generalization,and few-shot learning capabilities,LLMs such as BERT,GPT,and T5 have shown promising results in detecting both character-based and dictionary-based DGAs,including previously unseen(zeroday)variants.This paper provides a comprehensive and critical review of LLM-driven DGA detection,introducing a structured taxonomy of LLM architectures,evaluating the linguistic and behavioral properties of benchmark datasets,and comparing recent detection frameworks across accuracy,latency,robustness,and multilingual performance.We also highlight key limitations,including challenges in adversarial resilience,model interpretability,deployment scalability,and privacy risks.To address these gaps,we present a forward-looking research roadmap encompassing adversarial training,model compression,cross-lingual benchmarking,and real-time integration with SIEM/SOAR platforms.This survey aims to serve as a foundational resource for advancing the development of scalable,explainable,and operationally viable LLM-based DGA detection systems. 展开更多

关键词 Adversarial domains cyber threat detection domain generation algorithms large language models machine learning security

在线阅读 下载PDF 职称材料

基于贝叶斯超参数优化的BiLSTM模型DGA域名生成方法

2

作者 李博文 乔延臣 +3 位作者 王继刚 陆柯羽 张宇 张伟哲 《信息安全研究》 北大核心 2025年第10期950-959,共10页

近年来,域名生成算法(domain generation algorithm,DGA)在网络攻击中被广泛使用,为恶意软件通信动态生成大量随机域名,给安全防御带来严峻挑战.随着DGA结构日益复杂,传统依赖手动提取特征的域名分类方法难以及时适配新型变种;而基于生... 近年来,域名生成算法(domain generation algorithm,DGA)在网络攻击中被广泛使用,为恶意软件通信动态生成大量随机域名,给安全防御带来严峻挑战.随着DGA结构日益复杂,传统依赖手动提取特征的域名分类方法难以及时适配新型变种;而基于生成的深度模型虽然能从数据分布中自动捕捉潜在规律,却常因参数规模庞大与调参难度高而无法在面对多样化DGA时保持稳定表现.为了应对这一挑战,提出了一种基于贝叶斯超参数优化(Bayesian hyperparameter optimization,Bayesian HPO)的双向长短期记忆网络(bidirectional long short-term memory,BiLSTM)模型的DGA域名生成方法,预测并生成用于僵尸网络中恶意行为的拦截DGA域名黑名单.贝叶斯超参数优化技术通过自动调优关键超参数显著减轻了人工干预与训练成本,并提升了模型对不同DGA的鲁棒性与泛化能力.实验结果表明,该方法在多种DGA域名上均展现了优秀的生成准确率,可以为网络安全提供一种主动、防御前移的新思路. 展开更多

关键词 域名生成算法 双向长短期记忆网络 贝叶斯超参数优化 dga域名生成 网络安全

在线阅读 下载PDF 职称材料

基于word-hashing的DGA僵尸网络深度检测模型 被引量：9

3

作者 赵科军 葛连升 +1 位作者 秦丰林 洪晓光 《东南大学学报（自然科学版）》 EI CAS CSCD 北大核心 2017年第A01期30-33,共4页

针对使用域名生成算法(DGA)僵尸网络隐蔽性强,传统检测算法特征提取复杂的问题,提出一种无需提取具体特征的深度学习模型DGA域名检测方法.首先基于word-hashing将所有域名转用二元语法字符串表示,利用词袋模型把域名映射到高维向量空间... 针对使用域名生成算法(DGA)僵尸网络隐蔽性强,传统检测算法特征提取复杂的问题,提出一种无需提取具体特征的深度学习模型DGA域名检测方法.首先基于word-hashing将所有域名转用二元语法字符串表示,利用词袋模型把域名映射到高维向量空间.然后利用5层深度神经网络对转换为高维向量的域名进行训练分类检测.通过深度模型,能够从训练数据中发现不同层次抽象的隐藏模式和特征,而这些模式和特征使用传统的统计方法大多是无法发现的.实验中使用了10万条DGA域名和10万条合法域名作为样本,与基于自然语言特征分类算法进行对比实验.实验结果表明该深度模型对DGA域名检测准确率达到97.23%,比基于自然语言特征分类算法得到的检测准确率高3.7%. 展开更多

关键词 dga 僵尸网络 wordhashing 深度学习

在线阅读 下载PDF 职称材料

基于Deep-IndRNN的DGA域名检测方法 被引量：2

4

作者 刘伯成 王浩宇 +3 位作者 李向军 肖聚鑫 肖楚霁 孔珂 《南昌大学学报（理科版）》 CAS 北大核心 2020年第6期598-609,共12页

恶意服务常利用域名生成算法(DGA)逃避域名检测,针对DGA域名隐蔽性强、现有检测方法检测速度较慢、实用性不强等问题,采用深度学习技术,提出了一种基于Deep-IndRNN的DGA域名检测方法。方法运用词袋模型(BoW)将域名向量化,然后通过Deep-I... 恶意服务常利用域名生成算法(DGA)逃避域名检测,针对DGA域名隐蔽性强、现有检测方法检测速度较慢、实用性不强等问题,采用深度学习技术,提出了一种基于Deep-IndRNN的DGA域名检测方法。方法运用词袋模型(BoW)将域名向量化,然后通过Deep-IndRNN提取域名字符间特征,并使用Sigmoid函数对域名分类检测。其主要特点在于:通过将Deep-IndRNN的多序列输入拼接为单向量输入,以单步处理代替循环处理,同时结合Deep-IndRNN能保存更长时间记忆的特点,可有效释放深度学习时占用的GPU、CPU等系统资源,且在保证高准确率和精确度的前提下提高训练、检测速度。实验结果表明,基于Deep-IndRNN的DGA域名检测方法在检测任务中具有较高的准确率和精确度,相比于DNN、CNN、LSTM、BiLSTM、CNN-LSTM-Concat等同类检测方法,能显著提高训练、检测速度,是有效可行的。 展开更多

关键词 域名生成算法 深度学习 独立循环神经网络 SIGMOID函数 词袋模型

在线阅读 下载PDF 职称材料

基于Transformer和多特征融合的DGA域名检测方法 被引量：15

5

作者 余子丞 凌捷 《计算机工程与科学》 CSCD 北大核心 2023年第8期1416-1423,共8页

针对域名生成算法生成的恶意域名隐蔽性高,现有方法在恶意域名检测上准确率不高的问题,提出一种基于Transformer和多特征融合的DGA域名检测方法。该方法使用Transformer编码器捕获域名字符的全局信息,通过并行深度卷积神经网络获取不同... 针对域名生成算法生成的恶意域名隐蔽性高,现有方法在恶意域名检测上准确率不高的问题,提出一种基于Transformer和多特征融合的DGA域名检测方法。该方法使用Transformer编码器捕获域名字符的全局信息,通过并行深度卷积神经网络获取不同粒度的长距离上下文特征,同时引入双向长短期记忆网络BiLSTM和自注意力机制Self-Attention结合浅层CNN得到浅层时空特征,融合长距离上下文特征和浅层时空特征进行DGA域名检测。实验结果表明,所提方法在恶意域名检测方法上有更好的性能。相对于CNN、LSTM、L-PCAL和SW-DRN,所提方法在二分类实验中准确率分别提升了1.72%,1.10%,0.75%和0.34%;在多分类实验中准确率分别提升了1.75%,1.29%,0.88%和0.83%。 展开更多

关键词 域名生成算法 Transformer模型 深度卷积神经网络 双向长短期记忆网络 自注意力机制

在线阅读 下载PDF 职称材料

基于改进的CNN-LSTM的DGA域名检测算法 被引量：2

6

作者 褚冰融 付海艳 刘梦 《海南师范大学学报（自然科学版）》 CAS 2023年第3期237-248,共12页

近年来,网络安全问题层出不穷,其中僵尸网络是造成网络瘫痪的重要原因之一。僵尸网络利用域名生成算法(DGA)生成大量恶意域名进行网络攻击,对网络安全造成威胁。现有的DGA域名主要分为字典型和字符型,传统的深度学习方法无法同时检测出... 近年来,网络安全问题层出不穷,其中僵尸网络是造成网络瘫痪的重要原因之一。僵尸网络利用域名生成算法(DGA)生成大量恶意域名进行网络攻击,对网络安全造成威胁。现有的DGA域名主要分为字典型和字符型,传统的深度学习方法无法同时检测出两种类型的DGA域名,尤其是无法检测出基于字典的DGA域名。针对这个问题,本文提出了改进的CNN-LSTM的DGA域名检测算法,该算法融合了卷积神经网络(CNN)、注意力机制和双向长短时记忆网络(BiLSTM),可以同时检测出两种类型的DGA域名。最后进行了不同算法的对比实验,实验结果表明,与其他深度学习模型相比,该算法提高了DGA域名的二分类和多分类的准确率和F1值。在多分类实验中,通过改进损失函数,提高了小样本数据的域名检测率。 展开更多

关键词 dga域名 深度学习 恶意域名检测 域名检测算法 注意力机制

在线阅读 下载PDF 职称材料

基于机器学习建模的DGA恶意域名检测 被引量：3

7

作者 王伟 罗鹏宇 《通信技术》 2022年第6期753-761,共9页

为了解决网络中僵尸主机回连,以及域名生成算法(Domain Generation Algorithm,DGA)中恶意域名频发的问题,提出了基于机器学习算法建模的DGA恶意域名检测技术,从网络流量中挖掘DGA恶意域名,结合域名实体抽取和自然语言特征提取,并经过机... 为了解决网络中僵尸主机回连,以及域名生成算法(Domain Generation Algorithm,DGA)中恶意域名频发的问题,提出了基于机器学习算法建模的DGA恶意域名检测技术,从网络流量中挖掘DGA恶意域名,结合域名实体抽取和自然语言特征提取,并经过机器学习技术训练算法模型,实现了对DGA恶意域名的智能检测。在流量检测领域引入机器学习算法,大幅度提升了安全设备的检测能力,有效抵御了网络攻击的入侵威胁。 展开更多

关键词 dga域名 机器学习 安全算法 网络防御

在线阅读 下载PDF 职称材料

基于优化CS-SVM算法的DGA域名检测研究 被引量：3

8

作者 卢加奇 吕广旭 +2 位作者 魏先燕 冯燕茹 王小英 《现代信息科技》 2023年第11期77-79,共3页

近年来恶意软件融合域名生成算法,生成大量的恶意域名严重威胁网络安全。目前现有的恶意域名检测方法大多都存在检测效率低等问题。提出一种通过采用优化后的布谷鸟搜索算法(CS)对支持向量机(SVM)进行优化,即BCS-SVM方法,该方法能够适应... 近年来恶意软件融合域名生成算法,生成大量的恶意域名严重威胁网络安全。目前现有的恶意域名检测方法大多都存在检测效率低等问题。提出一种通过采用优化后的布谷鸟搜索算法(CS)对支持向量机(SVM)进行优化,即BCS-SVM方法,该方法能够适应DGA域名检测场景。实验采用开放域名数据作为样本集,对文章提出的DGA域名检测方法进行训练,并通过域名向量转换、检测模型训练、参数调优,最终完成了一种较为高效的DGA域名检测模型。 展开更多

关键词 特征选择 dga域名 布谷鸟搜索算法 支持向量机

在线阅读 下载PDF 职称材料

Optimized dithering technique in frequency domain for high-quality three-dimensional depth data acquisition 被引量：2

9

作者 Ning Cai Zhe-Bo Chen +1 位作者 Xiang-Qun Cao Bin Lin 《Chinese Physics B》 SCIE EI CAS CSCD 2019年第8期124-131,共8页

On the basis of the objective functions,dithering optimization techniques can be divided into the intensity-based optimization technique and the phase-based optimization technique.However,both types of techniques are ... On the basis of the objective functions,dithering optimization techniques can be divided into the intensity-based optimization technique and the phase-based optimization technique.However,both types of techniques are spatial-domain optimization techniques,while their measurement performances are essentially determined by the harmonic components in the frequency domain.In this paper,a novel genetic optimization technique in the frequency domain is proposed for highquality fringe generation.In addition,to handle the time-consuming difficulty of genetic algorithm(GA),we first optimize a binary patch,then join the optimal binary patches together according to periodicity and symmetry so as to generate a full-size pattern.It is verified that the proposed technique can significantly enhance the measured performance and ensure the robustness to various amounts of defocusing. 展开更多

关键词 FRINGE generation GENETIC algorithm frequency domain 3D SHAPE measurement

原文传递

基于混合词向量深度学习模型的DGA域名检测方法 被引量：22

10

作者 杜鹏 丁世飞 《计算机研究与发展》 EI CSCD 北大核心 2020年第2期433-446,共14页

域名生成算法(domain generation algorithm,DGA)是域名检测中防范僵尸网络攻击的重要手段之一,对于生成威胁情报、阻断僵尸网络命令与控制流量、保障网络安全有重要的实际意义.近年来,DGA域名检测技术从依靠手工提取特征发展到自动提... 域名生成算法(domain generation algorithm,DGA)是域名检测中防范僵尸网络攻击的重要手段之一,对于生成威胁情报、阻断僵尸网络命令与控制流量、保障网络安全有重要的实际意义.近年来,DGA域名检测技术从依靠手工提取特征发展到自动提取特征的基于深度学习模型的方法,在DGA域名检测任务中取得了较大的进展.但对于不同僵尸网络家族的DGA域名的多分类任务,由于家族种类多,且各家族域名数据存在不平衡性,因此许多已有的深度学习模型在DGA域名的多分类任务上仍有提高空间.针对以上挑战,设计了基于字符和双字母组级别的混合词向量,以提高域名字符串的信息利用度,并设计了基于混合词向量方法的深度学习模型.最后设计了包含多种对比模型的实验,对混合词向量的有效性进行验证.实验结果表明基于混合词向量的深度学习模型在DGA域名检测与分类任务中相比只基于字符级词向量的模型有更好的分类性能,特别是在小样本的DGA域名类别上的分类性能更优,证明了该模型的有效性. 展开更多

关键词 域名生成算法 混合词向量 深度学习 卷积神经网络 长短期记忆网络

在线阅读 下载PDF 职称材料

MCL4DGA:基于多视角对比学习的DGA域名检测方法 被引量：1

11

作者 王继虎 刘子雁 +2 位作者 倪金超 孔凡玉 史玉良 《软件学报》 EI CSCD 北大核心 2024年第11期5228-5248,共21页

在网络安全领域,由域名生成算法(domain generation algorithm,DGA)产生的虚假域名被称为DGA域名.与正常域名类似的是,DGA域名通常是字母或数字的随机组合,这使得DGA域名具有较强的伪装性.网络黑客利用DGA域名的伪装性实施网络攻击,以... 在网络安全领域,由域名生成算法(domain generation algorithm,DGA)产生的虚假域名被称为DGA域名.与正常域名类似的是,DGA域名通常是字母或数字的随机组合,这使得DGA域名具有较强的伪装性.网络黑客利用DGA域名的伪装性实施网络攻击,以达到绕过安全检测的目的.如何有效地对DGA域名进行检测,进而维护信息系统安全,成为当前的研究热点.传统的统计机器学习检测方法需要人工构建域名字符特征集合.然而,人工或者半自动化方式构建的域名特征存在质量参差不齐的情况,进而影响检测的准确性.鉴于深度神经网络强大的特征自动化抽取和表示能力,提出一种基于多视角对比学习的DGA域名检测方法(MCL4DGA).与现有方法不同的是,所提方法结合了注意力神经网络、卷积神经网络和循环神经网络,能够有效地捕获域名字符序列中的全局、局部和双向多视角特征依赖关系.除此之外,通过多视角表示向量之间的对比学习而产生的自监督信号,能够增强模型的学习能力,进而提高检测的准确性.通过在真实数据集上与当前DGA域名检测方法实验对比验证了所提方法的有效性. 展开更多

关键词 网络安全 dga(domain generation algorithm)域名检测 深度神经网络 对比学习

在线阅读 下载PDF 职称材料

基于SVM的DGA家族分类方法研究 被引量：3

12

作者 周琳娜 吕欣一 《中国科技论文》 CAS 北大核心 2020年第11期1328-1333,共6页

为了检测溯源僵尸网络,在对域名生成算法(domain generation algorithm,DGA)进行检测的基础上,对恶意域名进行分析,找出区分明显的特征进行组合,从域名结构、域名字符特征、域名信息熵3个方面进行分析,提取各个恶意域名家族的特征,并选... 为了检测溯源僵尸网络,在对域名生成算法(domain generation algorithm,DGA)进行检测的基础上,对恶意域名进行分析,找出区分明显的特征进行组合,从域名结构、域名字符特征、域名信息熵3个方面进行分析,提取各个恶意域名家族的特征,并选用支持向量机(support vector machines,SVM)算法进行模型训练。在对DGA恶意域名进行家族分类的过程中,利用高斯核函数进行转换,简化了SVM分类器的计算量,在保证分类准确度的同时提高了效率。并通过实验验证了所采用方法的有效性。 展开更多

关键词 网络安全 域名生成算法 机器学习 特征工程 检测技术

在线阅读 下载PDF 职称材料

基于MLP深度学习算法的DGA准确识别技术研究 被引量：2

13

作者 王辉 周忠锦 +1 位作者 王世晋 史卓颖 《信息安全研究》 2019年第6期495-499,共5页

传统的DGA攻击检测方法已经无法满足对不断变种的DGA域名的识别,检出准确率较低.因此主要研究一种基于MLP深度学习算法的DGA准确识别技术,通过已有的DGA样本数据集,提取多维度的特征向量信息,通过归一化、降维处理后,将特征向量输入MLP... 传统的DGA攻击检测方法已经无法满足对不断变种的DGA域名的识别,检出准确率较低.因此主要研究一种基于MLP深度学习算法的DGA准确识别技术,通过已有的DGA样本数据集,提取多维度的特征向量信息,通过归一化、降维处理后,将特征向量输入MLP多层感知器进行训练,MLP多层感知器主要由输入层、隐藏层和输出层组成,训练后生成模型文件即可载入用于判断待检测的域名是否为DGA域名,可以有效提升DGA检测识别的准确度. 展开更多

关键词 域名生成算法(dga) 多层感知器(MLP) C&C服务器 隐藏层 奇异值分解算法

在线阅读 下载PDF 职称材料

基于Passive DNS的速变域名检测 被引量：16

14

作者 周昌令 陈恺 +2 位作者 公绪晓 陈萍 马皓 《北京大学学报（自然科学版）》 EI CAS CSCD 北大核心 2016年第3期396-402,共7页

利用Passive DNS采集校园网真实运行环境的域名访问记录,从域名的多样性、时间性、增长性和相关性等方面构建18个特征集,提出基于随机森林算法来识别速变域名的模型。交叉验证实验表明,所构建的模型对域名分类的准确率超过90%。在所采... 利用Passive DNS采集校园网真实运行环境的域名访问记录,从域名的多样性、时间性、增长性和相关性等方面构建18个特征集,提出基于随机森林算法来识别速变域名的模型。交叉验证实验表明,所构建的模型对域名分类的准确率超过90%。在所采集的数据集上,所构建的模型比Flux Buster能更有效地识别速变域名。 展开更多

关键词 PASSIVE DNS 速变域名 随机森林算法 dga CDN

在线阅读 下载PDF 职称材料

基于组行为特征的恶意域名检测 被引量：10

15

作者 张永斌 陆寅 张艳宁 《计算机科学》 CSCD 北大核心 2013年第8期146-148,185,共4页

目前,僵尸网络广泛采用域名变换技术,以避免域名黑名单的封堵,为此提出一种基于组行为特征的恶意域名检测方法。该方法对每个检测周期内网络中主机请求的新域名集合、失效域名集合进行聚类分析,并将请求同一组新域名的主机集合作为检测... 目前,僵尸网络广泛采用域名变换技术,以避免域名黑名单的封堵,为此提出一种基于组行为特征的恶意域名检测方法。该方法对每个检测周期内网络中主机请求的新域名集合、失效域名集合进行聚类分析,并将请求同一组新域名的主机集合作为检测对象,通过分析集合内主机在请求失效域名、新域名行为上是否具有组特性,提取出网络中的感染主机集合、C&C服务器使用的IP地址集合。对一ISP域名服务器监测的结果表明,该方法可准确提取出感染主机、C&C服务器IP地址。 展开更多

关键词 网络安全 僵尸网络 域名生成算法 域名变换

在线阅读 下载PDF 职称材料

基于字典的域名生成算法生成域名的检测方法 被引量：3

16

作者 张永斌 常文欣 +1 位作者 孙连山 张航 《计算机应用》 CSCD 北大核心 2021年第9期2609-2614,共6页

针对基于字典的域名生成算法(DGA)生成域名与良性域名构成十分相似,现有技术难以有效检测的问题,提出一种卷积神经网络(CNN)和长短时记忆(LSTM)网络相结合的网络模型——CL模型。该模型由字符嵌入层、特征提取层及全连接层三部分组成。... 针对基于字典的域名生成算法(DGA)生成域名与良性域名构成十分相似,现有技术难以有效检测的问题,提出一种卷积神经网络(CNN)和长短时记忆(LSTM)网络相结合的网络模型——CL模型。该模型由字符嵌入层、特征提取层及全连接层三部分组成。首先,字符嵌入层对输入域名的字符进行编码;然后,特征提取层将CNN与LSTM串行连接在一起,对域名字符特征进行提取,即通过CNN提取域名字符的n-grams特征,并将提取结果输入给LSTM,以便学习n-grams间的上下文特征,同时,为了学习不同长度的n-grams特征,可选择多组CNN与LSTM结合使用;最后,全连接层根据提取到的特征对基于字典的DGA生成域名进行分类预测。实验结果表明:当CNN选择的卷积核大小为3和4时,所提模型性能最佳。在四个基于字典的DGA家族的测试对比实验中,CL模型与CNN模型相比,准确率提升了2.20%,且随着样本家族数量的增加,CL模型具有更好的稳定性。 展开更多

关键词 域名生成算法 基于字典的域名生成算法 卷积神经网络 长短时记忆网络 域名检测

在线阅读 下载PDF 职称材料

基于CNN的假冒域名识别方法研究 被引量：3

17

作者 杜淑颖 杜鹏 丁世飞 《中国科学技术大学学报》 CAS CSCD 北大核心 2020年第7期1019-1025,共7页

近年来,以僵尸网络为载体的各种网络攻击活动是目前互联网面临的安全威胁之一,各种恶意软件使用域名生成算法(domain generation algorithm,DGA)自动生成大量伪随机域名以连接到命令和控制服务器.为此提出以基于卷积神经网络(CNN)的方... 近年来,以僵尸网络为载体的各种网络攻击活动是目前互联网面临的安全威胁之一,各种恶意软件使用域名生成算法(domain generation algorithm,DGA)自动生成大量伪随机域名以连接到命令和控制服务器.为此提出以基于卷积神经网络(CNN)的方法来检测和分类伪随机域名.简要介绍了僵尸网络的危害、基本原理以及假冒域名在僵尸网络中的作用.在分析DGA算法的原理以及传统的DGA域名识别算法的缺陷以后,将重点放在基于卷积神经网络的假冒域名识别方法研究.阐述了关于卷积神经网络的基本概念,模拟了在不同的超参数,不同的激励函数下模型对于解决分类问题效果的差异.分析了数据预处理的原理、模型定义中对于超参数和激励函数、学习速率等选择的合理性.在模型运行结果分析时,给出了卷积神经网络模型识别域名的准确率和损失函数的变化,使用准确率、召回值、F1值、ROC曲线等评估指标,各项指标均显示模型取得了优秀的分类效果,证明了基于CNN的假冒域名识别是一个可靠的方法. 展开更多

关键词 域名生成算法 混合词向量 深度学习 卷积神经网络

在线阅读 下载PDF 职称材料

A DGA domain names detection modeling method based on integrating an attention mechanism and deep neural network 被引量：10

18

作者 Fangli Ren Zhengwei Jiang +1 位作者 Xuren Wang Jian Liu 《Cybersecurity》 CSCD 2020年第1期71-83,共13页

Command and control(C2)servers are used by attackers to operate communications.To perform attacks,attackers usually employee the Domain Generation Algorithm(DGA),with which to confirm rendezvous points to their C2 ser... Command and control(C2)servers are used by attackers to operate communications.To perform attacks,attackers usually employee the Domain Generation Algorithm(DGA),with which to confirm rendezvous points to their C2 servers by generating various network locations.The detection of DGA domain names is one of the important technologies for command and control communication detection.Considering the randomness of the DGA domain names,recent research in DGA detection applyed machine learning methods based on features extracting and deep learning architectures to classify domain names.However,these methods are insufficient to handle wordlist-based DGA threats,which generate domain names by randomly concatenating dictionary words according to a special set of rules.In this paper,we proposed a a deep learning framework ATT-CNN-BiLSTMfor identifying and detecting DGA domains to alleviate the threat.Firstly,the Convolutional Neural Network(CNN)and bidirectional Long Short-Term Memory(BiLSTM)neural network layer was used to extract the features of the domain sequences information;secondly,the attention layer was used to allocate the corresponding weight of the extracted deep information from the domain names.Finally,the different weights of features in domain names were put into the output layer to complete the tasks of detection and classification.Our extensive experimental results demonstrate the effectiveness of the proposed model,both on regular DGA domains and DGA that hard to detect such as wordlist-based and part-wordlist-based ones.To be precise,we got a F1 score of 98.79%for the detection and macro average precision and recall of 83%for the classification task of DGA domain names. 展开更多

关键词 domain generation algorithm MALWARE Attention mechanism Deep learning

原文传递

恶意域名检测研究与应用综述 被引量：28

19

作者 王媛媛 吴春江 +2 位作者 刘启和 谭浩 周世杰 《计算机应用与软件》 北大核心 2019年第9期310-316,共7页

目前,网络安全问题层出不穷,特别是近年来以域名为依托的攻击,如勒索软件、垃圾邮件、DDos攻击等,成为网络安全威胁的重要表现形式。以域名攻击技术为主要攻击方式的网络威胁,经历了从传统的机器学习的检测方法到主流的深度学习检测方... 目前,网络安全问题层出不穷,特别是近年来以域名为依托的攻击,如勒索软件、垃圾邮件、DDos攻击等,成为网络安全威胁的重要表现形式。以域名攻击技术为主要攻击方式的网络威胁,经历了从传统的机器学习的检测方法到主流的深度学习检测方法的转变。发现神经网络能够很好地自学习恶意域名特征,并能提供更高的检测率。但随着检测技术的不断提高,攻击者提出了更智能的DGA域名来规避神经网络的检测,在后续的基于这些DGA变体的检测成为目前域名检测技术的主要研究方向。随着生成对抗网络在域名检测方面的应用,Anderson等提出利用GAN来生成对抗样本提高检测,为域名的检测发展提出新的发展方向。最后,总结域名检测的发展概况及其存在的问题,并对域名检测的可发展点做出展望。 展开更多

关键词 dga算法 恶意域名 检测技术 模型 深度学习

在线阅读 下载PDF 职称材料

A DGA domain names detection modeling method based on integrating an attention mechanism and deep neural network

20

作者 Fangli Ren Zhengwei Jiang +1 位作者 Xuren Wang Jian Liu 《Cybersecurity》 2018年第1期697-709,共13页

Command and control(C2)servers are used by attackers to operate communications.To perform attacks,attackers usually employee the Domain Generation Algorithm(DGA),with which to confirm rendezvous points to their C2 ser... Command and control(C2)servers are used by attackers to operate communications.To perform attacks,attackers usually employee the Domain Generation Algorithm(DGA),with which to confirm rendezvous points to their C2 servers by generating various network locations.The detection of DGA domain names is one of the important technologies for command and control communication detection.Considering the randomness of the DGA domain names,recent research in DGA detection applyed machine learning methods based on features extracting and deep learning architectures to classify domain names.However,these methods are insufficient to handle wordlist-based DGA threats,which generate domain names by randomly concatenating dictionary words according to a special set of rules.In this paper,we proposed a a deep learning framework ATT-CNN-BiLSTMfor identifying and detecting DGA domains to alleviate the threat.Firstly,the Convolutional Neural Network(CNN)and bidirectional Long Short-Term Memory(BiLSTM)neural network layer was used to extract the features of the domain sequences information;secondly,the attention layer was used to allocate the corresponding weight of the extracted deep information from the domain names.Finally,the different weights of features in domain names were put into the output layer to complete the tasks of detection and classification.Our extensive experimental results demonstrate the effectiveness of the proposed model,both on regular DGA domains and DGA that hard to detect such as wordlist-based and part-wordlist-based ones.To be precise,we got a F1 score of 98.79% for the detection and macro average precision and recall of 83% for the classification task of DGA domain names. 展开更多

关键词 domain generation algorithm MALWARE Attention mechanism Deep learning

原文传递