基于CNN与LSTM相结合的恶意域名检测模型.docx

基于 CNN 与 LSTM 相结合的恶意域名检测模型 恶意域名检测是网络安全领域亟需解决的问题。攻击者可以通过构造恶意域名达到诱导用户点击钓鱼网站、搭建命令与控制通道等目的，并且可结合 Fast-Flux 和 Domain-Flux 技术增强恶意域名躲避检测的能力。因此，准确、高效地检测恶意域名是非常重要的。 基于合法域名和恶意域名在字符构成上的差异，通常将恶意域名检测转化为对域名字符串的短文本分类研究。目前，基于域名字符串进行恶意域名检测的方法按特征提取的不同主要分为基于手工特征提取和基于深度学习模型的恶意域名检测方法。 基于手工特征提取的恶意域名检测方法，从自然语言分析角度提取语言特征，如词素指标、有意义字符占比、N-Gram 语法特征的 KL 散度、编辑距离与 Jaccard 系数等作为域名特征，结合机器学习进行检测。此类方法对由随机字符拼接组成的恶意域名具有较好检测效果，但检测效果依赖特征工程，对不断更新的恶意域名变种需设计新的特征集，同时对通过单词拼接方式生成的恶意域名检测误报率较高。 基于深度学习模型的恶意域名检测方法，使用卷积神经网络（Convolution Neural Network，CNN）和长短期记忆网络（Long Short Term Memory，LSTM）进行检测。基于 CNN 的检测模型通过卷积核提取域名字符串中不同长度字符组的局部特征，设计 CNN 串联、并联结构进行检测，此类模型检测速度快，但为提高恶意域名检测准确率，还需提取域名字符串深层次序列特征。基于 LSTM 的恶意域名检测模型通过提取域名字符串的序列特征进行域名检测，如以域名字符串的嵌入向量为输入的 LSTM 模型和代价敏感的 LSTM.MI 模型，比仅采用 CNN 的检测模型具有更高检测准确率，但仅考虑单字符序列特征，对单词拼接类恶意域名检测效果不佳。 为了解决上述问题，文献[11]设计了 CNN 与 LSTM 相结合的恶意域名检测模型，采用混合词向量作为输入，通过结合域名字符串单字符和双字符序列特征提高模型多分类检测性能，但对单词拼接类恶意域名的检测准确率还需进一步提高。 因此，为提高深度学习模型检测恶意域名的准确率，考虑域名字符串中不同长度字符（单字符与多字符）组合的序列特征差异，在文献[11]的基础上，提出一种 CNN 与 LSTM 相结合的包含多条特征提取分支的恶意域名检测模型。其中，CNN 用于提取域名不同长度字符组合的局部特征，LSTM 用于提取不同长度字符组合局部特征的序列特征，同时引入注意力机制为 LSTM 不同位置输出的序列特征动态分配权值，通过特征加权降低填充字符对特征提取的干扰并增强序列特征提取能力。 实验表明，结合域名不同长度字符组合的序列特征进行域名检测可有效提高恶意域名检测准确率，尤其是单词拼接类恶意域名的检测准确率。 基于 CNN 与 LSTM 相结合的恶意域名检测模型组成如下：输入层将域名字符串转换为能被深度学习模型处理的数值向量，包含字符串长度补齐、one-hot 编码和嵌入向量学习 3 个阶段，输出域名字符串的嵌入向量。特征提取层包含 LSTM 层、1 维卷积神经网络（One-Dimension Convolution Neural Network，1D-CNN）层和结合注意力机制的长短期记忆网络（ATTention-based LSTM，ATT-LSTM）层，其中 LSTM 层用于提取域名字符串单字符序列特征；1 维卷积神经网络层采用不同尺寸卷积核提取域名字符串中相邻字符局部特征，该层可看作域名字符串的 N-Gram 特征提取器；结合注意力机制的长短期记忆网络层采用 LSTM 提取 1D-CNN 输出的深层次序列特征并结合注意力机制降低填充字符对序列特征提取的干扰。输出层将 LSTM 层输出特征与多个 ATT-LSTM 分支输出特征进行拼接，再经过 Dropout 层和激活函数为 Sigmoid 的全连接层处理，输出域名检测结果 yy。