基于CNN与LSTM相结合的恶意域名检测模型.docx
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
基于 CNN 与 LSTM 相结合的恶意域名检测模型 恶意域名检测是网络安全领域亟需解决的问题。攻击者可以通过构造恶意域名达到诱导用户点击钓鱼网站、搭建命令与控制通道等目的,并且可结合 Fast-Flux 和 Domain-Flux 技术增强恶意域名躲避检测的能力。因此,准确、高效地检测恶意域名是非常重要的。 基于合法域名和恶意域名在字符构成上的差异,通常将恶意域名检测转化为对域名字符串的短文本分类研究。目前,基于域名字符串进行恶意域名检测的方法按特征提取的不同主要分为基于手工特征提取和基于深度学习模型的恶意域名检测方法。 基于手工特征提取的恶意域名检测方法,从自然语言分析角度提取语言特征,如词素指标、有意义字符占比、N-Gram 语法特征的 KL 散度、编辑距离与 Jaccard 系数等作为域名特征,结合机器学习进行检测。此类方法对由随机字符拼接组成的恶意域名具有较好检测效果,但检测效果依赖特征工程,对不断更新的恶意域名变种需设计新的特征集,同时对通过单词拼接方式生成的恶意域名检测误报率较高。 基于深度学习模型的恶意域名检测方法,使用卷积神经网络(Convolution Neural Network,CNN)和长短期记忆网络(Long Short Term Memory,LSTM)进行检测。基于 CNN 的检测模型通过卷积核提取域名字符串中不同长度字符组的局部特征,设计 CNN 串联、并联结构进行检测,此类模型检测速度快,但为提高恶意域名检测准确率,还需提取域名字符串深层次序列特征。基于 LSTM 的恶意域名检测模型通过提取域名字符串的序列特征进行域名检测,如以域名字符串的嵌入向量为输入的 LSTM 模型和代价敏感的 LSTM.MI 模型,比仅采用 CNN 的检测模型具有更高检测准确率,但仅考虑单字符序列特征,对单词拼接类恶意域名检测效果不佳。 为了解决上述问题,文献[11]设计了 CNN 与 LSTM 相结合的恶意域名检测模型,采用混合词向量作为输入,通过结合域名字符串单字符和双字符序列特征提高模型多分类检测性能,但对单词拼接类恶意域名的检测准确率还需进一步提高。 因此,为提高深度学习模型检测恶意域名的准确率,考虑域名字符串中不同长度字符(单字符与多字符)组合的序列特征差异,在文献[11]的基础上,提出一种 CNN 与 LSTM 相结合的包含多条特征提取分支的恶意域名检测模型。其中,CNN 用于提取域名不同长度字符组合的局部特征,LSTM 用于提取不同长度字符组合局部特征的序列特征,同时引入注意力机制为 LSTM 不同位置输出的序列特征动态分配权值,通过特征加权降低填充字符对特征提取的干扰并增强序列特征提取能力。 实验表明,结合域名不同长度字符组合的序列特征进行域名检测可有效提高恶意域名检测准确率,尤其是单词拼接类恶意域名的检测准确率。 基于 CNN 与 LSTM 相结合的恶意域名检测模型组成如下:输入层将域名字符串转换为能被深度学习模型处理的数值向量,包含字符串长度补齐、one-hot 编码和嵌入向量学习 3 个阶段,输出域名字符串的嵌入向量。特征提取层包含 LSTM 层、1 维卷积神经网络(One-Dimension Convolution Neural Network,1D-CNN)层和结合注意力机制的长短期记忆网络(ATTention-based LSTM,ATT-LSTM)层,其中 LSTM 层用于提取域名字符串单字符序列特征;1 维卷积神经网络层采用不同尺寸卷积核提取域名字符串中相邻字符局部特征,该层可看作域名字符串的 N-Gram 特征提取器;结合注意力机制的长短期记忆网络层采用 LSTM 提取 1D-CNN 输出的深层次序列特征并结合注意力机制降低填充字符对序列特征提取的干扰。输出层将 LSTM 层输出特征与多个 ATT-LSTM 分支输出特征进行拼接,再经过 Dropout 层和激活函数为 Sigmoid 的全连接层处理,输出域名检测结果 yy。
剩余11页未读,继续阅读
- weixin_508815222023-12-04资源不错,很实用,内容全面,介绍详细,很好用,谢谢分享。
- 粉丝: 4490
- 资源: 1万+
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- Yanxiu 2.81.rar
- C#编写的一款读取xml文件的mapping图软件 可以自由定位位置,统计数量,蛇形走位 主要用在晶圆图谱识别
- 电梯控制器 Verilog语言课程设计
- 《1+X移动互联网应用开发初级》试卷答案3
- 《1+X移动互联网应用开发初级》试卷答案2
- 《1+X移动互联网应用开发初级》试卷答案
- PLC机械手课程设计样本PLC机械手课程设计样本.doc
- 格雷码,外差 基于c++版本相位编码与解码 GrayCoding 类 为相移+格雷码的编码与解码程序 MultiFrequency 类 为三频外差的编码与解码程序 Main为运行代码的主程序,包含
- python 代码实现了一个目标检测应用程序,使用YOLOv8模型对视频中的目标进行检测 它从指定的视频文件中读取帧,使用模型进行检测,并在窗口中显示带有检测结果的帧,直到用户按下q键退出
- 基于语音识别的智能垃圾分类系统源代码(完整前后端+mysql+说明文档+LW).zip