【摘要】:随着计算机的蓬勃发展,互联网走进千家万户,与此同时互联网恶意行为也逐渐增多。僵尸网络是其中影响力和破坏力较大的一种恶意行为,它大范围地使用了DGA(Domain Generated Algorithm)这项技术。一旦主机访问由DGA生成的域名,且该域名已被恶意服务器注册,那么恶意服务器就可轻松地与该受控僵尸主机进行通信。DGA种类繁多,最近有文献提出了基于PCFG模型的DGA,在现有检测方法的测试下,它的抗检测效果非常显著。由于针对PCFG模型的DGA目前还没有具体的检测方案,因此本文首先研究了基于PCFG模型的DGA域名生成机制,并研究了由此类DGA所生成域名的特点。研究表明由PCFG模型所生成的域名通常基于合法域名生成,因此该域名的字符统计特征与合法域名相似。而且同一个PCFG模型往往可以生成多种类型的域名,很难通过人工提取合适的特征。因此本文针对该DGA域名的特点,提出了基于卷积神经网络CNN和多头注意力机制的恶意域名检测模型。CNN网络可以通过多种大小的卷积核来替代人工提取域名的关键信息,而多头注意力机制则可以一次性获得整个字符序列间的潜在关系,从而使得模型可以提取字符序列更深层的特征。之后文章设计了对比实验,分别验证多头注意力机制在域名检测中的效果,以及比较不同类型的神经网络在域名检测中的效果。实验证明结合神经网络和多头注意力机制的恶意域名检测模型针对基于PCFG模型的域名具有更好的检测效果。本文在提出恶意域名检测模型的基础上,构建了恶意域名检测系统。该系统可以实时检测恶意域名并及时展示,利用同步机制更新本地恶意域名库。同时本文针对该系统设计了对比实验,实验表明,该系统能对恶意域名及时响应,且针对恶意域名的检测效果优于现有的检测手段。