【摘要】:近年来,网络攻击已经呈现出一种爆炸性高速上升的趋势,已经开始严重威胁着我国广大互联网用户的个人数据、财产安全。僵尸网络、勒索软件以及高级可持续威胁攻击(APT)是目前影响力和破坏力极大的网络恶意行为,其通常使用DNS服务与命令和控制(CC)服务器进行通信,以进行文件传输和软件更新。为了避免黑名单机制并延长攻击时间,攻击者通常使用域名生成算法,即DGA(Domain Generation Algorithm)这一技术生成新域名用于通信连接。目前,随着深度学习技术在不同领域的广泛应用并取得较好的效果,恶意域名检测技术也已经从传统的人工提取特征向利用深度学习转变。针对基于深度学习的检测模型缺少对新出现的DGA变体域名的识别能力、缺少足够的恶意域名演化训练数据等问题,本文的主要工作如下:(1)提出基于Char-RNN改进模型的恶意域名训练数据生成技术。在分析了DGA恶意域名特性的基础上,结合文本生成的思想,对原始Char-RNN模型进行改进,并结合注意力机制提出一种改进的文本生成模型用于模拟DGA变体样本。经过实验对比分析,本文生成的模拟数据与真实的恶意域名具有高度相似性,可以用于检测模型的训练,验证了可行性和有效性。(2)提出一种基于深度学习的恶意域名分类检测模型(ATT-CNN-Bi LSTM)。针对目前部分检测方法对基于单词列表生成的恶意域名检测效果不佳的问题,该模型利用卷积神经网络(CNN)和双向长短期记忆网络(Bi LSTM)提取恶意域名序列的特征,并通过注意力层加强对随机性特征的提取。实验结果表明,相比传统深度学习的方法,该模型在分类和检测DGA恶意域名,尤其是基于单词列表生成的域名上取得了更好的检测效果。(3)对于恶意域名检测技术的应用,设计了一种适用于网络安全态势感知的恶意域名检测系统。以整体安全态势感知体系为基础,通过应用本文提出的训练数据生成技术以及恶意域名检测模型,设计了恶意域名检测的整体框架、相关功能模块和可视化界面,并对该模块的检测流程与应用场景进行了简述。