基于多元时序特征的恶意域名检测方法

作     者：姚远 樊昭杉 王青 陶源 YAO Yuan;FAN Zhaoshan;WANG Qing;TAO Yuan

作者机构：中国科学院信息工程研究所北京100085 中国科学院大学网络空间安全学院北京100049 国家互联网应急中心湖北分中心武汉430072 公安部第三研究所上海200031 

出 版 物：《信息网络安全》 (Netinfo Security)

年 卷 期：2023年第23卷第11期

页      面：1-8页

学科分类：08[工学] 081201[工学-计算机系统结构] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

基　　金：国家重点研发计划[2021YFF0307203] 网络安全等级保护与安全保卫技术国家工程研究中心开放课题[C21640-3]。 

主　　题：恶意域名 长短期记忆网络 全卷积神经网络 多元时序特征 特征融合 

摘      要：当前,作为主要攻击媒介的恶意域名被广泛滥用于多种网络攻击活动中,针对恶意域名检测中检测特征设计复杂、需要经验知识辅助以及容易被攻击者有针对性绕过等问题,文章提出一种基于多元时序特征的恶意域名检测方法。该方法使用基于融合长短期记忆网络和全卷积神经网络的深度学习模型,分别从客户端请求和域名解析流量中自动化提取多元时序嵌入特征,并学习恶意域名行为的低维时序表示。对比传统的时间统计特征方案或时间序列局部模式判别方案,该方法可以建模长期域名活动模式,从中发现恶意域名区别于正常域名的行为序列,具有更强大的恶意域名检测能力。同时,该方法支持融合多元时序嵌入特征和通用恶意域名检测特征,多维度表征恶意行为信息,提升检测性能以及模型鲁棒性和扩展能力。