基于联邦学习的物联网恶意域名检测方法研究

作     者：李安 

作者单位：黑龙江大学 

学位级别：硕士

导师姓名：彭加亮

授予年度：2024年

学科分类：12[管理学] 1201[管理学-管理科学与工程(可授管理学、工学学位)] 0839[工学-网络空间安全] 081104[工学-模式识别与智能系统] 08[工学] 0835[工学-软件工程] 0811[工学-控制科学与工程] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

主      题：物联网 恶意域名 联邦学习 自注意力机制 预训练迁移模型 

摘      要：随着物联网智能设备的广泛使用,给人们的生产和生活带来了便利,但也带来了许多网络安全隐患。例如,Mirai恶意软件使用内置的域名生成算法,生成大量恶意域名,并从中选取恶意域名与被害物联网端进行恶意通信,从而对被害端进行远程执行代码、植入后门等攻击。这种采用恶意域名的攻击方式极大地延长了网络攻击的生命周期,对物联网造成了很大的危害。因此,对物联网网络流量进行恶意域名检测,对于维护物联网的网络安全具有重要意义。目前,对恶意域名检测的主流方法是从物联网设备收集大量域名数据用于机器学习模型的集中训练。但是,域名数据往往与物联网设备使用者的隐私相关。因此,在使用域名数据训练恶意域名检测的机器学习模型时,如何保护域名数据隐私是需要解决的一个重要问题。 为了解决上述存在的问题,本文提出基于联邦学习的物联网恶意域名检测方法,构建基于联邦学习的深度学习模型架构,使域名数据不出物联网客户端本地的情况下,采用联邦学习方式协同训练和构建恶意域名检测模型。从而在保护物联网域名数据隐私的前提下,有效地检测恶意域名。本文主要的研究工作如下: (1)针对物联网客户端域名数据独立同分布的场景,本文提出了一种基于混合模型的物联网恶意域名联邦学习检测方法。该联邦学习方法中的混合模型使用并行卷积神经网络层提取域名数据的局部序列特征,同时使用双向门控循环单元网络层提取域名数据的全局序列特征,并通过自注意力机制对全局序列特征进行权重关系分配,从而实现对全局序列特征的深度提取。实验结果表明,该联邦学习方法训练出的全局模型对物联网恶意域名检测具有有效性,精确率达到96%以上。 (2)针对物联网客户端域名数据非独立同分布的场景,本文提出了一种基于预训练迁移模型的物联网恶意域名联邦学习检测方法。该联邦学习方法对本文提出的迁移模型进行预训练,得到的迁移模型预训练参数作为全局模型的初始化参数,旨在解决数据非独立同分布导致的全局模型收敛困难和性能变差的问题。实验结果表明,该联邦学习方法可以有效缓解这一问题。该方法训练出的联邦学习全局模型的精确率达到94%以上。在上述方法的基础上,本文对该方法中的物联网客户端本地迁移模型的损失函数进行了改进,在损失函数中加入了惩罚项。该惩罚项可以修正偏离全局模型太多的客户端本地模型,进一步缓解了域名数据非独立同分布对全局模型性能的负面影响。实验结果表明,基于预训练迁移模型的物联网恶意域名联邦学习检测方法经过损失函数改进后的精确率达到96%以上。