基于生成对抗网络的恶意域名训练数据生成

当前僵尸网络大量采用DGA算法躲避检测,针对主流的基于人工规则的检测算法无法对最新产生的DGA域名进行识别检测和基于机器学习的检测算法缺乏演化的训练数据的问题,提出了一种基于Ascall编码方式定义域名编、解码器,并结合生成对抗网络构造域名字符生成器来预测生成DGA变体样本的方法。实验结果表明,在采用生成数据进行分类器训练和性能评估中,此方法生成的DGA域名变体样本可充当真实DGA样本,验证了生成数据的有效性并可用于DGA域名检测器的训练评估。     

新的基于融合向量的DGA域名检测方法

由于词典类DGA域名的字符分布随机性低,单词组合随机性高,基于传统机器学习的恶意域名检测方法难以识别,虽然利用LSTM等深度学习的检测方法能捕捉域名字符序列特征,但缺乏局部词根组合特征,检测准确率低。针对以上问题,提出一种基于融合嵌入层的DGA域名检测方法。在域名词嵌入阶段,基于分词技术,进行字符和词根的融合嵌入向量表示,结合一维卷积神经网络（CNN）和双向门控循环单元（BiGRU）,构建混合的深度学习模型,实现DGA域名检测。实验表明,该方法与单一采用CNN或LSTM模型相比,在域名二分类任务中的准确率分别提高3.1%和4.3%,针对词典类DGA家族matsnu、suppobox、ngioweb的检测具有更高的精确率。     

基于注意力特征融合网络的DGA恶意域名检测方法

僵尸网络借助DGA生成大量随机域名逃避安全防御系统监测。为解决已有DGA恶意域名检测方法准确性不高和泛化能力受限等问题,提出基于注意力特征融合网络。通过结合输入层、Embedding层、卷积神经网络层、注意力模块和长短时记忆网络层,实现层次化特征提取使模型性能得到极大的改善。实验结果显示,该方法在各项指标上都有明显的提升,表现出优秀的DGA恶意域名检测能力。     

基于LSTM和CNN的恶意域名检测方法

笔者利用长短期记忆网络(LSTM)和卷积神经网络(CNN),以正常域名、不正常域名作为特征进行有监督的DNS数据异常检测方法的研究。该方法使用黑白样本集,通过有监督学习方法建立检测模型,实现对正常和不正常域名的二分类检测,主要实现对DNS隐蔽通道和DGA域名的检测。通过全监督的学习方法,能够识别已知黑样本特征集的异常域名。     

融合注意力机制与并行混合网络的DGA域名检测

基于统计特征的DGA域名检测方法依赖复杂的特征工程,而现有端到端的深度学习方法在DGA域名家族的多分类任务中性能表现不佳。针对上述问题,提出一种融合注意力机制与并行混合网络的DGA域名检测方法。首先,引入深层金字塔卷积神经网络,提取域名深层语义信息,并使用通道注意力块SENet进行改进构建DPCNN-SE,自适应学习通道间关系,抑制无用特征的传递;同时,将自注意力机制与双向长短时记忆网络结合构建BiLSTM-SA网络,捕获域名数据中最具代表性的全局时序特征;最后,融合2个网络提取的特征,输入softmax层输出分类结果。实验结果表明,该方法在域名家族的多分类任务中相比CNN、LSTM的单一模型,F1值分别提高了10.30个百分点、10.18个百分点;相较于现有的混合网络方法Bilbo和BiGRU-MCNN,F1值分别提高了5.97个百分点、4.87个百分点,并且具有更低的计算复杂度。     

剖析DDoS攻击对抗技术

由于目前Internet的体系结构、认证机制的缺乏等多方面原因使得DDoS攻击很容易发生,而且僵尸网络的快速发展也为DDoS攻击提供了强大的工具。DDoS(Distributed Denial of Service)攻击一直是网络安全的主要威胁之一,如何对抗DDoS攻击成为网络安全研究的热点之一。在对DDoS攻击模型、产生原因进行分析的基础上,从攻击预防、攻击检测、攻击响应和攻击源追踪四个方面对现有的DDoS攻击对抗技术进行综述,并提出了值得研究的方向建议。     

基于改进GAN的恶意域名数据增强

近年来以恶意域名为依托的网络攻击事件频发。针对主流检测方法识别DGA(Domain Generation Algorithm)变体域名面临的训练数据受限和时效性不足问题,提出一种基于改进WGAN模型的伪DGA域名生成方法。将skip-gram和WGAN结合,通过skip-gram完成域名有效转换,WGAN模型深度挖掘数据编码中包含的特征,学习并生成伪DGA域名。为验证模型生成数据的有效性,采用多种机器学习方法对生成的域名进行有效性评估。实验结果表明,基于此模型生成的数据具备原数据的特性,可以模拟真实域名用于扩充恶意域名数据集,缓解现有域名检测算法中缺乏DGA变体域名的问题。     

对抗样本生成在人脸识别中的研究与应用

随着深度学习模型在人脸识别、无人驾驶等安全敏感性任务中的广泛应用,围绕深度学习模型展开的攻防逐渐成为机器学习和安全领域研究的热点。黑盒攻击作为典型的攻击类型,在不知模型具体结构、参数、使用的数据集等情况下仍能进行有效攻击,是真实背景下最常用的攻击方法。随着社会对人脸识别技术的依赖越来越强,在安全性高的场合里部署神经网络,往往容易忽略其脆弱性带来的安全威胁。充分分析深度学习模型存在的脆弱性并运用生成对抗网络,设计一种新颖的光亮眼镜贴片样本,能够成功欺骗基于卷积神经网络的人脸识别系统。实验结果表明,基于生成对抗网络生成的对抗眼镜贴片样本能够成功攻击人脸识别系统,性能优于传统的优化方法。     

基于GAN的对抗样本生成研究

深度卷积神经网络在图像分类、目标检测和人脸识别等任务上取得了较好性能,但其在面临对抗攻击时容易发生误判。为了提高卷积神经网络的安全性,针对图像分类中的定向对抗攻击问题,提出一种基于生成对抗网络的对抗样本生成方法。利用类别概率向量重排序函数和生成对抗网络,在待攻击神经网络内部结构未知的前提下对其作对抗攻击。实验结果显示,提出的方法在对样本的扰动不超过5%的前提下,定向对抗攻击的平均成功率较对抗变换网络提高了1.5%,生成对抗样本所需平均时间降低了20%。     

基于双分支特征提取和自适应胶囊网络的DGA域名检测方法

面向域名生成算法(DGA,domain generation algorithm)的域名检测方法普遍具有特征提取能力弱、特征信息压缩比高等特点,这导致特征信息丢失、特征结构破坏以及域名检测效果较差等诸多不足.针对上述问题,提出一种基于双分支特征提取和自适应胶囊网络的DGA域名检测方法.首先,通过样本清洗和字典构建重构原始样本并生成重构样本集.其次,通过双分支特征提取网络处理重构样本,在其中利用切片金字塔网络提取域名局部特征,利用Transformer提取域名全局特征,并利用轻量级注意力融合不同层次的域名特征.然后,利用自适应胶囊网络计算域名特征图的重要度系数,将域名文本特征转换为向量域名特征,并通过特征转移计算基于文本特征的域名分类概率,同时利用多层感知机处理域名统计特征,以此计算基于统计特征的域名分类概率.最后,通过合并得到的两种不同视角的域名分类概率进行域名检测.大量的实验表明,本文所提方法在DGA域名检测以及DGA域名家族检测分类方面均取得了当前领先的检测效果,其中,在DGA域名检测中F1分数提升了0.76%~5.57%,在DGA域名家族检测分类中F1分数(宏平均)提升了1.79%~3.68%.