基于迁移学习的小样本DGA恶意域名检测方法

doi:10.3778/j.issn.1002-8331.2004-0209

计算机工程与应用 ›› 2021, Vol. 57 ›› Issue (14): 103-109.DOI: 10.3778/j.issn.1002-8331.2004-0209

基于迁移学习的小样本DGA恶意域名检测方法

顾兆军，杨文瑾，周景贤

1.中国民航大学信息安全测评中心，天津 300300
2.中国民航大学计算机科学与技术学院，天津 300300
3.中国民航大学中欧航空工程师学院，天津 300300

出版日期:2021-07-15 发布日期:2021-07-14

Small Sample DGA Malicious Domain Names Detection Method Based on Transfer Learning

GU Zhaojun, YANG Wenjin, ZHOU Jingxian

1.Information Security Evaluation Center, Civil Aviation University of China, Tianjin 300300, China
2.Institute of Computer Science and Technology, Civil Aviation University of China, Tianjin 300300, China
3.Institute of Sino-European Aeronautical Engineering, Civil Aviation University of China, Tianjin 300300, China

Online:2021-07-15 Published:2021-07-14

摘要/Abstract

摘要：

域名生成算法（DGA）存在变化多、部分类别样本难获取的特点，使得采用传统机器学习的恶意域名检测模型准确性不高。提出一种基于迁移学习和多核CNN的小样本DGA恶意域名检测模型。该模型将目标域名映射到向量空间中，使用样本充足的DGA种类进行预训练，并迁移预训练得到的参数到小样本检测模型。采用多核CNN小样本分类模型根据发音习惯进行域名特征提取并分类。通过实验对比发现，无知识迁移的小样本分类模型只有11类域名准确率超过92%，经过迁移学习的多核CNN模型20类准确率超过92%，11类准确率超过97%，检测效果接近数据充足时的分类效果。

关键词: 恶意域名, 卷积神经网络, 迁移学习, 域名生成算法, 小样本学习

Abstract:

The Domain name Generation Algorithm（DGA） is easy to evolve, and some category of samples are difficult to obtain, which makes the detection of malicious domain names using traditional machine learning models inaccurate. A small sample DGA malicious domain name detection model based on transfer learning and multi-core CNN is proposed. The model maps the domain name into the vector space, and then uses the DGA with sufficient samples for pre-training, and migrates the pre-trained parameters to the small sample detection model. Finally, the multi-core CNN classification model of small data DGA extracts the characters of domain according to pronunciation habits, and determines whether the domain is a DGA domain. By comparison, the small sample classification model without knowledge transfer has only 11 types of domain names with an accuracy of more than 92%. The classification results of the multi-core CNN model after transfer learning has 20 types of DGA with an accuracy more than 92% and the 11 types more than 97%. Through knowledge transfer, the classification effect of the model trained by insufficient DGA data can be close to the model trained by sufficient data.

Key words: malicious domain names, convolutional neural network, transfer learning, domain generation algorithm, few-shot learning

顾兆军，杨文瑾，周景贤. 基于迁移学习的小样本DGA恶意域名检测方法[J]. 计算机工程与应用, 2021, 57(14): 103-109.

GU Zhaojun, YANG Wenjin, ZHOU Jingxian. Small Sample DGA Malicious Domain Names Detection Method Based on Transfer Learning[J]. Computer Engineering and Applications, 2021, 57(14): 103-109.

[1]	冉蓉，徐兴华，邱少华，崔小鹏，欧阳斌. 基于深度卷积神经网络的裂纹检测方法综述[J]. 计算机工程与应用, 2021, 57(9): 23-35.
[2]	牟清萍，张莹，张东波，王新杰，杨知桥. 目标丢失判别机制的视觉跟踪算法及应用研究[J]. 计算机工程与应用, 2021, 57(9): 140-147.
[3]	包志强，邢瑜，吕少卿，黄琼丹. 改进YOLO V2的6D目标姿态估计算法[J]. 计算机工程与应用, 2021, 57(9): 148-153.
[4]	桑江徽，姜海燕. 基于联合分布的多标记迁移学习[J]. 计算机工程与应用, 2021, 57(9): 154-161.
[5]	赵志焱，杨华，胡志伟，宇海萍. 基于TACNN的玉露香梨叶虫害识别[J]. 计算机工程与应用, 2021, 57(9): 176-181.
[6]	周伦钢，孙怡峰，王坤，吴疆，黄维贵，李炳龙. 目标多种多值属性的端端快速识别网络[J]. 计算机工程与应用, 2021, 57(9): 182-190.
[7]	张成，戴俊峰，熊闻心. 融合LeNet-5改进的扫描文档手写日期识别[J]. 计算机工程与应用, 2021, 57(9): 207-211.
[8]	麻哲旭，杨峰，乔旭. 铁路路基病害智能检测方法[J]. 计算机工程与应用, 2021, 57(9): 272-278.
[9]	许德刚，王露，李凡. 深度学习的典型目标检测算法研究综述[J]. 计算机工程与应用, 2021, 57(8): 10-25.
[10]	张越，黄友锐，刘鹏坤. 引入注意力机制的多分辨率人体姿态估计研究[J]. 计算机工程与应用, 2021, 57(8): 126-132.
[11]	李现国，冯欣欣，李建雄. 多尺度残差网络的单幅图像超分辨率重建[J]. 计算机工程与应用, 2021, 57(7): 215-221.
[12]	祝钧桃，姚光乐，张葛祥，李军，杨强，王胜，叶绍泽. 深度神经网络的小样本学习综述[J]. 计算机工程与应用, 2021, 57(7): 22-33.
[13]	梁芳烜，杨锋，卢丽云，尹梦晓. 基于卷积神经网络的脑肿瘤分割方法综述[J]. 计算机工程与应用, 2021, 57(7): 34-43.
[14]	杨培伟，周余红，邢岗，田智强，许夏瑜. 卷积神经网络在生物医学图像上的应用进展[J]. 计算机工程与应用, 2021, 57(7): 44-58.
[15]	常昊，陈晓雷，张爱华，李策，林冬梅. 嵌入改进SENet的卷积神经网络连续血压预测[J]. 计算机工程与应用, 2021, 57(7): 130-135.

基于迁移学习的小样本DGA恶意域名检测方法

Small Sample DGA Malicious Domain Names Detection Method Based on Transfer Learning

PDF

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics