DeepDGA:基于生成对抗网络的DGA生成与检测
基于DeepDGA: Adversarially-Tuned Domain Generation and Detection
研究背景
由DGA引发的一系列…
- DGA是一种逃避域名黑名单检测的技术手段
- DGA接受种子输入并生成大量伪随机域名
- 利用其中的一部分注册为C&C服务器域名(称为恶意域名或者DGA域名)
- 僵尸网络和恶意软件会迭代生成的域名,直到找到一个已注册的域名,与该域名对应的C2建立连接
- 非对称攻击:防御者必须知道所有可能的域名黑名单
Example:Cryptolocker
这是一个DGA域名生成算法。
不同算法的字符分布
首先,Alexa是真实数据集(全球网络排名)。
- Cryptolocker和ramnit在相同的范围内几乎是均匀的(单个种子的计算)
- Suppobox连接英文字典中的随机单词,从而反映了Alexa Top 1M的分布 以前的DGA检测模型更加难以正确分类
- 本文的目标是构建一个基于字符的生成器,模仿Alexa域名的分布
相关框架
自编码器
它是一个数据压缩算法。模型由编码器、译码器和损失函数组成。
- 编码器:将输入转换为低维嵌入(有损压缩) - 解码器:重构编码器的原始输入(解压)
- 目标:最小化重建原始输出和输入之间的失真 容易训练,不需要标签(无监督)
架构
回顾一下论文中实现的自编解码器以及生成对抗网络的架构。