什么是深度学习监测DGA?

          这篇文章的全部信息与笔者的日常事务不相干,其见解也仅代表笔者个人意见,与笔者的用人单位不相干。依托于字段名特点监测DGA的rnn建模 的判断效果在对抗样本下非常软弱,其在稳定数据信息上呈现的99.99%命中率在大量dns服务数据信息中的错判会形成很高运营成本费用,促使在生产系统里布署这类建模 显得非常不可取。rnn在该情况上形成瞎忙,其身后的因素来自于近路学习培训。这篇文章从科研“rnn监测DGA为什么是有误的”考虑,简洁明了讲解依托于样例的抵抗及其某些“近路学习培训”的深入分析,原文中提及的文章和开放源码均在论文参考文献部分列举供诸位朋友们参照。

outputo-20210908-094946-170-sgnn.png

字段名特点监测DGA

从dns服务数据流量系统日志考虑监测网站域名产生优化算法(DGA)形成的僵尸网络中控网站域名始终是个时事热点,其方式 一般分成运用网站域名字段名特点的判断建模 及其运用dns服务数据流量编码序列/共表达特点的聚类算法2个角度,而首个角度由于更易于制成线上建模 更受大家喜爱,与此同时它都不太须要为目前dns服务系统日志更新建模 ,针对安全盒子类不容易传回dns服务系统日志的情景更为友善。

依托于字段名特点的判断建模 运用了DGA网站域名的标识符特点,例如工作频率和区域的偶然性、元音和辅音的混和占比、n-gram的搭配等,一般应用已经知道DGA做为正例AlexaTop网站域名做为典例,培训并导出二分类或是多分类模型。业内最开始使用产品系统里的实例来自于CrowdStrike在BlackHat2013的报告书“Ever-then-EndAnalysisofaDomainGeneratingAlgorithmMalwareFamily”;二零一五年这篇文章笔者在乌云知识库系统里介绍一篇运用SVM监测DGA的文章“用深度神经网络鉴别随机生成的C&C网站域名”并开源系统了源代码;来到2019年,FANCI在usenixsecurity18的文章“FANCI:Feature-basedAutomatedNXDomainClassificationandIntelligence”和有关开放源码被业内接受并认可。这种判断建模 运用了依托于统计的特征工程,不一样笔者有不一样的妙趣,也在不同的数据信息里实现了99%之上的结果。

随后深度神经元网络热起来了,有明智的小伙伴们明确提出,比不上让深度神经元网络自个学习培训这种特点,这并不聪明么?

rnn看上去更为“深度神经网络”

在2015年末,Endgame(如今更名叫Elastic)的科研技术人员搭建了一种简洁明了的rnn,运用网站域名里邻近标识符发生的次序做为键入并搭建判断建模 ;在2019年DucTran等的文章“ALSTMbasedframeworkforhandlingmulticlassimbalanceinDGAbotnetdetection”明确提出了对非均衡归类的改善,其开源系统的源代码rnn.EM也被业内数次引入。他们都依托于这一简洁明了到无法再简洁明了的rnn网络架构(选自endgame的开源系统实现源代码,rnn.EM与其构造完全相同):

分享:

相关推荐