基于多元时序特征的恶意域名检测方法

摘要

当前,作为主要攻击媒介的恶意域名被广泛滥用于多种网络攻击活动中,针对恶意域名检测中检测特征设计复杂、需要经验知识辅助以及容易被攻击者有针对性绕过等问题,文章提出一种基于多元时序特征的恶意域名检测方法。该方法使用基于融合长短期记忆网络和全卷积神经网络的深度学习模型,分别从客户端请求和域名解析流量中自动化提取多元时序嵌入特征,并学习恶意域名行为的低维时序表示。对比传统的时间统计特征方案或时间序列局部模式判别方案,该方法可以建模长期域名活动模式,从中发现恶意域名区别于正常域名的行为序列,具有更强大的恶意域名检测能力。同时,该方法支持融合多元时序嵌入特征和通用恶意域名检测特征,多维度表征恶意行为信息,提升检测性能以及模型鲁棒性和扩展能力。