一种基于生成对抗网络模型的恶意域名训练数据生成方法
本发明涉及网络安全领域,更具体地,涉及一种基于生成对抗网络的恶意域名训练数据生成方法。
背景技术:
域名生成算法(domaingenerationalgorithms,dga)是可以自动生成域名的一类算法的总称,网络攻击者利用dga生成大量的域名用于自身的组织和控制,以逃避安全人员的域名黑名单检测。目前,为了应对dga生成的大量恶意域名,基于深度学习的检测方法日渐成为主流,但是用于检测模型训练的数据收集困难、不同家族生成的域名数据量不一,数据采集周期较长、模型更新演化迟滞等问题,从而影响检测模型的训练。
现有的恶意域名训练数据生成方法大多是基于机器学习的生成方法,通过对真实恶意域名字符特征进行学习,预先对域名进行聚类、特征提取等一系列复杂的预处理后才能训练机器学习模型,以达到生成恶意域名训练数据,同时以特征提取的方式训练的生成模型难以充分学习域名字符的内在特征和字符序列信息。
专利文献(cn110290116a,公开日2019-09-27)提供了一种基于知识图谱的恶意域名检测方法,其中根据域名信息特征,提取可用于构建域名信誉知识图谱的关键特征是关键步骤,并且对域名信息进行聚合,上述操作使得整个训练数据的生成过程较复杂。
为了推动网络安全的技术发展,迫切需要一种全新的数据生成方法,以提高恶意域名训练数据生成的效率。
技术实现要素:
本发明提供一种基于生成对抗网络模型的恶意域名训练数据生成方法,能够直接对输入数据的字符特征进行学习,无须预先对域名进行特征提取,使得整个训练数据的过程得到简化。
为解决上述技术问题,本发明的技术方案如下:一种基于生成对抗网络模型(gan)的恶意域名训练数据生成方法,具体包括以下步骤:
s1、预处理输入域名数据,选择真实恶意域名数据作为输入数据;
s2、将经过预处理的真实恶意域名数据输入生成对抗网络模型进行训练,生成对抗网络模型由一对神经网络模型组成,包括生成器和判别器,两者通过对抗学习的训练算法来提升网络的权重,以实现生成器能够生成混淆判别器的数据;
s3、利用训练好的生成对抗网络模型来生成训练数据。
优选地,步骤s1中对输入数据进行预处理包括去除顶级域名和二级域名后,利用ascⅱ编码和数据归一化对所述输入数据进行处理。
优选地,所述真实恶意域名包括360网络安全实验室公开收集的若干dga家族的100万条恶意域名;
优选地,所述的ascⅱ编码是根据ascⅱ码将字符域名编码成对应的ascⅱ码,ascⅱ编码后的数据定义域取ascⅱ码表的区间[33,127]。
优选地,所述数据归一化处理是将编码后的数据映射到区间[0,1],映射公式如(1)所示,
其中a*(di)为第i个字符标准化后的值,a(di)为第i个字符的编码后的数据,mina(di)为定义域下限,maxa(di)为定义域上限。
优选地,步骤s2中,将经过预处理的真实恶意域名数据作为训练集来训练自编码器,自编码器是一个基于长短期记忆人工神经网络的seq2seq模型,由编码器和解码器组成,所述编码器把输入数据进行压缩,将高维数据压缩成低维数据后传递给解码器,解码器将压缩数据还原成原始数据,将经过训练的自编码器的解码器作为生成对抗网络模型的生成器,并使其生成器和判别器进行多轮竞争以达到平衡状态从而完成对所述生成对抗网络模型的训练。
优选地,所述判别器为基于cnn网络的二元分类器,用来判断输入数据是真实恶意域名数据还是生成器生成的数据。
优选地,在训练所述对抗网络模型(gan)时,以真实恶意域名和生成器生成的数据作为判别器的输入,由高斯分布模型随机产生的数据作为生成器的输入。
优选地,所述平衡状态是判别器和生成器的训练中经多轮竞争使得min-max公式的值趋向于0.5时的状态,min-max公式如(2)所示:
其中v(g,d)为价值函数,
优选地,步骤s3所述的生成训练数据是把真实的恶意域名作为步骤s2中训练好的对抗网络模型(gan)中的判别器的输入,把由高斯分布模型随机产生的数据作为步骤s2中训练好的对抗网络模型(gan)中的生成器的输入,以此来生成训练数据。
与现有技术相比,本发明技术方案的有益效果是:本发明能够直接对输入数据的字符特征进行学习,无须预先对域名进行特征提取,并且生成的数据具有能够更好的模拟输入数据的内在特征和更加充分关联字符序列信息的优点,为解决恶意域名训练数据收集难,多类不平衡等问题提供了一种新思路,有助于恶意域名检测模型的训练。
附图说明
图1为本发明实施例提供的一种基于生成对抗网络模型的恶意域名训练数据生成方法的步骤流程图。
具体实施方式
附图仅用于示例性说明,不能理解为对本专利的限制;
为了更好说明本实施例,附图某些部件会有省略、放大或缩小,并不代表实际产品的尺寸;
对于本领域技术人员来说,附图中某些公知结构及其说明可能省略是可以理解的。
下面结合附图和实施例对本发明的技术方案做进一步的说明。
实施例1
如图1所示,本发明的一种基于gan的恶意域名训练数据生成方法,具体包括以下步骤:
s1、将真实恶意域名数据作为输入数据并对其进行预处理;
具体地,处理输入域名数据,选择真实恶意域名数据作为输入数据,在去除顶级域名和二级域名后,利用ascⅱ编码和数据归一化对数据进行处理。
其中,所述的真实恶意域名数据是360网络安全实验室公开收集的不同dga家族的100万条恶意域名,所述的去除顶级域名和可能存在二级域名是由于顶级域名和二级域名部分数据相对固定,变化较少,恶意域名经常出现在往后级别的域名中。
另外,ascⅱ编码是根据ascⅱ码将字符域名编码成对应的ascⅱ码,考虑到ascⅱ码表的区间为[0,127],而区间[0,32]中的字符值不能打印输出且真实恶意域名内无此种字符的特性,因此ascⅱ编码后的数据定义域取为[33,127]。
数据归一化是为了使gan的学习效率更高,采用数据归一化的方式把编码后的数据映射到区间[0,1],映射公式如(1)所示,
其中a*(di)为第i个字符标准化后的值,a(di)为第i个字符的编码后的数据,mina(di)为定义域下限,maxa(di)为定义域上限。
s2、将经过预处理的真实恶意域名数据输入生成对抗网络模型进行训练,生成对抗网络模型由一对神经网络模型组成,包括生成器和判别器,两者通过对抗学习的训练算法来提升网络的权重,以实现生成器能够生成混淆判别器的数据。
具体实施过程中,归一化预处理之后的真实恶意域名数据,分别作为训练自编码器时的输入和训练生成对抗网络时,判别器的输入。在自编码器训练时,把输入的真实恶意域名数据作为训练集来训练自编码器,将经过训练的解码器作为gan模型的生成器。
其中,自编码器是一个基于长短期记忆人工神经网络(longshort-termmemory,lstm)的seq2seq模型,由编码器和解码器组成。编码器把输入数据进行压缩,将高维数据压缩成低维数据后传递给解码器,解码器可以将压缩数据还原成原始数据。以输入的真实恶意域名数据作为训练集输入到自编码器,编码器对输入数据进行压缩后传递给解码器,解码器根据传递过来的数据训练自己参数,以达到能够生成原始数据。
在训练之后,可以单独使用解码器作为步骤s3所述gan中的生成器,使其对输入的任意数据都可以产生对应的生成数据。
选择对抗网络模型(gan)的判别器,训练对抗网络模型(gan),使其生成器和判别器进行多轮竞争以达到平衡状态从而完成对所述对抗网络模型(gan)的训练。
gan模型训练时,将模型中的生成器和判别器进行多轮竞争以达到平衡状态;其中,生成对抗网络(generativeadversarialnetwork,gan)模型由一对神经网络模型组成,包括生成器和判别器,两者通过对抗学习的训练算法来提升网络的权重,以实现生成器能够生成混淆判别器的数据,生成器是步骤s2中训练好的自编码器中的解码器,判别器采用cnn网络,是一个二元分类器,用来判断输入数据是真实恶意域名数据还是生成器生成的数据,理想状态下,对于真实的恶意域名数据,判别器判为1,对于生成器生成的数据,判别器判别为0,gan模型训练是以真实恶意域名和生成器生成的数据作为判别器的输入,由高斯分布模型随机产生的数据作为生成器的输入,平衡状态是判别器和生成器在训练中经多轮竞争使得min-max公式的值趋向于0.5时的状态,min-max公式如(2)所示:
其中v(g,d)为价值函数,
利用高斯分布的随机变量是想避免模式崩塌问题,生成对抗模型训练中容易出现模式崩塌问题(所谓模式崩塌是指生成器生成的数据种类不够多),用不同的输入得到不用的输出,一定程度上可以避免模式崩塌问题。
s3、利用训练好的生成对抗网络模型来生成训练数据。
具体地,采用步骤s2中训练好的gan模型来生成训练数据,其中,把真实的恶意域名作为步骤s3中训练好的gan模型中的判别器的输入,把由高斯分布模型随机产生的数据作为步骤s2中训练好的gan模型中的生成器的输入,以此来生成训练数据。
相同或相似的标号对应相同或相似的部件;
附图中描述位置关系的用语仅用于示例性说明,不能理解为对本专利的限制;
显然,本发明的上述实施例仅仅是为清楚地说明本发明所作的举例,而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明权利要求的保护范围之内。
- 还没有人留言评论。精彩留言会获得点赞!