基于迁移学习和威胁情报的DGA恶意域名检测方法研究.pdf

1、NETINFOSECURITY优秀论文2023年第10 期doi:10.3969/j.issn.1671-1122.2023.10.002基于迁移学习和威胁情报的DGA恶意域名检测方法研究一叶桓荣12，李牧远1.3，姜波4.5，（1.中国人民公安大学信息网络安全学院，北京10 0 0 38；2.自贡市公安局网络安全保卫支队，自贡6 430 0 0；3.青岛市公安局网络安全保卫支队，青岛2 6 6 0 0 0；4.中国科学院信息工程研究所，北京10 0 8 5；5.中国科学院大学网络空间安全学院，北京10 0 0 49）摘要：域名生成算法已被广泛运用在各类网络攻击中，其存在样本变化快、变种多、获

2、取难等特点，导致现有传统模型检测精度不高，预警能力差。针对该情况，文章提出一种基于迁移学习和威胁情报的DGA恶意域名检测方法，通过构建双向长短时记忆神经网络和Transformer的组合模型，提取恶意域名上下文及语义关系特征，利用公开大样本恶意域名数据集进行预训练，迁移训练参数至新型未知小样本恶意域名进行模型检测性能测试。实验结果表明，该模型在多个APT组织使用的恶意域名小样本数据集中能达到9 6.14%的平均检测精度，检测性能表现良好。关键词：恶意域名；迁移学习；威胁情报；双向长短时记忆神经网络；Transformer中图分类号：TP309文献标志码：A文章编号：16 7 1-112 2（2

3、 0 2 3）10-0 0 0 8-0 8中文引用格式：叶桓荣，李牧远，姜波.基于迁移学习和威胁情报的DGA恶意域名检测方法研究J.信息网络安全，2 0 2 3，2 3（10）：8-15.英文引用格式:YE Huanrong,LI Muyuan,JIANG Bo.Research on DGA Malicious Domain Name DetectionMethod Based on Transfer Learning and Threat IntelligenceJJ.Netinfo Security,2023,23(10):8-15.Research on DGA Malicious D

4、omain Name Detection MethodBased on Transfer Learning and Threat IntelligenceYE Huanrongl-2,LI Muyuanl3,JIANG Bo4,5(1.School of Information Network Security,Peoples Public Security University of China,Bejing 100038,China;2.CyberPolice Division of Zigong Municipal Public Security Bureau,Zigong 643000

5、,China;3.Cyber Police Division of QingdaoMunicipal Public Security Bureau,Qingdao 266000,China;4.Institute of Information Engineering,Chinese Academy ofSciences,Bejing 10085,China,5.School of Cyber Security,University of Chinese Academy of Sciences,Bejing 100049,China)Abstract:Domain name generation

6、 algorithms have been widely used in various typesof cyber attacks,which have the characteristics of rapid sample change,many variants,收稿日期：2 0 2 3-0 5-0 9基金项目：国家重点研发计划2 0 2 1YFF0307203;2019QY1303；中国科学院战略性先导C类项目XDC02040100作者简介：叶桓荣（19 8 8 一），男，四川，硕士研究生，CCF会员，主要研究方向为网络攻防技术、网络威胁态势感知；李牧远（19 8 8 一），男，山东，

7、硕士研究生，主要研究方向为信息智能处理、自然语言处理；姜波（19 8 5一），男，安徽，副研究员，博士，CCF会员，主要研究方向为态势感知、行为分析、信息智能处理。通信作者：姜波8NETINFOSECURITY2023年第10 期优秀论文and difficult to obtain,leading to low detection accuracy and poor warning capability ofexisting traditional models.To address this situation,a DGA malicious domain detectionmethod

8、based on transfer learning and threat intelligence was proposed,which extractedmalicious domain context and semantic relationship features by building a combined modelof bidirectional long short-term memory neural network and Transformer,pre-trains byusing a publicly available large-sample malicious

9、 domain dataset,and transfered the trainingparameters to a new unknown small-sample malicious domain of APT organizations held bythreat intelligence for model detection performance testing.The experimental results showthat the model can achieve an average detection accuracy of 96.14%in a small-sampl

10、e datasetof malicious domains used by APT organizations,and the detection performance is good.Key words:malicious domain name;transfer learning;threat intelligence;Bi-LSTM;Transformer0引言近年来，伴随着网络技术的快速发展和世界形势的急速变化，网络攻击已呈现出逐年上升的趋势，严重危害国家和公民的信息安全。域名系统作为互联网重要组成部分，成为了各类网络攻击的目标和手段。新兴的高级持续性威胁（Advanced Pers

11、istent Threat，A PT）则善于使用僵尸网络、钓鱼攻击等与域名相关的恶意行为灵活地实施攻击。在对抗检测方面，域名生成算法（DomainsGenerationAlgorithm，D G A）会通过特定的算法生成伪随机性强的域名，攻击者往往会采用DGA应对安全人员的检测和封堵来实施命令和控制（Command&Control）行为。攻击者采用的DGA有其独有的生成模式和使用习惯。因此，分析与研究APT组织所使用的DGA模式并高效准确检测，对于预警和防御APT攻击具有重要的意义。早期的恶意域名检测主要依托于安全人员布设黑名单进行检测和封堵，但DGA的出现，使得传统的黑名单方法已无法满足相关

12、的工作。随着机器学习的兴起，研究者开始尝试利用机器学习结合DGA域名自身语言特征来开展检测工作。YADAVI2)等人开发了一种基于域名字母数字字符的分布和距离的判断方法。SCHIAVONI3等人提出基于使用字符串和IP的特征组合来区分恶意域名及其所属家族的方法。TRAN4等人提出了将二进制和多类分类模型结合提升LSTM.MI算法稳健性。YU5等人验证了多种主流检测模型，均获得了超过9 8%的准确率。张鑫6 等人基于LSTM编码改进Transformer模型构建MHA方法有效区分出缩略恶意域名。上述检测方式存在仅单纯通过DGA恶意域名字符特征层面进行检测，对恶意域名检测精准度判断支撑不足的问题。

13、研究者试图通过引入威胁情报来进一步提升检测的精准度。CAGLAYAN7等人对僵尸网络中恶意域名fast-flux和DNS操纵技术行为模式进行分析，结合社会网络特征反哺威胁情报。LI8等人通过对APT攻击中常用的C2及DNS隐蔽信道通信特征开展研究，建立一套未知恶意域名检测率能到8 0%的自学习威胁情报系统。CHIBA9等人分离滥用的恶意域名构建一套恶意域名色谱分析方法，提供新的威胁情报。汪鑫10 等人设计了一个基于多类特征的多分类器投票机制来判断恶意域名，准确率达到9 6%以上。SURYOTRISONGKO等人设计了一个混合可解释AI和开源情报的系统，利用可计算的威胁情报范式扩展提升DGA的流

14、量检测。ALSAEDI12等人提出一个混合随机森林和多层感知器结合的两阶段分类器，并引人谷歌搜索和whois信息的威胁情报提升准确率。上述检测方法需建立在大量样本基础上，导致检测成本巨大。研究者利用迁移学习来提高小样本场景下的恶意域名检测性能。顾兆军13 等人提出一种基于文本映射迁移学习和多核CNN的小样本DGA恶意域名检测模型。赵凡14 等人设计了一个基于BiLSTM-CNN的模型，并将训练参数迁移到新出现或新变种的小样本恶9NETINFOSECURITY优秀论文2023年第10 期意域名进行检测。RAJALAKSHMI15 等人开发了一种将CNN模型迁移至朴素贝叶斯（NB）和XGBoost

15、的字符级迁移学习模型。上述检测方式仅利用公开实验数据进行实验，存在对真实实战网络环境下的恶意域名检测可拓展性差的问题。在真实的实战环境下，DGA域名生成方式多样，同一APT组织所采用的DGA生成算法生成的域名具有相似性。仅基于公开数据集训练的深度学习模型无法适用实战环境下的新型未知小样本恶意域名检测。针对此问题，本文提出一种基于迁移学习和威胁情报的DGA恶意域名检测方法，使用双向长短时记忆神经网络(Bi-directional Long Short-Term Memory,BiLSTM)和Transformer的组合模型进行预训练，迁移训练参数至新型未知小样本恶意域名检测任务中。实验结果表明，

16、该方法能够有效提高分类效果。1DGA恶意域名检测模型1.1整体框架DGA恶意域名检测模型主要由3部分构成，分别为数据预处理、BiLSTM-Transformer模型构造、样本迁移，该算法框架如图1所示。调小祥木恶意样本数据数据预处理Skip-多家族DGA恶意域名数据APT威胁情报恶意城名数据本文首先对已有的多家族DGA恶意域名数据和通过威胁情报所掌握的小样本数据集进行数据预处理。利用One-hot编码方式将域名转换数据类型，再用Skip-gram方式进行编码；之后通过BiLSTM提取多家族的DGA全局特征，利用Transformer在BiLSTM提取特征的基础上进行预训练，并利用小样本相关变种

17、和未公开黑名单数据集的恶意域名数据集进行调参；最后通过迁移BiLSTM-Transformer模型参数至APT恶意域名小样本数据检测模型中进行检测分类。1.2数据预处理域名的构成由两个及以上的部分构成，如域名“，其从右至左分别为顶级域名和二级域名。不同层级域名以“”进行划分，并可以此类推扩展至三级域名甚至更多。APT攻击者伪装信任程度高的钓鱼攻击时，通常考虑申请“.com”等顶级域名，但为了批量申请DGA恶意域名成功和成本控制，会同时申请“.info”、“s p a c e”、“x y z”等较为容易申请的域名。因此，本文将充分考虑相关DGA恶意域名的顶级域名，以便特征提取更为全面。DGA恶意

18、域名的生成方式有较强的伪随机性，与正常的域名字符的语义和可读性相比有明显区别。表1列出常见公开黑名单DGA家族域名，表2 列出威胁情报中未在公开黑名单上的DGA恶意域名。对比两表可知，DGA恶意域名与正常域名的字符排列存在较大差异。表1常见的DGA域名DGA家族生成域名BiL.STM-Transfomeri混合模型nymaimStinbaBiLSTMTransfemer五LSTAHLSTSBamLSTM-LSTS数握预页处理BiL.STM五LSTMMLSTMO+LSTSkip-erawguhjpw.biz、x g t e j q z k.i n f o、s k n v mf w e p i s

19、.c o mwscqhnmdmmmm.xyz、j o t s c l i m e h i g.x y z、j t m y v w d r v m v n.x y ,图-Arovnix丁参数共享的迁移学习L根馆Tranisfomer五LSTM-LSTST图1算法框架示意图、2 h 7 w z 2 t i w r e l o j w 3k 5.b i z表2 威胁情报搜集的DGA域名检测结果APT工具分类是香琴意广名Sofimar耗似APT组织C&C使用域名GhO,cswdiarwgo.orgCobaltStrike4747winusptonilineherk.xyz、a x y d e s y

20、s k.ml,h l j b k u s n v b.o r gVidarsujpcerqsttre88.xyz,kuislayndtavls.onlineA、t m x e k a h c a o l r y n t m h r x p k.b i z为更好地将域名传入模型进行训练，首先对相关域名中的可用字符采用One-hot编码方式进行处理，但One-hot编码存在需要空间穴余、编码稀疏、无法表达上下文关联等缺点16。为了解决这个问题，需要使用稠密的空间向量来进一步表示单词空间。通过WordEmbedding和Skip-gram模型将最小单元特征映射到向10NETINFOSECURITY2

21、023年第10 期优秀论文量中。通过使用负采样技术，设置输入层为One-hot编码，隐藏层不使用激活函数，输出层采用Softmax函数。最终对样本集中每个域名均以向量方式表示17 。Skip-gram模型如图2 所示。输入层WvxNN-dimV-dim图2 Skip-gram模型图中W和W为权重矩阵，在输出过程中，输出层的每个字母都是共享权重的。本文采用这些权重计算V个单词组成的词汇表中每一个单词的分值U;。模型输出结点CV的输入由对应输人结点的加权求和计算得到Ucj，如公式（1）所示。Ue.,=Vh又因为按图2 中所示输出层每个字符都共享权重W，因此则有 Ue,=Uj，y,表示输出层的第j个

22、元素。最终通过Softmax函数产生第c个单词得到后验概率的多项式分布，如公式（2）所示。P(We,j=Wo,c|Wi)=ye,j1.3Transformer模型Transformer是优秀的序列到序列模型，近年来被广泛运用于自然语言处理和计算机视觉两大领域，并取得不俗的效果18 。因此本文使用Transformer模型进一步提取恶意域名字符串。Transformer模型基本结构如图3所示。输出概率Softmax工Linear残差利标准化前馈全连接层输出层残差和标准化残差和标准化多头注意力前馈全连接层y1jNxWNx隐藏层Wnxvy2jWNxVycjCxV-dimexp(Ue.,)Zy.exp

23、(U,)Nx残差和标准化残差和标准化黄掩码的多头注意力多实注慧力位置编码位置编码输入嵌入输出嵌入（碧）输入图3Transformer模型Transformer通过堆叠多个相同层构成网络，每个编码器中都包含一个前馈全连接网络及其规范化层和多头注意力机制及其规范化层，并使用残差连接。注意力机制的引人使得更具倾向性，用以强化关键字符的决策能力。注意力机制如公式（3）所示。Attention(O,K,V)=Softmax(QK)V其中Q,K,V分别代表查询(Query）键(Key）值(Value）的输入矩阵。为了优化不同空间位置的敏感特征信息，均衡同一种注意力机制可能产生的偏差，本文使用多(1)头注意

24、力机制进行多次映射，如公式（4）所示。其中 Head,=Attention(Qw,KWK,VW)表示第i个head头的输出，n为模型头的总数，Qwo,KWK,VWV（2)为参数矩阵，是分别对Q，K，V 进行的线性映射，由模型学习获得。1.4 Bi-LSTM模型尽管Transformer模型在有Positional Encoding的情况下表现出序列方面的优势，但其仍然缺乏时间维度的建模，深层次的Transformer编码器在每个位置的输出容易出现相似化，因此引入了LSTM可以从时序上加以强化补充19 。Bi-LSTM网络引人正向LSTM结构和反向(3)head,)Wo11NETINFOSECU

25、RITY优秀论文2023年第10 期LSTM结构结合而成，相较于LSTM，Bi-LST M 可以捕捉输入数据双向的依赖信息，有效提高了预测模型对输人数据的特征表达能力2 0 。Bi-LSTM模型如图4所示。LSTM正向LSTM反向LSTMLSTM-1图4Bi-LSTM模型Bi-LSTM网络中正向LSTM结构计算过程与单个LSTM计算过程相似，将正向隐含层状态和反向隐含层状态组合得到Bi-LSTM网络的隐含层状态，其计算方法如公式（5）公式（7）所示。h,=LSTM(hi-1,x.)h,=LSTM(hi-1,x,)h,=h+h.其中，x，h，h 分别为谢刻的输人数据、正向LSTM隐藏层输出和反向

26、LSTM隐藏层输出，均为常系数，分别表示h，h 的权重。1.5小样本APT恶意域名检测模型样本数据的大小对神经网络的最终分类效果有着决定性影响。由于威胁情报的更新机制，新发现的APT组织所用的DGA域名样本数据量存在不足，导致很难通过对模型自身的优化调整来实现对该APT组织经常使用的DGA恶意域名的高精准检测。借助于迁移学习算法，将文本处理领域预训练模型所学习到的知识迁移应用到DGA恶意域名中，可提升新型小样本恶意域名检测精度，并降低学习成本。本文采用参数迁移的方法来实现模型间的迁移，以提升解决威胁情报所掌握的训练样本严重不足的问题。通过DGA恶意域名样本训练好的BiLSTM-Transfor

27、mer混合模型，利用人工研判标记后额外的小样本多家族恶意域名数据结合梯度下降方法完成对模型的调参，最后将该模型参数迁移到威胁情报掌握的小样本APT恶意域名检测模型中进行训练，以达到利用该模型对测试集和实h战过程中收集的新型未知的小样本APT恶意域名进行检测的目的，并完成对可能使用该恶意域名的可疑APT组织分类。LSTMLSTMLSTMLSTMx+12实验验证与结果分析2.1数据集本文中所用数据集主要将恶意域名作为正样本，将合法域名作为负样本。样本集详细信息如表3所示。正样本主要来自于36 0 NetLab包含的6 7 个DGA家族的恶意域名，但由于其中部分家族域名数量少，不足以进行模型调整，因

28、此本文中选取31个恶意域名数量充足的家族域名共10 3万余条恶意域名进行预训练。表3样本数据集描述类型描述(5)合法域名(6)banjori,rovnix、t i n b a、pykspa_vl、s i md a、(7)flubot、b a z a r d o o r、预训练恶意ramnit、r a n b y u s、域名集gameover、m y d o o m,virutmurofet、n e c u r s 等31个家族matsnu、v a w t r a k、调参恶意pykspa_v2_fake域名集dircrypt、t o r d w m、enviserv等2 0 个家族Donot

29、、A PT 35等19威胁情报小个APT组织所使用的样本恶意Moqhao、Vi l e RA T 等域名集工具实施C&C的DGA恶意域名每个家族DGA恶意域名详细数量如表4所示。同时选取另2 0 种数量较少的恶意域名数据集参与模型调参，按照7:3比例划分训练集与测试集。合法域名则主要来源于Alexa的Top-1M的10 0 万条合法域名。基于威胁情报的恶意域名来源于监测到的33个APT组织所使用的C&C工具，其中包括6 6 9 8 条恶意域名历史记录，去除所掌握样本数量畸少（样本数量小于10）的APT组织及对应工具，保留其中19 个APT组织有效小样本数据量，DGA恶意域名32 36 条，并在

30、本样本示例、a ma z o n.Alexacomisrfbvs.info、v h p k i k t 、a g f s f a f s u f.n e nms*、eu*tek.info数量/个100000010378127289323612NETINFOSECURITY2023年第10 期优秀论文文中做脱密处理。表431类DGA恶意域名数量DGA数量/个banjori483028rovnix179996tinba102108pykspa_v144588simda30275flubot30000bazardoor28410ramnit20064ranbyus16120gameover12000

31、mydoom9928virut9734murofet8560necurs8190shiotob8004emotet59522.2实验环境与评价指标2.2.1实验环境本文所有实验均在Windows10计算机上实现，处理器为i5-8300H，内存16 GB，硬盘1TBSSD，开发环境为Visual StudioCode,采用PyTorch深度学习框架1.11.0+cul13,Python版本3.10.1，显卡为NVIDIARTX2060，模型支持GPU加速。2.2.2评价指标准确率Accuracy、精确率Precision、召回率Recall以及F1值是常用的评价指标，用以评价模型的检测性能，混淆

32、矩阵详见表5所示。该模型的运用场景是针对实际流量下的潜在APT攻击并及时划分种类，因此应当把误报率FPR和漏报率FNR纳入度量指标。通常在准确率和精确率越高的情况下，误报率和漏报率越低，则表明该模型检测效果越优秀。为保证实验结果的稳定性，将取5次实验的平均值作为最终评价结果。表5混淆矩阵计算预测真实正常恶意正常TP恶意FN准确率计算方法如公式（8）所示。Tp+TNAccuracy=7Tp+T+Fp+FN精确率计算方法如公式（9）所示。T,Precision=DGA数量/个wauchos5940ngioweb5250qakbot5000symmi4256necro2962tempedreve27

33、86shifu2537monerominer2495suppobox2251qadars2200locky1178bigviktor1000dyre1000chinad1000cryptolocker1000FPTN(9)Tp+Fp误报率计算方法如公式（10）所示。FpFPR=TN+Fp漏报率计算方法如公式（11）所示。FNFNR=TN+FN2.3超参数设置本文模型采用2 层Bi-LSTM层，其余参数配置如表6 所示。表6 参数设置参数名称参数值词向量维度128优化器Adam学习率0.001Bi-LSTM隐含层128Dropout0.5Batch size1282.4实验结果分析2.4.1多头

34、注意力分析为进一步验证Transformer模型中不同头（head）数量对测试集的影响，对头数量与准确率和损失值Loss的趋势进行分析，如图5所示。由图5可知，随着头数量增加，模型准确率逐渐上升，损失值也在趋于下降。当头数量达到8 时，增加头数量对于模型准确率提升没有过多影响，准确率提升和损失值下降均趋于平稳。因此本文模型中Transformer的头数量选择为8。2.4.2DGA恶意域名检测结果分析在此基础上本文所提出模型对于数量充足的31类家族DGA恶意域名检测性能如表7 所示，对于迁移后小样本数据量APT组织使用DGA恶意域名检测性能如表8 所示。2.4.3同类检测模型对比分析本文对比了文

35、献13 中基于多核卷积CNN迁移学(8)(10)(11)习算法和文献14 中基于BiLSTM-CNN混合模型迁移13NETINFOSECURITY优秀论文2023年第10 期表8 小样本数据量APT组织使用DGA恶意域名检测性能0.980.94-0.92-00.300.280.26-0.24-0.22SSOT0.20-0.180.16-0.14-0.12-0.10-0图5本文所提模型的准确率与损失值趋势表7 31类样本数据量充足的家族DGA恶意域名检测性能家族AccuracyPrecisionFPRFNR家族AccuracyPrecisionFPRFNRbanjori97.66%98.59%2

36、.08%2.87%wauchos95.62%94.46%5.91%6.48%rovnix97.72%95.49%3.22%2.54%ngioweb94.48%93.79%4.08%5.13%tinba95.08%97.27%4.88%5.46%qakbot92.31%93.53%7.38%8.06%pykspa_94.81%95.92%5.12%55.71%symmi97.82%96.29%2.59%2.02%simda90.14%92.73%8.18%7.91%flubot94.42%94.87%6.40%6.25%tempedreve97.65%96.43%2.23%2.97%bazard

37、oor95.46%97.28%5.45%4.15%ramnit96.35%97.46%4.67%4.73%monerominerranbyus96.53%95.59%4.93%4.23%suppobox94.27%94.96%6.38%5.12%gameover95.95%96.15%4.14%4.54%gadars95.81%95.32%3.43%5.47%mydoom91.78%93.47%7.54%6.82%locky95.82%95.73%5.91%5.01%virut97.84%96.67%2.33%2.64%bigviktor94.97%92.66%5.74%6.53%murofe

38、t95.96%97.03%3.34%4.28%necurs93.51%95.08%6.32%5.19%chinad97.16%96.25%2.36%3.37%shiotob96.58%97.28%2.43%3.16%cryptolockeremotet94.13%94.29%6.14%6.55%学习算法，检测性能对比如图6 和图7 所示。通过图6 对比，本文算法对31类样本数据量充足的家族DGA恶意域名检测准确率优于当前主流检测模APTAccuracyPrecisionFPR组织APT3597.37%94.47%4.71%6.49%ColdRiver96.49%95.03%5.51%4.06%

39、DeathStalker97.76%96.84%3.56%4.30%Donot94.14%94.88%6.04%6.26%DomantColor96.22%95.37%4.94%3.67%Evilnum94.67%92.71%5.66%7.15%FIN797.71%96.89%2.44%2.46%Gamaredon94.74%95.45%3.92%3.38%GooIPJAR97.56%97.96%2.01%2.62%GreenSpot96.54%95.79%6.44%5.93%Hagga95.62%94.86%4.78%4.44%Kimsuky95.18%94.63%6.51%5.48%Pig

40、Lazarus96.79%995.11%4.06%3.72%ButcheringRomCom94.89%995.57%4.76%66.61%SideWinder92.44%91.52%8.89%9.42%TransparentVoid96.46%97.37%3.07%44.56%24头数量/个a)准确率24头数量/个b)损失值necro94.19%95.47%6.03%6.94%shifu95.71%96.98%6.05%5.49%94.44%92.28%5.7%4.48%dyre97.99%96.35%2.91%3.89%95.86%96.22%6.63%6.42%APTFNRAccurac

41、yPrecisionFPRFNR组织97.78%96.69%2.04%2.93%96.48%97.22%3.02%2.54%686810101212TribeWater97.73%95.55%2.17%2.29%Labbu100%90%80%70%60%50%40%30%20%10%图6 3种分类模型在传统恶意域名数据集上的准确率对比100%90%80%70%60%50%40%30%20%10%图7 3种分类模型在小样本APT恶意域名数据集上的准确率对比型。同时由图7 可知，本文模型在针对小样本APT恶意域名集上的分类检测性能优于同类型主流恶意域名检测模型，也进一步验证了本文模型在新型未知小样

42、本恶意域名集上的高效性。3结束语综上所述，考虑到真实网络环境下实战过程中的BalaurDGA家族基于多核卷积CN迁移学习算法口本文算法基于BiLSTM-CNN混合模型迁移学习算法APT组织基于多核卷积CNN迁移学习算法口本文算法基于BiLSTM-CNN混合模型迁移学习算法14NETINFOSECURITY2023年第10 期优秀论文运用，在面对来自于APT组织的小样本的DGA恶意域名数据集时如何兼顾检测精度和APT组织类型判断是一个巨大的挑战。本文提出一种基于迁移学习和威肋情报的DGA恶意域名检测算法。该算法利用数据量充足的公开DGA恶意域名数据集进行BiLSTM-Transformer混合模

43、型预训练，并利用额外的多家族DGA恶意域名数据集进行参数微调，随后迁移模型参数至通过威胁情报获取的新型未知小样本恶意域名数据检测模型。通过在数量充足的样本数据集和小样本数据集上进行测试表明，本文模型在保持较高检测精度的基础上，可以识别出DGA恶意域名所对应的组织。下一步将重点在提升检测速度和准确度、降低误报率、轻量化部署等方面开展更进一步的研究。参考文献：1 DAVUTH N,KIM S R.Classification of Malicious Domain NamesUsing Support Vector Machine and Bi-Gram MethodJ.International

44、Journal of Security and Its Applications,2013,7(1):51-58.2 YADAV S,REDDY A K K,REDDY A L N,et al.DetectingAlgorithmically Generated Malicious Domain NamesC/ACM.Proceedingsof the 10th ACM SIGCOMM Conference on Internet Measurement.NewYork:ACM,2010:48-61.3 SCHIAVONI S,MAGGI F,CAVALLARO L,et al.Phoenix

45、:DGA-Based Botnet Tracking and IntelligenceC/Springer.Detection of Intrusionsand Malware,and Vulnerability Assessment:11th International Conference.Berlin:Springer,2014:192-211.4 TRAN D,MAC H,TONG V,et al.A LSTM Based Framework forHandling Multiclass Imbalance in DGA Botnet DetectionJ.Neurocomputing

46、,2018,275:2401-2413.5 YU Bin,PAN Jie,HU Jiaming,et al.Character Level Based Detectionof DGA Domain NamesC/IEEE.2018 International Joint Conference onNeural Networks(JCNN).New York:IEEE,2018:1-8.6 ZHANG Xin,CHENG Hua,FANG Yiquan.A DGA Domain NameDetection Method Based on Transformerl.Computer Enginee

47、ring&Science,2020,42(3):411-417.张鑫，程华，房一泉.基于Transformer的DGA域名检测方法.计算机工程与科学，2 0 2 0，42（3）：411-417.7 CAGLAYAN A,TOOTHAKER M,DRAPEAU D,et al.BehavioralAnalysis of Botnets for Threat Intelligence.Information Systems andE-Business Management,2012,10:491-519.8 LI Juntao,SHI Yong,XUE Zhi.APT Detection Base

48、d on DNS Traffic andThreat IntelligencelJ.Information Security and Communications,2016(7):84-88.9 CHIBA D,AKIYAMA M,YAGI T,et al.DomainChroma:BuildingActionable Threat Inteligence from Malicious Domain NamesJ.Computers&Security,2018,77:138-161.10 WANG Xin,WU Yang,LU Zhigang.Study on Malicious URLDet

49、ection Based on Threat Intelligence PlatformJ.Computer Science,2018,45(3):126-132,172.汪鑫，武杨，卢志刚.基于威胁情报平台的恶意URL检测研究D.计算机科学，2 0 18,45（3):12 6-132,17 2.11 SURYOTRISONGKO H,MUSASHI Y,TSUNEDA A,et al.Robust Botnet DGA Detection:Blending XAI and OSINT for Cyber ThreatIntelligence Sharingl.IEEE Access,2022

50、,10:34613-34624.12 ALSAEDI M,GHALEB F A,SAEED F,et al.Cyber ThreatIntelligence-Based Malicious URL Detection Model Using EnsembleLearningJ.Sensors,2022,22(9):3373-3382.13 GU Zhaojun,YANG Wenjin,ZHOU Jingxian.Small Sample DGAMalicious Domain Names Detection Method Based on Transfer Learning.Computer