基于優化CS-SVM算法的DGA域名檢測研究

盧加奇　呂廣旭　魏先燕　馮燕茹　王小英

摘? 要：近年來惡意軟件融合域名生成算法，生成大量的惡意域名嚴重威脅網絡安全。目前現有的惡意域名檢測方法大多都存在檢測效率低等問題。提出一種通過采用優化后的布谷鳥搜索算法（CS）對支持向量機（SVM）進行優化，即BCS-SVM方法，該方法能夠適應DGA域名檢測場景。實驗采用開放域名數據作為樣本集，對文章提出的DGA域名檢測方法進行訓練，并通過域名向量轉換、檢測模型訓練、參數調優，最終完成了一種較為高效的DGA域名檢測模型。

關鍵詞：特征選擇；DGA域名；布谷鳥搜索算法；支持向量機

中圖分類號：TP393.0? 文獻標識碼：A? 文章編號：2096-4706（2023）11-0077-03

Research on DGA Domain Name Detection Based on Optimized CS-SVM Algorithm

LU Jiaqi， LYU Guangxu， WEI Xianyan， FENG Yanru， WANG Xiaoying

（Institute of Disaster Prevention， Langfang? 065201， China）

Abstract： In recent years， malware integrates domain name to generate algorithms， and generates a large number of malicious domain names which is a serious threat to network security. Most of the existing malicious domain name detection methods have problems of low detection efficiency. This paper proposes a Support Vector Machine （SVM） optimization method by using an optimized Cuckoo Search algorithm （CS）， namely the BCS-SVM method， which can be adapted to the DGA domain name detection scenario. The experiment uses open domain name data as the sample set， trains the DGA domain name detection method proposed in this paper， and an efficient DGA domain name detection model is realized through domain name vector conversion， detection model training and parameter tuning finally.

Keywords： feature selection; DGA domain name; Cuckoo Search algorithm; Support Vector Machine

0? 引? 言

近些年來，各種網絡惡意行為不斷出現，網絡入侵事件層出不窮，網絡攻擊隨時發生，如僵尸網絡和勒索軟件，這些攻擊嚴重依賴命令與控制渠道遠程進行惡意活動。為了逃避通道檢測，攻擊者不斷嘗試使用不同的隱蔽通信技術。其中最常見的一種技術是域名生成算法，它允許惡意軟件隨機生成大量域名，直到找到其相應的C&C服務器。它對檢測系統和逆向工程具有高度的彈性，同時允許C&C服務器擁有多個冗余域名。隨著惡意軟件動態生成域名的速度和方式越來越多，使得現有的檢測措施變得越來越困難，因此對惡意域名的動態檢測和阻止其與C&C服務器進行通信具有重要的意義。基于此提出了優化CS-SVM算法的惡意域名檢測方法，該方法對惡意域名的檢測準確率達到97.2%，檢測效果較優。

1? 研究概述

用于惡意域名檢測方面的無監督方法獲得了大量的關注和研究，為后續研究提供大量的理論基礎。傳統的檢測方法基于黑名單技術以及啟發式規則識別分析技術對惡意域名進行檢測，隨著機器學習技術的發展，2015年，Truong和Cheng提出了一種檢測域名流動的系統，通過分析DNS流量，從惡意和良性域名的字符串中提取詞匯特征進行識別[1]。2016年，Song等人提出了一種基于隨機森林分類器的方法來檢測算法生成的域名，一些特征基于n-gram計算。對惡意域名進行檢測取得了較好的結果[2]。2020年，趙宏提出一種基于深度自編碼和決策樹的惡意域名檢測算法，利用域名特征作為輸出構建深度自編碼網絡模型，實現對域名的檢測[3]。2022年，李曉冬提出一種基于融合嵌入層的惡意域名檢測方法，采用融合向量與神經網絡相結合的方法，實現惡意域名檢測[4]。從上述研究發現對惡意域名檢測時多數方法都依賴于語言特性，需要復雜的計算，尤其是對字符級惡意域名來說，一些檢測方法的檢測效果較差。深度神經網絡模型參數較多、計算復雜、模型運行時間長。

2? 改進布谷鳥搜索的支持向量機方法

因網絡域名數據中所涉及的特征較為復雜，另一方面眾多的機器學習方法在訓練高維數據中具有很大的困難，因而導致模型的訓練時間長，訓練效果不佳，尤其是對于有監督的訓練造成很大的困擾。本文采用改進布谷鳥搜索的支持向量機方法針對惡意域名檢測進行研究，主要分為兩部分構成，一是使用改進布谷鳥搜索算法對于網絡惡意域名特征進行特征篩選，二是將篩選好的特征利用支持向量機方法進行分類，從而實現對與惡意域名的發現和甄別。

2.1? 基于優化的布谷鳥搜索算法

傳統的布谷鳥搜索算法（CS算法）是由Yang等在2010年根據布谷鳥的繁殖生活習性受到的啟發提出的[5]。該算法迭代地使用Lévy飛行隨機游走來探索搜索空間。針對布谷鳥的生活習性，傳統布谷鳥算法的具有以下三條基本規則：

1）在初始化過程中，隨機選擇鳥窩產蛋并孵化，每次只產出一枚蛋。

2）利用Lévy飛行進行位置更新選擇最優的鳥窩，并將最優鳥窩保留。

3）宿主的巢數量是固定的，宿主發現布谷鳥下的蛋的概率為P，此概率值在0到1之間，但發現布谷鳥蛋時候，會將巢穴丟棄建立新巢穴或將布谷鳥蛋丟棄。

布谷鳥搜索算法利用Lévy飛行來更新自己的位置，該飛行表達式為：

其在這里，這些步驟基本上形成了一個隨機行走過程，具有冪律分布和沉重的尾部，這將加快本地搜索速度，這將確保系統不會陷入局部最優。尋找的計算式為：

由此可見， 的位置由上一個路徑? 所得到的，分別代表t+1和t的鳥窩位置。其中α＞0表示其步長，上述方程本質上是隨機行走的隨機方程。通常，隨機游動是一個馬爾可夫鏈，其下一個位置僅取決于當前位置（上述方程中的第一項）和轉移概率（第二項）。 代表的點乘積，也就是所謂的逐項乘法。

布谷鳥搜索算法迭代的使用Lévy飛行隨機游走來探索搜索空間。Lévy飛行機制突然轉彎90度，因此布谷鳥搜索策略沒有在布谷鳥巢周圍仔細搜索，因此收斂速度慢，優化精度低。并且布谷鳥搜索算法一般是面對連續性的優化問題，將布谷鳥搜索算法應用到特征選擇中就需要將我們的算法進行離散化改進。圖1為改進布谷鳥搜索算法的流程圖。

2.2? 支持向量機算法

支持向量機（SVM）是一種采用監督學習方式的分類模型。SVM的優點在于其可解釋性強、不依靠傳統的統計方法，從而簡化分類和回歸問題，在分類評價中具有較高的精度和計算效率。對于一個二分類問題，假設特征空間Rn，其中n表示特征空間中每個樣本點都是n維的，并且該特征空間中有m個訓練樣本點。訓練數據集表（xi，yi），i = 1， 2， …， m，其中xi ∈ Rn表示樣本特征向量，yi{+1， -1}表示其對應的類別。具體的算法步驟如下：

顯然，對于二分類評價SVM的優劣主要有所采取的核心函數以及懲罰參數所決定。

在對樣本的特征維數較低，樣本數量較多的情況，一般選用高斯核函數，同時在處理數據時可以先對特征進行縮放，可以減少后續出現過擬合的現象。基于此提出一種采用BCS算法提取域名特征，將提取到的特征作為SVM的輸入，最終構建BCS-SVM分類模型。

3? 實驗與結果分析

3.1? 實驗數據集

本次實驗的惡意域名是從已知的真實數據集DGArchive中選取，其中包含bep、dircrypt、emotet、pregozi、oderoor等在內的50個惡意域名家族數據。正常域名來自Alexa網站，使用Alexa 的排名相對比較靠前的域名作為正常域名。選擇惡意域名是按照比例從每個惡意域名家族中隨機抽取一定數量的樣本，然后將隨機抽取的樣本組合成惡意域名樣本集。最終將正常域名與惡意域名的樣本合并得到最終的數據集。合并后的數據集共99萬條數據，數據集詳情如表1所示。

3.2? 數據處理及指標

在進行檢測模型訓練前，需要對數據進行預處理，對每條域名進行分類標識。本文主要討論惡意域名的檢測方法，不對惡意域名家族進行分類，其中，域名分為正常域名和惡意域名兩類，其中正常域名標記為0，惡意域名標記為1。

對于二分類任務，通常使用下述幾種評估指標。

其中TP表示樣本預測值與真實值相符且均為正；FP表示樣本預測值為正而真實值為負；FN表示樣本預測值為負而真實值為正；TN表示樣本預測值與真實值相符且均為負。

3.3? 實驗結果與分析

實驗首先對處理完的數據使用布谷鳥搜索算法進行特征篩選擇優，表2是篩選后的結果。

采用的對比實驗模型分別為支持向量機[6]、多層感知機[7]、CS-SVM、BCS-SVM算法。表2是四種模型的性能指標。實驗過程中，本文分別采用的傳統的機器學習方法（SVM）、深度學習（MLP）和CS-SVM方法以及提出的BCS-SVM算法進行分類。分析表3，可以看出改進后的BCS-SVM模型比CS-SVM的準確率提高了3.9%，對比SVM和MLP準確率上均有所提升。采用BCS-SVM對域名進行檢測取得了較優的效果，說明了本文的檢測方法，對惡意域名與正常域名具有良好檢測的效果。

圖2是不同算法在數據集上的實驗結果。實驗結果表明，采用BCS-SVM對域名進行檢測，在各項評價指標均優于SVM和MLP以及改進前的CS-SVM算法。

4? 結? 論

惡意域名檢測成為檢測釣魚網站、勒索病毒的重要方式。本文基于公開的惡意域名數據集域名和Aleax全球網站排名信息構建域名樣本數據，提出一種基于BCS-SVM算法的分類檢測方法，該方法用布谷鳥搜索算法（CS算法）進行特征篩選和組合，然后將篩選后的特征輸入到支持向量機（SVM）中，減少了一定量的參數，計算速率上有明顯提升。實驗結果表明，該方法能夠有效檢測出惡意域名，相較于SVM、MLP以及改進前的CS-SVM檢測方法，各項指標更高，檢測效果更優。

參考文獻：

[1] TRUONG D，CHENG G.Detecting domain‐flux botnet based on dns traffic features in managed network [J].Security and Communication Networks，2016，9（14）：2338-2347.

[2] SONG W J，LI B. A Method to Detect Machine Generated Domain Names Based on Random Forest Algorithm [C]//2016 International Conference on Information System and Artificial Intelligence （ISAI）.Hong Kong：IEEE，2017：509-513.

[3] 趙宏，常兆斌，王偉杰.基于深度自編碼和決策樹的惡意域名檢測 [J].微電子學與計算機，2020，37（5）：13-17.

[4] 李曉冬，李育強，宋元鳳，等.新的基于融合向量的DGA域名檢測方法 [J].計算機應用研究，2022，39（6）：1834-1837+1844.

[5] YANG X S，DEB S. Cuckoo Search via Levy Flights [J/OL].arXiv：1003.1594 [math.OC].（2010-05-08）.https：//arxiv.org/abs/1003.1594.

[6] WANG Z，JIA Z，ZHANG B. A Detection Scheme for DGA Domain Names Based on SVM [C]//Science and Engineering Research Center.Proceedings of 2018 International Conference on Mathematics，Modelling，Simulation and Algorithms（MMSA2018）.Chengdu：Atlantis Press，2018：268-274.

[7] 王輝，周忠錦，王世晉，等.基于MLP深度學習算法的DGA準確識別技術研究 [J].信息安全研究，2019，5（6）：495-499.

[8] CHEN T，CUESTRIN C. XGBoost：A Scalable Tree Boosting System [C]//KDD '16：The 22nd ACM SIGKDD International Conference on Knowledge Discovery and Data Mining.San Francisco：Association for Computing Machinery，2016：785-794.

作者簡介：盧加奇（1997—），男，漢族，江蘇徐州人，碩士研究生在讀，研究方向：網絡安全、APT攻擊；呂廣旭（1998—），男，漢族，山東德州人，碩士研究生在讀，研究方向：網絡安全、數據挖掘；魏先燕（1996—），女，漢族，湖北襄陽人，碩士研究生在讀，研究方向：語音安全、數據分析；馮燕茹（1985—），女，漢族，山西長治人，副教授，博士研究生，研究方向：語音安全、網絡工程；通訊作者：王小英（1979—），女，漢族，陜西咸陽人，教授，碩士，研究方向：無線通信、WSN技術、網絡安全。

收稿日期：2023-01-08

基金項目：防災科技學院教育研究與教學改革項目（JY2022B31）