Multifamily Malicious Domain Intrusion Detection Based on #br#
Collaborative Attention#br#

Journal of Information Security Reserach ›› 2024, Vol. 10 ›› Issue (12): 115-.

Multifamily Malicious Domain Intrusion Detection Based on #br# Collaborative Attention#br#

Xu Hongquan1,2, Jin Qi2, Lou Bing3, and Sun Zhihua3

1(College of Electrical Engineering, Zhejiang University, Hangzhou 310058)
2(Quzhou Power Supply Company Control Center, State Grid Zhejiang Electric Power Company, Quzhou, Zhejiang 324002)
3(Zhejiang Huayun Information Technology Co., Ltd., Hangzhou 310008)

Online:2024-12-25 Published:2024-12-25

基于协同注意力的多家族恶意域名入侵检测

徐红泉1,2金琦2娄冰3孙志华3

1(浙江大学电气工程学院杭州 310058)
2(国网浙江省电力有限公司衢州供电公司调控中心浙江衢州324002)
3(浙江华云信息科技有限公司杭州310008)

通讯作者: 徐红泉硕士，高级工程师.主要研究方向为入侵攻击检测、电网调度自动化. qzxhq@outlook.com
作者简介:徐红泉硕士，高级工程师.主要研究方向为入侵攻击检测、电网调度自动化. qzxhq@outlook.com 金琦硕士，高级工程师.主要研究方向为工业互联网安全、电网调度自动化. 33721872@qq.com 娄冰硕士，高级工程师.主要研究方向为入侵攻击检测、电网调度自动化. Loubing@hyit.com.cn 孙志华工程师.主要研究方向为电网调度自动化. 24558147@qq.com

Abstract

Abstract: The timely and accurate detection of illegal domain names can effectively prevent the information loss caused by server crashes or unauthorized intrusions. A multifamily malicious domain name intrusion detection method based on collaborative attention is proposed. Firstly, the deep autoencoder network is used to encode and compress layer by layer, extracting the domain name encoding features at the intermediate layer. Secondly, the longdistance and shortdistance encoding features of the domain name string are extracted from the temporal and spatial dimensions, and the selfattention mechanism is constructed on the temporal and spatial encoding feature maps to enhance the expressiveness of the encoding features in local space. Thirdly, the crossattention mechanism is used to establish information interaction between the temporal and spatial encoding features, enhancing the expressiveness of different dimension encoding features in the global space. Finally, the softmax function is used to predict the probability of the domain name to be tested, and quickly determine the legitimacy of the domain name according to the probability value. The results of testing on multiple families of malicious domain name datasets show that the proposed method can achieve a detection accuracy of 0.9876 in the binary classification task of normal and malicious domain names, and an average recognition accuracy of 0.9568 on 16 family datasets. Compared with other classic methods of the same kind, the proposed method achieves the best detection results on multiple evaluation metrics.

Key words: malicious domain name intrusion detection, collaborative attention, deep autoencoder network, selfattention, crossattention

摘要： 及时准确地检测出非法域名，可以有效预防网络服务器宕机或非法入侵导致的信息丢失问题.为此，提出一种基于协同注意力的多家族恶意域名入侵检测方法.首先，利用深度自编码网络逐层编码压缩，捕获中间层的域名编码特征；其次，从时序和空间维度提取域名字符串的长短距离编码特征和空间编码特征，并在时序和空间编码特征图上构造自注意力机制，强化编码特征在局部空间中的表达能力；再次，借助交叉注意力机制建立时序和空间编码特征的信息交互，增强不同维度编码特征在全局空间中的表达能力；最后，利用softmax函数预测待测域名的概率，并根据概率值快速判定待测域名的合法性.在多个家族的恶意域名数据集上进行测试，结果表明所设计的方法在合法域名与恶意域名二分类检测任务上可以获得0.9876的检测精准率，并在16个家族数据集上可以实现0.9568的平均识别精准率.与其他同类经典方法相比，所设计方法在多个评价指标上实现了最佳的检测结果.

关键词: 恶意域名入侵检测, 协同注意力, 深度自编码网络, 自注意力, 交叉注意力

CLC Number:

TP393

徐红泉, 金琦, 娄冰, 孙志华, . 基于协同注意力的多家族恶意域名入侵检测[J]. 信息安全研究, 2024, 10(12): 115-.

References

［1］倪嘉翼, 陈伟, 童家铖, 等. 基于自适应集成学习的异常流量检测［J］. 信息安全研究, 2024, 10(1): 3439［2］姜言波, 邵增珍. 基于无监督自适应模糊聚类的多家族恶意域名细粒度检测［J］. 中国电子科学研究院学报, 2023, 18(7): 663670［3］赵宏, 常兆斌, 王伟杰. 基于深度自编码和决策树的恶意域名检测［J］. 微电子学与计算机, 2020, 37(5): 1317［4］黄凯, 傅建明, 黄坚伟, 等. 一种基于字符及解析特征的恶意域名检测方法［J］. 计算机仿真, 2018, 35(3): 287292［5］张明明, 刘凯, 李贤慧, 等. 基于广义神经网络的网络攻击检测与分类方法［J］. 信息安全研究, 2023, 9(6): 593601［6］温雪岩, 焦燕, 郭云飞, 等. 异构并行的DGA域名检测方法［J］. 中国电子科学研究院学报, 2023, 18(10): 957967［7］余子丞, 凌捷. 基于Transformer和多特征融合的DGA域名检测方法［J］. 计算机工程与科学, 2023, 45(8): 14161423［8］张清, 张文川, 冉兴程. 基于CNNBiLSTM和注意力机制的恶意域名检测［J］. 中国电子科学研究院学报, 2022, 17(9): 848855［9］吴涛, 王占海, 张健, 等. 基于CNNBiLSTM迁移自反馈学习的小样本恶意域名检测［J］. 小型微型计算机系统, 2023, 44(3): 602607［10］张凤, 张微, 魏金花. 基于BERT和层次化Attention的恶意域名检测［J］. 中国电子科学研究院学报, 2022, 17(3): 290296［11］Yang L H, Liu G J, Wang J W, et al. A semantic element representation model for malicious domain name detection［J］. Journal of Information Security and Applications, 2022, 66: 103148［12］郎波, 谢冲, 陈少杰, 等. 基于多模态特征融合的FastFlux恶意域名检测方法［J］. 信息网络安全, 2022, 22(4): 2029［13］马永忠, 夏保丽. 基于改进Transformer和强化学习的僵尸网络DGA域名检测［J］. 广西科学, 2023, 30(1): 139148［14］Cheng Y, Chai T, Zhang Z, et al. Detecting malicious domain names with abnormalwhois records using featurebased rules［J］. The Computer Journal, 2022, 65(9): 22622275［15］赵凡, 赵宏, 常兆斌. 基于迁移学习的小样本恶意域名检测［J］. 计算机工程与设计, 2022, 43(12): 33813387