NGHIÊN CỨU VÀ ỨNG DỤNG THUẬT TOÁN HỌC SÂU TRONG PHÁT HIỆN TÊN MIỀN BẤT THƯỜNG

Abstract

Gần đây, nhiều botnet sử dụng thuật toán tạo tên miền bất thường tự động (DGA) để sinh và đăng ký nhiều tên miền bất thường ngẫu nhiên khác nhau cho máy chủ lệnh và điều khiển của chúng nhằm chống lại việc bị kiểm soát và đưa vào danh sách đen. Do đó, việc phát hiện tên miền bất thường đang là mối quan tâm nghiên cứu của nhiều nhà nghiên cứu trên toàn thế giới vì tính lan rộng, độ tinh vi cao và hậu quả nghiêm trọng đối với nhiều tổ chức và người dùng. Bài báo này tập trung nghiên cứu xây dựng mô hình phát hiện tên miền bất thường dựa trên các kiến trúc Recurrent Neural Network (RNN), Long ShortTerm Memory (LSTM) và Convolutional Neural Network (CNN) của thuật toán học sâu và thử nghiệm đánh giá các mô hình này trên bộ dữ liệu gồm 16.7 triệu tên miền trong đó có 9 triệu tên miền bất thường và 7.7 tên miền lành tính. Kết quả thử nghiệm chỉ ra rằng mô hình học sâu sử dụng kiến trúc mạng học sâu LSTM cho tỷ lệ chính xác cao nhất. Ngoài ra, chúng tôi cũng đã đề xuất và triển khai thử nghiệm thành công giải pháp tích hợp mô hình phát hiện tên miền bất thường vào hệ thống giám sát cảnh báo sớm (SOC).