基于AN和LSTM的惡意域名檢測

周 康，萬 良，丁紅衛(wèi)

1.貴州大學(xué) 計算機(jī)科學(xué)與技術(shù)學(xué)院，貴陽550025

2.貴州大學(xué) 軟件與理論研究所，貴陽550025

1 引言

當(dāng)前，各種針對網(wǎng)絡(luò)通信域名服務(wù)系統(tǒng)的攻擊層出不窮。通過注冊惡意域名植入軟件，引誘用戶訪問該域名而非目標(biāo)網(wǎng)站，進(jìn)行違法違紀(jì)等活動，已成為威脅互聯(lián)網(wǎng)安全運(yùn)行的重要問題之一。

垃圾郵件、僵尸網(wǎng)絡(luò)、釣魚欺詐以及遠(yuǎn)控木馬等惡意攻擊往往需要進(jìn)行惡意域名解析。所謂惡意域名解析實(shí)際上是利用了域名解析中的遞歸查詢流程，將用戶正常DNS（Domain Name System）請求解析到攻擊者的惡意服務(wù)器上。基于該原理，黑客通過域名生成算法隨機(jī)注冊少數(shù)域名就可以對目標(biāo)主機(jī)實(shí)施攻擊。目前主流的惡意域名檢測方法包括傳統(tǒng)方法和深度學(xué)習(xí)方法。傳統(tǒng)方法，通過分析惡意域名生成算法的域名特征建立域名檢測分類器，并建立域名黑名單。通過嗅探DNS請求人工提取特征，尋找惡意域名并提醒自動分類工具或用戶進(jìn)行防御。文獻(xiàn)[1-3]方法通過將域名集分組聚類為每個組設(shè)定數(shù)據(jù)屬性，在不斷訓(xùn)練和測試數(shù)據(jù)之后建立規(guī)則庫來區(qū)分潛在惡意域名。但這些方法忽略上下文信息，比如HTTP頭、NXDomain、被動DNS域。當(dāng)數(shù)據(jù)信息量過少時，將導(dǎo)致檢測精度不高。文獻(xiàn)[4-5]和上述方法類似，通過對域名進(jìn)行字符串分析，如字符串長度、元/輔音字母個數(shù)、熵等，針對惡意域名特點(diǎn)人工設(shè)計一些特征，再利用現(xiàn)有傳統(tǒng)分類器進(jìn)行檢測。首先，此類方法未利用上下文信息，但當(dāng)有子更新時就需要重新設(shè)計特征，計算量大。其次，人工提取特征的方法是一種耗時的過程，檢測效率低。深度學(xué)習(xí)方法相較于傳統(tǒng)方法，可以獲取更多有效的文本特征，其準(zhǔn)確率和召回率比較高。國內(nèi)外學(xué)者在深度學(xué)習(xí)方法上進(jìn)行了大量的研究，但在惡意域名檢測領(lǐng)域的研究較少。呂品等[6]設(shè)計了一種編輯距離的惡意域名檢測系統(tǒng)，利用雙向LSTM（Long Short-Term Memory network）檢測誤植域名，雖然不需要人工提取特征，但使用獨(dú)熱編碼導(dǎo)致數(shù)據(jù)稀疏程度大，維度過高，計算效率差。在特征降維方面，前人已提出很多降維方法[7-8]，主要可分為線性和非線性兩類。線性降維方法主要有主成分分析（Principal Component Analysis，PCA）和線性判別分析（Linear Discriminant Analysis，LDA）等，它們在具有線性結(jié)構(gòu)的高維數(shù)據(jù)集上具有良好的降維效果。但當(dāng)數(shù)據(jù)呈現(xiàn)非線性稀疏結(jié)構(gòu)時，這些方法難以表達(dá)數(shù)據(jù)集的主要特征。自編碼網(wǎng)絡(luò)（Autoencoder Network，AN）模型將高維、非線性的數(shù)據(jù)雙向映射到低維空間，建立高維空間到低維空間的自編碼網(wǎng)絡(luò)，進(jìn)而使用自編碼網(wǎng)絡(luò)權(quán)值微調(diào)重構(gòu)低維空間數(shù)據(jù)的最優(yōu)高維表示，具有優(yōu)良的降維能力且易于其他神經(jīng)網(wǎng)絡(luò)模型結(jié)合。

本文旨在消除冗余信息，降低計算復(fù)雜度和提高域名檢測能力，提出了一種基于AN和LSTM結(jié)合的域名檢測方法（AN Combined with Attention Mechanism and LSTM，AN-At-LSTM）。該方法結(jié)合自編碼網(wǎng)絡(luò)對數(shù)據(jù)優(yōu)良的降維能力，以及LSTM能快速適應(yīng)不斷變化的異常行為而不需要人工提取特征和對長程依賴信息最大化保留能力，在面對高維復(fù)雜海量數(shù)據(jù)時具有較強(qiáng)的潛力，比起傳統(tǒng)檢測惡意域名方法具有更高的檢測率和較短的檢測時間。

2 問題描述

本章主要介紹域名檢測問題的形式化定義，以及針對該問題提出的基于AN-At-LSTM訓(xùn)練結(jié)構(gòu)圖。

2.1 word2vec數(shù)據(jù)處理方法

對域名文本序列數(shù)值化處理需要使用自然語言處理領(lǐng)域的方法，即對列表元素進(jìn)行向量空間嵌入，該思想最早由Hinton于1986年提出[9]。將單詞語義研究轉(zhuǎn)化為對應(yīng)的n維實(shí)數(shù)向量的運(yùn)算，并取得了很好的效果[10]。目前最流行的向量空間嵌入方法是word2vec，它是2013年Mikolov等在谷歌實(shí)驗(yàn)室發(fā)明的一種方法[11]，解決了常用的獨(dú)熱編碼表示中忽略上下文信息，向量維度大，矩陣稀疏容易造成維度災(zāi)難的問題。該分布式表示方法將所有詞語映射到一個抽象的向量空間，計算詞語之間的相似度，得到關(guān)鍵特征詞。

具體的，本文構(gòu)建文本詞向量方法是將文本信息轉(zhuǎn)化為向量形式，每個文本序列轉(zhuǎn)換為一個多維矩陣。給定文本序列S，其中包含多個字符W(w1,w2,…,wm)，提取到的文本序列S的文本特征集為K(k1,k2,…,kn)，m為文本序列S的字符個數(shù)，n為每個文本序列提取到的文本特征個數(shù)，第t個字符提取到的第i個文本特征表示為。本文采取的文本特征方法為位置標(biāo)注，對文本信息進(jìn)行詞向量化處理：

其中，rw是字符w的詞向量表示；Wword∈Rl×||m表示文本詞向量矩陣，m表示文本序列中字符的個數(shù)，l表示詞向量的維數(shù)，本文采用word2vec訓(xùn)練文本詞向量矩陣，詞向量初始維數(shù)為128維；Vw為字符w的分布式表示。向量化后的第t個詞表示為：

最后得到特征向量表示為：

2.2 基于AN-At-LSTM的系統(tǒng)框架

基于AN-At-LSTM的域名檢測網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

主要分為數(shù)據(jù)特征降維、離線模型訓(xùn)練和在線域名判定分類三個階段。數(shù)據(jù)特征降維主要是利用自編碼網(wǎng)絡(luò)對域名數(shù)值化信息流進(jìn)行處理，離線模型主要對降維后的數(shù)據(jù)進(jìn)行訓(xùn)練，在線域名判定主要為域名生成算法生成惡意域名進(jìn)行在線測試。

圖1 AN-At-LSTM模型訓(xùn)練網(wǎng)絡(luò)結(jié)構(gòu)圖

具體方法如下：

首先將域名對（正常域名，測試域名）根據(jù)ASSIC碼數(shù)值化，根據(jù)域名中字符編碼最大序列長度進(jìn)行0編碼補(bǔ)齊。

其次通過數(shù)據(jù)集的嵌入層，將向量化數(shù)據(jù)集存入N位狀態(tài)寄存器進(jìn)行編碼嵌入表示。例如將DGA數(shù)值化序列s=[v1v2…vk],vk∈Cv，其中Cv為嵌入表，vk為每一個序列元素，通過訓(xùn)練集訓(xùn)練判斷vk是否在Cv中，若vk?Cv，則取Cv的第一個位置嵌入表示為v0，反之，則取對應(yīng)序列id為vi。經(jīng)過嵌入層處理，每個token的id變成了相應(yīng)嵌入表示Cs=[cv1cv2…cvk]。相比于其他嵌入表示（如Brown聚類）具有低維稠密、計算高效的優(yōu)勢。

接著通過自編碼網(wǎng)絡(luò)訓(xùn)練初始維度輸入為128，經(jīng)過編碼器壓縮和解碼器解壓縮操作將高維數(shù)據(jù)雙向映射到低維空間，得到高維數(shù)據(jù)的最優(yōu)低維表示。

然后使用了加入Attention機(jī)制的LSTM層捕獲數(shù)據(jù)的時序性和長程依賴性。該機(jī)制能解決LSTM中輸入編碼為固定長度，難以合理表示向量，丟失長序列信息的缺點(diǎn)。Attention機(jī)制保留LSTM編碼器對輸入序列的中間輸出結(jié)果，訓(xùn)練一個模型對這些輸入進(jìn)行選擇性學(xué)習(xí)并且在模型輸出時進(jìn)行輸出序列關(guān)聯(lián)。其中Permute為換維層，Dense為全連接層，用來還原維度，Merge為融合層，用來進(jìn)行特征融合。與ANLSTM模型不同的是，在ANLSTM基礎(chǔ)上加入了Attention機(jī)制，提高對數(shù)據(jù)的邊緣檢測能力。

最后使用激活函數(shù)轉(zhuǎn)化為0/1分類標(biāo)簽。標(biāo)簽為1表示域名為惡意域名，標(biāo)簽為0表示不是惡意域名。

其中對自編碼網(wǎng)絡(luò)采用反向傳播算法重構(gòu)誤差迭代達(dá)到最小值。對概率輸出層、嵌入層使用反向傳播算法進(jìn)行誤差的反向傳播。而對于LSTM層，采用后向傳播算法進(jìn)行誤差的反向傳播。

3 模型介紹

3.1 AN模型

自編碼網(wǎng)絡(luò)（AN）是非監(jiān)督學(xué)習(xí)領(lǐng)域中的一種可以自動從無標(biāo)注的數(shù)據(jù)中學(xué)習(xí)特征，以重構(gòu)輸入信息為目標(biāo)的神經(jīng)網(wǎng)絡(luò)。它通過學(xué)習(xí)具體特征向量獲得數(shù)據(jù)集的壓縮編碼，達(dá)到降維的目的[12]。其本質(zhì)是學(xué)習(xí)一個hw,b(x)≈x的函數(shù)，使得輸出x?接近于輸入x。該網(wǎng)絡(luò)由三部分構(gòu)成：編碼器、代碼層和解碼器。每兩層為一個受限玻爾茲曼機(jī)（Restricted Boltzmann Machine，RBM），AN通過多個堆疊的RBM組成。通過RBM每層前后向傳播來重構(gòu)誤差，直到目標(biāo)函數(shù)達(dá)到最小值。其中目標(biāo)函數(shù)定義為：

其中，f(X)為sigmoid激活函數(shù)函數(shù)。

該網(wǎng)絡(luò)激活方式是隱藏層h1輸入由上一層h0的輸出x和它的權(quán)重W乘積激活。h2的輸入同樣由h2的輸出x′和它的權(quán)重W′乘積激活，直到所有的隱藏層都被激活。

其實(shí)現(xiàn)過程包括三個步驟：

（1）預(yù)訓(xùn)練過程：通過RBM預(yù)訓(xùn)練獲得生成模型權(quán)值參數(shù)，計算W和b的殘差，利用梯度下降法更新W和b，使得輸出更好地表示輸入。

（2）展開：在經(jīng)過多層RBM網(wǎng)絡(luò)預(yù)訓(xùn)練后，編碼器和解碼器使用得到的權(quán)值作為自編碼網(wǎng)絡(luò)的初始權(quán)值。將預(yù)訓(xùn)練得到的RBM網(wǎng)絡(luò)連接起來并按照自編碼網(wǎng)絡(luò)結(jié)構(gòu)展開。

（3）權(quán)值微調(diào)：按照重構(gòu)誤差最小化原則對自編碼網(wǎng)絡(luò)進(jìn)行調(diào)整，依次經(jīng)過解碼器和編碼器利用反向傳播算法[2]對整個自編碼網(wǎng)絡(luò)進(jìn)行權(quán)值微調(diào)。通過前向傳播方法，對每一層的神經(jīng)元進(jìn)行前向傳導(dǎo)計算，利用前向傳播公式，得到各層的激活值。

基于此，本文設(shè)計的自編碼網(wǎng)絡(luò)初始維度128，經(jīng)過2層隱藏層分別降維到64維和9維，將word2vec向量化數(shù)據(jù)集詞向量矩陣進(jìn)行最大最小歸一化處理（見4.2節(jié)），映射到[0，1]之間，作為AN輸入。該部分對向量化數(shù)據(jù)集進(jìn)行降維，保留原始數(shù)據(jù)語序關(guān)系，降低了高維數(shù)據(jù)計算復(fù)雜度。

3.2 LSTM模型

為了捕獲數(shù)據(jù)的時序性和長程依賴性，在自編碼網(wǎng)絡(luò)降維之后得到特征向量矩陣，作為LSTM架構(gòu)的網(wǎng)絡(luò)輸入層。LSTM層由多個共享權(quán)值的LSTM區(qū)塊按時序連接而成。在每個時序上，LSTM輸出將由遺忘門ft、輸入門it、輸出門ot協(xié)同控制，其中每個門都是一個關(guān)于歷史區(qū)塊輸出bt-1和當(dāng)前時間的輸入xt的矢量函數(shù)，這些門共同決定如何更新當(dāng)前狀態(tài)。使用dimn來表示細(xì)胞狀態(tài)的維度。在時序t上，LSTM區(qū)塊對xt按式（4）～（9）進(jìn)行處理。

其中，σ是一個邏輯函數(shù)，tanh為非線性雙曲正切激活函數(shù)。遺忘門ft可視為控制舊區(qū)塊信息以多大程度被丟棄的函數(shù)，輸入門it控制有多少信息需要被存儲在當(dāng)前記憶細(xì)胞中，而輸出門ot表示當(dāng)前記憶細(xì)胞狀態(tài)的輸出。

3.3 加入Attention機(jī)制的LSTM模型

LSTM模型用來處理序列標(biāo)注問題，能夠充分利用文本序列信息，包括各個字符之間的相互關(guān)系信息。引入Attention機(jī)制使得LSTM模型能彌補(bǔ)長序列文本時難以學(xué)習(xí)到合理的向量表示、性能差的缺點(diǎn)，并能對獲取到的信息進(jìn)行更加有效的學(xué)習(xí)。該模型結(jié)構(gòu)如圖2。

圖2 Attention機(jī)制模型

圖2中Xi(1≤i≤n)為DGA文本序列單詞，hi(1≤i≤n)為每個單詞對應(yīng)的LSTM隱層節(jié)點(diǎn)細(xì)胞狀態(tài)。要計算i時刻每個Xi單獨(dú)對Yi的注意力分配概率，那么可以將i時刻的隱層節(jié)點(diǎn)狀態(tài)Hi去和輸入Xi通過函數(shù)F(hj,Hi)對比補(bǔ)齊。經(jīng)過softmax歸一化就得到了概率分布區(qū)間的注意力分配數(shù)值。利用注意力機(jī)制計算注意力概率。注意力概率可以突出特定的單詞對于整個句子的重要程度，引入注意力機(jī)制考慮了更多的上下文語義關(guān)聯(lián)。以LSTM單元輸出門最后輸出為例，將Xi導(dǎo)入LSTM模型中，獲取輸出特征值Fhi。第t個詞對第i個詞的注意力概率ait為：

其中，Ua、Ub和Uc表示注意力機(jī)制的權(quán)值矩陣；ba為偏置向量。獲取到的第t個詞的新的輸出特征值為：

經(jīng)過LSTM網(wǎng)絡(luò)處理后，將最后一步的LSTM區(qū)塊輸出作為該序列的表示rs，即：

其中，rs代表序列的抽象標(biāo)識；T表示LSTM網(wǎng)絡(luò)輸入的最大長度，即自編碼網(wǎng)絡(luò)輸出Ys的最大長度，若|Ys|＜T，則用0向量補(bǔ)齊；FHT表示處理第T步的序列值為LSTM區(qū)塊的輸出。

最后用一個全連接層直接對該序列進(jìn)行處理，該層使用激活函數(shù)計算該正常序列的概率Pθ(s)，對于二分類采用非線性tanh激活函數(shù)，對于多分類采用線性linear激活函數(shù)。這里統(tǒng)一用f表示，概率Pθ(s)計算公式如下：

其中，θ為模型參數(shù)；Sθ(s)為模型訓(xùn)練后的輸出值。

該模型由AN降維到9維后，通過每個序列長度為1的窗口滑動，進(jìn)行序列輸入訓(xùn)練。

4 數(shù)據(jù)集構(gòu)造

4.1 數(shù)據(jù)來源

實(shí)驗(yàn)數(shù)據(jù)集由白樣例和黑樣例組成。白樣例來自Alexa全球域名排名，共1 000 078條。黑樣例來自360安全實(shí)驗(yàn)室公布的惡意域名，分60類1 687 806條。

訓(xùn)練集由所有白樣例和隨機(jī)選取的50類黑樣例組成，每一類都隨機(jī)抽取80%樣本組成數(shù)據(jù)集。測試集由訓(xùn)練集以外的部分組成，用來檢測新出現(xiàn)的DGA家族域名的檢測能力。該數(shù)據(jù)構(gòu)成如表1。

4.2 數(shù)據(jù)處理

數(shù)據(jù)集處理主要包括正則化、數(shù)值化和向量化。首先通過正則表達(dá)式將原始域名中數(shù)字、字符泛化。具體的，正則表達(dá)式去掉標(biāo)點(diǎn)、http頭、特殊字符。將數(shù)字常量設(shè)為“8”，將正則化后的文本數(shù)據(jù)集通過word2vec向量化并使用最大最小歸一化方法，如式（15），得到主要特征：

其中，x?為歸一化后的數(shù)據(jù)，x為當(dāng)前原始數(shù)據(jù)，xmin為當(dāng)前屬性中的最小數(shù)據(jù)值，xmax為當(dāng)前屬性中的最大數(shù)據(jù)值。其數(shù)據(jù)處理結(jié)果如表2。

表1 數(shù)據(jù)集組成表

表2 數(shù)據(jù)處理結(jié)果

5 結(jié)果分析

5.1 實(shí)驗(yàn)環(huán)境

使用本文提出的技術(shù)構(gòu)建了一個在線域名檢測系統(tǒng)，通過域名生成算法[13]生成惡意域名參與在線檢測。本文的神經(jīng)網(wǎng)絡(luò)模型是基于Keras構(gòu)建的，運(yùn)行環(huán)境為16 GB、8核CPU的虛擬服務(wù)器。對比實(shí)驗(yàn)采用了目前最常用的檢測惡意域名的算法和判定方案。

5.2 域名生成算法

在線域名檢測系統(tǒng)需要域名生成算法生成域名進(jìn)行系統(tǒng)檢測。常用的域名生成算法通過隨機(jī)字符來生成域名，該隨機(jī)字符通過某些特定程式構(gòu)建算法，通過原始字符串變換得到域名，如添加日期、隨機(jī)數(shù)、哈希值、替換字符、偏移字符等。本文選取了幾個常用的域名生成算法，如banjori、corebot、cryptolocker、fibonacci、kraken、ramdo、ramnit等，用來在線生成域名，從而測試系統(tǒng)檢測能力。

5.3 參數(shù)設(shè)置

模型的激活函數(shù)分別選用linear、relu、tanh函數(shù)進(jìn)行對比，Hinton的相關(guān)研究指出3層RBM網(wǎng)絡(luò)已能提取有效的特征用于分類任務(wù)[14]。自編碼網(wǎng)絡(luò)層數(shù)為3個，隱層節(jié)點(diǎn)數(shù)分別為128，64，9，采用softmax作為激活函數(shù)。為防止過擬合現(xiàn)象，采用L2正則化方法對網(wǎng)絡(luò)參數(shù)進(jìn)行約束，訓(xùn)練過程中引入dropout策略。另外，采用交叉熵?fù)p失函數(shù)和批量的rmsprop優(yōu)化方法用于模型訓(xùn)練，批量大小取50，訓(xùn)練輪數(shù)為500。對于LSTM嵌入層為9，dropout為0.5，dense為1，激活函數(shù)為sigmoid，損失函數(shù)為交叉熵函數(shù)，優(yōu)化方法為rmsprop，batch_size和epoch分別設(shè)置為100和50。

5.4 度量標(biāo)準(zhǔn)

對本文的工作主要從分類器和整體系統(tǒng)模型兩方面來度量。分類器和整體系統(tǒng)模型評價指標(biāo)包括精確率、F1值、召回率。

5.5 分類結(jié)果分析

5.5.1 整體分析

為比較全連接層上激活函數(shù)對分類效果的影響，將常用的三種激活函數(shù)做了對比實(shí)驗(yàn)。實(shí)驗(yàn)結(jié)果如表3。

表3 整體性能指標(biāo)表 %

表中，PR為精確度，Re為召回率，TPR為假負(fù)率，F(xiàn)PR為假正率。

由實(shí)驗(yàn)結(jié)果可知，經(jīng)過自編碼網(wǎng)絡(luò)降維的LSTM在各類評價標(biāo)準(zhǔn)上均有一定的提高，在加入了Attention機(jī)制后，LSTM對文本序列邊緣檢測能力有所加強(qiáng)，使用非線性tanh激活函數(shù)的混合模型在各類指標(biāo)上效果最好。

表4 對比分類結(jié)果表（精確度PR）

5.5.2 對比實(shí)驗(yàn)

對比實(shí)驗(yàn)列出的參數(shù)是每一類的精度PR，在域名分類中使用tanh激活函數(shù)的AN-At-LSTM模型檢測效果最好。傳統(tǒng)安全領(lǐng)域中，使用HMM、Bigram方法[2，15]對DGA的檢測獲得了較好的成果，并已運(yùn)用于安全軟件中。在降維算法方面，由于自編碼網(wǎng)絡(luò)降維屬于PCA降維的一種擴(kuò)展方法，前者的優(yōu)勢在于無需人工選擇特征，計算效率高。在相同實(shí)驗(yàn)數(shù)據(jù)集條件下分別對這幾種算法做實(shí)驗(yàn)對比。這里以DGA的二分類效果進(jìn)行對比，其中AN-At-LSTM采用tanh激活函數(shù)。對比實(shí)驗(yàn)結(jié)果如表4。

beebone是一類特殊的DGA域名，它不是通過隨機(jī)種子與時間生成的，而是有固定的格式，每部分都是從一個詞庫中隨機(jī)抽樣產(chǎn)生的，比如ns1.backdates13.biz和ns1.backdates0.biz、matsnu和beebone類似。

這種類型的域名在訓(xùn)練集中是從未出現(xiàn)過的，因此無法識別出來。如果這兩種類型的域名不參與訓(xùn)練的話，用其他模型也無法識別。

AUC為ROC曲線與坐標(biāo)軸圍成的面積，值越大，說明性能越優(yōu)，結(jié)果如圖3。

圖3 不同模型ROC曲線圖

為測試本文算法模型的檢測速率和實(shí)時性，利用域名生成算法生成數(shù)據(jù)集來檢測本文算法和其他算法模型測試時間和準(zhǔn)確率。結(jié)果如表5。

本文算法模型的檢測時間并不是最優(yōu)，但準(zhǔn)確率最高。在GPU運(yùn)行環(huán)境下，該模型檢測時間和統(tǒng)計模型HMM檢測時間相差不大，具有較好的實(shí)時性，也優(yōu)于其他算法。本文提出的自編碼網(wǎng)絡(luò)特征降維結(jié)合加入Attention機(jī)制的LSTM模型具有較高的檢測率和實(shí)時性，性能上優(yōu)于HMM、Bigram和LSTM算法。

表5 不同算法模型測試時間

6 結(jié)束語

檢測DGA異常行為，需要檢測龐大復(fù)雜的數(shù)據(jù)流量，特征選擇的好壞直接影響檢測效果。針對網(wǎng)絡(luò)數(shù)據(jù)流量存在稀疏性、類型復(fù)雜多樣的特點(diǎn)，本文將自編碼網(wǎng)絡(luò)特征降維結(jié)合LSTM的深度學(xué)習(xí)方法應(yīng)用于DGA信息流數(shù)據(jù)上，并提出了一種縮短檢測時間、提高檢測率的AN-At-LSTM混合模型。通過與兩種傳統(tǒng)算法進(jìn)行對比實(shí)驗(yàn)，證明了自編碼網(wǎng)絡(luò)特征降維LSTM算法模型具有較好的檢測性能。在部署系統(tǒng)上，比起傳統(tǒng)算法不需要人工設(shè)計特征，節(jié)省了大量的人力成本。而且在訓(xùn)練集比較完善的情況下，LSTM模型能夠得到非常好的識別效果。該模型是目前DGA域名檢測研究中較先進(jìn)的模型。