基于ON-LSTM與自注意力機制的單詞DGA域名檢測方法

收稿日期：2022-03-25；修回日期：2022-05-13" 基金項目：廣州市科技計劃項目（201902020007，202007010004）

作者簡介：劉立婷（1996-），女（通信作者），廣東陽春人，碩士，主要研究方向為信息安全（1069342539@qq.com）；歐毓毅（1974-），女，廣西合浦人，副教授，碩導，主要研究方向為信息安全與網絡信息系統集成；凌捷（1964-），男，教授，博士，主要研究方向為網絡信息安全．

摘 要：針對單詞DGA域名字符隨機性低，字符結構和分布與良性域名相似，現有方法對其檢測效果不佳的問題，提出一種單詞DGA域名檢測方法。首先，對域名進行BiGRAM字符編碼，使模型的輸入涵蓋更多的域名特征；其次，構建ON-LSTM-SA特征提取模塊，充分提取域名的層級語義特征并為其分配權重；最后，通過softmax函數輸出分類結果。實驗結果表明，相較于四種對比模型，該方法在檢測性能和多分類性能方面均表現最佳，具有更高的魯棒性和泛化能力。

關鍵詞：單詞DGA域名檢測；特征提?。簧疃葘W習；有序長短記憶神經網絡；自注意力機制

中圖分類號：TP309.2"" 文獻標志碼：A

文章編號：1001-3695（2022）12-041-3781-05

doi：10.19734/j.issn.1001-3695.2022.03.0204

Word DGA domain name detection method based on

ON-LSTM and self-attention mechanism

Liu Liting，Ou Yuyi，Ling Jie

（School of Computers，Guangdong University of Technology，Guangzhou 510006，China）

Abstract：Aiming at the problem that the character randomness of word DGA domain names is low，the character structure and distribution are similar to benign domain names，and the detection effect of existing methods is inefficient，this paper proposed a detection method for word DGA domain name.Firstly，this method encoded domain names based on BiGRAM characters，so that the input of the model covered more domain name features.Secondly，it constructed the ON-LSTM-SA feature extraction module to fully extract the hierarchical semantic features of the domain name and assigned weights to it.Finally，it outputted the classification result through the softmax function.The experimental results show that，compared with the four contrasting models，this method performs the best in both detection performance and multi-classification performance，and has higher robustness and generalization ability.

Key words：word DGA domain name detection；feature extraction；deep learning；ordered neurons long short-term memory neural network；self-attention mechanism

0 引言

僵尸網絡（botnet）是由被惡意程序（bot）感染的聯網主機形成的網絡，攻擊者可以通過命令和控制服務器（command and control，Camp;C）一對多遠程控制這些被感染的主機，從而進行網絡惡意攻擊行為［1］。許多網絡惡意攻擊與僵尸網絡有關，例如大規模 DDoS 攻擊、垃圾電子郵件、惡意軟件傳播、網絡釣魚和敏感信息竊取等。最近的研究表明，僵尸網絡中有超過一百萬個僵尸程序，這說明它們有很強的生存能力和具有造成巨大威脅的潛力［2］。為了防止僵尸網絡對網絡安全造成損害，管理員必須快速識別惡意域名并刪除其可能駐留在網絡中任何受感染的計算機。

為了躲避黑名單的封堵，攻擊者使用域名生成算法（domain generation algorithm，DGA）生成大量域名來避免檢測。此類DGA域名家族繁多且生命周期極短，可以實現快速頻繁地更改域名，使得管理員無法及時識別，傳統安全方法對其難以進行監控與檢測［3］。

DGA域名分為基于隨機字符和基于單詞字典兩大類。目前DGA域名大部分都是基于隨機字符的，如Cryptolocker家族的“ocudzojksdfjkh.net”，用十六進制表示的哈希值來生成域名的vawtrak家族 “esergimlohw.com”?；陔S機字符的DGA域名的字符分布隨機性高，與良性域名差異性大，易被檢測。為了更好地躲避檢測和封堵，攻擊者根據良性域名的字符構成和分布特征設計DGA算法?；趩卧~字典的DGA在內嵌單詞表中隨機選擇一個或多個單詞進行拼接生成域名，該類域名的字符構成和分布接近于良性域名，現有檢測方法難以檢測。常見的單詞DGA域名家族有Nymaim、Suppobox、Matsnu、Gozi。

研究者們采用基于特征工程的機器學習方法檢測DGA域名，文獻［4］提出了一種基于隨機森林的機器學習方法，該方法依賴于掩碼n-gram以及從域名中提取輔音、元音、數字和非字母數字的統計信息進行檢測。文獻［5］使用 Kullback-Leibner 散度和 Jaccard 指數等機器學習的方法來估算未分類域名2-gram和3-gram特征與良性域名的相似度。基于機器學習的檢測方法需要耗費大量時間和人力進行特征工程，同時提取的特征信息容易被新出現的DGA域名有針對性地繞過，不足以應對動態變化的DGA域名。

相比之下，基于深度學習的方法能自動化進行特征設計和提取，實現對DGA域名的實時檢測，同時進一步提升了檢測效果。文獻［6］提出了eXpose深度學習檢測模型，該模型使用字符級嵌入和CNN（convolution neural network）相結合的方式來提取域名特征；文獻［7］面向域名的字符序列，利用LSTM（long short-term memory neural network）結合注意力機制構建DGA域名分類器，實現對惡意域名的快速分類；文獻［8］提出了一種基于LSTM和數量相關優化的檢測方法LSTM.PQDO，該方法采用最優解迭代重采樣比例，實現重采樣比例的動態優化，克服了數據級不平衡的問題；文獻［9］將域名字符片段序列輸入到BiGRU自動學習域名特征并完成分類任務；文獻［10］比較了LSTM、BiLSTM、GRU三種RNN框架的檢測性能，發現LSTM模型能夠充分學習，表現效果更佳；文獻［11］首次將輕量級深度可分離卷積應用于DGA域名檢測，使用區域卷積方式擴大卷積核感受野。

以上方法主要對基于隨機字符的DGA域名進行檢測，而對基于單詞的DGA域名檢測效果不佳。研究者們針對基于單詞的DGA域名展開研究，文獻［12］對DGA域名的詞間和域間的相關性進行語義分析，將單詞和詞性的頻率分布結合到特征集的設計中，提出一種基于單詞DGA檢測框架。文獻［13］提出了一個混合模型Bilbo，該模型通過并行CNN和LSTM網絡來充分提取域名的n-gram特征，強化對單詞DGA域名單詞特征的學習。文獻［14］對Bilbo模型進行改進，提出一種將CNN和LSTM串行的CL網絡模型，通過學習單詞特征和單詞間組合關系，進一步提高了對單詞DGA域名的檢測效果。單詞的本質區別在于詞根、詞綴等語義層級結構特征，但現有檢測方法對域名數據進行單字符分詞，忽視了單詞字符之間的構詞規律，特征提取模塊未能有針對性地提取單詞的語義層級結構信息。

不同于現有方法，本文從單詞DGA域名的字符編碼和域名的語義層次結構出發：首先，基于BiGRAM對域名字符串進行分詞并編碼，保留單字符特征的同時擴充了2-gram特征，使得模型在輸入端便具有更豐富的原始特征；接著，特征提取模塊ON-LSTM的有序神經元能夠有針對性地獲取單詞DGA域名的語義層級結構；最后基于自注意力機制對獲取的域名特征重新加權，以實現更精準的單詞DGA域名檢測。

1 ON-LSTM-SA網絡設計與實現

本文的ON-LSTM-SA網絡結構如圖1所示，由數據預處理、BiGRAM分詞、字符編碼向量化、ON-LSTM、self-attention和全連接組成，最終使用softmax分類器對整個網絡獲取的特征進行分類。

1.1 域名數據預處理

實驗測試樣本為域名，一條完整的域名由英文句號“.”分隔成多個部分，例如“baidu.com”“youtube.com”“com”為頂級域名，“baidu”和“youtube”為二級域名，依此類推，域名最左邊還可以有三級、四級等次級域名。DGA域名由算法隨機生成的字符串或單詞組合與頂級域名兩部分組成，而頂級域名都是已知的固定組合，如“.cn”“.com”等。DGA域名與良性域名的主要區別集中在非頂級域名中，為了提高模型訓練效率，域名數據預處理將頂級域名截斷去除，保留差異性高的非頂級域名，例如“baidu.com”截斷處理后為“baidu”。

1.2 BiGRAM分詞與字符編碼向量化

神經網絡模型的基本運算單元為張量（tensor），張量表示為一個多維矩陣，BiGRAM分詞和字符編碼兩個模塊用于將文本數據向量化，以滿足模型訓練。表1為三種域名類別樣本，從中可知基于單詞的DGA域名與正常域名具有較高的相似度，均為符合讀寫習慣的字符串，而基于隨機字符生成的DGA域名則無明顯讀寫規律，字符隨機性高。常用的分詞方法將每條域名按單個字符進行分隔，將分割后的單個字符與ASCII碼值一一對應后作為字典進行編碼，這種方法適用于基于隨機字符的DGA域名檢測，但對于單詞的DGA域名，常用的分詞方法會忽視單詞前綴、后綴、元輔音排列等字符構成的規律，不利于基于單詞DGA域名的檢測。

針對單詞DGA域名具有構詞規律的特點，對域名進行BiGRAM分詞，構建詞表，詞表中的每個詞對應一個編號?；跀祿y計出的所有字符組合，本文構建的字典大小為1 364。依據詞表，將分詞后的域名轉換成向量，如“baidu”經由本文方法分詞后為［“b”，“a”，“i”，“d”，“u”，“ba”，“ai”，“id”，“du”］，向量化后為［429，391，695，505，1141，441，411，710，537］。采用BiGRAM分詞方法在保留單字符特征的同時，擴充域名的2-gram特征作為輸入，能更好地表征基于單詞的DGA域名。如圖2所示，由于數據集域名長度集中在0～30，為了保留更多的域名信息和保證后續模型訓練的輸入一致，將所有向量的長度統一為32，長度不足32則進行補零，長度大于32進行截斷。最后，構建一個維度為vocab_size×embedding_size的embedding層，每條域名向量經由embedding層處理后維度為input_length×embedding_size。其中vocab_size為詞表大小，本文設置為1 363；embedding_size為每個詞的向量長度，input_length為字符串長度，本文均設置為32。

1.3 特征提取模塊ON-LSTM-SA

1.3.1 ON-LSTM

在單詞DGA域名中的層級結構信息是指從字符到詞根、詞綴等常見固定組合，再到英文單詞和整條域名的層次結構關系，圖3為域名“trackpacking”的結構層次。與常規的LSTM 相比，本文首次采用有序長短記憶神經網絡（ordered neurons long short-term memory neural network，ON-LSTM）［15］的網絡結構用于單詞DGA域名檢測。ON-LSTM內部神經元經過特定排序將層級結構整合到LSTM中，從而能自動學習單詞域名的層級結構信息，提高模型對單詞DGA域名語義抽取的能力。

ON-LSTM在更新神經元時進行分區間更新，利用主遺忘門t和主輸入門t對神經神經元的位置信息進行排序，從而利用位置順序來判斷信息的高低層級。低層級的信息更新迭代頻率高，可能隨著每一步的輸入而被更新；高層級的信息更新迭代頻率低，保留時間長，進而利用更新頻率來劃分域名的層級結構信息。ON-LSTM與常規LSTM的門結構類似，遺忘門ft、輸入門it、輸出門ot以及隱藏層狀態ht與標準LSTM一樣，它們的更新公式如式（1）～（4）所示。

ft=σ（Wfxt+Ufht-1+bf）（1）

it=σ（Wixt+Uiht-1+bi）（2）

ot=σ（Woxt+Uoht-1+bo）（3）

ht=ot×tanh（ct）（4）

ON-LSTM在常規LSTM的基礎上引入了主遺忘門t和主輸入門t，更新公式如式（5）（6）所示。t表示上一歷史時刻信息ht-1所包含的層次信息對當前狀態層次信息的影響程度；t決定當前時刻輸入向量xt所包含的層次信息對當前狀態層次單元的改變量。ON-LSTM還改變了t到ct的更新機制，其更新公式如式（7）～（9）所示，取t和t兩者的交集wt，得到歷史狀態和當前狀態的層級信息交集，從而使ct可以分三段進行不同的更新。

t=cs（softmax（Whisxt+Uhisht-1+bhis））（5）

t=cs（softmax（Wnowxt+Unowht-1+bnow））（6）

t=tanh（Wcxt+Ucht-1+bc）（7）

wt=t·t（8）

ct=wt（ft·ct-1+it·t）+（t-wt）·ct-1+（t-wt）·t（9）

cs（［x1，x2，…，xn］）=［x1，x1+x2，…，x1+x2+…+xn］（10）

cs（［x1，x2，…，xn］）=［x1+x2+…+xn，…，xn+xn-1，xn］（11）

其中：xt為當前輸入；ht-1和ht分別為上一歷史時刻信息和當前時刻信息；W、U為權重矩陣；b為偏置；σ為sigmoid激活函數；tanh為雙曲正切函數；cs（softmax（x））是一種累加函數，在圖4中簡寫為cumax函數和cumax函數，分別表示左向和右向累加操作，定義如式（10）（11）所示。單個ON-LSTM神經元的更新過程如圖4所示。

1.3.2 self-attention（SA）機制

在ON-LSTM模塊充分提取域名特征信息的基礎上，利用自注意力機制對特征提取模塊進行優化，在提升特征提取深度的同時，可以讓模型有效地關注特定信息，自主學習特征信息在域名中的重要程度，有效增強模塊提取關鍵特征的能力。自注意力機制的具體計算過程分為三個階段：

a）計算隨機初始化向量s和當前隱藏層信息hi的相似度，其中s會隨著模型訓練而更新，source為相似度計算函數，vT、w1、w2為權值矩陣，bi為偏置項，如式（12）所示。

source（s，hi）=vTtanh（w1s+w2hi+bi）（12）

b）對第一階段的數據進行歸一化處理，利用softmax函數對注意力權重進行概率化，得到注意力權重系數αi。

αi=exp（source（s，hi））∑ni=1exp（source（s，hi））（13）

c）根據注意力權重系數αi對hi進行加權求和，得到含有注意力概率分布的域名表示向量ci，如式（14）所示。

ci=∑ni=1αihi（14）

1.4 預測輸出層

本模塊作為檢測方法的最后一個模塊，根據特征提取模塊ON-LSTM-SA提取到的特征信息完成最終的分類任務。本文預測輸出模塊的任務有判斷輸入域名為良性域名還是單詞DGA域名的二分類任務和具體識別四種單詞DGA域名家族的多分類任務兩個。兩個任務均使用softmax分類器，如式（15）所示。

s（xi）=exi∑nj=1exj（15）

softmax分類器計算得到執行任務中各個類別的輸出概率y=（y1，y2，…，yn），且∑ni=1yi=1，最后選取y中概率值最大的作為預測輸出。當二分類任務時，執行任務的類別為良性域名和單詞DGA域名兩種；當多分類任務時，執行任務的類別為四種具體的單詞DGA域名家族。

1.5 單詞DGA域名檢測方法的流程

首先收集DGA域名與良性域名，將兩種域名數據合并作為模型的原始數據，對原始數據預處理以滿足模型輸入的要求，接著采用BiGRAM字符編碼器構建詞向量，將編碼完成的數據劃分為訓練集和測試集，在訓練集上對ON-LSTM-SA模型進行訓練，經過多個回合的訓練后，模型在訓練集上的表現趨于穩定，固定權重并保存訓練好的網絡模型。將測試集數據輸入訓練好的模型，用于性能的評估。檢測方法總體流程如圖5所示。

2 實驗與結果分析

2.1 數據集

本文實驗采用的數據集由單詞DGA域名數據集和良性域名數據集兩部分組成。單詞DGA域名數據來源于文獻［16］收集整理的公開數據集UMUDGA，本文從中選取了Gozi、Matsnu、Nymaim、Suppobox四種基于單詞的DGA家族各50 000條，共計20萬條DGA域名。良性域名數據集來自Alexa網站中的訪問量排名前20萬的域名。良性域名與單詞DGA域名比例為1：1，將兩組數據集合并后作為本文實驗的數據集，共計40萬條，具體分布如表2所示。將數據集以8：1：1的比例隨機抽取后，分別設置為訓練集、驗證集和測試集。其中，訓練數據用于訓練深度學習模型；驗證集用于衡量模型在訓練過程中的性能，進行參數調整；測試集用于評估訓練完成后模型的性能。

2.2 模型評價指標

本文的模型評價指標分別為準確率（accuracy）、精確率（precision）、召回率（recall）、F1值以及ROC曲線。

accuracy=TP+TNTP+FP+TN+FN（16）

precision=TPTP+FP（17）

recall=TPR=TPTP+FN（18）

F1=precision×recall×2precision+recall（19）

FPR=FPTN+FP（20）

其中：TP（true positive）為正確的正例；FN（1 negative）為錯誤的反例；FP（1 positive）為錯誤的正例；TN（true negative）為正確的反例。

2.3 仿真參數設置

本文實驗在Windows 10系統上進行，硬件環境處理器為AMD Ryzen3 2200g@3.5 GHz，運行內存為16 GB和用于加速模型訓練的GPU為GeForceRTX 1060 6 GB GPU。模型的實現基于PyTorch和CUDA深度學習框架，版本分別是1.8.0和11.1，實驗的具體仿真參數如表3所示。

2.4 不同詞向量構建方式對比

為驗證不同字符編碼方式對模型性能的影響，分別采用單字符分詞與embedding層相結合的詞向量構建方式（char）、單字符分詞與one-hot相結合的詞向量構建方式（one-hot）和BiGRAM分詞與embedding層相結合的詞向量構建方式（本文方法）進行實驗，并記錄訓練集損失值和驗證集準確率變化曲線。

圖6是訓練集的損失值變化曲線。one-hot在訓練第11輪次后損失值趨于0.1，char在訓練第10輪次后損失值為0.16，而本文方法在訓練第5輪次后損失值便低于0.1，收斂速度更快，并且損失值始終低于其他方法，收斂效果最優。圖7是驗證集的準確率變化曲線?？芍?，one-hot和char的初始準確率分別為83%和89%，經過12輪次的訓練后趨于穩定，準確率均低于95%；本文方法在訓練之初準確率就達到了93%，在第5輪次的訓練后準確率達到96%以上，并相較于對比模型始終保持最高。損失值和準確率的實驗結果表明，本文基于BiGRAM分詞的詞向量構建方法，能夠提供更豐富的輸入特征用于模型訓練，有利于域名特征的提取，加快模型訓練速度的同時提高了模型的性能。

2.5 模型性能對比與分析

2.5.1 對比實驗設計

為了驗證本文方法的有效性，實驗中設置了Text-CNN［6］、Bilbo［13］、CL［14］和BiLSTM-ATT［7］四個模型作為對比模型，其中Bilbo和CL為基于多種網絡構建的混合模型。

a）TextCNN模型。利用多種大小不一的并行卷積核在域名序列上滑動以獲取序列不同尺度的特征信息，特征信息經過最大池化層后輸入到分類層，實現對惡意域名的檢測。

b）Bilbo模型。并行單向LSTM和淺層CNN組成特征提取模塊，通過分類層輸出分類結果。

c）CL模型。串接CNN與LSTM對域名字符n-gram特征進行提取，通過全連接層輸出分類結果。

d）BiLSTM-ATT。利用雙向LSTM結合注意力機制構建DGA域名分類器，實現域名的分類。

2.5.2 模型檢測性能比較

在相同實驗環境和數據集的設置下，本文方法與四個對比模型進行實驗對比，設置二分類和多分類兩組實驗。其中，二分類是指僅區分單詞DGA域名和良性域名的場景；多分類是指具體區分四個DGA域名家族的場景。每個模型在二分類場景和多分類場景中的精確率（precision）、召回率（recall）、F1值和準確率（accuracy）如表4、5所示。

由表4可知，在單詞DGA域名的二分類任務中，五種模型都具有較好的檢測性能，四個評價指標均達到96%以上，相較于Bilbo和CL，TextCNN和BiLSTM-ATT方法表現較佳，而本文方法相較于其余四種方法，進一步提高了二分類場景中的性能表現，在精確率、召回率、F1值和準確率上均最優，四個評價指標均達98.4%以上。

表5為五種模型對不同DGA域名家族的多分類性能比較，從表中可知，本文方法相較于對比模型有更明顯的優勢，四個指標均達95%以上。其中，F1值相比于TextCNN、 Bilbo、CL和BiLSTM-ATT分別提高了3.82%、5.99%、6.36%和3.43%，準確率分別提高了3.17%、4.78%、4.83%和2.77%。這說明本文方法的ON-LSTM有效地對單詞DGA域名結構特征進行了表征，保留了重要的語義特征和層次結構信息，從而更好地識別出了不同的單詞DGA域名家族。

2.5.3 多分類性能比較

為了進一步分析模型多分類任務的性能，表6詳細列出五種模型對五種域名分類結果的F1值，其中Benign為良性域名，Gozi、Matsnu、Nymaim和Suppobox為單詞DGA域名家族，F1值綜合了召回率和精確率兩個評估指標，能較好地體現模型的整體分類性能。由表6可知，不同方法在各個DGA家族中的分類性能，本文方法在對四種DGA域名的多分類任務中，F1值最低為91.99%，最高為98.16%，相較于對比模型，本文方法在四個DGA域名家族分類結果中F1值均最高，對比Bilbo提高了3%～10%，相較于CL提高了4%～10%，相較于TextCNN和BiLSTM-ATT提升了1%～6%。這說明本文方法針對單詞DGA域名的檢測能夠有效捕獲出不同家族間的特征，對字詞分布特征相似的域名有著更強的區分能力。

ROC曲線不受類不平衡的影響，能較好地度量分類器的穩定性和泛化能力，ROC的曲線下面積AUC（area under curve）越大，說明模型性能越好。如圖8所示，TextCNN和BiLSTM-ATT的AUC最小，模型的穩定性較差；Bilbo和CL通過兩種不同的神經網絡結構學習特征，穩定性相較TextCNN和BiLSTM-ATT有了明顯的提升；檢測模型TPR在0.8以上時，本文方法的表現始終最佳，AUC達到0.993 8，超過了所有對比模型。這說明本文方法通過自注意力機制有效地抑制了無用特征的干擾，能準確提取域名的高級語義信息和時序特征，使得分類器的性能具有更好的魯棒性和更強的泛化能力。

3 結束語

針對基于單詞DGA域名與良性域名字符分布相似度高，現有檢測方法難以識別此類域名的問題，提出了一種基于ON-LSTM和自注意力機制的單詞DGA域名檢測方法。本文提出的BiGRAM詞向量構建方法相較于現有的兩種構詞方法，具有更好的訓練效果，同時采用ON-LSTM結構使本文方法在檢測性能和多分類性能方面的各項指標均為最優，具有更好的魯棒性和更強的泛化能力，明顯優于四種對比模型。在未來的研究工作中，將進一步提高模型的泛化能力，提高模型對除四種常見單詞DGA域名以外的檢測能力。

參考文獻：

［1］Zheng Yu，Yang Chao，Yang Yanzhou，et al.ShadowDGA：toward evading DGA detectors with GANs［C］//Proc of International Conference on Computer Communications and Networks.Piscataway，NJ：IEEE Press，2021：1-8.

［2］Zang Xiaodong，Gong Jian，Zong Ping.Identifying DGA malware via behavior analysis［C］//Proc of IEEE Wireless Communications and Networking Conference.Piscataway，NJ：IEEE Press，2021：1-6.

［3］Satoh A，Fukuda Y，Kitagata G，et al.A word-level analytical approach for identifying malicious domain names caused by dictionary-based DGA malware［J］.Electronics，2021，10（9）：1039.

［4］Selvi J，Rodriguez R J，Soria-Olivas E.Detection of algorithmically generated malicious domain names using masked N-grams［J］.Expert Systems with Applications，2019，124：156-163.

［5］Cucchiarelli A，Morbidoni C，Spalazzi L，et al.Algorithmically generated malicious domain names detection based on n-grams features［J］.Expert Systems with Applications，2021，170：114551.

［6］Saxe J，Berlin K.Expose：a character-level convolutional neural network with embeddings for detecting malicious URLs，file paths and registry keys［EB/OL］.（2017-02-27）.https：//arxiv.org/abs/1702.08568.

［7］Qiao Yanchen，Zhang Bin，Zhang Weizhe，et al.DGA domain name classification method based on long short-term memory with attention mechanism［J］.Applied Sciences，2019，9（20）：4205.

［8］Chen Yijing，Pang Bo，Shao Guolin，et al.DGA-based botnet detection toward imbalanced multiclass learning［J］.Tsinghua Science and Technology，2021，26（4）：387-402.

［9］王娟娟，劉雄飛，晏榕璟.基于N-gram+Bi-GRU的多家族惡意域名檢測［J］.中國電子科學研究院學報，2021，16（12）：1270-1275，1282.（Wang Juanjuan，Liu Xiongfei，Yan Rongjing.Multi-family malicious domain names detection based on N-gram+Bi-GRU［J］.Journal of CAEIT，2021，16（12）：1270-1275，1282.）

［10］Shahzad H，Sattar A R，Skandaraniyam J.DGA domain detection using deep learning［C］//Proc of the 5th International Conference on Cryptography，Security and Privacy.Piscataway，NJ：IEEE Press，2021：139-143.

［11］Yang Luhui，Zhai Jiangtao，Liu Weiwei，et al.Detecting word-based algorithmically generated domains using semantic analysis［J］.Symmetry，2019，11（2）：176.

［12］劉小洋，劉加苗，劉超，等.融合字符級滑動窗口和深度殘差網絡的僵尸網絡DGA域名檢測方法［J］.電子學報，2022，50（1）：250-256.（Liu Xiaoyang，Liu Jiamiao，Liu Chao，et al.Novel botnet DGA domain detection method based on character level sliding window and deep residual network［J］.Acta Electronica Sinica，2022，50（1）：250-256.）

［13］Highnam K，Puzio D，Luo S，et al.Real-time detection of dictionary DGA network traffic using deep learning［J］.SN Computer Science，2021，2（2）：article No.110.

［14］張永斌，常文欣，孫連山，等.基于字典的域名生成算法生成域名的檢測方法［J］.計算機應用，2021，41（9）：2609-2614.（Zhang Yongbin，Chang Wenxin，Sun Lianshan，et al.Detection method of domains generated by dictionary-based domain generation algorithm［J］.Journal of Computer Applications，2021，41（9）：2609-2614.）

［15］Shen Yikang，Tan S，Sordoni A，et al.Ordered neurons：integrating tree structures into recurrent neural networks［EB/OL］.（2019-05-08）.https：//arxiv.org/abs/1810.09536.

［16］Zago M，Pérez M G，Pérez G M.UMUDGA：a dataset for profiling DGA-based botnet［J］.Computers amp; Security，2020，92：101719.