DGA域名是一类由特定算法生成,用来与恶意C&C服务器进行通信的域名,针对DGA域名的检测一直是一个研究热点。有文献提出了基于PCFG模型的DGA域名生成算法,在现有DGA检测方法的测试下,它的抗检测效果非常显著。这是因为它由合法域名生成,具备合法域名的统计特征。基于此,本文提出了将神经网络和自注意力机制相结合的检测模型M-LSTM,它利用Bi-LSTM实现字符序列编码以及初步特征提取,并结合多头注意力机制进行深度特征提取。实验结果表明,该算法在检测基于PCFG模型的域名上效果优异。标题基于LSTM与多头注意力机制的恶意域名检测算法85《软件》杂志欢迎推荐投稿：cosoft@vip.163.com供选择的来源图2。恶意域名检测算法-电动折弯机数控滚圆机滚弧机张家港电动液压滚圆机滚弧机图1PCFG模型语法规则与解析树Fig.1图2PCFG模型域名组成来源Figcfg_dict：集合来源于经过断字的英文字典；（2）pcfg_dict_num本文由公司网站滚圆机网站 转载中国知网整理! http://www.gunyuanjixie.com：集合来源于1中的pcfg_dict加上数字集合；（3）pcfg_ipv4：集合来源于合法的经分割后的IPv4域名；合来源于3中的pcfg_ipv4加上一个非字母集合；文献[11]的实验结果表明，a，c若从第四个集合中选取，所生成的恶意域名具备最优的抗检测效果。因此在本文中我们也将着重对由第四种数据源所构成的域名进行检测和分析。这类DGA域名具备以下特征：（1）基于合法域名生成，字符的分布特征与合法域名非常接近。在以往DGA域名的检测方法中，相对熵经常被用来作为特征进行分析。字符的相对熵的计算公式如下：其中()ipx为字符ix出现的概率，n为出现字符种类总数。以下表1是基于PCFG的域名与其他DGA域名在字符分布相对熵上的对比：如表1所示，基于PCFG模型的域名和合法域名在字符分布的特征上非常接近。这是由于基于PCFG的域名本身来源于合法域名，将合法域名拆分并重新拼接后的恶意域名自然具备合法域名的字符分布特征。表1不同DGA的字符相恶意域名检测算法-电动折弯机数控滚圆机滚弧机张家港电动液压滚圆机滚弧机本文由公司网站滚圆机网站 转载中国知网整理! http://www.gunyuanjixie.com