Подход к обнаружению DGA-доменов на основе контекстного обучения больших языковых моделей

Менисов Артем Бакытжанович , Моргунов Владимир Михайлович, Тимашов Павел Васильевич

doi:10.17586/2226-1494-2026-26-2-367-377

2026 , ТОМ 26, НОМЕР 2 ( март-апрель )

ISSN 2226-1494 (print), ISSN 2500-0373 (online)

Меню

Публикации

Главный редактор

НИКИФОРОВ
Владимир Олегович
д.т.н., профессор

Партнеры

doi: 10.17586/2226-1494-2026-26-2-367-377

УДК 004.9

Подход к обнаружению DGA-доменов на основе контекстного обучения больших языковых моделей

Менисов А.Б., Моргунов В.М., Тимашов П.В.

Читать статью полностью

Язык статьи - русский

Ссылка для цитирования:

Менисов А.Б., Моргунов В.М., Тимашов П.В. Подход к обнаружению DGA-доменов на основе контекстного обучения больших языковых моделей // Научно-технический вестник информационных технологий, механики и оптики. 2026. Т. 26, № 2. С. 367–377. doi: 10.17586/2226-1494-2026-26-2-367-377

Аннотация

Введение. Рассмотрена проблема обнаружения доменов, сгенерированных алгоритмами генерации доменов (Domain Generation Algorithms, DGA), которые широко используются злоумышленниками для построения устойчивых каналов управления ботнетами и скрытой коммуникации. Традиционные методы основаны на ручной инженерии признаков или специализированных нейросетевых архитектурах, что снижает их устойчивость к быстро эволюционирующим DGA-семействам. Научная новизна предлагаемого подхода заключается в применении больших языковых моделей (БЯМ) с использованием механизма их контекстной адаптации для автоматического выявления скрытых закономерностей в доменных именах и их классификации. Метод. Разработанный подход основывается на использовании БЯМ, которые получают в контексте примеры легитимных и сгенерированных доменов. Для повышения эффективности адаптации предложены стратегии выбора примеров (TopK, VoteK), учитывающие метрики близости и вариативность данных. Дополнительно анализируется влияние длины доменного имени и энтропии строки на устойчивость подхода. Основные результаты. Экспериментальная часть выполнена на наборе данных, включающем 68 DGA-семейств и подмножестве легитимных доменов Tranco. В обучающую выборку вошли 54 семейства, а тестирование проводилось на 68 семействах, включая невидимые ранее 14. Результаты показали высокую эффективность подхода: Precision = 0,93, Recall = 0,95 и F1-мера = 0,94. Подтверждена способность БЯМ обобщать закономерности на новые DGA-семейства. Обсуждение. По сравнению с существующими методами, предложенный подход не требует дополнительного переобучения и отличается гибкостью за счет использования контекстной адаптации. Адаптация подхода показала устойчивость к шуму и возможность выявления новых DGA-семейств, что делает ее перспективной для применения в системах кибербезопасности. В то же время выявлена чувствительность модели к длине доменных имен и необходимость балансировки контекста. Перспективными направлениями развития являются интеграция дополнительных признаков (метаданные Domain Name System (DNS), временные ряды запросов) и адаптация подхода к потоковой обработке в реальном времени.

Ключевые слова: информационная безопасность, DNS-туннелирование, алгоритмы генерации доменов, большие языковые модели, контекстная адаптация

This work is licensed under a Creative Commons Attribution-NonCommercial 4.0 International License