摘要：随着网络攻击手段智能化和多样化，传统基于规则和签名的防护方法难以有效应对未知威胁。本文提出基于人工智能自推理的未知威胁检测方法，并在网络安全威胁情报协同防御平台中实现落地。方法包括三类核心模型：异常通联频率检测模型、DGA 恶意域名检测模型和 DNS 隧道木马检测模型。通过自推理机制，即使缺乏历史样本，模型也能实时识别未知威胁，实现跨源信息协同分析。实验结果表明，三模型协同方式在异常通联、DGA 域名和DNS 隧道木马检测中均表现出高准确率和低误报率，为网络安全威胁智能检测提供新的思路。

关键词：人工智能自推理；未知威胁检测；异常通联；DGA 域名；DNS 隧道；协同防御

引言

近年来，网络攻击呈现高度智能化、快速迭代和隐蔽化特征。针对未知威胁及隐蔽攻击，传统基于特征库和签名的检测方法存在响应滞后和高误报问题。人工智能自推理（AI self-reasoning）通过构建威胁行为模式、特征关联图谱及因果推理机制，在缺乏样本情况下可对未知威胁进行智能判定。

本文依托网络安全威胁情报协同防御平台，将自推理能力引入异常通联检测、DGA 域名识别及 DNS 隧道木马检测，实现跨源威胁信息协同分析与实时防御。项目成果可支撑省级网络安全科研和实际防护需求，同时为学术界提供 AI 自推理在网络安全应用的新案例。

一、相关工作

（一）异常通联检测研究

传统异常通联检测方法依赖统计阈值、固定流量特征和历史行为模式，在网络环境快速变化或攻击策略动态化时容易出现误报和漏报。近年来，研究者引入流量聚类、异常行为分类和自适应阈值等机器学习方法，以提升对未知异常的检测能力。然而，这些方法在零日威胁、小样本异常及低频隐蔽行为识别上仍存在盲区，难以实现实时、跨网络环境自适应检测。

引入自推理机制后，可通过行为模式图和因果推理对异常通联行为进行动态判断和置信度评估，显著增强未知异常检测能力。该机制不仅可识别显性异常，还能推断潜在威胁，为协同防御提供可靠数据支撑。

（二）DGA 恶意域名检测研究

恶意域名生成算法（DGA）通过不断生成新域名，规避传统黑名单和签名检测，形成动态威胁链条。现有研究主要依赖域名字符模式分析、熵值统计及深度学习分类模型，在已知样本下可获得较高识别精度。然而，面对全新 DGA 算法或稀疏样本，模型泛化能力有限，易出现漏报。

自推理方法通过建立域名生成规律的隐式模型，并结合上下文网络行为特征，可在缺乏历史样本的情况下进行推断，实现零样本DGA 识别。这显著提高了未知 DGA 域名检测稳定性，并为协同防御平台提供跨域威胁判断能力。

（三）DNS 隧道木马检测研究

DNS 隧道是信息泄露与远程控制常用手段，传统检测方法依赖流量频率统计、数据包长度阈值及固定行为规则，但对于低频隐蔽或加密流量，准确率明显下降。

结合 AI 自推理机制，可以通过多维报文特征分析、通联模式推理和历史行为关联，实现零样本DNS 隧道木马识别与风险评估。该机制不仅能检测已知攻击模式，还可主动推断新型隐蔽通信行为，形成跨源、动态、协同的威胁识别能力。

（四）本文方法创新与必要性

本文在三类检测模型中均引入自推理能力，实现异常通联、DGA 域名及DNS 隧道的零样本识别与跨源协同分析。创新点包括：

1．零样本威胁识别：突破依赖历史样本的局限，实现未知威胁主动发现。

2．跨源信息协同：不同模型之间进行信息融合，提升检测精度与置信度。

3．动态自适应推理：通过行为模式图和因果关系建模，支持快速变化网络环境下实时检测。

综上，本文方法填补了现有技术在未知威胁识别上的空白，兼具学术价值与工程应用前景。

二、方法设计

（一）异常通联频率检测模型

1．数据特征

节点特征：访问频率 fi 、会话持续时间ti 、端口使用分布 D时间序列特征：小时/ 日访问量 vi （t ）网络结构特征：节点度数di 、节点间连接强度 wi j

2．自推理模型

（1）构建行为模式图 G=（V，E） ，节点V 为主机 / 终端，边 E 为通联关系。

（2）利用图神经网络（GNN）计算节点异常分数 ：

（3）异常判定 ：异常（i） ={，s≥t

3．流程

H（1）收集网络通联数据并构建节点特征矩阵（2）构建行为模式图 G（3）GNN 自推理计算异常分数 i（4）输出异常节点并生成告警（二）DGA 恶意域名检测模型

1．数据特征域名字符串特征：字符频率向量ci 、长度 i、熵值上下文特征：DNS 查询频率 i 、来源 IP 地理分布 gi历史关联：域名与已知 DGA 集合的相似度simi

2（．1自）推构理建模域型名生成图 G_d=（V_d，E_d） ，节点为域名，边表示相似度或共现关系

（2）利用 RNN 处理字符串序列特征生成潜在向量：

（3）综合上下文和相似度进行自推理评分：

3．流程

c

（1）域名字符串编码为向量

（2）RNN 提取潜在生成规律特征 i

（3）融合上下文特征和历史相似度进行自推理评分（4）输出未知 DGA 域名检测结果（三）DNS 隧道木马检测模型

1．数据特征 l

流量特征：请求间隔∆t 、数据包长度

频率特征：单位时间请求数量 f_r

统计特征：信息熵 H（p）

行为关联特征：与异常通联模型节点关联 ，Si

2．自推理模型（1）构建时间序列特征矩阵：X=[Δt，l_p，f_t，H（p）]

（2）利用 LSTM 捕获隐含异常模式：h_t=LSTM（X_t，h_t-1）

（3）输出异常概率：

（4）与异常通联模型结果融合进行跨源判定：s1_t=λ⋅s_t+（∇-λ）⋅s_i

3．流程

（1）提取 DNS 流量特征，构建时间序列矩阵

（2）LSTM 自推理计算异常概率

（3）与通联模型信息融合，实现零样本 DNS 隧道检测

（4）输出威胁等级并触发协同防御

（四）三模型协同机制

1．异常通联、DGA 域名和 DNS 隧道结果汇总

2．跨源信息融合：

3．自动告警与策略触发，支持动态网络环境

4．协同分析可降低误报率，提升未知威胁识别可靠性

三、实验与结果

（一）实验环境

为评估本文提出的三模型自推理方法在未知威胁检测中的性能，实验在逼真的多源网络环境中进行，并配备高性能硬件与专业软件平台，以保证实验的严谨性和可重复性。具体环境如下：

1．数据集

企业内部真实网络流量，包括边界防火墙日志、主机访问日志、DNS 查询记录及系统事件日志。公开 DGA 域名数据集（如DGArchive、CTU DNS），涵盖多种恶意域名生成算法。自建 DNS隧道木马仿真数据集，模拟低频隐蔽和高频异常流量，以覆盖多样化攻击场景。

2．硬件平台

高 性 能 服 务 器：CPU 2.6GHz × 32 核， 内 存 256GB，GPUNVIDIA GB10 芯片，支持大规模并行计算与模型训练。网络监控与流量采集设备，保证数据完整性和精度。

3．软件环境

Python 3.10，TensorFlow 2.13、PyTorch 2.2， 支 持 GNN、RNN及 LSTM 模型实现。数据处理与特征提取工具：pandas、numpy、scikit-learn 及 自 研 流 量 解 析 模 块。 可 视 化 工 具：Matplotlib、Seaborn，用于实验结果展示。

4．实验部署特点：

多源流量实时接入，确保模型可在动态网络环境中执行自推理和跨源协同分析。支持历史数据与实时流量混合训练与测试，覆盖不同时间窗口和流量负载。完整留痕与日志记录机制，确保实验数据、模型参数及输出结果可追溯，便于复现与优化。

该环境具备高性能计算能力，能真实模拟网络运维与攻击场景，为验证三模型在异常通联、DGA 域名及 DNS 隧道零样本检测中的性能提供坚实保障。

（二）实验指标

为了全面衡量三模型自推理方法在未知威胁检测中的性能，本研究采用以下关键实验指标：

1．检测率（Detection Rate， DR）

定义：正确识别的威胁事件数量占总实际威胁事件数量的比例。

计算公式：  其中，TP 为正确识别的威胁事件数量，FN 为漏报的威胁事件数量。

指标意义：反映模型发现未知威胁的能力，值越高表示检测能力越强。

2．误报率（False Positive Rate， FPR）

定义：将正常行为错误判定为威胁事件的比例

计算公式： FPR = FPF+PTN * 其中，FP 为误报数量，TN 为正常行为被正确识别数量

指标意义：反映模型的准确性和实际可用性，值越低表示误报控制越好。

3．响应时间（Response Time）

定义：从输入网络数据到输出威胁判定结果的平均时间。

测量方式：包括模型推理时间、数据预处理和特征计算时间

指标意义：反映模型在实际部署中的实时性，值越短表示实时处理能力越强。

以上指标可综合评估三模型自推理方法在异常通联、DGA 域名及 DNS 隧道零样本检测中的性能表现，为后续实验结果分析提供量化依据。

（三）实验结果

为了验证三模型自推理方法在未知威胁检测中的性能，本研究进行了全面实验，结果如下：

1．各模型性能对比

实验在企业真实网络流量、公开 DGA 数据集及 DNS 隧道仿真数据上进行。通过统计分析各模型在检测率、误报率和响应时间上的表现，结果见表 1

表1 三模型检测效果示意

2．异常通联检测结果

在测试网络中，异常通联模型成功识别大部分隐蔽异常节点，对零样本通联行为表现出高检测率。图 1 为异常通联热力图，颜色越深表示通联频率异常，热点区域对应潜在异常节点，有助于发现低频隐蔽攻击并支持协同防御。

图1 异常通联热力图示意

3．DGA 恶意域名检测结果

模型能够准确识别新型 DGA 域名，即使未见过的域名也保持高识别率。图 2 为预测概率曲线，纵轴为恶意概率，横轴为域名样本编号。高概率区域对应潜在DGA 域名，可用于告警或阻断策略，体现零样本识别能力。

4．DNS 隧道木马检测结果

对于低频和隐蔽的 DNS 隧道通信，模型仍能稳定识别。图 3展示DNS 流量异常，捕捉潜在恶意峰值。时间序列显示流量波动，通过自推理分析可发现低频或隐蔽的 DNS 隧道木马行为，为协同防御提供实时判断依据。

图3 DNS 隧道流量异常图示意

5．三模型协同分析

三模型联合后，检测率提升至 97.6% ，误报率降至 2.1% ，综合响应时间仅 1.5 秒，显示自推理机制在跨源协同下的高效性和稳定性。实验结果表明，该机制显著提升零样本异常通联、未知DGA域名及隐蔽 DNS 隧道的检测准确率，同时进一步降低误报率，提高结果可信度，为实际协同防御系统提供可靠支撑，验证了方法在复杂网络环境中的有效性和实用性。

四、结论

本文首次将人工智能自推理系统性引入未知威胁检测，实现零样本异常通联、DGA 域名和 DNS 隧道识别，为智能威胁检测提供新的方法论。

三模型自推理方法可实时部署于协同防御平台，支持跨源威胁识别与动态分析，降低误报率，提高检测可信度，为网络安全防护提供可落地方案。

方法在加密流量检测上仍有限，稀疏数据下可能存在延迟，可结合多模态数据并引入自适应学习和在线更新机制。实验主要基于仿真与采集样本，未来可扩展至跨行业验证。

综上，本文方法在未知威胁检测和协同防御中表现有效，为构建高效、智能、可扩展的防御体系提供基础。

参考文献

[1] Liu，Y.，Zhang，X.，&Li，J.（2023）.”Graph neural network-based anomaly detection for enterprise network traffic.” Journal of Network and Computer Applications， 208， 103429.

[2] Wang，S.，Chen，H.，&Zhao，Q.（2022）.”Zero-day DGA domain detection using deep learning and feature fusion.” Computers & Security， 113， 102546.

[3] Li，M.，&Sun，J.（2021）.”Detection of DNS tunneling attacks via time series and LSTM analysis.”IEEE Access， 9， 98765–98778.

[4] Gao，F.，&He，Y.（2020）.”Machine learning approaches for abnormal network behavior detection in enterprise systems.” Future Generation Computer Systems， 108， 1161– 1175.

项目：兰州市安宁区科技计划项目《基于人工智能自推理的网络安全威胁情报协同防御平台》， 项目编号2024-JB-11