DGA域名检测方法的分析与实践

摘要文章首先介绍了DGA域名的研究背景和价值，DGA域名的特点和基本定义。然后使用目前主流的智能算法：XGBoost类似的所有字体都是TimesNewRoman、朴素贝叶斯、多层感知器和循环神经网络结合几种特征提取的方法，包括N-Gram模型、统计域名特征模型和字符序列模型进行特征提取和相关算法进行实验，并对结果进行对比分析，获取较优特征提取和算法组合。实验结果表明，基于2-Gram特征模型的多层感知器对DGA域名检测的效果最佳。类似的所有字体都是TimesNewRoman虽然主流的检测方法在检测DGA域名已获得不错的成效，但是仍存在几大问题：模型检测能力仍有提升空间、缺乏演化性训练数据和检测模型的自身安全防御。本论文在实验选出最优的特征提取和算法组合基础上，对该组合中的重要超参数进行调优对比，获得更高检测能力的模型。最后，针对主流的检测技术缺乏具有演化价值的训练数据与检测模型自身安全问题，本论文提出一种通过改进型WGAN字符域名生成器生成对抗性域名的方法扩充有效训的练集。此方法生成了对抗性域名，相比传统GAN模型更加符合人类命名习惯，因此，增加这些含有对抗性因子的训练集，提高模型对未知域名的判别命中率，从而增强模型自身防御能力这句描述我做了长句分解。这句描述我做了长句分解关键词：DGA；机器学习；深度学习；WGANAbstractThearticlefirstintroducestheresearchbackgroundandvalueofDGAdomainnames,thecharacteristicsandbasicdefinitionofDGAdomainnames.Thenusethecurrentmainstreamintelligentalgorithms:XGBoost,NaiveBayes,MultilayerPerceptronandRecurrentNeuralNetworktocombineseveralfeatureextractionmethods,includingN-Grammodel,statisticaldomainnamefeaturemodelandcharactersequencemodelforfeatureextractionandexperiment.Theresultsarecomparedandanalyzedtoobtainbetterfeatureextractionandalgorithmcombination.Accordingtotheexperiment,MultilayerPerceptronbasedon2-gramfeaturemodelhasthebesteffectonDGAdomainnamedetection.AlthoughmainstreamdetectionmethodshaveachievedgoodresultsindetectingDGAdomainnames,therearestillseveralmajorproblems:modeldetectioncapabilitiesstillhaveroomforimprovement,lackofevolutionarytrainingdata,andself-defenseofdetectionmodels.ThispaperisbasedontheMultilayerPerceptronofthe2-gramfeaturemodel,andcomparestheimportantHyperparametersinthecombinationtoobtainamodelwithhigherdetectionability.Finally,inviewofthelackofevolutionarytrainingdataanddetectionmodel'sownsecurityissuesinmainstreamdetectiontechnologies,thisthesisproposesanimprovedtrainingsetbyusinganimprovedWGANcharacterdomainnamegeneratortogenerateadversarialdomainnames.ThismethodgeneratesadversarialdomainnamesthataremoreinlinewithhumannaminghabitsthantraditionalGAN​​models.Conversely,addingthesetrainingsetscontainingadversarialfactorsincreasesthemodel'sdiscriminativehitrateforunknowndomainnames,therebyenhancingthemodel'sowndefensecapabilities.Keywords：DGA；MachineLearning；DeepLearning；WGAN目录TOC\o\h\z\u第一章绪论 第二章DGA域名检测的应用研究2.1基于机器学习的DGA域名检测使用人工智能构建模型，通过该模型对DGA域名的实时检测，这里需要涉及到分类(Classify)。分类指的是基于某种定义好的规则，将需要处理的数据集划分类别。常见的分类任务包括二分类、多分类和多标签分类，对DGA域名的实时检测只需要判断域名是否正常，所以采用的是二分类。而XGBoost、贝叶斯分类等算法在机器学习二分类算法中较为常见。2.1.1朴素贝叶斯朴素贝叶斯分类器(NaiveBayesClassifier,NBC)是贝叶斯决策理论的一部分，可以也被应用于解决诸如某行业是否值得投资、个人信用等级评定、网络态势感知、医疗诊断等统计分析与预测领域[16-18]。该算法优点在于学习效率高、通俗易懂、在对某些问题中其分类效果比神经网络算法更加优秀。假设类别为，信息的特征值为，则贝叶斯决策的基本公式为：（2-1）若在特定的条件前提下，假设信息体有n个特征，即={},每个特征相互独立且互不影响[19]。则有朴素贝叶斯的公式为：（2-2）在朴素贝叶斯模型中，代表每个信息体类别的概率，也即被测信息体类别数除以总信息数量；代表被测信息体的n个特征值集合，即是每个特征出现的概率相乘；代表指定类别下某个信息体的n个特征值集合，即是被测信息体中出现所有词的概率相乘。2.1.2XGBoostXGBoost(ExtremeGradientBoosting,XGBoost)，也被称为梯度提升决策树。近年来比较热门，经常被应用于一些机器学习的竞赛中，其中在Kaggle数据挖掘挑战赛中，29个冠军有17个使用了XGBoost算法[20]。其算法学习速度很快，效果也很好，性能比另一个机器学习库Scikit-learn库的增强梯度算法要好上不止10倍[21]，而且可以应用与Python、R、C++等多个平台，有很强的扩展性和移植性。XGBoost隶属于Boosting集成学习方法，其内核就是基于GBDT(GradientBoostingDecisionTree)的改进，由多个相关联的决策树联合决策，目的使组合后的模型具有更强的泛化能力。XGBoost既可以用于分类也可以用于回归问题。对于样本=1,2,3,...m,XGBoost的计算公式为：（2-3）其中为XGBoost原始目标损失函数，而是为防止训练中数据过拟合的正则项。假设当前的叶子节点区域达到最优解，每次左右子树分裂的时候，经过对以上公式的最优化求解，期望最大化的是：（2-4）其中分别是当前节点左右子树的一阶二阶导数和。XGBoost算法的主算流程如下：Part1首先向分类器输入训练样本数据集合I，初始化训练参数：迭代数T，损失函数L，正则化系数；Part2迭代T轮训练数据；Setp1计算i个样本(1,2,3….m)在当前轮损失函数L基于的一阶求导后的数值g和二阶求导后的数值h，并分别对所有样本的g和h求和；Setp2基于当前节点尝试对决策树进行拆分并且更新评分值，默认评分值为0；Setp3找到最大的评分值，并使用该值对应的划分特征与特征值分裂子树；Setp4若最大评分值为0，则表明当前决策树已完成建立，计算所有叶子区域的,得到弱学习器,更新强学习器,进入下一轮弱学习器迭代.如果最大score不是0，则会转到Setp2继续尝试分裂决策树；Part3输出强学习器；2.2基于深度学习的DGA域名检测深度学习作为传统机器学习演化出来的一种新模型，在将输入信息提取为最佳特征方面上有巨大的潜能，在语音、图像等识别领域取得显著成果。其中多层感知机和循环神经网络作为深度学习中的重要算法，除了可以用来做复杂的图像识别，应用在文本的二分类方面也有不错的效果。2.2.1多层感知器多层感知器(Multi-LayerPerceptron，MLP)也称为人工神经网络。它类似与于人类的神经元结构：树突、细胞体和轴突，算法原理参考文献[22-23]。因为其在并行分布处理、分布储存、学习能力等方面表现优异，常常被人们应用于处理非线性可分离问题，分类准确度高，而且能对噪声神经有着很强的抗干扰能力。最简单的MLP模型只有输入、隐藏、输出三层结构，层与层之间是全连接。假设输入为，最简单的多层感知器公式如下：（2-4）其中表示输入层与隐藏层连接的激活函数，常用函数有sigmoid、anh和relu。求解出来的值作为下一层输出层函数的输入，常用的函数有softmax。而、、和都是层与层之间连接的偏置权重参数。2.2.2循环神经网络循环神经网络（RecurrentNeuralNetwork，RNN）在二十一世纪初被列入深度学习算法中[24]。因为循环神经网络能实现参数同享，具有记忆性，被用于处理诸如文字、时间等序列数据。但因循环神经网络在长链中若相隔时间太长容易产生梯度消失的问题，不具备长期依赖信息的学习能力。后来LSTM（LongShort-TermMemory）的出现，通过精妙的门控制将长短期记忆结合起来很好的解决了这一问题[25-27]，让网络非常擅长长时间学习文本和言语处理，因此被广泛应用。2.3特征提取方法简介本论文用于识别DGA域名的特征提取方法有：N-Gram模型、统计域名特征模型以及字符序列模型等。特征提取(FeatureExtraction)无论是在文本处理、图像识别等都有着广泛的应用。特征提取的方法主要是改变原始数据特性间的关系，根据的不同特性组合得到新的数据特性，这样做就对原来的特征空间进行了改变。通过减少特征数据集中的特性，以达到对原来特征数据降维的目的，更加方便模型学习。特征提取要求其处理后得到的数据集必须保留原数据的精确性和完整性。2.3.1N-Gram模型N-Gram是一种基于统计语言的数据特征提取模型。其主要作用是以N字节为大小对目标数据进行窗口滑动截取操作，最终将原数据切分为一定数量、长度为N的字节片段。原数据在经过N-Gram模型处理后，在重构的新特征空间中，字节片段序列里的每一个字节片段被称为gram，并且会以每个gram为基本单位对其在原数据中出现的次数进行统计。N-Gram模型常被用于评估语句是否合理[28]、搜索引擎或者输入法的猜想提示[29]，N值越大，对下一个备选提示词的选择就更多，但更加稀疏；而N值越小，对下一个备选提示词的约束信息更少，但更加精确。 文章使用的是2-Gram的特征提取模型。例如域名[‘’]经过该模型的处理之后，会变成词汇表[‘ba’,’ai’,’id’,’du’,’uc’,’co’,’om’]。2-Gram模型的处理过程如表2-1所示。表2-12-Gram处理过程Part1加载数据Part2处理数据Setp1加载Alexa前100万域名数据作为白样本，360netlab开放的DGA域名为黑样本，并且对黑白样本进行数据合并;Setp2根据表及其内容，用0标记正常域名，1标记DGA域名;Setp3对数据使用CountVectorizer函数进行2-Gram处理;Setp4把数据集分成训练集、测试集两部分，其中一部分是测试集占40%，另一部分是训练集占60%;Part3输出结果2.3.2统计域名特征模型域名统计特征模型(DomainStatistics)，最初域名映射IP被提出就是为了解决人类请求更方便请求资源的问题，一般过长的域名会令人难以记忆。而DGA域名仅仅是为了保持被恶意软件主机和CC服务器通信，为了尽可能避免DGA生成的域名与正常域名产生冲突，一般DGA域名长度会比正常域名长[30]。但这不是绝对的，有些DGA域名为了躲避打击和检测，生成DGA域名长度也会使用较短，所以只凭借域名长度这个特征判断是不够的。从域名的内容方面研究，正常人通常在取域名的时候，会偏好选取容易记忆与理解的元音字母组合，在数学意义上解释就是正常域名中[‘a’,’e’,’i’,’o’,’u’]这5个字母占比高。而DGA算法生成的是随机域名，所以在这方面的特征不明显；正常域名与DGA域名除了上述特征不同，文献[31]指出两者域名中唯一字符数分布区间也有差异。本次实验通过统计每个域名的元音字母个数、不重复字符个数、数字个数和域名长度，可以有效的将正常域名和DGA域名进行区分。统计域名特征模型的处理过程如表2-2所示。表2-2统计域名特征处理过程Part1加载数据Part2处理数据Setp1加载Alexa前100万域名数据作为白样本，360netlab开放的DGA域名为黑样本，并且对黑白样本进行数据合并;Setp2根据表及其内容，用0标记正常域名，1标记DGA域名;Setp3遍历数据集，统计每个域名的元音字母数量、不重复字符数量、数字数量和域名长度;Setp4把数据集分成训练集、测试集两部分，其中一部分是测试集占40%，另一部分是训练集占60%;Part3输出结果2.3.3字符序列特征模型字符序列统计模型(CharacterSequence)，每个域名都是由字符组成的序列，将对应的字符直接转换成对应的ASCII值。相比一些诸如聚类等复杂的特征提取方法，该方法只需要对域名进行简单的编码，可令分类模型能够直接学习数据的原始特性。字符序列模型的处理过程如表2-3所示表2-3统计域名特征处理过程Part1加载数据Part2处理数据Setp1加载Alexa前100万域名数据作为白样本，360netlab开放的DGA域名为黑样本，并且对黑白样本进行数据合并;Setp2根据表及其内容，用0标记正常域名，1标记DGA域名;Setp3将每个域名进行ASCII编码，最终将域名转换成一个数字序列Setp4把数据集分成训练集、测试集两部分，其中一部分是测试集占40%，另一部分是训练集占60%;Part3输出结果2.4仿真实验2.4.1DGA域名识别模型DGA域名识别采用如下框架，如图2-1所示。Setp1加载Alexa前100万域名数据作为白样本，360netlab开放的DGA域名为黑样本，并且对黑白样本进行数据合并;Setp2特征提取。方式1，使用N-Gram模型；方式2，使用统计域名特征模型；方式3，使用字符序列模型;Setp3将合并后的数据集的数据分为两份部分，其中一部分是测试集占40%，另一部分是训练集占60%;Setp4利用分类算法对训练集进行训练，得到模型数据,算法1:朴素贝叶斯,算法2:XGBoost,算法3：多层感知器，算法4：循环神经网络;Setp5使用模型数据进行预测，进行分类;Setp6进行效果验证。图2-1DGA域名识别框架2.4.2实验数据Alexa是一家著名的发布世界网站排名的网站，当前拥有最权威、详细的网站排名信息。而360netlab则记录着目前公开的所有DGA家族域名数据。本次实验采取Alexa全球前100万个的网站域名作为白样本和360netlab的开放数据作为黑样本。2.4.3评价指标在混淆矩阵中，TP代表真正例，TN代表真负例，FP代表假正例，FN代表假负例。精确率（Precision）常常被作为二分类模型的评估指标。其指的是预测正确的样本占真实样本比例，计算精确率的公式为：（2-5）召回率（Recall）能反映出一个模型对样本的覆盖能力，也被称为灵敏度(Sensitivity)。计算灵敏度的公式为：（2-6）F1-Score是精确率和召回率的一个综合评价，该值被作为国内不少人工智能竞赛衡量算法优异的标准之一。F1-Score的计算公式为：（2-7）ROC（ReceiverOperatingCharacteristicCurve）也被称为受试者工作特征曲线。数十年前在分析无线电、医学等领域都有应用，而最近在机器学习领域中也得到了良好的发展。ROC曲线相对于准确率、召回率等这类指标评估标准，它减少了对预测概率设分类阔值步骤，大大提高了模型的泛化能力。ROC是假正率（FalsePositiveRate,FPR）与真正率（TruePositiveRate,TPR）组成的二维空间曲线，在二维空间坐标轴中，前者为横坐标，后者为纵坐标。假正率的计算公式为：（2-8）而真正率与召回率的计算公式相同。ROC曲线能反映其模型的灵敏性和特效性连续变量的综合指标，一般曲线越光滑就表示模型与数据的过拟合度越低，曲线越靠左上角就表示该模型的准确性越高。AUC(AreaUndertheReceiverOperatingCharacteristicCurve)物理上的含义就是代表ROC曲线下的面积，其值越大也表示模型准确性越高[32-35]。2.4.4实验结果与分析实验结果如表2-4所示。其中统计域名特征模型提取出来的向量结构与循环神经网络模型输入类型不符；字符序列特征模型提取出来的向量结构与朴素贝叶斯、XGBoost和多层感知器模型输入类型不符，故不列出。表2-4实验结果特征分类算法PreSenF1AUC2-GramNBC0.700.960.810.782-GramXGBoost0.880.760.810.822-GramMLP0.940.940.940.942-GramRNN0.000.000.000.50统计域名特征NBC0.650.910.760.71统计域名特征XGBoost0.820.930.870.86统计域名特征MLP0.830.910.870.86字符序列特征RNN0.940.910.930.93 基于指定特征的各分类器对比如图2-2、图2-3所示。图2-2基于域名统计/字符序列的分类器对比图2-3基于2-gram的分类器对比经过实验，在相同的数据集下，基于字符序列特征模型的循环神经网络效果相当不错，AUC值达到了0.93，比绝大部分的组合要好；但基于2-gram特征模型的多层感知器对DGA域名检测的效果最佳，AUC值达到了0.94，而F1-Score、灵敏度、精确率等指标综合起来都要略优于字符序列特征模型和循环神经网络组合。2.5本章小结本章介绍了人XGBoost、朴素贝叶斯、多层感知器和循环神经网络算法这几种流行算法。介绍了几种特征提取的方法，包括N-Gram模型、统计域名特征模型和字符序列模型。经过对比发现，基于2-gram特征模型的多层感知器在DGA域名检测中的得到较高的评价，同时也为下一章的研究内容铺垫基础。第三章基于MLP的DGA域名识别模型优化3.1MLP算法的影响因素探究在第2章的多种算法与特征提取方法组合对比发现，基于2-gram特征模型的多层感知器(MLP)的效果最好，但模型的AUC仅为0.94左右，仍有提升的空间。因此本章节重点对影响基于MLP构建的DGA域名检测模型检测能力的重要因素进行探究，并且通过调参对模型进行优化。其中重要的超参数包括有学习率、惩罚系数Dropout等。3.1.1学习率 自从Loshchilov[36]等人提出随机梯度下降算法以来，学习率(LearningRate)的问题一直是研究的热点。学习率代表了神经网络模型中随着时间的推移积累信息的速度，是最能影响模型性能的超参数之一。它决定了一个模型是否可以收敛到全局最小值。若学习率的值过低，可能模型需要浪费大量的时间才能完成模型训练，甚至可能陷入局部最小值；若学习率的值过高，数值波动较大容易跳过最小值，给模型的损失函数带来不理想的效果。当学习率达到最优时，模型的有效容量最大，也是达到了最佳学习能力。3.1.2惩罚系数Dropout 在训练模型的时候需要大量的数据集训练，否则很容易模型很容易出现过拟合的问题。在现实情况中，往往因为数据的隐私性而不能获得大量的训练数据，为了解决该问题人们曾尝试使用模型集成的方法，但因为需要训练多个模型组合耗时太大，这不是该问题最优的解决策略。2012年Hinton[37]等人提出了Dropout这一概念，其作用是以一定的概率让模型内部特征检测器停止工作，降低模型对某些局部特征的依赖性，从而提高模型的泛化能力。适当的设置Dropout值可以防止模型的过拟合。3.2仿真实验为了探究其超参数对MLP模型能力的影响，本文采取控制变量法，即使用与上一章实验同一批训练集，且构建的DGA域名识别模型与2.4.1节中的图2-1一致。在基于2-Gram提取方法上，分别对学习率与惩罚系数Dropout两个重要超参数调参。值得一提的是，上一章节实验MLP算法所采用的环境是开源的Python机器学习库Scikit-learn，而本次实验环境使用了更加适合深度学习算法的Keras框架，优化器使用adam。3.2.1实验结果与分析实验结果如3-1所示。表3-1实验结果名称学习率惩罚系数耗时AucAcc模型10.0010.17.050.99670.9725模型20.0010.311.560.99590.9775模型30.0010.59.760.99150.9575模型40.0010.722.190.99720.975模型50.0010.911.430.97570.48375模型60.010.15.040.99610.9725模型70.09820.98125模型80.09720.9725模型90.010.716.420.99790.97625模型100.010.917.440.99770.97375模型80.99740.97375模型40.99830.97125模型130.10.511.540.99510.9725模型40.99500.96375模型80.50.49375模型40.99400.96375模型50.99670.97875模型30.99170.92模型10.86250.61625模型90.50.49875模型50.99570.96625模型220.30.310.460.99640.9675模型40.98710.9575模型90.50.52375模型70.50.5225为了更加明显观察到参数变化对模型能力的影响，评估指标除了上一章提及的AUC、准确率(ACC)之外，还添加了以秒为计算单位的训练模型耗时，综合评估模型能力。实验结果表明，在使用Keras框架的基于MLP构建的DGA域名检测模型的能力明显提高。学习率为0.001时，无论惩罚系为何值，AUC都能稳定在0.96以上，稳定高输出。当学习率为0.1，惩罚系数为0.3，模型12的AUC值达到最高，达到0.9980左右,而AUC同为0.9980以上的模型7耗时更少。综合耗时、稳定性、AUC等多种因素，模型7的评价最高，所以在其他参数不变的前提下，当学习率为0.01，惩罚系数Dropout为0.3时，模型的检测能力达到最优。3.3本章小结本章节主要探究学习率与惩罚系数Dropout两个重要超参数对MLP模型的检测能力的影响，并且对其进行超参数调优。经过对比实验结果发现，改进模型较原模型检测能力增强，在其他参数不变的前提下，当学习率为0.01，惩罚系数Dropout为0.3时，模型的检测能力达到最优。第四章基于改进型WGAN的对抗域名生成4.1生成对抗网络（GAN）在第3章中论文已经通过参数调优提升模型的检测能力，这只是对自动检测模型其中一个方面改进，目前以机器学习与深度学习为主流的自动检测技术仍存在缺乏具有演化价值的训练数据与存在模型输入样本被攻击的自身安全问题。Goodfellow[13]等人提出的对抗网络生成（GenerativeAdversarialNetwork，GAN）获得了人们的关注。GAN本质是生成网络G和判别网络D之间的动态极小极大博弈游戏。近年来该思想被提出后成为了人们研究的热点，文献[38]指出，2018年关于GAN的研究论文数量就已超过450篇。目前GAN主要应用于计算机图像于视觉领域，根据图像上下文关系对图像进行修复、转换图像[39]、生成逼真图像[40]，除此之外GAN还可以应用于文本、语音和无人驾驶等领域。与单一的传统神经网络模型结构不同，GAN模型由生成网络G与判别网络D两个看似独立的神经网络模型组成，通过优化函数对两个网络连接成为一个整体。在训练过程中，判别网络D的任务是将真实数据与对抗样本区分；而生成网络的任务是根据给定的噪声生成接近真实数据分布的对抗样本，增大判别网络D的犯错概率，两者不断博弈，从而达到提高模型自身生成能力和判别能力的目的。直到生成网络G生成了与真实数据分布无异的对抗样本集，判别网络D无法判断其数据是真实数据还是对抗样本，生成网络G与判别网络D之间达到了纳什平衡。该模型的能力效果达到最优。GAN模型的处理流程如图4-1所示：图4-1对比GAN模型流程图GAN模型的损失函数如下：（4-1）其中为真实数据的概率分布，为由服从正态或均匀分布的噪声Z经过生成网络G生成的对抗样本的概率分布，而损失函数为两个分布各自的期望求和。对于判别网络D，它的目的是让的样本输出分数尽可能的大，即取极大值，让的样本输出分数尽可能的小，即也取极大值，导致取极大值；而对于生成网络G，它的目的是用噪声生成的样本集欺骗判别网络D,让其给出较大的分数，即让取极小值，导致取极小值。综上所述，最终损失函数为：（4-2）由此可知，GAN的整体学习过程总结两个步骤，求最大化与最小化的过程。先固定生成网络G优化判别D，求解得到最优化的判别网络,然后固定最优化判别网络，对判别网络G优化并求解出最优化生成网络。参考文献[38]的公式推导可得出，当的理论最小值为，此时的真实数据分布与对抗样本分布无异。在训练过程中，为了防止数据过拟合，通常对判别网络D进行K次优化之后，再对生成网络G进行一次优化。4.2WassersteinGAN传统GAN在面文本生成领域面对多场景化的自然语言任务时，往往要结合复杂的自然语言模型才能获得不错的成效。因为其存在训练困难，生成样本缺乏多样性等问题。Arjovsky等[41]人通过推导公式定理分析了传统GAN的问题，并且提出了基于GAN的变体WGAN[42](WassersteinGenerativeAdversarialNetwork)，在不结合其他自然语言模型的情况下，WGAN也能出色地完成自然语言处理任务。在对抗训练中，如何辨别真实数据与对抗样本之间的分布差异一直是人们关注的问题，通过人为的观察辨别虽然较为直观，但是缺乏权威性。而在这个问题上，传统的GAN用KL散度(Kullback-Leiblerdivergence)[43]与JS散度(Jensen-Shannon)散度[44]两个衡量指标来为这一问题提供解决方法，但出现如两个分布没有重叠部分或者重叠部分可以忽略的极端情况当时，KL散度和JS散度会变成固定值，会造成造成梯度消失。而WGAN在此提供了新的衡量指标Wasserstein，其本质是对真实数据和对抗样本之间相差的距离进行衡量。经过推导，Wasserstein的定义公式如下：（4-3）这里涉及到一个新概念——Lipschitz连续。假设为连续函数，它是取值范围的一个限制，当存在一个常数且时，在的定义域内任意的两个元素和都满足以下条件：（4-4）则称为的Lipschitz。Lipschitz连续限制了连续函数的最大变动幅度，目的就是让模型的输出曲线尽可能的平滑，不让它趋向与无穷大或者无穷小。假设一组参数定义一系列的连续函数，则对公式(4-3)进一步近似求解：（4-5）在此，构建一个含参数的判别器来拟合Wasserstein距离，并且满足在某个范围内，对于判别网络的损失函数为：（4-6）损失函数取值越大，就近似于真实数据分布与对抗样本分布之间的Wasserstein距离，但是因为理论实践中，训练模型往往只会对损失函数降值，所以对函数进行取反，变换公式如下:（4-7）损失函数取值越小，代表真实数据分布与对抗样本分布之间的Wasserstein距离越小。判别网络的损失函数降低不但反映了其检测能力的提升，也反映了生成网络生成的对抗样本质量越好。4.3改进型WassersteinGAN改进型的WGAN(ImprovedWassersteinGenerativeAdversarialNetwork)继续将重心放在权重函数和概率分布相似度衡量的优化上，例如惩罚梯度(gradientpenalty)[45].在原WGAN的理论中，通过手动的方式设定一个阈值c，并将判别网络D中的参数数值全部限制在上[-c，c]。对于D中的任意一个参数w，如果w>c,则令w=c。如果w<-c，则令w=-c，即始终保持，该操作称为权重截断(WeightClipping)，使得D的输出曲线比较平滑。但在实现权重截断过程中会存在两个问题：第一个是判别网络在训练中希望尽可能的拉大真实数据与对抗样本的分数差，而权重截断限制了网络参数的取值范围，这容易令模型输出的分数值走向二值化极端，是对模型的资源浪费；第二个就是手动设置权重截断的阔值减弱了一个模型的泛化能力，而且很容易产生梯度消失或者爆炸问题。而改进型WGAN的很好的解决了上述的问题，在Lipschitz限制要求判别网络的梯度不超过K(k=1)基础上，在公式(4-7)的末尾添加惩罚梯度项：（4-8）其中是从真实数据与对抗样本连线上随机插值采样出来所组成的数据分布。改进型WGAN具体的核心算法步骤如表4-1所示：表4-1改进型WGAN核心算法步骤输入：输出：whiledo:fort=0,1,2,…,ndo样本为真实数据样本为对抗样本endforendwhile算法中，惩罚系数用于对这公式(4-8)前边部分的损失函数取值平衡，通过实验发现=10是一个比较合理的数值。为学习率，为批量值，为训练迭代数，为优化梯度函数，而为判别网络的初始值。Gulrajani等[45]人在实验已证明，加入了惩罚梯度的WGAN模型对样本的分数值分布更加均匀，也解决了梯度容易消失或者爆炸的问题。综上所述，改进型WGAN更加适合在离散空间使用，如文本序列生成。接下来文章用改进型WGAN模型进行对抗性域名生成。4.4仿真实验4.4.1改进型WGAN模型改进型WGAN模型采用如下框架，如图4-2所示。Part1加载Alexa前100万域名作为真实数据;Part2从真实数据集中随机采样m个真实样本，对其进行特征提取，把每个域名最终处理转换为长度为32的词条向量;Part3用判别网络G生成m个对抗样本，并采取和以上同样的方法进行特征提取;Part4对模型进行30000轮迭代训练，在每轮训练中：Setp1训练10次判别网络D;Setp2固定D参数，训练1次生成网络G;Part5每完成300迭代训练，将模型生成对抗性样本保存;图4-2改进型WGAN模型框架4.4.2实验数据与环境真实数据同样是来自本论文2.4.2节中提及的Alexa网站，而对抗样本则由服从正态分布(0,1)或者均匀分布(-1,1)的噪声作为生成网络输入随机生成。如表4-2所示为本次实验用的实验环境。表4-2实验环境实验平台环境配置操作系统Window10内存16GCPUIntelCorei7-8700CPU3.20GHz深度学习框架Tensorflow-gpu1.10.0编程语言Python评价指标对生成式对抗网络模型的好坏评估一直是研究的难点[46]，要评估一个GAN模型需要从模型生成的样本质量与检测能力两方面进行考察。从模型生成样本的质量方面看，因真假样本对比对象数量大，人类很难直观地度量其相似性，而且这种度量还需要与人类的感官保持一致。在GAN的理论上，模型生成网络生成的样本质量越好，一直与其博弈成长的判别网络检测能力也是越强，但是因为传统GAN存在训练时梯度容易消失等问题，该标准无法有效的度量真实数据与对抗样本的差异。值得注意的是，WGAN是GAN的基础结构进行拓展的，核心思想一致。WGAN的出现解决了传统GAN训练时梯度消失后，基于这个前提下，原GAN模型中的质量度量理论成立，即模型中生成网络的质量与判别网络的质量成正比，反之亦然。Wasserstein作为衡量真实数据与对抗样本分布的距离，在WGAN模型中被称为指导模型训练的新指标，其原理在前文已有提及，公式(4-7)是现实WGAN模型训练的目标函数，其值应该随着训练次数的增加而减小，或产生接近于0的变化趋势。改进型WGAN模型只是对WGAN模型中权重函数等做细微的优化，其大部分结构一致，所以评价指标相同。JS散度(Jensen-Shannon)[44]度量了两个概率分布的相似度，是基于KL散度的变体，解决了KL散度非对称的问题。虽然在GAN系列模型中因为容易丢失梯度受到一些争议，但仍然是目前主流度量两个分布差异的指标，特别适合于静态的数据分布对比。其公式为：（4-9）当JS取值是0到1之间，值越小表示两个分布的相似度越高，若两个分布离得很远，完全没有重叠的时候，JS散度则失去意义。综上所述，文章将用Wasserstein和JS散度作为衡量模型质量的指标去验证的实验结果的有效性，同时，在实验过程中通过肉眼观察样本的方式去验证其结果是否符合客观事实。4.4.4实验结果与分析使用改进型WGAN模型经过30000轮训练以后，其损失函数取值变化如下图4-3所示。可观察到损失函数绝对值越来越小，象征着模型的学习能力越来越强。图4-3改进型WGAN模型训练损失变化为了提高数据特征对比的精确性，实验分别使用了n-gram（n=1,2,3,4）特征提取的方法将真假样本特征提取，再用JS散度对生成对抗样本与真实数据的差距进行度量。实验结果如图4-4,4-5,4-6,4-7所示，使用4种n-gram方法提取出来的特征都是随着训练次数增加，模型生成的对抗样本分布都呈现向真实数据分布接近的趋势。图4-4基于1-gram的JS散度变化图4-5基于2-gram的JS散度变化图4-6基于3-gram的JS散度变化图4-7基于4-gram的JS散度变化实验还通过同样的方法，统计出传统GAN模型生成的样本与真实样本的JS散度值，通过对比发现，无论基于n-gram(n=1,2,3,4)特征下的改进型WGAN模型都比传统GAN模型的JS数值小，也即是改进型WGAN比传统GAN生成更加接近真实数据分布的对抗样本。由于文章篇幅有限，这里只给出两个模型最终训练后的对比，如图4-8所示：图4-8传统GAN与改进型WGAN的JS散度对比为了更方便以上结果有更加直观的理解，实验给出了真实样本、经过迭代训练后的改进型WGAN模型和传统GAN生成的样本对比，因为顶级域名部分往往是固定的组织结构名称，所以将其去除，留下更加突显人类命名习惯域名部分。如图4-9所示。图9真实样本与不同对抗样本对比第一个椭圆是真实域名集，第二个椭圆是由传统GAN模型生成的对抗性域名样本，第三个是由改进型WGAN模型生成的对抗性域名样本。观察图4-9可发现，改进型WGAN模型生成的对抗样本多样性与相似性均优于传统GAN模型。4.5本章小结本章节针对目前主流使用机器学习模型检测DGA域名存在缺乏演化性训练集和自身检测模型安全两个问题，提出了改进型WGAN模型生成对抗性样本扩充训练集，比传统GAN生成的域名更加符合人类自然语言习惯，并验证其有效性，反之用这些含有对抗性因子的样本集去训练检测模型，可提高检测模型对未知域名的命中率，从而增强模型的自身防御能力。第五章总结与展望5.1总结攻击者经常使用僵尸网络来进行大量恶意活动，给网络空间安全保卫者带来极大的挑战。尤其是近年来依托域名的攻击增多，逐渐成为网络安全防御的主题之一。DGA作为恶意软件实现的关键技术，能在短时间内生产大量的域名，攻击者只需从中选取少量的域名进行注册使用，就可以很大程度地逃过网络安全人员的检测。为了有效地检测DGA域名，基于机器学习的DGA域名自动检测技术应运而生。随后发现，以机器学习构建的DGA域名分类器虽然能有效地检测恶意域名，但因训练模型的数据缺乏时效性，仍然无法满足网络安全防御的要求。这时深度学习技术获得人们关注，基于深度学习构建的域名分类器能进行无特征提取学习，而且往往能以人类传统手工方式提取不到的方法提取数据特征，获取更好的效果。虽然深度学习构建的域名分类器能一定程度解决数据缺乏的问题，但是仍然存在模型自身安全性的问题，若攻击者对模型训练数据进行输入性攻击，将大大影响模型的检测效果。GAN的出现为解决该问题提供了新思路，不但能扩充有效数据集，而且通过对抗训练使模型地检测能力与防御能力大大提高。但GAN目前实践的时候会遇到梯度爆炸等一系列问题，如何很好地使用该模型成为了近年研究的热点。本论文围绕DGA域名自动检测主题，遵循历史演变的顺序，对以上阐述到的技术进行研究和提出改进方案。在研究的过程中，主要的研究内容和成果如下：（1）使用人工智能中几种流行的智能算法，例如XGBoost、朴素贝叶斯、多层感知器和循环神经网络，并且与几种特征提取的方法，包括N-Gram模型、统计域名特征模型和字符序列模型相互组合，经过对比发现，基于2-Gram特征提取的多层感知器模型检测DGA域名能力最好。（2）在基于（1）的研究基础上，继续深入探索超参数对多层感知器模型的影响，并对学习率与惩罚系数Dropout两个重要超参数调优，提高模型检测能力。经过实验发现，改进模型较原模型检测能力增强，且学习率为0.01，惩罚系数Dropout为0.3时模型综合评价最高。（3）基于GAN的理论思想，提出基于改进型WGAN的对抗域名生成模型，并且提出了检验GAN模型效果的新评估指标。实验结果表明，改进型WGAN的对抗域名生成模型生成了比传统GAN更加符合人类命名习惯的对抗性域名，反之，用这些含有对抗因子的域名去训练提高了模型的检测能力与自身安全性。5.2展望本文围绕DGA域名自动检测为主题对各种理论、方法与技术展开了研究和改进，但只是冰山一角。仍有很多问题有待探究，本论文接下来仍会对DGA域名检测领域中几个方向进一步研究：（1）使用更多的算法对关于DGA域名检测领域的应用研究，并通过实践和分析是否有更优的DGA检测模型；（2）超参数是影响模型能力的重要因素，往往只需要做微小的改动模型能力就会发生较大的变化，未来将研究超参数对更多算法的影响，提高模型检测能力。（3）改进型WGAN中的对抗噪声样本对于生成样本的质量影响一直是备受关注的内容[47]，未来可以尝试多种不同的噪声分布作为模型生成网络的输入，结合理论分析实践，获取更加优良的生成策略。（4）优化检测模型，进一步将其可视化，尝试投入到真实环境中进行检验。参考文献[1]王媛媛,吴春江,刘启和,谭浩,周世杰.恶意域名检测研究与应用综述[J].计算机应用与软件,2019,36(09):310-316.[2]DGA系列由360网络安全实验室公开/dga/.[3]王震.基于SVM的DGA域名检测方法研究[D].济南大学,2018.[4]AgyepongE,BuchananWJ,JonesK.DetectionofAlgo-rithmicallyGeneratedMaliciousDomain[C]//InternationalConferenceofAdvancedComputerScience&InformationTechnology.2018.[5]AntonakakisM,PerdisciR.Fromthrow-awaytraffictobots:detectingtheriseofDGA-basedmalware[C]//UsenixCon-ferenceonSecuritySymposium.2012.[6]刘翼光,熊志勇,沈理.一种基于多层感知器的脸部识别算法[C].中国自动化学会智能自动化专业委员会、上海同济大学、中国人工智能学会计算机视觉及智能控制学会、IEEE控制系统学会北京分会.1998年中国智能自动化学术会议论文集（下册）.中国自动化学会智能自动化专业委员会、上海同济大学、中国人工智能学会计算机视觉及智能控制学会、IEEE控制系统学会北京分会:中国自动化学会智能自动化专业委员会,1998:59-64.[7]GravesA.SequenceTransductionwithRecurrentNeuralNetworks[J].ComputerScience,2012,58(3):235-242[8]GravesA.LongShort-TermMemoryMJ//SupervisedSe-quenceLabellingwithRecurrentNeuralNetworks.2012.[9]GersFA,SchmidhuberJ,CumminsF.LearningtoForget:ContinualPredictionwithLSTM[J].NeuralComputation,2000,12(10):2451-2471[10]WoodbridgeJ,AndersonHS,AhujaA,etal.PredictingDomainGenerationAlgorithmswithLongShort-TermMemoryNetworks[EB].eprintarXiv:1611.00791,2016.[11]HuangS,PapernotN,GoodfellowI,etal.Adversarialattacksonneuralnetworkpolicies.arXiv:1702.02284,2017[12]BehzadanV,MunirA.Vulnerabilityofdeepreinforcementlearningtopolicyinductionattacks.arXiv:1701.04143,2017[13]GoodfellowJ,Pouget-AbadieJ,MirzaM,etal.Generativeadversarialnets//ProceedingsofInternationalConferenceonNeuralInformationProcessingSystems.Montreal,Canada,2014:2672-2680[14]AndersonHS,WoodbridgeJ,FilarB.DeepDGA:adversarially-tuneddomaingenerationanddetection[C//ProcofACMWorkshoponArtificialIntelligenceandSecurity.NewYork:ACMPress,2016:13-21.[15]袁辰.基于对抗模型的恶意域名检测方法的研究与实现[D].北京建筑大学,2018.[16]Pang-NingTan,MichaelSteinbach,VipinKumar.IntroductiontoDataMining.2011.[17]李涛.网络安全中的数据挖掘技术[M].北京：清华大学出版社，2017.[18]肖秦坤.动态贝叶斯网络推理学习理论及应用。北京：国防工业出版社，2007[19]HuangYouping.ResearchonBayesianNetwork[D].InstituteofComputingTechnology,ChineseAcademyofSciences,2005[20]LianKeqiang.TheStudyandApplicationofEnsembleofTreesBasedonBoosting[D].ChinaUniversityofGeosciences(Beijing),2018[21]苏兵杰,周亦鹏,梁勋鸽.基于XGBoost算法的电商评论文本情感识别模型[J].物联网技术,2018,8(01):54-57.[22]王之仓.多层感知器学习算法研究[D].苏州大学,2006.[23]LIYong-ming.THESTUDYOFBPLEARNINGALGORITHMOFARTIFICIALNEURALNETWORKANDITSAPPLICATIONINFACERECOGNITION[D].ShandongUniversity,2012[24]Schmidhuber,J.,2015.Deeplearninginneuralnetworks:Anoverview.Neuralnetworks,61,pp.85-117.[25]GravesA.LongShort-TemMemory[M]//SupervisedSequenceLabellingwithRecurrentNeuralNetworks.2012.[26]GersFA,SchmidhuberJ,CumminsF.LearningtoForget:ContinualPredictionwithLSTM[J].NeuralComputation,2000,12(10):2451-2471.[27]WeiWang.DeepLearningforNetworkTrafficClassificationandAnomalyDetection[D].UniversityofScienceandTechnologyofChina.2018[28]沈涛.结合N-gram模型与句法分析的语法纠错[D].东南大学,2017.[29]XUCong-yuan.ResearchofNetworkIntrusionDetectionMethodBasedonDeepLearning[D].ZhejiangUniversity.2019[30]ZhenWang,ZhongtianJia,BoZhang.ADetectionSchemeforDGADomainNamesBasedonSVM[P].Proceedingsofthe2018InternationalConferenceonMathematics,Modelling,SimulationandAlgorithms(MMSA2018),2018.[31]蒋鸿玲,戴俊伟.DGA恶意域名检测方法[J].北京信息科技大学学报(自然科学版),2019,34(05):45-50.[32]Fawcett,Tom.“AnIntroductiontoROCAnalysis”(PDF).PatternRecognitionLetters,2006,27(8):861-874.doi:10.1016/j.patrec.2005.10.010.[33]Power,DavidMW.“Evaluation:FromPrecision,RecallandF-MeasuretoROC，Informedness，Markedness&Correlation”(PDF).JournalofMachineLearningTechnologies,2011,2(1):37-63.[34]EricJukes.EncyclopediaofMachineLearningandDataMining(2ndedition)[J].ReferenceReviews.2018(7/8).[35]HaiboLuo,JianhuDong,XianluLuo.TheSelectionandOptimizationofaNegativecommentIdentificationMethod[J].IOPConf.Series:JournalofPhysics:Conf.Series1325(2019)012100[36]LoshchilovI,HutterF.Sgdr:Stochasticgradientdescentwithwarmrestarts[J].arXivpreprintarXiv:1608.03983,2016.[37]HintonGE,SrivastavaN,KrizhevskyA,etal.Improvingneuralnetworksbypreventingco-adaptationoffeaturedetectors[J].arXivpreprintarXiv:1207.0580,2012.[38]邹秀芳,朱定局.生成对抗网络研究综述[J].计算机系统应用,2019,28(11):1-9.[39]DentonE,GrossS,FergusR.Semi-supervisedlearningwithcontext-conditionalgenerativeadversarialnetworks.arXivpreprintarXiv:1611.06430,2014.[40]ZhuJY,ParkT,IsolaP,etal.Unpairedimage-to-imageranslationusingcycle-consistentadversarialnetworks.Proceedingsof2017InternationalConferenceonComputerVision.Venice,Italy.2017.2223-2232[41]Arjovsky,Martin,andLéonBottou."TowardsPrincipledMethodsforTrainingGenerativeAdversarialNetworks.arXive-prints,art."

arXivpreprintarXiv:1701.04862

(2017).[42]ARJOVSKYM.CHINTALAS.BOTTOUL.WassersteinGan[EB/OL]./abs/1701.07875,2017-12-6.[43]RaiberF,KurlandO.Kullback-Leiblerdivergencerevisited[C]//ProceedingsoftheACMSIGIRInternationalConfer-enceonTheoryofInformationRetrieval,Amsterdam,Oct1-4.2017.NewYork:ACM,2017:117-124.[44]FugledeB,TopsoeF.Jensen-ShannondivergenceandHil-bertspaceembedding[C]//Proceedingsofthe2004IEEEInternationalSymposiumonInformationTheory,Chicago,Jun27-Jul2.2004.Piscataway:IEEE,2004.[45]GulrajaniI,AhmedF,ArjovskyM,etal.Improvedtrainingofwassersteingans[C]//AdvancesinNeuralInformationProcessingSystems.2017:5769-5779[46]YuL,ZhangW,WangJ,etal.SeqGAN:SequenceGenerativeAdversarialNetswithPolicyGradient[C]//AAAl.2017:2852-2858.[47]代威.基于生成式对抗网络的文本生成问题的研究[D].吉林大学,2018.致谢伴随着毕业论文结束，我的本科学习生涯也走到最后阶段。本科学习这四年是我人生中重要的四年，在这段时间里我很幸运能认识到给我学习方面指导的导师与志同道合的朋友，在他们的帮助下实现自我价值，感到非常的充实。在这篇论文的设计过程中，从一开始接到论文题目到项目的实现，最后到论文的完成，总共花费了几个月时间。在此过程中经历过很多困难，起初对该课题感兴趣，但是刚开始接触之前并没有相关的技术基础，对课题无从下手，在此特别感谢毕业论文导师罗海波老师，他从选题指导，论文框架到详细修改，给我提出了许多有价值的建议。生活上罗海波老师是我的良师益友，生活中的罗海波老师是一位充满智慧而又和蔼可亲的人，老师待人十分温和，若是我在生活中遇到问题，老师总会耐心的帮助我，给我中肯的建议，在老师的帮助下，本人也从一开始的迷茫，到一点一点地知识探索，再到课题整体框架逐渐清晰，最终完满的完成毕业设计各环节工作。此外还有很多帮助过我的其他任课老师、同学和教工人员，在这里就不一一提及姓名了，感谢留在心底。还要感谢父母在背后的默默支持，让我顺利的走完本科生生涯。

电脑不启动故障诊治了解电脑启动的过程在诸多电脑故障中，无法正常启动是最令用户头痛的事了。笔者长期从事维护电脑的工作，在这个方面积累了一些经验，现在就将这些经验整理归纳出来与朋友们分享。本文将以家用电脑和windows98操作系统为基础，介绍电脑无法正常启动故障的诊治。要想准确地诊断电脑不启动故障，首先要了解的起动过程，当我们按下电源开关时，电源就开始向主板和其它设备供电，此时电压还没有完全稳定，主板控制芯片组会根据CMOS中的CPU主频设置向CPU发出一个Reset(重置)信号，让CPU初始化，电压完全稳定后，芯片组会撤去Reset信号，CPU马上从地址FFFF0H处执行一条跳转指令，跳到系统BIOS中真正的启动代码处。系统BIOS首先要做的事情就是进行POST(PowerOnSelfTest，加电自检)。POST的主要任务是检测系统中的一些关键设备(电源、CPU芯片、BIOS芯片、定时器芯片、数据收发逻辑电路、DMA控制器、中断控制器以及基本的64K内存和内存刷新电路等)是否存在和能否正常工作，如内存和显卡等。自检通过后，系统BIOS将查找显示卡的BIOS，由显卡BIOS来完成显示卡的初始化，显示器开始有显示，自此，系统就具备了最基本的运行条件，可以对主板上的其它部分进行诊断和测试，再发现故障时，屏幕上会有提示，但一般不死机，接着系统BIOS将检测CPU的类型和工作频率，然后开始测试主机所有的内存容量，内存测试通过之后，系统BIOS将开始检测系统中安装的一些标准硬件设备，这些设备包括：硬盘、CD－ROM、软驱、串行接口和并行接口等连接的设备，大多数新版本的系统BIOS在这一过程中还要自动检测和设置内存的相关参数、硬盘参数和访问模式等。标准设备检测完毕后，系统BIOS内部的支持即插即用的代码将开始检测和配置系统中已安装的即插即用设备。每找到一个设备之后，系统BIOS都会在屏幕上显示出设备的名称和型号等信息，同时为该设备分配中断、DMA通道和I/O端口等资源。最后系统BIOS将更新ESCD(ExtendedSystemConfigurationData，扩展系统配置数据)。ESCD数据更新完毕后，系统BIOS的启动代码将进行它的最后一项工作，即根据用户指定的启动顺序从软盘、硬盘或光驱启动。以从C盘启动为例，系统BIOS将读取并执行硬盘上的主引导记录，主引导记录接着从分区表中找到第一个活动分区，然后读取并执行这个活动分区的分区引导记录，而分区引导记录将负责读取并执行IO.SYS，这是Windows最基本的系统文件。IO.SYS首先要初始化一些重要的系统数据，然后就显示出我们熟悉的蓝天白云，在这幅画面之下，Windows将继续进行DOS部分和GUI(图形用户界面)部分的引导和初始化工作，一切顺利结束，电脑正常启动。根据故障现象诊治了解电脑启动的过程，故障就好判断了，下面我们就根据故障现象开始诊治了：现象一：系统完全不能启动，见不到电源指示灯亮，也听不到冷却风扇的声音。这时，基本可以认定是电源部分故障，检查：电源线和插座是否有电、主板电源插头是否连好，UPS是否正常供电，再确认电源是否有故障，最简单的就是替换法，但一般用户家中不可能备有电源等备件，这时可以尝试使用下面的方法（注意：要慎重）：先把硬盘，CPU风扇，或者CDROM连好，然后把ATX主板电源插头用一根导线连接两个插脚（把插头的一侧突起对着自己，上层插脚从左数第4个和下层插脚从右数第3个，方向一定要正确），然后把ATX电源的开关打开，如果电源风扇转动，说明电源正常，否则电源损坏。如果电源没问题直接短接主板上电源开关的跳线，如果正常，说明机箱面板的电源开关损坏。现象二：电源批示灯亮，风扇转，但没有明显的系统动作。这种情况如果出现在新组装电脑上应该首先检查CPU是否插牢或更换CPU，而正在使用的电脑的CPU损坏的情况比较少见（人为损坏除外），损坏时一般多带有焦糊味，如果刚刚升级了BIOS或者遭遇了CIH病毒攻击，这要考虑BIOS损坏问题（BIOS莫名其妙的损坏也是有的），修复BIOS的方法很多杂志都介绍过就不重复了；确认CPU和BIOS没问题后，就要考虑CMOS设置问题，如果CPU主频设置不正确也会出现这种故障，解决方法就是将CMOS信息清除，既要将CMOS放电，一般主板上都有一个CMOS放电的跳线，如果找不到这个跳线可以将CMOS电池取下来，放电时间不要低于5分钟，然后将跳线恢复原状或重新安装好电池即可；如果CPU、BIOS和CMOS都没问题还要考虑电源问题：PC机电源有一个特殊的输出信号，称为POWERGOOD（PG）信号，如果PG信号的低电平持续时间不够或没有低电平时间，PC机将无法启动。如果PG信号一直为低电平，则PC机系统始终处于复位状态。这时PC机也出现黑屏、无声响等死机现象。但这需要专业的维修工具外加一些维修经验，因此，建议采用替换法；电源没有问题就要检查是否有短路，确保主板表面不和金属（特别是机箱的安装固定点）接触。把主板和电源拿出机箱，放在绝缘体表面，如果能启动，说明主板有短路现象；如果还是不能启动则要考虑主板问题，主板故障较为复杂，可以使用替换法确认，然后更换主板。现象三：电源指示灯亮，系统能启动，但系统在初始化时停住了，而且可以听到嗽叭的鸣叫声（没有视频）：根据峰鸣代码可以判断出故障的部位。ccid_page/AwardBIOS1短声：说明系统正常启动。表明机器没有问题。2短声：说明CMOS设置错误，重新设置不正确选项。1长1短：说明内存或主板出错，换一个内存条试试。1长2短：说明显示器或显示卡存在错误。检查显卡和显示器插头等部位是否接触良好或用替换法确定显卡和显示器是否损坏。1长3短：说明键盘控制器错误，应检查主板。1长9短：说明主板FlashRAM、EPROM错误或BIOS损坏，更换FlashRAM。重复短响：说明主板电源有问题。不间断的长声：说明系统检测到内存条有问题，重新安装内存条或更换新内存条重试。AMIBIOS1短：说明内存刷新失败。更换内存条。2短：说明内存ECC较验错误。在CMOS中将内存ECC校验的选项设为Disabled或更换内存。3短：说明系统基本内存检查失败。换内存。4短：说明系统时钟出错。更换芯片或CMOS电池。5短：说明CPU出现错误。检查CPU是否插好。6短：说明键盘控制器错误。应检查主板。7短：说明系统实模式错误，不能切换到保护模式。8短：说明显示内存错误。显示内存有问题，更换显卡试试。9短：说明BIOS芯片检验和错误。1长3短：说明内存错误。内存损坏，更换。1长8短：说明显示测试错误。显示器数据线没插好或显示卡没插牢。现象四：系统能启动，有视频，出现故障提示，这时可以根据提示来判断故障部位。下面就是一些常见的故障提示的判断：一、提示“CMOSBatteryStateLow”原因：CMOS参数丢失，有时可以启动，使用一段时间后死机，这种现象大多是CMOS供电不足引起的。对于不同的CMOS供电方式，采取不同的措施：1.焊接式电池：用电烙铁重新焊上一颗新电池即可；2.钮扣式电池：直接更换；3.芯片式：更换此芯片，最好采用相同型号芯片替换。如果更换电池后时间不长又出现同样现象的话，很可能是主板漏电，可检查主板上的二极管或电容是否损坏，也可以跳线使用外接电池，不过这些都需要有一定的硬件维修基础才能完成。二、提示“CMOSChecksumFailure”CMOS中的BIOS检验和读出错；提示“CMOSSystemOptionNotSet”，CMOS系统未设置；提示“CMOSDisplayTypeMismatch”，CMOS中显示类型的设置与实测不一致；提示“CMOSMemorySizeMismatch”，主板上的主存储器与CMOS中设置的不一样；提示“CMOSTime&DateNotSet”，CMOS中的时间和日期没有设置。这些都需要对CMOS重新设置。三、提示“KeyboardInterfaceError”后死机原因：主板上键盘接口不能使用，拔下键盘，重新插入后又能正常启动系统，使用一段时间后键盘无反应，这种现象主要是多次拔插键盘引起主板键盘接口松动，拆下主板用电烙铁重新焊接好即可；也可能是带电拔插键盘，引起主板上一个保险电阻断了（在主板上标记为Fn的东西），换上一个1欧姆／0.5瓦的电阻即可。四、自检过程中断在xxxKCache处这表示主板上Cache损坏，可以在CMOS设置中将“ExternalCache”项设为“Disable”故障即可排除。同理，在自检主板部件时出现中断，则可以认为该部件损坏，解决方法一般可以在CMOS中将其屏蔽，如果不能屏蔽该部件最好更换主板。五、提示“FDDController