CPDGA:基于一致性传播的DGA域名主动检测算法

1

作者 刘双双 王志 +1 位作者 董伊萌 李万鹏 《通信学报》 北大核心 2025年第6期18-31,共14页

攻击者通过域名生成算法(DGA)动态注册域名以支持恶意软件活动,恶意域名不断演化导致概念漂移现象,使得现有依赖可持续性学习模型的检测技术时效性不足。针对这一威胁,结合一致性预测与一致性聚类方法,提出了一种基于一致性传播的DGA域... 攻击者通过域名生成算法(DGA)动态注册域名以支持恶意软件活动,恶意域名不断演化导致概念漂移现象,使得现有依赖可持续性学习模型的检测技术时效性不足。针对这一威胁,结合一致性预测与一致性聚类方法,提出了一种基于一致性传播的DGA域名主动检测算法(CPDGA)。通过对2019—2023年恶意与良性域名数据集进行实验,证明CPDGA能够有效缓解概念漂移对机器学习检测模型性能的影响,并使检测准确率提升20.4%。此外,CPDGA在检测13种最新对抗模型生成域名时取得了96.42%的准确率,展现了强大的鲁棒性与适应性。 展开更多

关键词 域名生成算法 概念漂移 一致性预测 一致性聚类 对抗模型

在线阅读 下载PDF 职称材料

基于XGBoost和粒子群优化算法的DGA恶意域名识别

2

作者 陈泽生 周敏 +1 位作者 冯李春 陈伟杰 《通信学报》 CSCD 北大核心 2024年第S2期27-32,共6页

恶意域名生成算法(DGA)已成为一种常见的网络攻击手段,为了提高对DGA恶意域名的检测能力,提出了一种基于XGBoost和粒子群优化(PSO)算法的恶意域名识别方法。首先,以交叉验证准确率作为评估指标,使用PSO算法对XGBoost进行超参数寻优,然... 恶意域名生成算法(DGA)已成为一种常见的网络攻击手段,为了提高对DGA恶意域名的检测能力,提出了一种基于XGBoost和粒子群优化(PSO)算法的恶意域名识别方法。首先,以交叉验证准确率作为评估指标,使用PSO算法对XGBoost进行超参数寻优,然后基于XGBoost进行分类识别。实验结果显示,经过PSO优化的XGBoost模型在DGA恶意域名分类识别中性能得到提升,相较于其他分类模型,在准确率、精确率、召回率和F1分数等评价指标上获得了更优的效果。研究表明,结合PSO算法进行参数能够有效地提升XGBoost模型在DGA恶意域名识别任务中的表现。 展开更多

关键词 域名生成算法 XGBoost 粒子群优化 特征选择

在线阅读 下载PDF 职称材料

域名生成算法检测技术综述

3

作者 汪绪先 黄缙华 +6 位作者 翟优 李础南 王宇 张宇鹏 张翼鹏 杨立群 李舟军 《计算机科学》 CSCD 北大核心 2024年第8期371-378,共8页

C&C服务器是网络攻击者用于控制僵尸主机的中间服务器,在僵尸网络中处于核心位置。为增强C&C服务器的隐蔽性,网络攻击者使用域名生成算法来隐藏C&C服务器地址。近年来,域名生成算法检测技术作为检测僵尸网络的重要手段,已... C&C服务器是网络攻击者用于控制僵尸主机的中间服务器,在僵尸网络中处于核心位置。为增强C&C服务器的隐蔽性,网络攻击者使用域名生成算法来隐藏C&C服务器地址。近年来,域名生成算法检测技术作为检测僵尸网络的重要手段,已经成为一个研究热点。首先,介绍了当前网络安全的发展态势和僵尸网络的拓扑结构。其次,介绍了域名生成算法和相关数据集。接着,介绍了域名生成算法检测技术的分类,并对这些检测技术进行总结综述。最后,探讨了现阶段域名生成算法检测技术存在的问题,并对未来研究方向进行了展望。 展开更多

关键词 僵尸网络 C&C服务器 域名生成算法 域名生成算法检测 网络安全威胁

在线阅读 下载PDF 职称材料

基于改进马尔可夫链的高效域名生成算法

4

作者 钱志业 李雪 李锁钢 《通信学报》 CSCD 北大核心 2024年第S2期52-58,共7页

首先,结合多种策略进行子域名的初步筛选,包括字典枚举、搜索引擎挖掘和网站信息抓取。接着,使用改进的马尔可夫模型算法对筛选数据进行分析,生成并添加新的子域名到结果集中。然后,检查并验证数据的真实性,若数据未达标准,则重复分析... 首先,结合多种策略进行子域名的初步筛选,包括字典枚举、搜索引擎挖掘和网站信息抓取。接着,使用改进的马尔可夫模型算法对筛选数据进行分析,生成并添加新的子域名到结果集中。然后,检查并验证数据的真实性,若数据未达标准,则重复分析过程。最终,形成一个经过严格验证的数据集。该算法显著提升了子域名发现的效率及覆盖范围,有效弥补了传统方法的不足。 展开更多

关键词 域名生成算法 子域名挖掘 DNS解析 网络安全

在线阅读 下载PDF 职称材料

基于人工特征与深度特征的DGA域名检测算法 被引量：7

5

作者 胡鹏程 刁力力 +1 位作者 叶桦 仰燕兰 《计算机科学》 CSCD 北大核心 2020年第9期311-317,共7页

当前,各种各样的恶意软件常使用域名生成算法(Domain Generation Algorithms,DGAs)来生成大量的随机域名,然后尝试与C&C服务器建立通信,发动相应的攻击。现有的检测方法基于DGA域名的随机性构建人工特征,利用机器学习方法学习分类模... 当前,各种各样的恶意软件常使用域名生成算法(Domain Generation Algorithms,DGAs)来生成大量的随机域名,然后尝试与C&C服务器建立通信,发动相应的攻击。现有的检测方法基于DGA域名的随机性构建人工特征,利用机器学习方法学习分类模式,但该类算法存在人工构建特征费时费力、检测误报率高等问题;或利用LSTM,GRU等深度学习技术学习DGA域名的序列关系,但该类算法对低随机性的DGA域名的检测准确率较低。文中提出了一种域名通用特征的提取方案,建立了包含41种DGA域名家族的数据集,并设计了基于人工特征与深度特征的检测算法,提高了模型的泛化能力,增加了对DGA域名家族的识别种类。实验结果表明,基于人工特征与深度特征的DGA域名检测算法取得了比传统深度学习方法更高的准确率和更好的泛化能力。 展开更多

关键词 域名生成算法 域名检测 长短期记忆网络 特征工程

在线阅读 下载PDF 职称材料

基于字典的域名生成算法生成域名的检测方法 被引量：3

6

作者 张永斌 常文欣 +1 位作者 孙连山 张航 《计算机应用》 CSCD 北大核心 2021年第9期2609-2614,共6页

针对基于字典的域名生成算法(DGA)生成域名与良性域名构成十分相似,现有技术难以有效检测的问题,提出一种卷积神经网络(CNN)和长短时记忆(LSTM)网络相结合的网络模型——CL模型。该模型由字符嵌入层、特征提取层及全连接层三部分组成。... 针对基于字典的域名生成算法(DGA)生成域名与良性域名构成十分相似,现有技术难以有效检测的问题,提出一种卷积神经网络(CNN)和长短时记忆(LSTM)网络相结合的网络模型——CL模型。该模型由字符嵌入层、特征提取层及全连接层三部分组成。首先,字符嵌入层对输入域名的字符进行编码;然后,特征提取层将CNN与LSTM串行连接在一起,对域名字符特征进行提取,即通过CNN提取域名字符的n-grams特征,并将提取结果输入给LSTM,以便学习n-grams间的上下文特征,同时,为了学习不同长度的n-grams特征,可选择多组CNN与LSTM结合使用;最后,全连接层根据提取到的特征对基于字典的DGA生成域名进行分类预测。实验结果表明:当CNN选择的卷积核大小为3和4时,所提模型性能最佳。在四个基于字典的DGA家族的测试对比实验中,CL模型与CNN模型相比,准确率提升了2.20%,且随着样本家族数量的增加,CL模型具有更好的稳定性。 展开更多

关键词 域名生成算法 基于字典的域名生成算法 卷积神经网络 长短时记忆网络 域名检测

在线阅读 下载PDF 职称材料

融合字符级滑动窗口和深度残差网络的僵尸网络DGA域名检测方法 被引量：11

7

作者 刘小洋 刘加苗 +1 位作者 刘超 张宜浩 《电子学报》 EI CAS CSCD 北大核心 2022年第1期250-256,共7页

本文提出了一种基于字符级滑动窗口的深度残差网络(Sliding Window-Depth Residual Network,SWDRN),首次将轻量级深度可分离式卷积应用于僵尸网络中DGA(Domain Generation Algorithm)域名检测.SW-DRN采用深度可分离式卷积,相比标准卷积... 本文提出了一种基于字符级滑动窗口的深度残差网络(Sliding Window-Depth Residual Network,SWDRN),首次将轻量级深度可分离式卷积应用于僵尸网络中DGA(Domain Generation Algorithm)域名检测.SW-DRN采用深度可分离式卷积,相比标准卷积减少了约56%的参数,增强了模型检测效率.采集两种不同来源的数据,分别命名为Real-Dataset和Gen-Dataset.SW-DRN与对照组模型在两个数据集上进行实验,实验结果表明:SW-DRN模型在DGA域名二分类任务中的F-Score评估指标上分别取得了99.23%和97.81%的成绩;并且在少样本DGA域名家族以及域名字符串易混淆DGA域名情形下多分类任务中取得不错的成绩,相比目前已有的DGA域名分类模型在总体FScore上提升了1.23%和1.01%的性能,增强了DGA域名家族之间的识别;同时还对所提出的模型在生成对抗模型产生域名进行测试,均能得到有效的识别. 展开更多

关键词 域名生成算法 字符级向量 残差网络 深度可分离式卷积

在线阅读 下载PDF 职称材料

采用深度学习的DGA域名检测模型比较 被引量：17

8

作者 裴兰珍 赵英俊 +1 位作者 王哲 罗赟骞 《计算机科学》 CSCD 北大核心 2019年第5期111-115,共5页

针对DGA域名难以检测的问题,构建了一种面向字符的采用深度学习的DGA域名检测模型,模型由字符嵌入层、特征检测层和分类预测层组成。字符嵌入层实现对输入DGA域名的数字编码;特征检测层采用深度学习模型自动提取特征;分类预测层采用全... 针对DGA域名难以检测的问题,构建了一种面向字符的采用深度学习的DGA域名检测模型,模型由字符嵌入层、特征检测层和分类预测层组成。字符嵌入层实现对输入DGA域名的数字编码;特征检测层采用深度学习模型自动提取特征;分类预测层采用全连接网络进行分类预测。为了选取最优的特征提取模型,分析比较了采用Bidirectional机制、Stack机制和Attention机制的LSTM模型与GRU模型,CNN模型,以及将CNN模型分别与LSTM模型和GRU模型相组合的模型。结果表明,与LSTM和GRU模型相比,采用Stack机制、前向Attention机制结合Bidirectional机制的LSTM和GRU模型,CNN模型,CNN模型与LSTM和GRU相组合的模型可提升模型的检测效果,但采用CNN和Bi-GRU组合构建的DGA域名检测模型可获得最优的检测效果。 展开更多

关键词 网络空间安全 深度学习 动态域名生成算法 卷积神经网络 门控循环单元 长短期记忆网络

在线阅读 下载PDF 职称材料

基于迁移学习的小样本DGA恶意域名检测方法 被引量：4

9

作者 顾兆军 杨文瑾 周景贤 《计算机工程与应用》 CSCD 北大核心 2021年第14期103-109,共7页

域名生成算法(DGA)存在变化多、部分类别样本难获取的特点,使得采用传统机器学习的恶意域名检测模型准确性不高。提出一种基于迁移学习和多核CNN的小样本DGA恶意域名检测模型。该模型将目标域名映射到向量空间中,使用样本充足的DGA种类... 域名生成算法(DGA)存在变化多、部分类别样本难获取的特点,使得采用传统机器学习的恶意域名检测模型准确性不高。提出一种基于迁移学习和多核CNN的小样本DGA恶意域名检测模型。该模型将目标域名映射到向量空间中,使用样本充足的DGA种类进行预训练,并迁移预训练得到的参数到小样本检测模型。采用多核CNN小样本分类模型根据发音习惯进行域名特征提取并分类。通过实验对比发现,无知识迁移的小样本分类模型只有11类域名准确率超过92%,经过迁移学习的多核CNN模型20类准确率超过92%,11类准确率超过97%,检测效果接近数据充足时的分类效果。 展开更多

关键词 恶意域名 卷积神经网络 迁移学习 域名生成算法 小样本学习

在线阅读 下载PDF 职称材料

一种改进的卷积神经网络恶意域名检测算法 被引量：17

10

作者 杨路辉 刘光杰 +3 位作者 翟江涛 刘伟伟 白惠文 戴跃伟 《西安电子科技大学学报》 EI CAS CSCD 北大核心 2020年第1期37-43,共7页

针对现有检测方法对算法生成的恶意域名检测效率不高,尤其对几种难检测的恶意域名类型检测率低的问题,提出了一种改进的基于卷积神经网络的恶意域名检测算法。该算法在现有的卷积神经网络模型的基础上,增加了提取更深层字符级特征的卷... 针对现有检测方法对算法生成的恶意域名检测效率不高,尤其对几种难检测的恶意域名类型检测率低的问题,提出了一种改进的基于卷积神经网络的恶意域名检测算法。该算法在现有的卷积神经网络模型的基础上,增加了提取更深层字符级特征的卷积分支,从而同时提取恶意域名的浅层和深层字符级特征并融合;引入一种聚焦损失函数以解决样本难易程度和数量的双重不平衡导致检测率低的问题,可提高对难样本的检测准确率。改进后的算法对20种恶意域名的平均检测准确率为97.62%,与原算法相比提高了0.94%;对4种较难检测域名的检测准确率分别提高了3.71%、4.6%、11.18%和17.8%。实验结果表明,改进的算法能够提高对恶意域名的检测准确率,尤其能够显著提升对部分难检测域名的检测准确率。 展开更多

关键词 卷积神经网络 域名生成算法 深度学习 信息安全

在线阅读 下载PDF 职称材料

基于Char-RNN改进模型的恶意域名训练数据生成技术 被引量：9

11

作者 吴警 芦天亮 杜彦辉 《信息网络安全》 CSCD 北大核心 2020年第9期6-11,共6页

近年来,新型僵尸网络开始使用域名生成算法(DGA)和命令与控制(C&C)服务器通信。针对基于深度学习的检测模型缺少对新出现的DGA变体域名的识别能力等问题,结合文本生成的思想,文章对原始Char-RNN模型进行改进,使用长短期记忆网络(LS... 近年来,新型僵尸网络开始使用域名生成算法(DGA)和命令与控制(C&C)服务器通信。针对基于深度学习的检测模型缺少对新出现的DGA变体域名的识别能力等问题,结合文本生成的思想,文章对原始Char-RNN模型进行改进,使用长短期记忆网络(LSTM)构建模型并引入注意力机制,从而生成用于模拟未知变体算法的恶意域名。实验证明,基于该方法生成的域名数据与真实数据在字符组成结构和频率方面具有高度相似性,且以生成数据作为训练集的检测模型保持了较好的性能,验证了基于文本生成模型的数据有效性以及将其作为训练数据集来预测未知DGA变体的可行性。 展开更多

关键词 恶意域名 dga 文本生成 深度学习

在线阅读 下载PDF 职称材料

基于APCNN和BiGRU-Att的单词DGA域名检测方法 被引量：6

12

作者 黄蔚秋 欧毓毅 凌捷 《计算机应用研究》 CSCD 北大核心 2022年第5期1541-1545,共5页

为了提高对基于单词的域名生成算法(domain generation algorithm,DGA)生成的恶意域名的检测准确率,提出了一种结合改进的并行卷积神经网络(APCNN)和融合简化注意力机制的双向门控循环单元(BiGRU-Att)的网络模型,该模型能充分学习单词... 为了提高对基于单词的域名生成算法(domain generation algorithm,DGA)生成的恶意域名的检测准确率,提出了一种结合改进的并行卷积神经网络(APCNN)和融合简化注意力机制的双向门控循环单元(BiGRU-Att)的网络模型,该模型能充分学习单词特征、单词之间的组合关系和关键字符信息。实验结果表明,相比Bilbo和CL模型,APCNN-BiGRU-Att模型的分类准确率和F_(1)值更高,表明该模型具有更好的检测效果、多分类效果和稳定性。 展开更多

关键词 基于单词的域名生成算法 域名检测 改进的并行卷积神经网络 注意力机制

在线阅读 下载PDF 职称材料

基于字符和词特征融合的恶意域名检测

13

作者 赵宏 申宋彦 +1 位作者 韩力毅 吴喜川 《计算机工程与设计》 北大核心 2024年第5期1549-1556,共8页

针对现有恶意域名检测方法对域名生成算法(domain generation algorithm, DGA)随机产生的恶意域名检测性能不高,且对由随机单词组成的恶意域名检测效果较差的问题,提出一种基于字符和词特征融合的恶意域名检测算法(cha-racter and word ... 针对现有恶意域名检测方法对域名生成算法(domain generation algorithm, DGA)随机产生的恶意域名检测性能不高,且对由随机单词组成的恶意域名检测效果较差的问题,提出一种基于字符和词特征融合的恶意域名检测算法(cha-racter and word network, CWNet)。利用并行卷积神经网络分别提取域名中字符和词的特征;将两种特征进行拼接,构造成融合特征;利用Softmax函数实现合法域名与恶意域名的检测。实验结果表明,该算法可以提升对恶意域名的检测能力,对更具挑战性的恶意域名家族的检测准确率提升效果更为明显。 展开更多

关键词 恶意域名检测 域名生成算法 深度学习 卷积神经网络 特征融合 向量表示 损失函数

在线阅读 下载PDF 职称材料

基于Transformer和多特征融合的DGA域名检测方法 被引量：9

14

作者 余子丞 凌捷 《计算机工程与科学》 CSCD 北大核心 2023年第8期1416-1423,共8页

针对域名生成算法生成的恶意域名隐蔽性高,现有方法在恶意域名检测上准确率不高的问题,提出一种基于Transformer和多特征融合的DGA域名检测方法。该方法使用Transformer编码器捕获域名字符的全局信息,通过并行深度卷积神经网络获取不同... 针对域名生成算法生成的恶意域名隐蔽性高,现有方法在恶意域名检测上准确率不高的问题,提出一种基于Transformer和多特征融合的DGA域名检测方法。该方法使用Transformer编码器捕获域名字符的全局信息,通过并行深度卷积神经网络获取不同粒度的长距离上下文特征,同时引入双向长短期记忆网络BiLSTM和自注意力机制Self-Attention结合浅层CNN得到浅层时空特征,融合长距离上下文特征和浅层时空特征进行DGA域名检测。实验结果表明,所提方法在恶意域名检测方法上有更好的性能。相对于CNN、LSTM、L-PCAL和SW-DRN,所提方法在二分类实验中准确率分别提升了1.72%,1.10%,0.75%和0.34%;在多分类实验中准确率分别提升了1.75%,1.29%,0.88%和0.83%。 展开更多

关键词 域名生成算法 Transformer模型 深度卷积神经网络 双向长短期记忆网络 自注意力机制

在线阅读 下载PDF 职称材料

基于生成对抗网络的恶意域名训练数据生成 被引量：13

15

作者 袁辰 钱丽萍 +1 位作者 张慧 张婷 《计算机应用研究》 CSCD 北大核心 2019年第5期1540-1543,1568,共5页

当前僵尸网络大量采用DGA算法躲避检测,针对主流的基于人工规则的检测算法无法对最新产生的DGA域名进行识别检测和基于机器学习的检测算法缺乏演化的训练数据的问题,提出了一种基于ASCII编码方式定义域名编/解码器,并结合生成对抗网络... 当前僵尸网络大量采用DGA算法躲避检测,针对主流的基于人工规则的检测算法无法对最新产生的DGA域名进行识别检测和基于机器学习的检测算法缺乏演化的训练数据的问题,提出了一种基于ASCII编码方式定义域名编/解码器,并结合生成对抗网络构造域名字符生成器来预测生成DGA变体样本的方法。实验结果表明,在采用生成数据进行分类器训练和性能评估中,此方法生成的DGA域名变体样本可充当真实DGA样本,验证了生成数据的有效性并可用于DGA域名检测器的训练评估。 展开更多

关键词 恶意域名 dga 生成对抗网络 检测 分类

在线阅读 下载PDF 职称材料

基于MLP深度学习算法的DGA准确识别技术研究 被引量：2

16

作者 王辉 周忠锦 +1 位作者 王世晋 史卓颖 《信息安全研究》 2019年第6期495-499,共5页

传统的DGA攻击检测方法已经无法满足对不断变种的DGA域名的识别,检出准确率较低.因此主要研究一种基于MLP深度学习算法的DGA准确识别技术,通过已有的DGA样本数据集,提取多维度的特征向量信息,通过归一化、降维处理后,将特征向量输入MLP... 传统的DGA攻击检测方法已经无法满足对不断变种的DGA域名的识别,检出准确率较低.因此主要研究一种基于MLP深度学习算法的DGA准确识别技术,通过已有的DGA样本数据集,提取多维度的特征向量信息,通过归一化、降维处理后,将特征向量输入MLP多层感知器进行训练,MLP多层感知器主要由输入层、隐藏层和输出层组成,训练后生成模型文件即可载入用于判断待检测的域名是否为DGA域名,可以有效提升DGA检测识别的准确度. 展开更多

关键词 域名生成算法(dga) 多层感知器(MLP) C&C服务器 隐藏层 奇异值分解算法

在线阅读 下载PDF 职称材料

基于混合词向量深度学习模型的DGA域名检测方法 被引量：22

17

作者 杜鹏 丁世飞 《计算机研究与发展》 EI CSCD 北大核心 2020年第2期433-446,共14页

域名生成算法(domain generation algorithm,DGA)是域名检测中防范僵尸网络攻击的重要手段之一,对于生成威胁情报、阻断僵尸网络命令与控制流量、保障网络安全有重要的实际意义.近年来,DGA域名检测技术从依靠手工提取特征发展到自动提... 域名生成算法(domain generation algorithm,DGA)是域名检测中防范僵尸网络攻击的重要手段之一,对于生成威胁情报、阻断僵尸网络命令与控制流量、保障网络安全有重要的实际意义.近年来,DGA域名检测技术从依靠手工提取特征发展到自动提取特征的基于深度学习模型的方法,在DGA域名检测任务中取得了较大的进展.但对于不同僵尸网络家族的DGA域名的多分类任务,由于家族种类多,且各家族域名数据存在不平衡性,因此许多已有的深度学习模型在DGA域名的多分类任务上仍有提高空间.针对以上挑战,设计了基于字符和双字母组级别的混合词向量,以提高域名字符串的信息利用度,并设计了基于混合词向量方法的深度学习模型.最后设计了包含多种对比模型的实验,对混合词向量的有效性进行验证.实验结果表明基于混合词向量的深度学习模型在DGA域名检测与分类任务中相比只基于字符级词向量的模型有更好的分类性能,特别是在小样本的DGA域名类别上的分类性能更优,证明了该模型的有效性. 展开更多

关键词 域名生成算法 混合词向量 深度学习 卷积神经网络 长短期记忆网络

在线阅读 下载PDF 职称材料

基于生成对抗网络的恶意域名训练数据生成方法 被引量：2

18

作者 刘伟山 马旭琦 +1 位作者 汪航 吴子琰 《兰州理工大学学报》 CAS 北大核心 2023年第6期100-106,共7页

当前攻击者广泛采用域名生成算法(DGA)生成大量的随机域名来躲避检测.针对现有的DGA域名检测模型均是在已经公开的数据集上进行训练构建,无法对未知恶意域名进行有效检测的情况,利用真实域名数据训练自编码器,并将自编码器和生成对抗网... 当前攻击者广泛采用域名生成算法(DGA)生成大量的随机域名来躲避检测.针对现有的DGA域名检测模型均是在已经公开的数据集上进行训练构建,无法对未知恶意域名进行有效检测的情况,利用真实域名数据训练自编码器,并将自编码器和生成对抗网络相结合,构造了一种新的DGA域名生成模型.实验表明,该模型产生的序列与Alexa域名在长度和字符分布等特征都很接近,而且能够有效降低基于长短期记忆网络的DGA域名分类器的性能.这些生成序列很好地丰富了恶意域名数据集,对其进一步利用,显著提升了现有DGA域名检测器的性能. 展开更多

关键词 恶意域名 dga 自编码器 生成对抗网络

在线阅读 下载PDF 职称材料

基于CNN-BiGRU的恶意域名检测方法

19

作者 林梓宇 凌捷 《计算机应用与软件》 北大核心 2024年第6期336-341,共6页

恶意域名检测对于防范僵尸网络等网络攻击具有重要意义。该文提出一种基于CNN和BiGRU的恶意域名检测方法CNN-BiGRU-Focal,利用卷积神经网络和双向门控循环单元网络来进行特征的融合学习,并引入改进的Focal Loss函数用以解决数据不平衡... 恶意域名检测对于防范僵尸网络等网络攻击具有重要意义。该文提出一种基于CNN和BiGRU的恶意域名检测方法CNN-BiGRU-Focal,利用卷积神经网络和双向门控循环单元网络来进行特征的融合学习,并引入改进的Focal Loss函数用以解决数据不平衡问题。与LSTM、CNN、GRU、ATT-CNN-BiLSTM方法的对比实验表明,文章方法在多分类实验中检测准确率分别提高1.43百分点、2.89百分点、1.27百分点、2.43百分点,在二分类实验中检测准确率分别提高0.19百分点、0.12百分点、1.41百分点、0.3百分点。实验表明CNN-BiGRU-Focal方法在恶意域名的检测上有着更好的性能。 展开更多

关键词 域名生成算法 深度学习 卷积神经网络 双向门控循环单元网络

在线阅读 下载PDF 职称材料

基于Passive DNS的速变域名检测 被引量：16

20

作者 周昌令 陈恺 +2 位作者 公绪晓 陈萍 马皓 《北京大学学报（自然科学版）》 EI CAS CSCD 北大核心 2016年第3期396-402,共7页

利用Passive DNS采集校园网真实运行环境的域名访问记录,从域名的多样性、时间性、增长性和相关性等方面构建18个特征集,提出基于随机森林算法来识别速变域名的模型。交叉验证实验表明,所构建的模型对域名分类的准确率超过90%。在所采... 利用Passive DNS采集校园网真实运行环境的域名访问记录,从域名的多样性、时间性、增长性和相关性等方面构建18个特征集,提出基于随机森林算法来识别速变域名的模型。交叉验证实验表明,所构建的模型对域名分类的准确率超过90%。在所采集的数据集上,所构建的模型比Flux Buster能更有效地识别速变域名。 展开更多

关键词 PASSIVE DNS 速变域名 随机森林算法 dga CDN

在线阅读 下载PDF 职称材料