基于多模态特征融合的Fast-Flux恶意域名检测方法 被引量：7

1

作者 郎波 谢冲 +1 位作者 陈少杰 刘宏宇 《信息网络安全》 CSCD 北大核心 2022年第4期20-29,共10页

Fast-Flux恶意域名是僵尸网络通信中的一种重要载体,通过快速变换域名解析的IP抵御检测。目前,恶意域名检测系统大多基于传统机器学习模型,需要对数据进行复杂处理和特征提取,并且需要借助大量第三方数据源,导致检测的实时性较差。域名... Fast-Flux恶意域名是僵尸网络通信中的一种重要载体,通过快速变换域名解析的IP抵御检测。目前,恶意域名检测系统大多基于传统机器学习模型,需要对数据进行复杂处理和特征提取,并且需要借助大量第三方数据源,导致检测的实时性较差。域名解析是一个复杂的过程,并且具有丰富的特征,文章设计了基于多模态特征融合的Fast-Flux恶意域名检测方法。首先利用GCN模块提取空间特征,采用BiLSTM模块提取域名文本特征,然后利用MLP模块提取侧信息特征,最后利用神经网络将这3种特征进行融合。在Fast-Flux-Attack-Datasets公开数据集上进行实验,实验结果表明,该方法的精确率达99.94%、召回率达99.76%、准确率达99.69%,总体效果优于当前同类方法。文章所提方法有效融合了域名解析的多模态特征,明显提升了检测效果,对于提高僵尸网络检测能力具有重要意义。 展开更多

关键词 fast-flux恶意域名检测 僵尸网络 GCN 多模态特征

在线阅读 下载PDF 职称材料

Fast-flucos:基于DNS流量的Fast-flux恶意域名检测方法 被引量：11

2

作者 韩春雨 张永铮 张玉 《通信学报》 EI CSCD 北大核心 2020年第5期37-47,共11页

现有的Fast-flux域名检测方法在稳定性、针对性和流量普适性方面存在一些不足,为此提出一种基于DNS流量的检测方法Fast-flucos。首先,采用流量异常过滤和关联匹配算法,以提高检测的稳定性;然后,引入量化的地理广度、国家向量表和时间向... 现有的Fast-flux域名检测方法在稳定性、针对性和流量普适性方面存在一些不足,为此提出一种基于DNS流量的检测方法Fast-flucos。首先,采用流量异常过滤和关联匹配算法,以提高检测的稳定性;然后,引入量化的地理广度、国家向量表和时间向量表特征,以加强对Fast-flux域名检测的针对性;最后,采用更合理的正负样本和包括深度学习在内的多种机器学习方法确定最佳分类器和最优特征组合,以尽量确保对真实DNS流量的普适性。基于真实DNS流量的实验表明,Fast-flucos的召回率、精确率和ROC_AUC分别达到了0.9986、0.9767和0.9929,均优于当前主流的EXPOSURE、GRADE和AAGD等检测方法。 展开更多

关键词 fast-flux 域名系统 域名检测 机器学习 深度学习

在线阅读 下载PDF 职称材料

基于层间交互感知注意力网络的小样本恶意域名检测

3

作者 陈要伟 娄颜超 《信息安全研究》 北大核心 2025年第1期50-56,共7页

快速定位并准确检测出域名系统中的恶意访问请求,对保障网络信息安全与经济安全具有重要的研究价值,提出一种基于层间交互感知注意力网络的小样本恶意域名检测方法.首先,利用元学习训练策略建立支持分支和查询分支的双分支网络,并在支... 快速定位并准确检测出域名系统中的恶意访问请求,对保障网络信息安全与经济安全具有重要的研究价值,提出一种基于层间交互感知注意力网络的小样本恶意域名检测方法.首先,利用元学习训练策略建立支持分支和查询分支的双分支网络,并在支持分支中利用卷积神经网络Vgg-16和门控循环单元(gated recurrent unit,GRU)分别提取域名字符串在时序维度和空间维度上的编码特征.然后,为了促进不同维度间特征的信息交互,在空间维度的每一层上建立时序特征的交叉注意力.最后,通过计算查询编码特征和交互特征之间的相似性度量,快速给出待测域名合法性的判定.通过在开源恶意域名数据集和小样本家族恶意域名数据集上进行测试,结果显示所提出方法在合法域名与恶意域名二分类任务上可以实现0.9895的检测精准率,在20个小样本家族恶意域名数据集上可以实现0.9682的平均检测精准率,优于当前经典的恶意域名检测方法. 展开更多

关键词 恶意域名检测 交互感知网络 卷积神经网络 门控循环神经网络 元学习训练策略

在线阅读 下载PDF 职称材料

基于多视角时空对齐学习的恶意域名检测方法

4

作者 金学奇 徐红泉 +1 位作者 黄银强 孙志华 《计算机工程与科学》 北大核心 2025年第8期1417-1424,共8页

针对当前恶意域名检测方法对域名字符串信息利用不充分和全局编码特征丢失的问题,提出一种基于多视角时空对齐学习的恶意域名检测新方法。首先,将域名字符串嵌入到图像中,并借助降噪自编码网络和卷积神经网络将域名字符串编码到文本和... 针对当前恶意域名检测方法对域名字符串信息利用不充分和全局编码特征丢失的问题,提出一种基于多视角时空对齐学习的恶意域名检测新方法。首先,将域名字符串嵌入到图像中,并借助降噪自编码网络和卷积神经网络将域名字符串编码到文本和视觉特征空间,构造多视角特征集。然后,将特征图下采样为不同尺度的特征层,通过逐层迭代学习特征的梯度信息,增强特征的语义表达能力。最后,借助交叉注意力机制实现文本特征图和视觉特征图的对齐,并在对齐特征图上利用全局平均池化构造原型集,通过关联原型和待测域名特征,快速给出待测域名合法性的判定。在公开数据集上进行了二分类与多分类的测试,验证了所提方法的优越性。 展开更多

关键词 恶意域名检测 字符串嵌入 降噪自编码网络 多视角特征 交叉注意力

在线阅读 下载PDF 职称材料

基于字符和词特征融合的恶意域名检测

5

作者 赵宏 申宋彦 +1 位作者 韩力毅 吴喜川 《计算机工程与设计》 北大核心 2024年第5期1549-1556,共8页

针对现有恶意域名检测方法对域名生成算法(domain generation algorithm, DGA)随机产生的恶意域名检测性能不高,且对由随机单词组成的恶意域名检测效果较差的问题,提出一种基于字符和词特征融合的恶意域名检测算法(cha-racter and word ... 针对现有恶意域名检测方法对域名生成算法(domain generation algorithm, DGA)随机产生的恶意域名检测性能不高,且对由随机单词组成的恶意域名检测效果较差的问题,提出一种基于字符和词特征融合的恶意域名检测算法(cha-racter and word network, CWNet)。利用并行卷积神经网络分别提取域名中字符和词的特征;将两种特征进行拼接,构造成融合特征;利用Softmax函数实现合法域名与恶意域名的检测。实验结果表明,该算法可以提升对恶意域名的检测能力,对更具挑战性的恶意域名家族的检测准确率提升效果更为明显。 展开更多

关键词 恶意域名检测 域名生成算法 深度学习 卷积神经网络 特征融合 向量表示 损失函数

在线阅读 下载PDF 职称材料

基于协同注意力的多家族恶意域名入侵检测

6

作者 徐红泉 金琦 +1 位作者 娄冰 孙志华 《信息安全研究》 CSCD 北大核心 2024年第12期1115-1121,共7页

及时准确地检测出非法域名,可以有效预防网络服务器宕机或非法入侵导致的信息丢失问题.为此,提出一种基于协同注意力的多家族恶意域名入侵检测方法.首先,利用深度自编码网络逐层编码压缩,捕获中间层的域名编码特征;其次,从时序和空间维... 及时准确地检测出非法域名,可以有效预防网络服务器宕机或非法入侵导致的信息丢失问题.为此,提出一种基于协同注意力的多家族恶意域名入侵检测方法.首先,利用深度自编码网络逐层编码压缩,捕获中间层的域名编码特征;其次,从时序和空间维度提取域名字符串的长短距离编码特征和空间编码特征,并在时序和空间编码特征图上构造自注意力机制,强化编码特征在局部空间中的表达能力;再次,借助交叉注意力机制建立时序和空间编码特征的信息交互,增强不同维度编码特征在全局空间中的表达能力;最后,利用softmax函数预测待测域名的概率,并根据概率值快速判定待测域名的合法性.在多个家族的恶意域名数据集上进行测试,结果表明所设计的方法在合法域名与恶意域名二分类检测任务上可以获得0.9876的检测精准率,并在16个家族数据集上可以实现0.9568的平均识别精准率.与其他同类经典方法相比,所设计方法在多个评价指标上实现了最佳的检测结果. 展开更多

关键词 恶意域名入侵检测 协同注意力 深度自编码网络 自注意力 交叉注意力

在线阅读 下载PDF 职称材料

新通用顶级域名解析行为分析与恶意域名检测方法 被引量：1

7

作者 杨东辉 曾彬 李振宇 《计算机研究与发展》 EI CSCD 北大核心 2024年第4期1038-1048,共11页

自2013年ICANN发起新通用顶级域名(new gTLD)的授权以来,域名系统(domain name system,DNS)中已增加了上千个new gTLD.已有工作表明new gTLD在为域名注册者带来了灵活性的同时,由于注册成本低等原因也经常被用于恶意行为,识别恶意new g... 自2013年ICANN发起新通用顶级域名(new gTLD)的授权以来,域名系统(domain name system,DNS)中已增加了上千个new gTLD.已有工作表明new gTLD在为域名注册者带来了灵活性的同时,由于注册成本低等原因也经常被用于恶意行为,识别恶意new gTLD域名具有重要的意义.然而,由于new g TLD域名在域名长度等方面的独有特征,已有恶意域名识别方法应用于new gTLD恶意域名的识别时准确率低.针对这一问题,首先基于海量域名解析数据,从顶级域名对应二级域名(SLD)数量、查询量、查询失败率、内容复制和承载基础设施共享5个方面刻画了new gTLD域名解析行为.然后分析恶意域名的解析行为并发现其在内容承载基础设施集中性、SLD对应的完全限定域名(FQDN)数目、域名查询次数、请求用户网络空间分布、SLD长度分布等方面的特征.最后根据这些特征设计了一种基于随机森林的new g TLD恶意域名检测方法.实验结果表明,所提方法达到了94%的准确率,优于已有恶意域名检测方法. 展开更多

关键词 域名系统 新通用顶级域名 互联网测量 行为分析 恶意域名检测

在线阅读 下载PDF 职称材料

基于图对比学习的恶意域名检测方法

8

作者 张震 张三峰 杨望 《软件学报》 EI CSCD 北大核心 2024年第10期4837-4858,共22页

域名是实施网络犯罪行为的重要环节,现有的恶意域名检测方法一方面难以利用丰富的拓扑和属性信息,另一方面需要大量的标签数据,检测效果受限而成本较高.针对该问题,提出一种基于图对比学习的恶意域名检测方法,以域名和IP地址作为异构图... 域名是实施网络犯罪行为的重要环节,现有的恶意域名检测方法一方面难以利用丰富的拓扑和属性信息,另一方面需要大量的标签数据,检测效果受限而成本较高.针对该问题,提出一种基于图对比学习的恶意域名检测方法,以域名和IP地址作为异构图的两类节点并根据其属性建立对应节点的特征矩阵,依据域名之间的包含关系、相似度度量以及域名和IP地址之间对应关系构建3种元路径;在预训练阶段,使用基于非对称编码器的对比学习模型,避免图数据增强操作对图结构和语义的破坏,也降低对计算资源的需求;使用归纳式的图神经网络图编码器HeteroSAGE和HeteroGAT,采用以节点为中心的小批量训练模式来挖掘目标节点和邻居节点的聚合关系,避免直推式图神经网络在动态场景下适用性较差的问题;下游分类检测任务则对比使用了逻辑回归、随机森林等算法.在公开数据上的实验结果表明检测性能相比已有工作提高2–6个百分点. 展开更多

关键词 恶意域名检测 属性异构图 图神经网络 非对称编码 自监督学习

在线阅读 下载PDF 职称材料

基于BiLSTM-DAE的多家族恶意域名检测算法

9

作者 张咪 彭建山 《计算机应用与软件》 北大核心 2024年第10期319-324,共6页

针对现有恶意域名检测算法对于家族恶意域名检测精度不高和实时性不强的问题,提出一种基于BiLSTM-DAE的恶意域名检测算法。通过利用双向长短时记忆神经网络(Bi-directional Long Short Term Memory,BiLSTM)提取域名字符组合的上下文序... 针对现有恶意域名检测算法对于家族恶意域名检测精度不高和实时性不强的问题,提出一种基于BiLSTM-DAE的恶意域名检测算法。通过利用双向长短时记忆神经网络(Bi-directional Long Short Term Memory,BiLSTM)提取域名字符组合的上下文序列特征,并结合深度自编码网络(Deep Auto-Encoder,DAE)逐层压缩感知提取类内有共性和类间有区分性的强字符构词特征并进行分类。实验结果表明,与当前主流恶意域名检测算法相比,该算法在保持检测开销较小的基础上,具有更高的检测精度。 展开更多

关键词 恶意域名检测 深度自编码网络 双向长短时记忆神经网络 构词特征

在线阅读 下载PDF 职称材料

一种高效的恶意域名检测框架 被引量：4

10

作者 崔甲 施蕾 +2 位作者 李娟 刘照辉 姚原岗 《北京理工大学学报》 EI CAS CSCD 北大核心 2019年第1期64-67,共4页

由于域名系统缺乏足够的安全机制,常作为黑客发动网络攻击的重要行动基础设施.因此如何快速准确地发现并阻断潜在的恶意域名及对应IP是防范未知网络攻击的重要手段和研究热点.讨论了恶意域名检测领域已有研究成果及其优缺点,提出了一种... 由于域名系统缺乏足够的安全机制,常作为黑客发动网络攻击的重要行动基础设施.因此如何快速准确地发现并阻断潜在的恶意域名及对应IP是防范未知网络攻击的重要手段和研究热点.讨论了恶意域名检测领域已有研究成果及其优缺点,提出了一种结合三种域名检测技术的新型恶意域名检测框架MDDF,结合实验结果讨论了该框架具备更好的检测效率及较好的完备性. 展开更多

关键词 恶意域名检测 被动DNS 机器学习

在线阅读 下载PDF 职称材料

基于迁移学习的小样本恶意域名检测 被引量：6

11

作者 赵凡 赵宏 常兆斌 《计算机工程与设计》 北大核心 2022年第12期3381-3387,共7页

恶意域名的变种随着检测方法的增多而不断丰富,现有模型对于该类恶意域名的检测精度不高。为此,提出一种基于迁移学习的小样本变种域名检测算法。通过构造双向长短时记忆神经网络(bi-directional long short term memory,BiLSTM)和卷积... 恶意域名的变种随着检测方法的增多而不断丰富,现有模型对于该类恶意域名的检测精度不高。为此,提出一种基于迁移学习的小样本变种域名检测算法。通过构造双向长短时记忆神经网络(bi-directional long short term memory,BiLSTM)和卷积神经网络(convolutional neural networks,CNN)的组合模型BiLSTM-CNN,提取域名上下文特征和局部语义特征,利用数据量充足的多家族恶意域名数据集进行预训练;迁移BiLSTM-CNN模型预训练的参数到小样本的恶意域名检测模型中,对新出现或新变种的小样本恶意域名进行检测。在多个小样本数据集和数据量充足的多家族恶意域名集上进行测试,运行结果表明,所提模型在数据量充足的多家族恶意域名数据集上可以实现95.17%的平均检测精度,在多个小样本数据集可以实现94.26%的平均检测精度。与当前经典的检测模型相比,所提模型整体检测性能表现良好。 展开更多

关键词 恶意域名检测 新出现域名 多家族恶意域名 小样本 迁移学习

在线阅读 下载PDF 职称材料

基于词法特征的恶意域名快速检测算法 被引量：27

12

作者 赵宏 常兆斌 王乐 《计算机应用》 CSCD 北大核心 2019年第1期227-231,共5页

针对互联网中恶意域名攻击事件频发,现有域名检测方法实时性不强的问题,提出一种基于词法特征的恶意域名快速检测算法。该算法根据恶意域名的特点,首先将所有待测域名按照长度进行正则化处理后赋予权值;然后利用聚类算法将待测域名划分... 针对互联网中恶意域名攻击事件频发,现有域名检测方法实时性不强的问题,提出一种基于词法特征的恶意域名快速检测算法。该算法根据恶意域名的特点,首先将所有待测域名按照长度进行正则化处理后赋予权值;然后利用聚类算法将待测域名划分成多个小组,并利用改进的堆排序算法按照组内权值总和计算各域名小组优先级,根据优先级降序依次计算各域名小组中每一域名与黑名单上域名之间的编辑距离;最后依据编辑距离值快速判定恶意域名。算法运行结果表明,基于词法特征的恶意域名快速检测算法与单一使用域名语义和单一使用域名词法的恶意域名检测算法相比,准确率分别提高1. 7%与2. 5%,检测速率分别提高13. 9%与6. 8%,具有更高的准确率和实时性。 展开更多

关键词 恶意域名 词法特征 检测算法 编辑距离 实时性

在线阅读 下载PDF 职称材料

基于思维进化算法优化S-Kohonen神经网络的恶意域名检测模型 被引量：5

13

作者 罗峥 张学谦 《信息网络安全》 CSCD 北大核心 2020年第6期82-89,共8页

恶意域名作为目前互联网攻击的主要手段,给用户和企业带来巨大的网络使用的风险。为了更有效地抵御恶意域名的攻击,保障网络空间的安全性,文章提出了一种基于思维进化算法优化S-Kohonen神经网络的恶意域名检测模型。该模型利用Kohonen... 恶意域名作为目前互联网攻击的主要手段,给用户和企业带来巨大的网络使用的风险。为了更有效地抵御恶意域名的攻击,保障网络空间的安全性,文章提出了一种基于思维进化算法优化S-Kohonen神经网络的恶意域名检测模型。该模型利用Kohonen神经网络,在隐藏层后额外添加一个输出层,将其改进为有监督的神经网络S-Kohonen,使其更好地学习恶意域名的相关特征,再利用思维进化算法进行结合,优化神经网络的初始权值和阈值,最终得出的模型可以快速、准确地检测出恶意域名。通过模型的MATLAB实验仿真,以及和思维进化算法优化的BP神经网络的对比,从混淆矩阵、分类柱状图、ROC曲线和AUC值的方式具体分析两种模型的分类情况。结果表明该分类模型对恶意域名具有高准确率、快速识别的特点,可以应用于恶意域名的网络安全防护中,并且有较高的实用价值。 展开更多

关键词 S-Kohonen神经网络 有监督学习 思维进化算法 恶意域名检测

在线阅读 下载PDF 职称材料

基于关联信息提取的恶意域名检测方法 被引量：6

14

作者 张斌 廖仁杰 《通信学报》 EI CSCD 北大核心 2021年第10期162-172,共11页

为提高基于域名关联信息的恶意域名检测准确率,提出了一种基于域名解析信息与请求时间相结合的恶意域名检测方法。首先,将域名解析记录表示为异质信息网络中的节点和边,以同时表征异质域名数据获得较高的域名信息利用率;其次,为避免采... 为提高基于域名关联信息的恶意域名检测准确率,提出了一种基于域名解析信息与请求时间相结合的恶意域名检测方法。首先,将域名解析记录表示为异质信息网络中的节点和边,以同时表征异质域名数据获得较高的域名信息利用率;其次,为避免采用稀疏邻接矩阵相乘操作提取关联信息时间复杂度较高的问题,提出了一种基于元路径的广度优先网络遍历算法,提高关联解析信息提取效率;针对弱连接域名由于缺少关联解析信息而漏检的问题,引入请求时间刻画域名之间相关性,提高检测样本覆盖率;最后,设计权重自适应的域名表示学习算法,将域名关联解析信息和关联请求时间信息向量化,通过域名特征向量之间的欧氏距离量化域名之间关联性,进而构建有监督分类器进行恶意域名检测。理论分析和实验结果表明,所提方法具有较高的域名关联信息提取效率,所得检测覆盖率和F1分数分别为97.7%和0.951。 展开更多

关键词 恶意域名检测 异质信息网络 域名解析信息 请求时间 表示学习

在线阅读 下载PDF 职称材料

基于AN和LSTM的恶意域名检测 被引量：8

15

作者 周康 万良 丁红卫 《计算机工程与应用》 CSCD 北大核心 2020年第4期92-98,共7页

目前,恶意域名被广泛应用于远控木马、钓鱼欺诈等网络攻击中,传统恶意域名检测方法存在长距离依赖性问题,容易忽略上下文信息并且数据维度过大,无法高效、准确地检测恶意域名。提出了一种自编码网络(Autoencoder Network,AN)降维和长短... 目前,恶意域名被广泛应用于远控木马、钓鱼欺诈等网络攻击中,传统恶意域名检测方法存在长距离依赖性问题,容易忽略上下文信息并且数据维度过大,无法高效、准确地检测恶意域名。提出了一种自编码网络(Autoencoder Network,AN)降维和长短期记忆神经网络(Long Short-Term Memory network,LSTM)检测恶意域名的深度学习方法。利用实现包含语义的词向量表示,解决了传统方法导致的数据表示稀疏及维度灾难问题。由word2vec构建词向量作为LSTM的输入,利用Attention机制对LSTM输入与输出之间的相关性进行重要度排序,获取文本整体特征,最后将局部特征与整体特征进行特征融合,使用softmax分类器输出分类结果。实验结果表明,该方法在恶意域名检测上具有较好的表现,比传统检测恶意域名方法具有更高的检测率和实时性。 展开更多

关键词 恶意域名检测 长短时记忆神经网络 word2vec Attention机制

在线阅读 下载PDF 职称材料

恶意域名检测研究与应用综述 被引量：28

16

作者 王媛媛 吴春江 +2 位作者 刘启和 谭浩 周世杰 《计算机应用与软件》 北大核心 2019年第9期310-316,共7页

目前,网络安全问题层出不穷,特别是近年来以域名为依托的攻击,如勒索软件、垃圾邮件、DDos攻击等,成为网络安全威胁的重要表现形式。以域名攻击技术为主要攻击方式的网络威胁,经历了从传统的机器学习的检测方法到主流的深度学习检测方... 目前,网络安全问题层出不穷,特别是近年来以域名为依托的攻击,如勒索软件、垃圾邮件、DDos攻击等,成为网络安全威胁的重要表现形式。以域名攻击技术为主要攻击方式的网络威胁,经历了从传统的机器学习的检测方法到主流的深度学习检测方法的转变。发现神经网络能够很好地自学习恶意域名特征,并能提供更高的检测率。但随着检测技术的不断提高,攻击者提出了更智能的DGA域名来规避神经网络的检测,在后续的基于这些DGA变体的检测成为目前域名检测技术的主要研究方向。随着生成对抗网络在域名检测方面的应用,Anderson等提出利用GAN来生成对抗样本提高检测,为域名的检测发展提出新的发展方向。最后,总结域名检测的发展概况及其存在的问题,并对域名检测的可发展点做出展望。 展开更多

关键词 DGA算法 恶意域名 检测技术 模型 深度学习

在线阅读 下载PDF 职称材料

基于深度学习的恶意DGA域名检测 被引量：15

17

作者 王志强 李舒豪 +1 位作者 池亚平 张健毅 《计算机工程与设计》 北大核心 2021年第3期601-606,共6页

针对域名产生算法生成的恶意域名,提出基于动态卷积算法的检测方法。基于现有的深度学习检测模型,在检测模型的向量嵌入阶段采用基于字符嵌入的高级词嵌入方法,能够对生僻词语和训练集中不存在的新词进行有效表示,减小嵌入矩阵的规模,... 针对域名产生算法生成的恶意域名,提出基于动态卷积算法的检测方法。基于现有的深度学习检测模型,在检测模型的向量嵌入阶段采用基于字符嵌入的高级词嵌入方法,能够对生僻词语和训练集中不存在的新词进行有效表示,减小嵌入矩阵的规模,降低存储成本。设计动态卷积算法对恶意域名进行检测,动态调整网络参数,有利于在更大范围内提取深层的特征,压缩数据大小,提高运算的速度,能够更有效识别恶意域名。实现了整体检测模型,通过实验验证了该方案的可行性。 展开更多

关键词 网络安全 域名产生算法 恶意域名检测 深度学习 动态卷积神经网络

在线阅读 下载PDF 职称材料

基于CNN-BiLSTM迁移自反馈学习的小样本恶意域名检测 被引量：9

18

作者 吴涛 王占海 +2 位作者 张健 陈奇 逯佳丽 《小型微型计算机系统》 CSCD 北大核心 2023年第3期602-607,共6页

针对现有恶意域名检测算法对于新出现或新变种等小样本恶意域名检测精度不高和检测范围较小的问题,本文提出一种迁移自反馈学习的小样本恶意域名检测算法.首先,该算法融合卷积神经网络(Convolutional Neural Networks, CNN)和双向长短... 针对现有恶意域名检测算法对于新出现或新变种等小样本恶意域名检测精度不高和检测范围较小的问题,本文提出一种迁移自反馈学习的小样本恶意域名检测算法.首先,该算法融合卷积神经网络(Convolutional Neural Networks, CNN)和双向长短时记忆神经网络(Bi-directional Long Short Term Memory, BiLSTM)的串行混合模型(CNN-BiLSTM),在提取域名字符特征的基础上保留上下文语义信息;然后,将学习到的网络模型参数迁移至小样本的恶意域名检测模型中;最后,利用提取的多维人工特征验证小样本恶意域名检测模型的检测结果,并将其检测结果反馈至迁移模型中,重新优化网络模型.通过在多家族域名数据集和小样数据集上进行测试验证,算法结果表明,本文模型在保持检测精度的基础上,能够识别出更多种新出现或新变种的小样本恶意域名. 展开更多

关键词 小样本恶意域名检测 CNN BiLSTM 迁移自反馈学习

在线阅读 下载PDF 职称材料

大规模网络中基于集成学习的恶意域名检测 被引量：4

19

作者 马旸 强小辉 +1 位作者 蔡冰 王林汝 《计算机工程》 CAS CSCD 北大核心 2016年第11期170-176,共7页

现有的恶意域名检测方案在处理大规模数据和多种类型的恶意域名时存在不足。为此,根据时间性、相关域名集合和对应IP三方面特征提出新的检测方案。使用并行化随机森林算法建立组合的域名检测分类器,以提高检测精确度及容错能力。实验结... 现有的恶意域名检测方案在处理大规模数据和多种类型的恶意域名时存在不足。为此,根据时间性、相关域名集合和对应IP三方面特征提出新的检测方案。使用并行化随机森林算法建立组合的域名检测分类器,以提高检测精确度及容错能力。实验结果表明,组合分类器的精确度和准确率均高于决策树分类器,新方案能够更有效地检测大规模网络中的恶意域名。 展开更多

关键词 恶意域名检测 集成学习 随机森林算法 组合分类器 大数据 并行化

在线阅读 下载PDF 职称材料

基于HMM的Domain-Flux恶意域名检测及分析 被引量：5

20

作者 郭向民 梁广俊 夏玲玲 《信息网络安全》 CSCD 北大核心 2021年第12期1-8,共8页

目前,僵尸网络广泛采用域名生成算法(Domain Generation Algorithm,DGA)生成大量随机域名躲避检测,这种躲避检测的方法已经成为破坏网络安全的主要威胁。因此,研究DGA域名识别方法对于检测恶意程序、打击僵尸网络、保障信息安全具有重... 目前,僵尸网络广泛采用域名生成算法(Domain Generation Algorithm,DGA)生成大量随机域名躲避检测,这种躲避检测的方法已经成为破坏网络安全的主要威胁。因此,研究DGA域名识别方法对于检测恶意程序、打击僵尸网络、保障信息安全具有重要的现实意义。文章设计了基于ELK大数据平台的DGA域名检测分析框架,在充分研究黑名单等现有DGA域名识别方法的基础上,收集域名解析(Domain Name Server,DNS)业务系统的请求查询日志,以DGA域名为识别对象,基于隐式马尔可夫模型(Hidden Markov Model,HMM)对恶意域名进行聚类分析,从而实现对DGA域名的判定,进一步为僵尸网络等网络攻击行为的取证、溯源提供思路。实验结果表明,文章采用的轻量级检测分类器对正常域名和恶意域名的区分效果较好。 展开更多

关键词 网络取证 隐式马尔可夫模型 恶意域名检测 ELK

在线阅读 下载PDF 职称材料