一种结合自监督学习与解耦注意力的DGA域名检测方法

1

作者 李子川 罗文华 《小型微型计算机系统》 北大核心 2025年第10期2495-2501,共7页

随着网络空间战略地位的不断提升和网络安全事件的频发,在网络安全领域,检测和分类由域名生成算法(DGA)生成的恶意域名是防范恶意软件和高级持续性威胁的关键挑战.现有检测方法大多依赖人工提取特征或大量带标记数据集,这不仅耗时且容... 随着网络空间战略地位的不断提升和网络安全事件的频发,在网络安全领域,检测和分类由域名生成算法(DGA)生成的恶意域名是防范恶意软件和高级持续性威胁的关键挑战.现有检测方法大多依赖人工提取特征或大量带标记数据集,这不仅耗时且容易受到复杂网络环境的影响,尤其是当攻击者识别并规避这些特征时,检测效果会大打折扣,因此传统检测方法在应对复杂且动态变化的DGA域名时常常表现不佳.为了解决已有方法泛化能力弱的缺点,本文提出了一种基于自监督学习和解耦注意力机制的DGA恶意域名检测系统,该系统基于DeBERTa序列模型,包含自监督预训练和微调两个训练步骤.首先自监督预训练从未标注的大规模数据中自动学习特征表示,减少了对标记数据的依赖.随后,在DGA数据集上对预训练模型进行微调,进一步优化其在异常检测任务中的表现.通过引入解耦注意力机制,模型能够更准确地融合URL中的位置和字符信息,从而提升恶意域名的检测性能.实验结果显示,所提出的基于DeBERTa的自监督预训练模型在DGA检测中的准确率、召回率和F1分数显著优于传统方法,展示了其在复杂网络环境中的卓越性能和鲁棒性.该研究为利用先进的自监督学习技术提升网络安全检测系统的效果提供了重要参考. 展开更多

关键词 自监督学习 解耦注意力 DGA域名检测 异常检测 URL分类 预训练模型 网络安全

在线阅读 下载PDF 职称材料

基于层间交互感知注意力网络的小样本恶意域名检测 被引量：1

2

作者 陈要伟 娄颜超 《信息安全研究》 北大核心 2025年第1期50-56,共7页

快速定位并准确检测出域名系统中的恶意访问请求,对保障网络信息安全与经济安全具有重要的研究价值,提出一种基于层间交互感知注意力网络的小样本恶意域名检测方法.首先,利用元学习训练策略建立支持分支和查询分支的双分支网络,并在支... 快速定位并准确检测出域名系统中的恶意访问请求,对保障网络信息安全与经济安全具有重要的研究价值,提出一种基于层间交互感知注意力网络的小样本恶意域名检测方法.首先,利用元学习训练策略建立支持分支和查询分支的双分支网络,并在支持分支中利用卷积神经网络Vgg-16和门控循环单元(gated recurrent unit,GRU)分别提取域名字符串在时序维度和空间维度上的编码特征.然后,为了促进不同维度间特征的信息交互,在空间维度的每一层上建立时序特征的交叉注意力.最后,通过计算查询编码特征和交互特征之间的相似性度量,快速给出待测域名合法性的判定.通过在开源恶意域名数据集和小样本家族恶意域名数据集上进行测试,结果显示所提出方法在合法域名与恶意域名二分类任务上可以实现0.9895的检测精准率,在20个小样本家族恶意域名数据集上可以实现0.9682的平均检测精准率,优于当前经典的恶意域名检测方法. 展开更多

关键词 恶意域名检测 交互感知网络 卷积神经网络 门控循环神经网络 元学习训练策略

在线阅读 下载PDF 职称材料

多阶段串行网络的恶意域名检测方法

3

作者 冯伟 朱朝阳 朱磊 《计算机工程与设计》 北大核心 2025年第11期3191-3198,共8页

针对合法域名得不到及时响应以及新变体恶意域名检测漏报高等问题,提出了一种多阶段串行网络的恶意域名检测方法。通过计算待测域名的子串集得分,及时响应合法域名解析请求。在恶意域名集中随机引入噪声,并利用带噪声的编码特征恢复原... 针对合法域名得不到及时响应以及新变体恶意域名检测漏报高等问题,提出了一种多阶段串行网络的恶意域名检测方法。通过计算待测域名的子串集得分,及时响应合法域名解析请求。在恶意域名集中随机引入噪声,并利用带噪声的编码特征恢复原始域名子串集的方式来自适应检测出新变种的恶意域名。利用两阶段检测出的合法域名与恶意域名来微调已训练的恶意域名检测模型。在合法域名与恶意域名的二分类检测,以及恶意域名的细粒度多分类检测实验结果表明,所提出算法在多个评价指标上优于当前经典的恶意域名检测方法。 展开更多

关键词 恶意域名检测 多阶段 串行网络 子串集得分 合法 信誉值 噪声

在线阅读 下载PDF 职称材料

基于多视角时空对齐学习的恶意域名检测方法

4

作者 金学奇 徐红泉 +1 位作者 黄银强 孙志华 《计算机工程与科学》 北大核心 2025年第8期1417-1424,共8页

针对当前恶意域名检测方法对域名字符串信息利用不充分和全局编码特征丢失的问题,提出一种基于多视角时空对齐学习的恶意域名检测新方法。首先,将域名字符串嵌入到图像中,并借助降噪自编码网络和卷积神经网络将域名字符串编码到文本和... 针对当前恶意域名检测方法对域名字符串信息利用不充分和全局编码特征丢失的问题,提出一种基于多视角时空对齐学习的恶意域名检测新方法。首先,将域名字符串嵌入到图像中,并借助降噪自编码网络和卷积神经网络将域名字符串编码到文本和视觉特征空间,构造多视角特征集。然后,将特征图下采样为不同尺度的特征层,通过逐层迭代学习特征的梯度信息,增强特征的语义表达能力。最后,借助交叉注意力机制实现文本特征图和视觉特征图的对齐,并在对齐特征图上利用全局平均池化构造原型集,通过关联原型和待测域名特征,快速给出待测域名合法性的判定。在公开数据集上进行了二分类与多分类的测试,验证了所提方法的优越性。 展开更多

关键词 恶意域名检测 字符串嵌入 降噪自编码网络 多视角特征 交叉注意力

在线阅读 下载PDF 职称材料

基于字符和词特征融合的恶意域名检测 被引量：1

5

作者 赵宏 申宋彦 +1 位作者 韩力毅 吴喜川 《计算机工程与设计》 北大核心 2024年第5期1549-1556,共8页

针对现有恶意域名检测方法对域名生成算法(domain generation algorithm, DGA)随机产生的恶意域名检测性能不高,且对由随机单词组成的恶意域名检测效果较差的问题,提出一种基于字符和词特征融合的恶意域名检测算法(cha-racter and word ... 针对现有恶意域名检测方法对域名生成算法(domain generation algorithm, DGA)随机产生的恶意域名检测性能不高,且对由随机单词组成的恶意域名检测效果较差的问题,提出一种基于字符和词特征融合的恶意域名检测算法(cha-racter and word network, CWNet)。利用并行卷积神经网络分别提取域名中字符和词的特征;将两种特征进行拼接,构造成融合特征;利用Softmax函数实现合法域名与恶意域名的检测。实验结果表明,该算法可以提升对恶意域名的检测能力,对更具挑战性的恶意域名家族的检测准确率提升效果更为明显。 展开更多

关键词 恶意域名检测 域名生成算法 深度学习 卷积神经网络 特征融合 向量表示 损失函数

在线阅读 下载PDF 职称材料

基于协同注意力的多家族恶意域名入侵检测

6

作者 徐红泉 金琦 +1 位作者 娄冰 孙志华 《信息安全研究》 CSCD 北大核心 2024年第12期1115-1121,共7页

及时准确地检测出非法域名,可以有效预防网络服务器宕机或非法入侵导致的信息丢失问题.为此,提出一种基于协同注意力的多家族恶意域名入侵检测方法.首先,利用深度自编码网络逐层编码压缩,捕获中间层的域名编码特征;其次,从时序和空间维... 及时准确地检测出非法域名,可以有效预防网络服务器宕机或非法入侵导致的信息丢失问题.为此,提出一种基于协同注意力的多家族恶意域名入侵检测方法.首先,利用深度自编码网络逐层编码压缩,捕获中间层的域名编码特征;其次,从时序和空间维度提取域名字符串的长短距离编码特征和空间编码特征,并在时序和空间编码特征图上构造自注意力机制,强化编码特征在局部空间中的表达能力;再次,借助交叉注意力机制建立时序和空间编码特征的信息交互,增强不同维度编码特征在全局空间中的表达能力;最后,利用softmax函数预测待测域名的概率,并根据概率值快速判定待测域名的合法性.在多个家族的恶意域名数据集上进行测试,结果表明所设计的方法在合法域名与恶意域名二分类检测任务上可以获得0.9876的检测精准率,并在16个家族数据集上可以实现0.9568的平均识别精准率.与其他同类经典方法相比,所设计方法在多个评价指标上实现了最佳的检测结果. 展开更多

关键词 恶意域名入侵检测 协同注意力 深度自编码网络 自注意力 交叉注意力

在线阅读 下载PDF 职称材料

域名生成算法检测技术综述 被引量：2

7

作者 汪绪先 黄缙华 +6 位作者 翟优 李础南 王宇 张宇鹏 张翼鹏 杨立群 李舟军 《计算机科学》 CSCD 北大核心 2024年第8期371-378,共8页

C&C服务器是网络攻击者用于控制僵尸主机的中间服务器,在僵尸网络中处于核心位置。为增强C&C服务器的隐蔽性,网络攻击者使用域名生成算法来隐藏C&C服务器地址。近年来,域名生成算法检测技术作为检测僵尸网络的重要手段,已... C&C服务器是网络攻击者用于控制僵尸主机的中间服务器,在僵尸网络中处于核心位置。为增强C&C服务器的隐蔽性,网络攻击者使用域名生成算法来隐藏C&C服务器地址。近年来,域名生成算法检测技术作为检测僵尸网络的重要手段,已经成为一个研究热点。首先,介绍了当前网络安全的发展态势和僵尸网络的拓扑结构。其次,介绍了域名生成算法和相关数据集。接着,介绍了域名生成算法检测技术的分类,并对这些检测技术进行总结综述。最后,探讨了现阶段域名生成算法检测技术存在的问题,并对未来研究方向进行了展望。 展开更多

关键词 僵尸网络 C&C服务器 域名生成算法 域名生成算法检测 网络安全威胁

在线阅读 下载PDF 职称材料

新通用顶级域名解析行为分析与恶意域名检测方法 被引量：2

8

作者 杨东辉 曾彬 李振宇 《计算机研究与发展》 EI CSCD 北大核心 2024年第4期1038-1048,共11页

自2013年ICANN发起新通用顶级域名(new gTLD)的授权以来,域名系统(domain name system,DNS)中已增加了上千个new gTLD.已有工作表明new gTLD在为域名注册者带来了灵活性的同时,由于注册成本低等原因也经常被用于恶意行为,识别恶意new g... 自2013年ICANN发起新通用顶级域名(new gTLD)的授权以来,域名系统(domain name system,DNS)中已增加了上千个new gTLD.已有工作表明new gTLD在为域名注册者带来了灵活性的同时,由于注册成本低等原因也经常被用于恶意行为,识别恶意new gTLD域名具有重要的意义.然而,由于new g TLD域名在域名长度等方面的独有特征,已有恶意域名识别方法应用于new gTLD恶意域名的识别时准确率低.针对这一问题,首先基于海量域名解析数据,从顶级域名对应二级域名(SLD)数量、查询量、查询失败率、内容复制和承载基础设施共享5个方面刻画了new gTLD域名解析行为.然后分析恶意域名的解析行为并发现其在内容承载基础设施集中性、SLD对应的完全限定域名(FQDN)数目、域名查询次数、请求用户网络空间分布、SLD长度分布等方面的特征.最后根据这些特征设计了一种基于随机森林的new g TLD恶意域名检测方法.实验结果表明,所提方法达到了94%的准确率,优于已有恶意域名检测方法. 展开更多

关键词 域名系统 新通用顶级域名 互联网测量 行为分析 恶意域名检测

在线阅读 下载PDF 职称材料

基于双分支特征提取和自适应胶囊网络的DGA域名检测方法 被引量：2

9

作者 杨宏宇 章涛 +2 位作者 张良 成翔 胡泽 《软件学报》 EI CSCD 北大核心 2024年第8期3626-3646,共21页

面向域名生成算法(domain generation algorithm,DGA)的域名检测方法普遍具有特征提取能力弱、特征信息压缩比高等特点,这导致特征信息丢失、特征结构破坏以及域名检测效果较差等诸多不足.针对上述问题,提出一种基于双分支特征提取和自... 面向域名生成算法(domain generation algorithm,DGA)的域名检测方法普遍具有特征提取能力弱、特征信息压缩比高等特点,这导致特征信息丢失、特征结构破坏以及域名检测效果较差等诸多不足.针对上述问题,提出一种基于双分支特征提取和自适应胶囊网络的DGA域名检测方法.首先,通过样本清洗和字典构建重构原始样本并生成重构样本集;其次,通过双分支特征提取网络处理重构样本,在其中,利用切片金字塔网络提取域名局部特征,利用Transformer提取域名全局特征,并利用轻量级注意力融合不同层次的域名特征;然后,利用自适应胶囊网络计算域名特征图的重要度系数,将域名文本特征转换为向量域名特征,并通过特征转移计算基于文本特征的域名分类概率;同时,利用多层感知机处理域名统计特征,以此计算基于统计特征的域名分类概率;最后,通过合并得到的两种不同视角的域名分类概率进行域名检测.大量的实验表明,所提方法在DGA域名检测以及DGA域名家族检测分类方面均取得了当前领先的检测效果.在DGA域名检测中,F1分数提升了0.76%-5.57%;在DGA域名家族检测分类中,F1分数(宏平均)提升了1.79%-3.68%. 展开更多

关键词 DGA域名检测 深度学习 双分支特征提取网络 切片金字塔网络 自适应胶囊网络

在线阅读 下载PDF 职称材料

MCL4DGA:基于多视角对比学习的DGA域名检测方法 被引量：1

10

作者 王继虎 刘子雁 +2 位作者 倪金超 孔凡玉 史玉良 《软件学报》 EI CSCD 北大核心 2024年第11期5228-5248,共21页

在网络安全领域,由域名生成算法(domain generation algorithm,DGA)产生的虚假域名被称为DGA域名.与正常域名类似的是,DGA域名通常是字母或数字的随机组合,这使得DGA域名具有较强的伪装性.网络黑客利用DGA域名的伪装性实施网络攻击,以... 在网络安全领域,由域名生成算法(domain generation algorithm,DGA)产生的虚假域名被称为DGA域名.与正常域名类似的是,DGA域名通常是字母或数字的随机组合,这使得DGA域名具有较强的伪装性.网络黑客利用DGA域名的伪装性实施网络攻击,以达到绕过安全检测的目的.如何有效地对DGA域名进行检测,进而维护信息系统安全,成为当前的研究热点.传统的统计机器学习检测方法需要人工构建域名字符特征集合.然而,人工或者半自动化方式构建的域名特征存在质量参差不齐的情况,进而影响检测的准确性.鉴于深度神经网络强大的特征自动化抽取和表示能力,提出一种基于多视角对比学习的DGA域名检测方法(MCL4DGA).与现有方法不同的是,所提方法结合了注意力神经网络、卷积神经网络和循环神经网络,能够有效地捕获域名字符序列中的全局、局部和双向多视角特征依赖关系.除此之外,通过多视角表示向量之间的对比学习而产生的自监督信号,能够增强模型的学习能力,进而提高检测的准确性.通过在真实数据集上与当前DGA域名检测方法实验对比验证了所提方法的有效性. 展开更多

关键词 网络安全 DGA(domain generation algorithm)域名检测 深度神经网络 对比学习

在线阅读 下载PDF 职称材料

基于BiLSTM-DAE的多家族恶意域名检测算法 被引量：2

11

作者 张咪 彭建山 《计算机应用与软件》 北大核心 2024年第10期319-324,共6页

针对现有恶意域名检测算法对于家族恶意域名检测精度不高和实时性不强的问题,提出一种基于BiLSTM-DAE的恶意域名检测算法。通过利用双向长短时记忆神经网络(Bi-directional Long Short Term Memory,BiLSTM)提取域名字符组合的上下文序... 针对现有恶意域名检测算法对于家族恶意域名检测精度不高和实时性不强的问题,提出一种基于BiLSTM-DAE的恶意域名检测算法。通过利用双向长短时记忆神经网络(Bi-directional Long Short Term Memory,BiLSTM)提取域名字符组合的上下文序列特征,并结合深度自编码网络(Deep Auto-Encoder,DAE)逐层压缩感知提取类内有共性和类间有区分性的强字符构词特征并进行分类。实验结果表明,与当前主流恶意域名检测算法相比,该算法在保持检测开销较小的基础上,具有更高的检测精度。 展开更多

关键词 恶意域名检测 深度自编码网络 双向长短时记忆神经网络 构词特征

在线阅读 下载PDF 职称材料

基于图对比学习的恶意域名检测方法

12

作者 张震 张三峰 杨望 《软件学报》 EI CSCD 北大核心 2024年第10期4837-4858,共22页

域名是实施网络犯罪行为的重要环节,现有的恶意域名检测方法一方面难以利用丰富的拓扑和属性信息,另一方面需要大量的标签数据,检测效果受限而成本较高.针对该问题,提出一种基于图对比学习的恶意域名检测方法,以域名和IP地址作为异构图... 域名是实施网络犯罪行为的重要环节,现有的恶意域名检测方法一方面难以利用丰富的拓扑和属性信息,另一方面需要大量的标签数据,检测效果受限而成本较高.针对该问题,提出一种基于图对比学习的恶意域名检测方法,以域名和IP地址作为异构图的两类节点并根据其属性建立对应节点的特征矩阵,依据域名之间的包含关系、相似度度量以及域名和IP地址之间对应关系构建3种元路径;在预训练阶段,使用基于非对称编码器的对比学习模型,避免图数据增强操作对图结构和语义的破坏,也降低对计算资源的需求;使用归纳式的图神经网络图编码器HeteroSAGE和HeteroGAT,采用以节点为中心的小批量训练模式来挖掘目标节点和邻居节点的聚合关系,避免直推式图神经网络在动态场景下适用性较差的问题;下游分类检测任务则对比使用了逻辑回归、随机森林等算法.在公开数据上的实验结果表明检测性能相比已有工作提高2–6个百分点. 展开更多

关键词 恶意域名检测 属性异构图 图神经网络 非对称编码 自监督学习

在线阅读 下载PDF 职称材料

面向多层递归域名系统的自适应缓存管理方法

13

作者 陈楚依 罗雄飞 +3 位作者 鄢宝彤 冯宇轩 马可 乔颖 《计算机工程与科学》 北大核心 2025年第5期823-831,共9页

域名系统是互联网的核心基础设施,其服务的质量与效率直接影响着互联网的运行情况。为了优化域名系统性能,提高域名解析效率,提出一种面向多层递归域名系统的自适应缓存管理方法,能够根据DNS流量的变化,动态调整域名服务器的缓存内容,... 域名系统是互联网的核心基础设施,其服务的质量与效率直接影响着互联网的运行情况。为了优化域名系统性能,提高域名解析效率,提出一种面向多层递归域名系统的自适应缓存管理方法,能够根据DNS流量的变化,动态调整域名服务器的缓存内容,从而提高域名系统的缓存命中率,缩短域名解析时间。实验表明采用自适应缓存管理方法的多层递归域名系统,相比于传统多层递归域名系统,具有更高的缓存命中率和更短的DNS响应时延,取得了良好的加速效果。 展开更多

关键词 多层域名系统 域名查询 自适应缓存管理 拐点检测 Kneedle

在线阅读 下载PDF 职称材料

融合自监督学习与主动学习的DNS隧道检测方法

14

作者 熊威 关洪涛 《高技术通讯》 北大核心 2025年第5期461-471,共11页

针对监督学习方法采集攻击样本困难以及无监督学习方法检测精度不足的问题,提出一种融合自监督学习与主动学习的域名系统(domain name system,DNS)隧道检测方法。该方法采用异常检测框架,无需获取攻击样本,同时,通过自监督学习引入训练... 针对监督学习方法采集攻击样本困难以及无监督学习方法检测精度不足的问题,提出一种融合自监督学习与主动学习的域名系统(domain name system,DNS)隧道检测方法。该方法采用异常检测框架,无需获取攻击样本,同时,通过自监督学习引入训练指导过程,通过主动学习引入反馈调节过程,显著提升了检测精度。构建基于Transformer架构的自编码器,通过对正常样本特征进行自监督学习,实现了DNS数据包级别的异常检测。以此为基础,将主动学习方法应用于反馈引导的孤立森林(feedback-guided isolated forest,FBIF),实现了DNS交互流级别的异常检测,将检出的异常流视为与隧道攻击活动相关。实验结果表明,该检测方法在无需获取攻击样本的前提下,能准确检测出多种类型的隧道攻击,且在资源消耗方面具备高可扩展性。 展开更多

关键词 域名系统隧道检测 自监督学习 主动学习 TRANSFORMER 自编码器 反馈引导的孤立森林

在线阅读 下载PDF 职称材料

基于历史数据的异常域名检测算法 被引量：15

15

作者 袁福祥 刘粉林 +1 位作者 芦斌 巩道福 《通信学报》 EI CSCD 北大核心 2016年第10期172-180,共9页

提出一种基于域名历史数据的异常域名检测算法。该算法基于合法域名与恶意域名历史数据的统计差异,将域名已生存时间、whois信息变更、whois信息完整度、域名IP变更、同IP地址域名和域名TTL值等作为主要参量,给出了具体的分类特征表示;... 提出一种基于域名历史数据的异常域名检测算法。该算法基于合法域名与恶意域名历史数据的统计差异,将域名已生存时间、whois信息变更、whois信息完整度、域名IP变更、同IP地址域名和域名TTL值等作为主要参量,给出了具体的分类特征表示;在此基础上,构建了用于异常域名检测的SVM分类器。特征分析和实验结果表明,算法对未知域名具有较高的检测正确率,尤其适合对生存时间较长的恶意域名进行检测。 展开更多

关键词 异常域名 域名历史数据 特征 检测

在线阅读 下载PDF 职称材料

基于词素特征的轻量级域名检测算法 被引量：32

16

作者 张维维 龚俭 +2 位作者 刘茜 刘尚东 胡晓艳 《软件学报》 EI CSCD 北大核心 2016年第9期2348-2364,共17页

对网络中DNS交互报文进行检测以发现恶意服务,是网络安全监测的一个重要手段,这种检测往往要求系统能够实时或准实时地发现监测域名中的可疑对象.面对庞大的域名集合,若对所有域名使用同样强度的监测通常开销过大.通过挖掘域名字面蕴含... 对网络中DNS交互报文进行检测以发现恶意服务,是网络安全监测的一个重要手段,这种检测往往要求系统能够实时或准实时地发现监测域名中的可疑对象.面对庞大的域名集合,若对所有域名使用同样强度的监测通常开销过大.通过挖掘域名字面蕴含的词素(词根、词缀、拼音及缩写)特征,提出一种轻量级检测算法,能够快速锁定可疑域名,以便后续有针对性地进行DPI检测.实验结果表明:基于词素特征的检测算法比统计n元组频率分布的方法虽然略微增加了58.3%的内存开销,但却具备抗逃避能力以及更高的准确率(相对提高35.2%);与基于单词特征的方法相比,极大地降低了计算复杂度(相对降低64.8%),并减少了2.6%的内存开销,而准确率仅下降2.5%. 展开更多

关键词 网络安全监测 域名检测 词素 字符串切分 C4.5分类器

在线阅读 下载PDF 职称材料

Domain-flux僵尸网络域名检测 被引量：6

17

作者 李青山 陈钟 《计算机工程与设计》 CSCD 北大核心 2012年第8期2915-2919,共5页

针对现有Domain-flux僵尸网络检测方法在检测范围方面的不足,提出基于域名访问活跃特征的Domain-flux僵尸网络域名检测方法。通过阐述Domain-flux僵尸网络所利用的域名集合在访问方面所表现出的时间行为特征,提出一种基于域名访问活跃... 针对现有Domain-flux僵尸网络检测方法在检测范围方面的不足,提出基于域名访问活跃特征的Domain-flux僵尸网络域名检测方法。通过阐述Domain-flux僵尸网络所利用的域名集合在访问方面所表现出的时间行为特征,提出一种基于域名访问活跃特征的检测算法,给出检测算法的具体描述、检测处理流程及系统整体结构,利用某运行商DNS服务器镜像数据实验验证检测算法。实验结果显示,检测算法不依赖于具体的域名字符特征,可以有效过滤出Domain-flux僵尸网络所利用的域名。 展开更多

关键词 域名 域名系统 域名检测 域名变换 僵尸网络

在线阅读 下载PDF 职称材料

一种高效的恶意域名检测框架 被引量：4

18

作者 崔甲 施蕾 +2 位作者 李娟 刘照辉 姚原岗 《北京理工大学学报》 EI CAS CSCD 北大核心 2019年第1期64-67,共4页

由于域名系统缺乏足够的安全机制,常作为黑客发动网络攻击的重要行动基础设施.因此如何快速准确地发现并阻断潜在的恶意域名及对应IP是防范未知网络攻击的重要手段和研究热点.讨论了恶意域名检测领域已有研究成果及其优缺点,提出了一种... 由于域名系统缺乏足够的安全机制,常作为黑客发动网络攻击的重要行动基础设施.因此如何快速准确地发现并阻断潜在的恶意域名及对应IP是防范未知网络攻击的重要手段和研究热点.讨论了恶意域名检测领域已有研究成果及其优缺点,提出了一种结合三种域名检测技术的新型恶意域名检测框架MDDF,结合实验结果讨论了该框架具备更好的检测效率及较好的完备性. 展开更多

关键词 恶意域名检测 被动DNS 机器学习

在线阅读 下载PDF 职称材料

基于命名及解析行为特征的异常域名检测方法 被引量：4

19

作者 周勇林 由林麟 张永铮 《计算机工程与应用》 CSCD 北大核心 2011年第20期50-52,共3页

设计了DNS解析统计向量和检测特征向量,提出了一种基于命名及解析行为特征的异常域名检测方法,通过应用真实DNS解析数据的实验验证了该方法的有效性和可行性。实验表明,该方法较现有方法能够发现更多的异常域名,且具有较低的误报率。该... 设计了DNS解析统计向量和检测特征向量,提出了一种基于命名及解析行为特征的异常域名检测方法,通过应用真实DNS解析数据的实验验证了该方法的有效性和可行性。实验表明,该方法较现有方法能够发现更多的异常域名,且具有较低的误报率。该方法是对现有方法检测能力的补充和提高,为僵尸网络等安全事件的检测与控制提供有效的信息支持和技术手段。 展开更多

关键词 网络安全 异常域名 检测 解析行为

在线阅读 下载PDF 职称材料

基于迁移学习的小样本恶意域名检测 被引量：7

20

作者 赵凡 赵宏 常兆斌 《计算机工程与设计》 北大核心 2022年第12期3381-3387,共7页

恶意域名的变种随着检测方法的增多而不断丰富,现有模型对于该类恶意域名的检测精度不高。为此,提出一种基于迁移学习的小样本变种域名检测算法。通过构造双向长短时记忆神经网络(bi-directional long short term memory,BiLSTM)和卷积... 恶意域名的变种随着检测方法的增多而不断丰富,现有模型对于该类恶意域名的检测精度不高。为此,提出一种基于迁移学习的小样本变种域名检测算法。通过构造双向长短时记忆神经网络(bi-directional long short term memory,BiLSTM)和卷积神经网络(convolutional neural networks,CNN)的组合模型BiLSTM-CNN,提取域名上下文特征和局部语义特征,利用数据量充足的多家族恶意域名数据集进行预训练;迁移BiLSTM-CNN模型预训练的参数到小样本的恶意域名检测模型中,对新出现或新变种的小样本恶意域名进行检测。在多个小样本数据集和数据量充足的多家族恶意域名集上进行测试,运行结果表明,所提模型在数据量充足的多家族恶意域名数据集上可以实现95.17%的平均检测精度,在多个小样本数据集可以实现94.26%的平均检测精度。与当前经典的检测模型相比,所提模型整体检测性能表现良好。 展开更多

关键词 恶意域名检测 新出现域名 多家族恶意域名 小样本 迁移学习

在线阅读 下载PDF 职称材料