基于字符和词特征融合的恶意域名检测

针对现有恶意域名检测方法对域名生成算法(domain generation algorithm, DGA)随机产生的恶意域名检测性能不高,且对由随机单词组成的恶意域名检测效果较差的问题,提出一种基于字符和词特征融合的恶意域名检测算法(cha-racter and word network, CWNet)。利用并行卷积神经网络分别提取域名中字符和词的特征;将两种特征进行拼接,构造成融合特征;利用Softmax函数实现合法域名与恶意域名的检测。实验结果表明,该算法可以提升对恶意域名的检测能力,对更具挑战性的恶意域名家族的检测准确率提升效果更为明显。

新通用顶级域名解析行为分析与恶意域名检测方法

自2013年ICANN发起新通用顶级域名(new gTLD)的授权以来,域名系统(domain name system,DNS)中已增加了上千个new gTLD.已有工作表明new gTLD在为域名注册者带来了灵活性的同时,由于注册成本低等原因也经常被用于恶意行为,识别恶意new gTLD域名具有重要的意义.然而,由于new g TLD域名在域名长度等方面的独有特征,已有恶意域名识别方法应用于new gTLD恶意域名的识别时准确率低.针对这一问题,首先基于海量域名解析数据,从顶级域名对应二级域名(SLD)数量、查询量、查询失败率、内容复制和承载基础设施共享5个方面刻画了new gTLD域名解析行为.然后分析恶意域名的解析行为并发现其在内容承载基础设施集中性、SLD对应的完全限定域名(FQDN)数目、域名查询次数、请求用户网络空间分布、SLD长度分布等方面的特征.最后根据这些特征设计了一种基于随机森林的new g TLD恶意域名检测方法.实验结果表明,所提方法达到了94%的准确率,优于已有恶意域名检测方法.

基于CNN-BiLSTM迁移自反馈学习的小样本恶意域名检测

针对现有恶意域名检测算法对于新出现或新变种等小样本恶意域名检测精度不高和检测范围较小的问题,本文提出一种迁移自反馈学习的小样本恶意域名检测算法.首先,该算法融合卷积神经网络(Convolutional Neural Networks, CNN)和双向长短时记忆神经网络(Bi-directional Long Short Term Memory, BiLSTM)的串行混合模型(CNN-BiLSTM),在提取域名字符特征的基础上保留上下文语义信息;然后,将学习到的网络模型参数迁移至小样本的恶意域名检测模型中;最后,利用提取的多维人工特征验证小样本恶意域名检测模型的检测结果,并将其检测结果反馈至迁移模型中,重新优化网络模型.通过在多家族域名数据集和小样数据集上进行测试验证,算法结果表明,本文模型在保持检测精度的基础上,能够识别出更多种新出现或新变种的小样本恶意域名.

一种高效的恶意域名检测框架

由于域名系统缺乏足够的安全机制,常作为黑客发动网络攻击的重要行动基础设施.因此如何快速准确地发现并阻断潜在的恶意域名及对应IP是防范未知网络攻击的重要手段和研究热点.讨论了恶意域名检测领域已有研究成果及其优缺点,提出了一种结合三种域名检测技术的新型恶意域名检测框架MDDF,结合实验结果讨论了该框架具备更好的检测效率及较好的完备性.

基于思维进化算法优化S-Kohonen神经网络的恶意域名检测模型

恶意域名作为目前互联网攻击的主要手段,给用户和企业带来巨大的网络使用的风险。为了更有效地抵御恶意域名的攻击,保障网络空间的安全性,文章提出了一种基于思维进化算法优化S-Kohonen神经网络的恶意域名检测模型。该模型利用Kohonen神经网络,在隐藏层后额外添加一个输出层,将其改进为有监督的神经网络S-Kohonen,使其更好地学习恶意域名的相关特征,再利用思维进化算法进行结合,优化神经网络的初始权值和阈值,最终得出的模型可以快速、准确地检测出恶意域名。通过模型的MATLAB实验仿真,以及和思维进化算法优化的BP神经网络的对比,从混淆矩阵、分类柱状图、ROC曲线和AUC值的方式具体分析两种模型的分类情况。结果表明该分类模型对恶意域名具有高准确率、快速识别的特点,可以应用于恶意域名的网络安全防护中,并且有较高的实用价值。

基于迁移学习的小样本恶意域名检测

恶意域名的变种随着检测方法的增多而不断丰富,现有模型对于该类恶意域名的检测精度不高。为此,提出一种基于迁移学习的小样本变种域名检测算法。通过构造双向长短时记忆神经网络(bi-directional long short term memory,BiLSTM)和卷积神经网络(convolutional neural networks,CNN)的组合模型BiLSTM-CNN,提取域名上下文特征和局部语义特征,利用数据量充足的多家族恶意域名数据集进行预训练;迁移BiLSTM-CNN模型预训练的参数到小样本的恶意域名检测模型中,对新出现或新变种的小样本恶意域名进行检测。在多个小样本数据集和数据量充足的多家族恶意域名集上进行测试,运行结果表明,所提模型在数据量充足的多家族恶意域名数据集上可以实现95.17%的平均检测精度,在多个小样本数据集可以实现94.26%的平均检测精度。与当前经典的检测模型相比,所提模型整体检测性能表现良好。

基于关联信息提取的恶意域名检测方法

为提高基于域名关联信息的恶意域名检测准确率,提出了一种基于域名解析信息与请求时间相结合的恶意域名检测方法。首先,将域名解析记录表示为异质信息网络中的节点和边,以同时表征异质域名数据获得较高的域名信息利用率;其次,为避免采用稀疏邻接矩阵相乘操作提取关联信息时间复杂度较高的问题,提出了一种基于元路径的广度优先网络遍历算法,提高关联解析信息提取效率;针对弱连接域名由于缺少关联解析信息而漏检的问题,引入请求时间刻画域名之间相关性,提高检测样本覆盖率;最后,设计权重自适应的域名表示学习算法,将域名关联解析信息和关联请求时间信息向量化,通过域名特征向量之间的欧氏距离量化域名之间关联性,进而构建有监督分类器进行恶意域名检测。理论分析和实验结果表明,所提方法具有较高的域名关联信息提取效率,所得检测覆盖率和F1分数分别为97.7%和0.951。

基于深度自编码和决策树的恶意域名检测

针对目前恶意域名检测方法特征提取过程复杂和检测准确率不高的问题,提出一种基于深度自编码和决策树(Deep Auto Encoder and Decision Tree, DAE-DT)的恶意域名检测算法.该算法首先将每一域名按照域名词法组成与结构等属性进行特征映射,并进行正则化处理;然后将正则化处理后的无标签域名数据随机置0作为模型的输入,域名字符统计特征作为输出,构造深度自编码网络模型.并通过计算模型输出值与未处理数据之间的重构误差,实现各层参数与权值的优化,以增强模型的鲁棒性;最后依据提取的域名字符统计特征构造恶意域名判定的决策树.通过在Alexa和Malware domain list等标准数据集上进行测试.实验结果表明,该模型的检测准确率、精确率、假阴性率和假阳性率值分别为95.21%、94.17%、2.41%和3.63%.

基于多模态特征融合的Fast-Flux恶意域名检测方法

Fast-Flux恶意域名是僵尸网络通信中的一种重要载体,通过快速变换域名解析的IP抵御检测。目前,恶意域名检测系统大多基于传统机器学习模型,需要对数据进行复杂处理和特征提取,并且需要借助大量第三方数据源,导致检测的实时性较差。域名解析是一个复杂的过程,并且具有丰富的特征,文章设计了基于多模态特征融合的Fast-Flux恶意域名检测方法。首先利用GCN模块提取空间特征,采用BiLSTM模块提取域名文本特征,然后利用MLP模块提取侧信息特征,最后利用神经网络将这3种特征进行融合。在Fast-Flux-Attack-Datasets公开数据集上进行实验,实验结果表明,该方法的精确率达99.94%、召回率达99.76%、准确率达99.69%,总体效果优于当前同类方法。文章所提方法有效融合了域名解析的多模态特征,明显提升了检测效果,对于提高僵尸网络检测能力具有重要意义。

基于AN和LSTM的恶意域名检测

目前,恶意域名被广泛应用于远控木马、钓鱼欺诈等网络攻击中,传统恶意域名检测方法存在长距离依赖性问题,容易忽略上下文信息并且数据维度过大,无法高效、准确地检测恶意域名。提出了一种自编码网络(Autoencoder Network,AN)降维和长短期记忆神经网络(Long Short-Term Memory network,LSTM)检测恶意域名的深度学习方法。利用实现包含语义的词向量表示,解决了传统方法导致的数据表示稀疏及维度灾难问题。由word2vec构建词向量作为LSTM的输入,利用Attention机制对LSTM输入与输出之间的相关性进行重要度排序,获取文本整体特征,最后将局部特征与整体特征进行特征融合,使用softmax分类器输出分类结果。实验结果表明,该方法在恶意域名检测上具有较好的表现,比传统检测恶意域名方法具有更高的检测率和实时性。

基于Ngram+Bi-GRU的多家族恶意域名检测

针对现有恶意域名检测方法存在检测精度不高和检测范围局限等问题,提出一种基于Ngram+Bi-GRU的多家族恶意域名检测算法。首先,利用Ngram模型对去除顶级域名的剩余域名级进行分割,获取到包含上下文语义信息的多个域名字符片段序列,并将域名字符片段序列转换成向量;然后,利用双向门控循环型网络(Bi-Directional Gated Recurrent Unit, Bi-GRU)自动学习域名向量的特征;最后,利用Softmax分类器实现合法域名与恶意域名的分类。通过在360Netlab和Malware Domain List等多家族恶意域名集上进行测试,算法运行结果表明,本文模型可对19种家族恶意域名保持检测精度在93%以上,平均检测精度为94.92%,并与当前主流的基于域名字符特征的恶意域名检测算法相比,本文模型在保持检测精度较高的基础上具有更广的检测范围。

基于改进BP算法的DNS图挖掘恶意域名检测方法

广泛的恶意活动依赖DNS来管理其受感染计算机的大型分布式网络,目前,主要的恶意域名检测方法是基于DNS相关的局部域特征构建分类器,但这样做存在着一些无法克服的弊端,如攻击者可以在不影响其攻击能力的情况下改变域名模式和时态模式等特性来逃避检测,从而导致这些方法所依赖的特征不稳定。因此,利用攻击者总是循环利用资源,频繁更改域名-IP解析,并创建新的域名来避免被检测这一特点,从所有域的查询历史回溯的标记域来验证和找出它们之间的关联,图是代表这种关系的最佳候选,有许多基于图开发的算法都具有高性能。我们以域名和主机ip为数据源构建DNS图,挖掘域和主机ip之间的内在关系,并基于置信传播算法(BP算法)的思想提出了一种计算图中每个节点信誉评分的算法,节点显示出的信誉分数越高,推断出的恶意概率就越高。为了证明方法的有效性,利用恶意域检测技术,并在从DNS数据服务器中收集的真实数据集上进行了评估。

大规模网络中基于集成学习的恶意域名检测

现有的恶意域名检测方案在处理大规模数据和多种类型的恶意域名时存在不足。为此,根据时间性、相关域名集合和对应IP三方面特征提出新的检测方案。使用并行化随机森林算法建立组合的域名检测分类器,以提高检测精确度及容错能力。实验结果表明,组合分类器的精确度和准确率均高于决策树分类器,新方案能够更有效地检测大规模网络中的恶意域名。

基于HMM的Domain-Flux恶意域名检测及分析

目前,僵尸网络广泛采用域名生成算法(Domain Generation Algorithm,DGA)生成大量随机域名躲避检测,这种躲避检测的方法已经成为破坏网络安全的主要威胁。因此,研究DGA域名识别方法对于检测恶意程序、打击僵尸网络、保障信息安全具有重要的现实意义。文章设计了基于ELK大数据平台的DGA域名检测分析框架,在充分研究黑名单等现有DGA域名识别方法的基础上,收集域名解析(Domain Name Server,DNS)业务系统的请求查询日志,以DGA域名为识别对象,基于隐式马尔可夫模型(Hidden Markov Model,HMM)对恶意域名进行聚类分析,从而实现对DGA域名的判定,进一步为僵尸网络等网络攻击行为的取证、溯源提供思路。实验结果表明,文章采用的轻量级检测分类器对正常域名和恶意域名的区分效果较好。

基于BERT和层次化Attention的恶意域名检测

针对当前恶意域名检测方法存在检测精度和范围等表现不佳的问题,提出一种基于BERT和层次化Attention的恶意域名检测算法。首先,通过BERT构造包含上下文语义信息的词向量矩阵;然后,利用双向长短时记忆神经网络(Bi-Directional Long Short Term Memory,Bi-LSTM)分别获得域名字符串统一资源定位符(Uniform Resource Locator,URL)包含的字符和单词的向量表示,并在整条URL中加入全局Attention机制区分不同单词的重要性,在单词中引入局部Attention机制区分不同字符的重要性;最后,利用Softmax分类器进行合法域名与恶意域名的分类。通过在多个数据集上进行测试,实验结果表明,所提方法可以达到96.49%的查准率、96.27%的查全率、3.90%的误报率和94.13%的F1-Score,与当前主流恶意域名检测算法相比,在保持检测精度较高的基础上,具有更广的检测范围。

基于CNN-BiLSTM和注意力机制的恶意域名检测

针对现有恶意域名检测方法对新出现的恶意域名检测精度不高的问题,提出一种双层注意力CNN-BiLSTM的恶意域名检测算法。首先,利用卷积神经网络(Convolutional Neural Networks,CNN)和字符注意力编码块,提取域名在字符层的全局深度语义特征;然后,利用双向长短期记忆神经网络(Bi-Directional Long Short Term Memory,BiLSTM)和字节注意力编码块,细粒度的提取字节层的局部语义特征;最后,利用训练的分类器进行合法域名与恶意域名的分类。通过在多个家族恶意域名数据集上进行测试,结果表明,相比当前主流的恶意域名检测模型,文中模型在合法域名与恶意域名的二分类任务中优势显然;在更具挑战性的家族恶意域名检测的多分类任务中同样表现良好。

基于静态及动态特征的恶意域名检测技术研究

目前基于大规模网络环境下基于恶意域名的攻击行为不断出现,已有的检测方案在处理大数据规模和多种恶意域名检测方面面临困难。面对海量域名数据,选取了时间特征、IP特征和字符特征三方面的特征进行量化并设计了基于机器学习的恶意域名检测方案,提升了整体方案的处理性能及准确率,能更有效地解决现网中海量恶意域名检测的问题。

基于无监督自适应模糊聚类的多家族恶意域名细粒度检测

针对现有恶意域名检测方法检测时间开销大、对新出现或新变种的恶意域名检测精度不高的问题,提出一种基于无监督自适应模糊聚类的多家族恶意域名细粒度检测方法。该方法首先利用词向量映射网络(Bidirectional Encoder Representation from Transformers,BERT)将域名字符串映射为词向量矩阵;然后,利用深度自编码网络的编解码模块实现域名字符串向量矩阵的特征提取;最后,引入一种自适应模糊聚类算法实现多家族恶意域名和合法域名在隐空间中的特征聚类。通过在多个家族恶意域名和常见域名数据集上进行测试,实验结果表明所提出算法可以在二分类任务中实现97.71%的准确率,在8个家族的细粒度多分类任务上可以实现96.25%的准确率。综合检测性能优于当前主流的恶意域名检测算法。同时,所提出域名具有较低的时间开销,这为实时过滤恶意域名、预防恶意域名的入侵攻击提供了一种新的手段。

基于改进的CNN-LSTM的DGA域名检测算法

近年来,网络安全问题层出不穷,其中僵尸网络是造成网络瘫痪的重要原因之一。僵尸网络利用域名生成算法(DGA)生成大量恶意域名进行网络攻击,对网络安全造成威胁。现有的DGA域名主要分为字典型和字符型,传统的深度学习方法无法同时检测出两种类型的DGA域名,尤其是无法检测出基于字典的DGA域名。针对这个问题,本文提出了改进的CNN-LSTM的DGA域名检测算法,该算法融合了卷积神经网络(CNN)、注意力机制和双向长短时记忆网络(BiLSTM),可以同时检测出两种类型的DGA域名。最后进行了不同算法的对比实验,实验结果表明,与其他深度学习模型相比,该算法提高了DGA域名的二分类和多分类的准确率和F1值。在多分类实验中,通过改进损失函数,提高了小样本数据的域名检测率。

基于深度学习的恶意DGA域名检测

针对域名产生算法生成的恶意域名,提出基于动态卷积算法的检测方法。基于现有的深度学习检测模型,在检测模型的向量嵌入阶段采用基于字符嵌入的高级词嵌入方法,能够对生僻词语和训练集中不存在的新词进行有效表示,减小嵌入矩阵的规模,降低存储成本。设计动态卷积算法对恶意域名进行检测,动态调整网络参数,有利于在更大范围内提取深层的特征,压缩数据大小,提高运算的速度,能够更有效识别恶意域名。实现了整体检测模型,通过实验验证了该方案的可行性。