基于多模态特征融合的Fast-Flux恶意域名检测方法

Fast-Flux恶意域名是僵尸网络通信中的一种重要载体,通过快速变换域名解析的IP抵御检测。目前,恶意域名检测系统大多基于传统机器学习模型,需要对数据进行复杂处理和特征提取,并且需要借助大量第三方数据源,导致检测的实时性较差。域名解析是一个复杂的过程,并且具有丰富的特征,文章设计了基于多模态特征融合的Fast-Flux恶意域名检测方法。首先利用GCN模块提取空间特征,采用BiLSTM模块提取域名文本特征,然后利用MLP模块提取侧信息特征,最后利用神经网络将这3种特征进行融合。在Fast-Flux-Attack-Datasets公开数据集上进行实验,实验结果表明,该方法的精确率达99.94%、召回率达99.76%、准确率达99.69%,总体效果优于当前同类方法。文章所提方法有效融合了域名解析的多模态特征,明显提升了检测效果,对于提高僵尸网络检测能力具有重要意义。

Fast-flucos:基于DNS流量的Fast-flux恶意域名检测方法

现有的Fast-flux域名检测方法在稳定性、针对性和流量普适性方面存在一些不足,为此提出一种基于DNS流量的检测方法Fast-flucos。首先,采用流量异常过滤和关联匹配算法,以提高检测的稳定性;然后,引入量化的地理广度、国家向量表和时间向量表特征,以加强对Fast-flux域名检测的针对性;最后,采用更合理的正负样本和包括深度学习在内的多种机器学习方法确定最佳分类器和最优特征组合,以尽量确保对真实DNS流量的普适性。基于真实DNS流量的实验表明,Fast-flucos的召回率、精确率和ROC_AUC分别达到了0.9986、0.9767和0.9929,均优于当前主流的EXPOSURE、GRADE和AAGD等检测方法。

基于字符和词特征融合的恶意域名检测

针对现有恶意域名检测方法对域名生成算法(domain generation algorithm, DGA)随机产生的恶意域名检测性能不高,且对由随机单词组成的恶意域名检测效果较差的问题,提出一种基于字符和词特征融合的恶意域名检测算法(cha-racter and word network, CWNet)。利用并行卷积神经网络分别提取域名中字符和词的特征;将两种特征进行拼接,构造成融合特征;利用Softmax函数实现合法域名与恶意域名的检测。实验结果表明,该算法可以提升对恶意域名的检测能力,对更具挑战性的恶意域名家族的检测准确率提升效果更为明显。

基于协同注意力的多家族恶意域名入侵检测

及时准确地检测出非法域名,可以有效预防网络服务器宕机或非法入侵导致的信息丢失问题.为此,提出一种基于协同注意力的多家族恶意域名入侵检测方法.首先,利用深度自编码网络逐层编码压缩,捕获中间层的域名编码特征;其次,从时序和空间维度提取域名字符串的长短距离编码特征和空间编码特征,并在时序和空间编码特征图上构造自注意力机制,强化编码特征在局部空间中的表达能力;再次,借助交叉注意力机制建立时序和空间编码特征的信息交互,增强不同维度编码特征在全局空间中的表达能力;最后,利用softmax函数预测待测域名的概率,并根据概率值快速判定待测域名的合法性.在多个家族的恶意域名数据集上进行测试,结果表明所设计的方法在合法域名与恶意域名二分类检测任务上可以获得0.9876的检测精准率,并在16个家族数据集上可以实现0.9568的平均识别精准率.与其他同类经典方法相比,所设计方法在多个评价指标上实现了最佳的检测结果.

基于IP分布及请求响应时间的恶意fast-flux域名检测算法

提出了一种基于域名对应IP分布及IP对请求响应时间波动的恶意fast-flux域名检测算法。该算法基于合法域名与fast-flux僵尸网络域名在域名解析IP的分布特性与IP对请求响应时间波动特性方面的差异,将解析IP分布特性与IP对请求响应时间的波动性作为参量生成两维特征,给出具体的特征表示。通过SVM分类器进行实验验证了该两维特征的分类效果。特征分析及实验结果表明,相比于现有的检测方法,文章算法能够更准确地检测恶意fastflux域名,虚警率、漏报率较低。

新通用顶级域名解析行为分析与恶意域名检测方法

自2013年ICANN发起新通用顶级域名(new gTLD)的授权以来,域名系统(domain name system,DNS)中已增加了上千个new gTLD.已有工作表明new gTLD在为域名注册者带来了灵活性的同时,由于注册成本低等原因也经常被用于恶意行为,识别恶意new gTLD域名具有重要的意义.然而,由于new g TLD域名在域名长度等方面的独有特征,已有恶意域名识别方法应用于new gTLD恶意域名的识别时准确率低.针对这一问题,首先基于海量域名解析数据,从顶级域名对应二级域名(SLD)数量、查询量、查询失败率、内容复制和承载基础设施共享5个方面刻画了new gTLD域名解析行为.然后分析恶意域名的解析行为并发现其在内容承载基础设施集中性、SLD对应的完全限定域名(FQDN)数目、域名查询次数、请求用户网络空间分布、SLD长度分布等方面的特征.最后根据这些特征设计了一种基于随机森林的new g TLD恶意域名检测方法.实验结果表明,所提方法达到了94%的准确率,优于已有恶意域名检测方法.

恶意域名检测方法研究进展

近年来,网络攻击事件愈发严重,域名系统因其简单性和敏捷性而受到攻击者的广泛使用。域名系统可以实现域名与IP地址之间的快速映射,从而可以被攻击者用来隐藏其攻击地址,域名也因此成为网络攻击的主要载体之一。随着恶意域名不断变化的形式以及数量的剧增,迫切需要对恶意域名进行检测和防御,而传统的基于黑白名单的域名检测方法已变得不再有效。基于DNS数据的恶意域名检测方法可以实现对恶意域名的高效检测,因此被广泛提出。本文主要针对基于DNS数据的恶意域名检测方法进行梳理分析,首先简要回顾域名系统的层次结构和解析过程及原理,以及攻击者基于域名系统所产生的一些滥用技术,例如域通量技术和快速通量技术;其次对DNS数据按照收集方式的不同将其分为主动DNS数据和被动DNS数据,并对这两类数据进行优缺点的对比;然后按照检测技术的不同将恶意域名检测方法分为三大类,包括基于规则发现的检测方法、基于动态特征的检测方法和基于关联推理的检测方法,并依次对每一类检测方法按照类型的不同再次进行细分,并对各方法的优缺点、适用场景等进行分析说明;文中对现有检测方法的评估准则进行了划分,将其分为基于分类性能的评估准则和基于真实环境的评估准则;最后讨论了现有研究中存在的问题和未来工作方向。

基于图对比学习的恶意域名检测方法

域名是实施网络犯罪行为的重要环节,现有的恶意域名检测方法一方面难以利用丰富的拓扑和属性信息,另一方面需要大量的标签数据,检测效果受限而成本较高.针对该问题,提出一种基于图对比学习的恶意域名检测方法,以域名和IP地址作为异构图的两类节点并根据其属性建立对应节点的特征矩阵,依据域名之间的包含关系、相似度度量以及域名和IP地址之间对应关系构建3种元路径;在预训练阶段,使用基于非对称编码器的对比学习模型,避免图数据增强操作对图结构和语义的破坏,也降低对计算资源的需求;使用归纳式的图神经网络图编码器HeteroSAGE和HeteroGAT,采用以节点为中心的小批量训练模式来挖掘目标节点和邻居节点的聚合关系,避免直推式图神经网络在动态场景下适用性较差的问题;下游分类检测任务则对比使用了逻辑回归、随机森林等算法.在公开数据上的实验结果表明检测性能相比已有工作提高2–6个百分点.

基于BiLSTM-DAE的多家族恶意域名检测算法

针对现有恶意域名检测算法对于家族恶意域名检测精度不高和实时性不强的问题,提出一种基于BiLSTM-DAE的恶意域名检测算法。通过利用双向长短时记忆神经网络(Bi-directional Long Short Term Memory,BiLSTM)提取域名字符组合的上下文序列特征,并结合深度自编码网络(Deep Auto-Encoder,DAE)逐层压缩感知提取类内有共性和类间有区分性的强字符构词特征并进行分类。实验结果表明,与当前主流恶意域名检测算法相比,该算法在保持检测开销较小的基础上,具有更高的检测精度。

一种基于动态图演进的恶意域名检测方法及系统

域名系统主要提供IP地址和域名之间的映射,由于其灵活性和可访问性,现已发展为国际互联网中不可忽视的关键基础网络设施和信息服务。在给人们带来极大便利性的同时,DNS滥用等情况也带来了潜在的网络安全隐患和挑战。当前网络安全领域主流恶意域名检测技术存在局限于CC通信域名、检测效果滞后、无法快速发现、无法解决演变场景等问题。本文提出了一种基于动态图演进的恶意域名检测方法及系统,基于结构邻域信息和时间邻域两个关键维度,结合域名的节点属性特征,计算节点的表征,学习域名在不同时间快照中的潜在高阶特征,实现高效检测并及时发现活跃的恶意域名,能够对新产生的恶意域名进行快速地检测,并对常规时间范围的恶意域名检测也能获得与其他检测系统一致的良好检测性能。

基于时空交叉融合注意力的家族恶意域名检测

针对恶意域名检测方法检测精度不高和泛化性不强的问题,提出了一种基于时空交叉融合注意力的家族恶意域名检测方法。首先,利用长短时记忆神经网络(LSTM)提取域名字符串在时序维度的编码特征。然后,采用卷积神经网络提取域名字符串在空间维度上的编码特征。最后,借助交叉注意力机制融合时序和空间维度的编码特征,强化空间维度特征的编码能力和泛化性能。在多个恶意家族域名数据集上进行测试,提出的方法在合法域名与恶意域名二分类任务中获得98.53%的平均测试精度,在家族多分类任务上获得94.87%的平均测试精度。

基于层内和层间融合注意力的家族恶意域名检测

针对当前家族恶意域名检测方法在新出现或新变种恶意域名的检测方面仍存在精度低、漏报高等问题,提出一种基于层内和层间融合注意力的家族恶意域名检测的新方法。首先,利用深度自编码网络将域名集逐层编码压缩到空间特征中,并借助自注意力机制强化域名字符串中关键字符的表达能力;其次,利用交叉注意力建立双分支网络输入端的关联,促进分支间深层信息的交流;最后,计算待测域名映射特征与交互特征集之间的相似度对比。实验证明所设计方法的准确率为98.21%,该方法对保障网络安全、预防新型域名入侵攻击具有重要的现实意义。

一种高效的恶意域名检测框架

由于域名系统缺乏足够的安全机制,常作为黑客发动网络攻击的重要行动基础设施.因此如何快速准确地发现并阻断潜在的恶意域名及对应IP是防范未知网络攻击的重要手段和研究热点.讨论了恶意域名检测领域已有研究成果及其优缺点,提出了一种结合三种域名检测技术的新型恶意域名检测框架MDDF,结合实验结果讨论了该框架具备更好的检测效率及较好的完备性.

基于迁移学习的小样本恶意域名检测

恶意域名的变种随着检测方法的增多而不断丰富,现有模型对于该类恶意域名的检测精度不高。为此,提出一种基于迁移学习的小样本变种域名检测算法。通过构造双向长短时记忆神经网络(bi-directional long short term memory,BiLSTM)和卷积神经网络(convolutional neural networks,CNN)的组合模型BiLSTM-CNN,提取域名上下文特征和局部语义特征,利用数据量充足的多家族恶意域名数据集进行预训练;迁移BiLSTM-CNN模型预训练的参数到小样本的恶意域名检测模型中,对新出现或新变种的小样本恶意域名进行检测。在多个小样本数据集和数据量充足的多家族恶意域名集上进行测试,运行结果表明,所提模型在数据量充足的多家族恶意域名数据集上可以实现95.17%的平均检测精度,在多个小样本数据集可以实现94.26%的平均检测精度。与当前经典的检测模型相比,所提模型整体检测性能表现良好。

基于词法特征的恶意域名快速检测算法

针对互联网中恶意域名攻击事件频发,现有域名检测方法实时性不强的问题,提出一种基于词法特征的恶意域名快速检测算法。该算法根据恶意域名的特点,首先将所有待测域名按照长度进行正则化处理后赋予权值;然后利用聚类算法将待测域名划分成多个小组,并利用改进的堆排序算法按照组内权值总和计算各域名小组优先级,根据优先级降序依次计算各域名小组中每一域名与黑名单上域名之间的编辑距离;最后依据编辑距离值快速判定恶意域名。算法运行结果表明,基于词法特征的恶意域名快速检测算法与单一使用域名语义和单一使用域名词法的恶意域名检测算法相比,准确率分别提高1. 7%与2. 5%,检测速率分别提高13. 9%与6. 8%,具有更高的准确率和实时性。

基于思维进化算法优化S-Kohonen神经网络的恶意域名检测模型

恶意域名作为目前互联网攻击的主要手段,给用户和企业带来巨大的网络使用的风险。为了更有效地抵御恶意域名的攻击,保障网络空间的安全性,文章提出了一种基于思维进化算法优化S-Kohonen神经网络的恶意域名检测模型。该模型利用Kohonen神经网络,在隐藏层后额外添加一个输出层,将其改进为有监督的神经网络S-Kohonen,使其更好地学习恶意域名的相关特征,再利用思维进化算法进行结合,优化神经网络的初始权值和阈值,最终得出的模型可以快速、准确地检测出恶意域名。通过模型的MATLAB实验仿真,以及和思维进化算法优化的BP神经网络的对比,从混淆矩阵、分类柱状图、ROC曲线和AUC值的方式具体分析两种模型的分类情况。结果表明该分类模型对恶意域名具有高准确率、快速识别的特点,可以应用于恶意域名的网络安全防护中,并且有较高的实用价值。

基于关联信息提取的恶意域名检测方法

为提高基于域名关联信息的恶意域名检测准确率,提出了一种基于域名解析信息与请求时间相结合的恶意域名检测方法。首先,将域名解析记录表示为异质信息网络中的节点和边,以同时表征异质域名数据获得较高的域名信息利用率;其次,为避免采用稀疏邻接矩阵相乘操作提取关联信息时间复杂度较高的问题,提出了一种基于元路径的广度优先网络遍历算法,提高关联解析信息提取效率;针对弱连接域名由于缺少关联解析信息而漏检的问题,引入请求时间刻画域名之间相关性,提高检测样本覆盖率;最后,设计权重自适应的域名表示学习算法,将域名关联解析信息和关联请求时间信息向量化,通过域名特征向量之间的欧氏距离量化域名之间关联性,进而构建有监督分类器进行恶意域名检测。理论分析和实验结果表明,所提方法具有较高的域名关联信息提取效率,所得检测覆盖率和F1分数分别为97.7%和0.951。

基于深度自编码和决策树的恶意域名检测

针对目前恶意域名检测方法特征提取过程复杂和检测准确率不高的问题,提出一种基于深度自编码和决策树(Deep Auto Encoder and Decision Tree, DAE-DT)的恶意域名检测算法.该算法首先将每一域名按照域名词法组成与结构等属性进行特征映射,并进行正则化处理;然后将正则化处理后的无标签域名数据随机置0作为模型的输入,域名字符统计特征作为输出,构造深度自编码网络模型.并通过计算模型输出值与未处理数据之间的重构误差,实现各层参数与权值的优化,以增强模型的鲁棒性;最后依据提取的域名字符统计特征构造恶意域名判定的决策树.通过在Alexa和Malware domain list等标准数据集上进行测试.实验结果表明,该模型的检测准确率、精确率、假阴性率和假阳性率值分别为95.21%、94.17%、2.41%和3.63%.

基于AN和LSTM的恶意域名检测

目前,恶意域名被广泛应用于远控木马、钓鱼欺诈等网络攻击中,传统恶意域名检测方法存在长距离依赖性问题,容易忽略上下文信息并且数据维度过大,无法高效、准确地检测恶意域名。提出了一种自编码网络(Autoencoder Network,AN)降维和长短期记忆神经网络(Long Short-Term Memory network,LSTM)检测恶意域名的深度学习方法。利用实现包含语义的词向量表示,解决了传统方法导致的数据表示稀疏及维度灾难问题。由word2vec构建词向量作为LSTM的输入,利用Attention机制对LSTM输入与输出之间的相关性进行重要度排序,获取文本整体特征,最后将局部特征与整体特征进行特征融合,使用softmax分类器输出分类结果。实验结果表明,该方法在恶意域名检测上具有较好的表现,比传统检测恶意域名方法具有更高的检测率和实时性。

基于无监督自适应模糊聚类的多家族恶意域名细粒度检测

针对现有恶意域名检测方法检测时间开销大、对新出现或新变种的恶意域名检测精度不高的问题,提出一种基于无监督自适应模糊聚类的多家族恶意域名细粒度检测方法。该方法首先利用词向量映射网络(Bidirectional Encoder Representation from Transformers,BERT)将域名字符串映射为词向量矩阵;然后,利用深度自编码网络的编解码模块实现域名字符串向量矩阵的特征提取;最后,引入一种自适应模糊聚类算法实现多家族恶意域名和合法域名在隐空间中的特征聚类。通过在多个家族恶意域名和常见域名数据集上进行测试,实验结果表明所提出算法可以在二分类任务中实现97.71%的准确率,在8个家族的细粒度多分类任务上可以实现96.25%的准确率。综合检测性能优于当前主流的恶意域名检测算法。同时,所提出域名具有较低的时间开销,这为实时过滤恶意域名、预防恶意域名的入侵攻击提供了一种新的手段。