基于代价敏感学习的恶意URL检测研究

随着大数据时代的到来,恶意URL作为Web攻击的媒介渐渐威胁着用户的信息安全。传统的恶意URL检测手段如黑名单检测、签名匹配方法正逐步暴露缺陷,为此本文提出一种基于代价敏感学习策略的恶意URL检测模型。为提高卷积神经网络在恶意网页检测领域的性能,本文提出将URL数据结合HTTP请求信息作为原始数据样本进行特征提取,解决了单纯URL数据过于简单而造成特征提取困难的问题,通过实验对比了三种编码处理方式,根据实验结果选取了最佳字符编码的处理方式,保证了后续检测模型的效果。同时本文针对URL字符输入的特点,设计了适合URL检测的卷积神经网络模型,为了提取数据深层特征,使用了两层卷积层进行特征提取,其次本文在池化层选择使用BiLSTM算法提取数据的时序特征,同时将该网络的最后一个单元输出达到池化效果,避免了大量的模型计算,保证了模型的检测效率。同时为解决数据样本不均衡问题,在迭代过程中为其分配不同惩罚因子,改进了数据样本初始化权重的分配规则并进行了归一化处理,增加恶意样本在整体误差函数中的比重。实验结果表明本文模型在准确率、召回率以及检测效率上较优于其他主流检测模型,并对于不均衡数据集具有较好的抵抗能力。

基于Stacking集成学习的恶意URL检测系统设计与实现

针对传统URL检测方法在恶意URL检测时存在的准确率不高、实时性差等问题,提出一种基于Stacking集成学习的算法模型。该模型采用机器学习单一方法中的岭分类、支持向量机、朴素贝叶斯作为初级学习器,采用逻辑回归作为次级学习器,通过初级学习器和次级学习器相结合的双层结构对URL进行检测。使用大量的URL数据集分别对单一方法中的模型和Stacking集成学习方法的模型进行训练,并对每种模型进行评估。评估结果表明,Stacking集成学习的算法模型对恶意URL检测的准确率可达98.75%,与其他模型相比提升0.75%以上。采用Flask作为开发框架,实现了恶意URL检测系统的功能,并对系统进行云端等部署,得到系统根据用户输入的URL链接可以输出URL的检测结果,具有较好的应用价值。

融合多种特征的恶意URL检测方法

随着Web应用的日益广泛,Web浏览过程中,恶意网页对用户造成的危害日趋严重.恶意URL是指其所对应的网页中含有对用户造成危害的恶意代码,会利用浏览器或插件存在的漏洞攻击用户,导致浏览器自动下载恶意软件.基于对大量存活恶意URL特征的统计分析,并重点结合了恶意URL的重定向跳转、客户端环境探测等逃避检测特征,从页面内容、JavaScript函数参数和Web会话流程这3个方面设计了25个特征,提出了基于多特征融合和机器学习的恶意URL检测方法——HADMW.测试结果表明:该方法取得了96.2%的精确率和94.6%的召回率,能够有效地检测恶意URL.与开源项目以及安全软件的检测结果相比,HADMW取得了更好的效果.

基于半监督学习的恶意URL检测方法

检测恶意URL对防御网络攻击有着重要意义.针对有监督学习需要大量有标签样本这一问题,本文采用半监督学习方式训练恶意URL检测模型,减少了为数据打标签带来的成本开销.在传统半监督学习协同训练(co-training)的基础上进行了算法改进,利用专家知识与Doc2Vec两种方法预处理的数据训练两个分类器,筛选两个分类器预测结果相同且置信度高的数据打上伪标签(pseudo-labeled)后用于分类器继续学习.实验结果表明,本文方法只用0.67%的有标签数据即可训练出检测精确度(precision)分别达到99.42%和95.23%的两个不同类型分类器,与有监督学习性能相近,比自训练与协同训练表现更优异.

基于gcForest算法的恶意URL检测

恶意URL(Malicious URLs)是网络犯罪的重要途径,因此对恶意URL实施有效检测是保障网络安全的前提和关键。近年来,机器学习的迅猛发展为恶意URL检测提供了新的思路。鉴于此,在研究恶意URL以及对机器学习算法实验的基础上,得出基于gcForest算法的机器学习模型能够实现对恶意URL的精确分类检测,其精确度达到99.53%,远高于k近邻分类算法(k-Nearest Neighbor)和随机森林算法(Random Forest)等其他传统算法模型,具有较好的检测效果。

一种基于FTCNN-BILSTM的恶意URLs检测方法

针对目前恶意URL检测模型中泛化性不够好,准确率不够高的问题,提出一种基于字符嵌入编码的FTCNN-LSTM的恶意URL多分类检测方法。该方法对URL中的每一个字符进行向量化编码,并通过批规范化和定向Dropout对神经网络进行剪枝,并使用Focal Loss损失函数解决数据集不平衡的问题。实验结果显示,与机器学习训练的模型相比,该方法在多分类上召回率提升了1.73%。该模型在ISCX-URL2016和malicious_phish URL数据集上的多分类平均预测结果均能达到98.63%以上,具有较好的泛化能力。

基于机器学习与特征工程的恶意链接检测研究

随着互联网技术的飞速发展,人们对互联网的需求日益增加,同时互联网安全问题也逐渐引起人们的重视。其中,恶意URL(Malicious URLs)是网络安全研究的重要内容,因此实现对恶意URL的有效侦测对网络安全至关重要。本文介绍了恶意URL检测的应用背景及实现步骤,根据其攻击方式,归纳总结了两种常用的攻击方法,然后介绍了机器学习及特征工程在该领域中的应用情况,最后总结了现有方法不足之处,并对未来的研究方向做出了展望。

基于SVM和TF-IDF的恶意URL识别分析与研究

随着互联网尤其是移动互联网的快速发展,全球范围内出现了越来越多带欺诈和破坏性质的站点。本文通过分析URL的文本特征和站点特征,提出一种基于机器学习的URL检测方案,用TF-IDF算法细化了URL的站点特征,并结合以上特征使用基于RBF核的SVM进行URL安全检测,得到了96%的准确率和0.95的F1分数。

基于BI-LSTM+Attention的网站多结构异常检测分析实证研究

[目的/意义]针对现有网民网站访问分析方法存在样本规则库更新,对新网站的访问难以提供识别分析等问题,使用BI-LSTM、BI-LSTM+Attention算法构建网站识别模型,实现网民访问网站的意图和安全性识别预测。[方法/过程]使用BI-LSTM对网站进行多结构分析识别,根据网站链接的结构特性提取出域名信息和参数信息作为主要分析数据,爬虫获取部分知名域名信息构建语料库,使用Word2vec来得到网站链接中域名的词向量特征作为第一种网站结构识别检测,TF-IDF结合N-Gram算法来得到网站链接中参数的特征向量作为第二种网站结构识别检测,构建网站识别模型。[结果/结论]多结构网民网站分析模型的识别分析方法适合各年龄段的网民和各阶段水平信息能力的用户进行识别分析,深度学习与网站结构结合的识别检测方法在上网过程的检测识别中具有维护健康上网环境的作用。

Phishing detection method based on URL features

In order to effectively detect malicious phishing behaviors, a phishing detection method based on the uniform resource locator （URL） features is proposed. First, the method compares the phishing URLs with legal ones to extract the features of phishing URLs. Then a machine learning algorithm is applied to obtain the URL classification model from the sample data set training. In order to adapt to the change of a phishing URL, the classification model should be constantly updated according to the new samples. So, an incremental learning algorithm based on the feedback of the original sample data set is designed. The experiments verify that the combination of the URL features extracted in this paper and the support vector machine （SVM） classification algorithm can achieve a high phishing detection accuracy, and the incremental learning algorithm is also effective.

QR码网络钓鱼检测研究

近年来,通过钓鱼网站实施诈骗的案件呈逐年上升趋势。相较于传统的钓鱼方式,QR码以制作门槛低、使用范围广和钓鱼成功率高等特点,使得QR码钓鱼方式颇受不法分子青睐。文章在分析总结基于QR码的网络钓鱼实施过程及其破坏性的基础上,重点从URL结构和网页页面结构两方面进行相应的异常特征检测,实现了基于SVM的QR码网络钓鱼检测。

Research on Key Technology of Web Vulnerability Detection System Based on Cloud Environment

In the light of the defect of web vulnerability detection system, combined with the characteristics of high efficient and sharing in the cloud environment, a design proposal is presented based on cloud environment, which analyses the key technology of gaining the URL, task allocation and scheduling and the design of attack detection. Experiment shows its feasibility and effectiveness in this paper.

A sampling method based on URL clustering for fast web accessibility evaluation

When evaluating the accessibility of a large website, we rely on sampling methods to reduce the cost of evaluation. This may lead to a biased evaluation when the distribution of checkpoint violations in a website is skewed and the selected samples do not provide a good representation of the entire website. To improve sampling quality, stratified sampling methods first cluster web pages in a site and then draw samples from each cluster. In existing stratified sampling methods, however, all the pages in a website need to be analyzed for clustering, causing huge I/O and computation costs. To address this issue, we propose a novel page sampling method based on URL clustering for web accessibility evaluation, namely URLSamp. Using only the URL information for stratified page sampling, URLSamp can efficiently scale to large websites. Meanwhile, by exploiting similarities in URL patterns, URLSamp cluster pages by their generating scripts and can thus effectively detect accessibility problems from web page templates. We use a data set of 45 web sites to validate our method. Experimental results show that our URLSamp method is both effective and efficient for web accessibility evaluation.