共查询到20条相似文献,搜索用时 2 毫秒
1.
针对现有僵尸网络检测方法检测精度不高和检测时间开销较大的问题,提出一种基于改进Transformer和强化学习的僵尸网络域名生成算法(Domain Generation Algorithm,DGA)的域名检测方法。首先,利用深度可分离卷积替换ResNet和ResNeXt网络中的卷积块,通过减少网络模型参数来降低模型的时间开销;其次,利用改进后的ResNet和ResNeXt网络将域名字符串映射到深度特征空间,构造多尺度特征,强化特征的表达能力;再次,利用长短期记忆神经网络(Long Short-Term Memory,LSTM)对Transformer网络进行改进,在保持字符间相对位置的同时,进一步建立上下文的长距离依赖编码,并在此基础上引入注意力机制,强化模型对关键特征的捕获能力;最后,引入强化学习对模型进行微调,提高DGA域名的检测精度。在多个DGA域名数据集上进行测试验证,结果表明该模型在保持检测时间开销较小的基础上,具有更高的检测精度。 相似文献
2.
近年来,网络安全问题层出不穷,其中僵尸网络是造成网络瘫痪的重要原因之一。僵
尸网络利用域名生成算法(DGA)生成大量恶意域名进行网络攻击,对网络安全造成威胁。现有的
DGA域名主要分为字典型和字符型,传统的深度学习方法无法同时检测出两种类型的DGA域名,
尤其是无法检测出基于字典的DGA域名。针对这个问题,本文提出了改进的CNN-LSTM的DGA
域名检测算法,该算法融合了卷积神经网络(CNN)、注意力机制和双向长短时记忆网络(BiLSTM),
可以同时检测出两种类型的DGA域名。最后进行了不同算法的对比实验,实验结果表明,与其他
深度学习模型相比,该算法提高了DGA域名的二分类和多分类的准确率和F1值。在多分类实验
中,通过改进损失函数,提高了小样本数据的域名检测率。 相似文献
3.
恶意域名是威胁当前网络安全的重要因素之一,对恶意域名进行快速检测是维护网络环境安全的一个重要手段.针对现有检测方法存在开销大、检查时间较长、检测类型单一的问题,提出了一种基于特征多样化的检测方法,首先从域名词汇、域名访问量的角度提取多元特征,随后使用基于随机森林的分类检测模型来区分域名.实验结果表明:该方法在达到95%... 相似文献
4.
当前攻击者广泛采用域名生成算法(DGA)生成大量的随机域名来躲避检测.针对现有的DGA域名检测模型均是在已经公开的数据集上进行训练构建,无法对未知恶意域名进行有效检测的情况,利用真实域名数据训练自编码器,并将自编码器和生成对抗网络相结合,构造了一种新的DGA域名生成模型.实验表明,该模型产生的序列与Alexa域名在长度和字符分布等特征都很接近,而且能够有效降低基于长短期记忆网络的DGA域名分类器的性能.这些生成序列很好地丰富了恶意域名数据集,对其进一步利用,显著提升了现有DGA域名检测器的性能. 相似文献
5.
网络技术的发展导致恶意域名类型层出不穷,为了挖掘更深层次的恶意域名,提出一种将知识图谱应用到恶意域名的检测方法。在设计域名知识图谱本体模型的基础上,抽取对应的实体、关系,使用Neo4j图数据库存储域名知识图谱,根据图推理算法计算未知域名与图谱中已知属性相邻节点的密切程度,来判断未知域名的属性。实验结果表明,新方法在恶意域名检测上有良好的实验效果(AUC=0.98),可有效识别之前未检测出的恶意域名,实现对隐藏较深恶意域名的挖掘。 相似文献
6.
由于域名系统缺乏足够的安全机制,常作为黑客发动网络攻击的重要行动基础设施.因此如何快速准确地发现并阻断潜在的恶意域名及对应IP是防范未知网络攻击的重要手段和研究热点.讨论了恶意域名检测领域已有研究成果及其优缺点,提出了一种结合三种域名检测技术的新型恶意域名检测框架MDDF,结合实验结果讨论了该框架具备更好的检测效率及较好的完备性. 相似文献
7.
相比于大多数仅依赖域名的特征进行DGA域名识别方法的特征值选取有限、分类准确度较低的问题,提出了利用数字证书和域名共同解析的特征向量识别DGA域名的方法.另外,为了提升计算准确度和时间效率,提出了带有均值中心的孪生卷积神经网络——MCSCNN模型,用于DGA域名的分类识别中.将所提出的方法应用于20种DGA域名的分类识别中,得到的准确度(A),精确度(P),召回率(R)以及F1值(F1)结果分别是98.35%,98.11%,98.38%以及98.42%,比对比算法的最优值分别提高了5.68%,4.76%,7.24%以及4.2%.在时间效率上MCSCNN所用时间只是对比算法最优时间的1/108,极大地提升了运算效率. 相似文献
8.
域名解析作为网络建立连接的第一个步骤,对恶意域名进行快速识别是阻断异常网络行为的有效措施。本研究利用机器学习和随机搜索算法,提出了一种基于SVM-RFE和粒子群优化算法的恶意域名检测模型。分析域名字符特征、解析特征和注册特征,使用SVM-RFE算法进行特征权重排序,通过优化的粒子群算法确定最佳SVM参数和特征选择。实验证明该检测模型具有较好的效率和准确度。 相似文献
9.
10.
DGA域名(Domain Generation Algorithm)检测是恶意CC通信检测的关键技术之一。已有的检测方法通常基于域名构成的随机性进行检测,存在误报率高等问题,对于低随机性DGA域名的检测准确率较低,主要是因为此类方法未能有效提取低随机性DGA域名中的部分高随机性,为此提出了域名的多字符随机性提取方法。采用门控循环单元(GRU)实现多字符组合编码及其随机性提取;引入注意力机制,加强域名中部分高随机性特征。构建了基于注意力机制的循环神经网络的DGA域名检测算法(ATT-GRU),提升了低随机性DGA域名识别的有效性。实验结果表明,ATT-GRU算法在检测DGA域名上取得了比传统方法更高的检测精确率和更低的误报率。 相似文献
11.
基于Passive DNS的速变域名检测 总被引:1,自引:0,他引:1
利用Passive DNS采集校园网真实运行环境的域名访问记录, 从域名的多样性、时间性、增长性和相关性等方面构建18个特征集, 提出基于随机森林算法来识别速变域名的模型。交叉验证实验表明, 所构建的模型对域名分类的准确率超过90%。在所采集的数据集上, 所构建的模型比FluxBuster 能更有效地识别速变域名。 相似文献
12.
基于恶意网站防护及软件定义网络等相关技术,设计了基于软件定义网络的恶意网站防护系统,通过多组实验验证该系统各模块功能,并将系统部署于真实的校园网环境。实验结果表明,基于软件定义网络的恶意网站防护系统能有效防范恶意网站的攻击,为对抗恶意网站攻击提供良好的技术支持。 相似文献
13.
域名作为互联网用户用以确定其在网上位置的稀缺性资源,正成抢注的对象。应制定相关法律来明确界定域名抢注问题,在没有明确的法律保护之前,我们应了解域名注册组织及域名抢注纠纷解决程序并加以运用,以保护自己的合法权益。 相似文献
14.
提出了一种基于深度学习的CNN-LSTM-Concat快速DGA域名分类算法,使用多层一维卷积网络对域名字符进行序列化处理,LSTM网络层用于强化获取字符间长距离依赖关系。通过将LSTM的多序列输入转化为单向量输入,在保证检测性能的前提下,能够大幅提高训练和检测速度。实验证明,我们的方法对DGA域名分类的准率在公开数据集上达到98.32%。同时,在准确率相比主流的LSTM方法更高的情况下,检测时间比LSTM方法快6.41倍。 相似文献
15.
为了检测恶意程序中的虚假域名,便于识别僵尸网络和恶意程序,提出一种基于深度学习的虚假域名检测模型;该模型以域名字符串的字符序列为输入,利用一维卷积神经网络和自注意力机制,分别挖掘字符序列中各字符之间的局部依赖信息和全局依赖信息,将两者拼接在一起得到组合特征向量;借助多层感知机,得到待检测域名属于不同域名类别的概率.仿真... 相似文献
16.
17.
18.
《西北民族学院学报》2019,(4):26-30
文章在Linux环境下搭建Srilm建模平台,然后对语料进行分块处理,并用N-gram count和N-gram进行计数和语言模型的建立,利用几种平滑算法对其进行了困惑度的测试,最后对这几个困惑度的数值进行比较和数据分析,总结出一个适用于当前语料和语言环境下最优的平滑方法. 相似文献
19.
针对僵尸网络为避免域名黑名单封堵而广泛采用域名变换技术的问题,提出一种域名请求行为特征与域名构成特征相结合的僵尸网络检测方法.该方法通过支持向量机(SVM)分类器对网络中主机解析失败的域名进行分析,提取出可疑感染主机;通过新域名聚类分析,将请求同一组新域名的主机集合作为检测对象,分析请求主机集合是否由可疑感染主机构成,提取出僵尸网络当前使用的域名集合以及命令与控制(Command and Control,C&C)服务器使用的IP地址集合.实验结果表明:训练后SVM分类器可达98.5%以上的准确率;经对ISP域名服务器监测,系统可准确提取出感染主机和C&C服务器的IP地址. 相似文献
20.
近年来,速变域名(Fast-Flux)技术已成为在速变服务网络(Fast-Flux Service Network,FFSN)中组建僵尸网络的常见做法,这些FFSN能够以非常高的可用性维持非法在线服务.文中基于FFSN工作原理以及速变域名技术特点,提出了一系列检测特征,设计了一种基于被动DNS流量的Fast-Flux域... 相似文献