CN105072214A - 基于域名特征的c&c域名识别方法 - Google Patents
基于域名特征的c&c域名识别方法 Download PDFInfo
- Publication number
- CN105072214A CN105072214A CN201510541217.8A CN201510541217A CN105072214A CN 105072214 A CN105072214 A CN 105072214A CN 201510541217 A CN201510541217 A CN 201510541217A CN 105072214 A CN105072214 A CN 105072214A
- Authority
- CN
- China
- Prior art keywords
- domain name
- domain
- classification
- recognition methods
- model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Abstract
本发明公开了一种基于域名特征的C&C域名识别方法,包括:S1、基于域名的定性特征,对给定的域名生成用于判定域名类别的量化指标;S2、从给定的域名中随机抽取部分域名进入训练数据集,剩余域名进入测试数据集,并应用决策树集成算法,基于训练数据集生成域名类别判定模型;S3、应用生成的域名类别判定模型对测试数据集中的剩余域名的域名类别进行判定,并与剩余域名的实际类别进行比较,计算所述域名类别判定模型的预测性能指标;S4、对应用所述域名类别判定模型判定的域名类别进行校正;S5、基于校正后的域名类别,生成单个域名的统计结果。本发明可以准确地寻找到C&C域名,增强了模型的强落地性、可行性和可理解性。
Description
技术领域
本发明涉及网络安全领域,特别是涉及一种基于域名特征的C&C域名识别方法。
背景技术
本领域关于C&C域名(一种域名类型)识别的现有技术具体如下:
一、题目:用机器学习识别随机生成的C&C域名
内容:把由DGA算法(域名生成算法)生成的C&C域名和Alexa排名(网站的世界排名)前10万的合法域名作为正反例,并生成可以有效识别两类域名的量化指标。生成相应的指标后,使用支持向量机模型对域名类别进行判断。
缺点:由DGA算法生成的C&C域名包含的域名种类单一,导致训练数据集包含的域名种类单一,因此这样训练生成的预测模型具有较低的适用性和推广性,难以实现对实际域名的类别的准确判别。这种方法对包含汉语拼音的中国式域名的预测无相应的字段支持,导致针对这种域名的预测的误判率较高。支持向量机对域名特征数据的要求高,低质量的数据容易导致估计参数有偏,因此会要求投入较长的时间和较多的物力人力到前期数据清洗上。对域名类别进行判别后,无相应的后期校正工作,这样预测的域名类别影响到推送的报表的准确率。针对特征顶级域名(tld域名)生成700个左右的虚拟变量,这样会影响模型的运行时间和模型最终的落地可行性。
二、题目:基于DNS(域名系统)流量的僵尸网络域名检测特征分析
内容:该论文基于僵尸网络自身的特点产生的DNS流量与合法用户DNS流量之间存在的固有区别,提出了五条基于DNS的僵尸网络域名检测特征,如域名解析分布的突发性。基于以上提出的五个特征对域名进行检测。
缺点:对部分特征所取的阈值具有一定的主观性和任意性,并非是通过模型计算所得,缺乏一定的客观性。区分观测类别的特征的数量较少只有5个,导致最终域名类别的判定缺乏充分的说服力。对域名类别进行判别时,采用的是单个标识特征,没有综合使用寻找到的5个特征,这样容易导致这种情形:一个观测在基于特征A的条件下是类别a,在基于特征B的条件下是类别b。
三、题目:基于DNS流量的恶意软件域名挖掘
内容:该论文通过建立域名和主机之间的图模型并运用置信传播算法进行节点声望推断,实现了对恶意软件域名,控制服务器和受害主机的检测。
缺点:基于DNS失效的两个检测算法,DGA域名检测和失效C&C域名检测,容易受IP(网络之间互连的协议)欺骗和DNS欺骗的影响。失效C&C检测的DNS请求序列的划分界限是0点,这个界限容易错误划分主机域名请求序列,影响周期性判断的准确性。
发明内容
本发明要解决的技术问题是为了克服现有的C&C域名识别的相关技术的缺陷,提供一种基于域名特征的C&C域名识别方法。
本发明是通过下述技术方案来解决上述技术问题的:
本发明提供了一种基于域名特征的C&C域名识别方法,其特点在于,包括以下步骤:
S1、基于域名的定性特征,对给定的域名生成用于判定域名类别的量化指标;
S2、从给定的域名中随机抽取部分域名进入训练数据集,剩余域名进入测试数据集,并应用决策树集成算法,基于训练数据集生成域名类别判定模型;
S3、应用生成的域名类别判定模型对测试数据集中的剩余域名的域名类别进行判定,并与剩余域名的实际类别进行比较,计算所述域名类别判定模型的预测性能指标;
S4、对应用所述域名类别判定模型判定的域名类别进行校正;
S5、基于校正后的域名类别,生成单个域名的统计结果。
较佳地,步骤S5中对于单个域名,若访问次数大于一第一阈值,且访问的IP数量小于一第二阈值,则将所述单个域名识别为C&C域名。
较佳地,步骤S5中还生成单个IP的统计结果。
较佳地,步骤S5中对于单个IP,若判断出访问C&C域名的数量大于一第三阈值,则将所述单个IP识别为被网络入侵的IP。
较佳地,步骤S2中所述决策树集成算法为bagging算法。
较佳地,步骤S1中生成的量化指标包括域名中的拼音出现次数。
较佳地,步骤S4中进行校正的方式包括与黑白名单进行对照、对域名中包含的拼音数目进行统计以及对域名中包含的字母和数字结合体的数目进行统计。
较佳地,所述预测性能指标包括正确率、精度及召回度。
本发明的积极进步效果在于:本发明可以准确地寻找到C&C域名,克服了现有模型预测的低适用性和推广性、数据清洗需要投入较大人力和较长的时间以及对中国式域名判断无效等缺点,增强了模型的强落地性、可行性和可理解性;本发明可以基于训练数据集生成的决策树模型对日常访问的域名进行类别判别并进一步判断PC(个人计算机)客户端是否被攻击,从而能够寻找到大量可疑域名和访问可疑域名的异常客户端,本发明的方法计算量小、识别精度非常高、操作简单,能够节省人力物力资源。
附图说明
图1为本发明的较佳实施例的基于域名特征的C&C域名识别方法的流程图。
具体实施方式
下面通过实施例的方式进一步说明本发明,但并不因此将本发明限制在所述的实施例范围之中。
如图1所示,本发明的基于域名特征的C&C域名识别方法包括以下步骤:
步骤101、基于可区分域名类别的定性特征,对给定的域名生成用于判定域名类别的量化指标;生成的量化指标可以包括例如域名中的元音字母占比、域名中的拼音出现次数等;
步骤102、从给定的域名中随机抽取部分域名进入训练数据集,剩余域名进入测试数据集,并应用决策树集成算法bagging算法,基于训练数据集生成域名类别判定模型;
步骤103、应用生成的域名类别判定模型对测试数据集中的剩余域名的域名类别进行判定,并与剩余域名的实际类别进行比较,计算所述域名类别判定模型的预测性能指标;具体的预测性能指标包括正确率、精度及召回度等;
步骤104、对应用上述域名类别判定模型判定的域名类别进行校正,具体地,考虑到中国式域名的特点,喜欢使用汉语拼音,但这类域名容易被误判为C&C域名,因此可以新增字段detect_pinyin,用来识别域名是否包含拼音,这个字段大小是域名字符串包含的可能拼音数目的加权平均值,还可以选择一个阈值来对误判的域名进行校正。对于一部分字母和数字结合体的域名,容易发生域名类别误判情形,对此,可以新增字段isolate_num,用于统计字母和数字结合体出现的次数,当其大于某阈值,认为域名为C&C域名。
步骤105、基于校正后的域名类别,生成基于单个域名和单个IP的相关统计结果。对于单个域名,如果访问次数越多,同时访问的IP数目越少,则域名为C&C域名的可能性越大;对于单个IP,如果访问可疑域名(C&C域名)的数量越多,则这个IP被网络入侵的可能性越大;
因此,在本发明的具体实施过程中,对于单个域名,若判断出访问次数大于一第一阈值,且访问的IP数量小于一第二阈值,则将所述单个域名识别为C&C域名;对于单个IP,若判断出访问C&C域名的数量大于一第三阈值,则将所述单个IP识别为被网络入侵的IP;而上述第一阈值、第二阈值和第三阈值则可以根据实际需要进行设定。
下面举一个利用本发明的C&C域名识别方法来预测某一天客户端访问的所有域名的合法性并寻找相应的客户端的案例:
第一步,对类别已给定的域名生成相应的能够有效判定类别的字段。比方说,域名为了读起来方便进而方便记忆,一般而言会添加较多的元音字母进入域名,因此一般而言,合法域名的元音字母占比相对非合法域名较高,因此可生成域名的元音字母占比这个字段来有效识别域名合法性。再比如,为了识别域名是否包含拼音,把域名和所有可能的拼音做匹配,统计拼音在域名上出现次数的加权平均值。
第二步,随机选取一部分观测(即域名)进入训练数据集,使用决策树集成算法bagging算法,生成多棵决策树。一般地,训练数据集和测试数据集包含的观测数目比例为7:3。因此,首先对数据集的每个观测生成一个区间[0,1]上的均匀随机数,然后把均匀随机数不大于0.7的观测作为训练数据集,均匀随机数大于0.7的观测作为测试数据集,最后对训练数据集生成多棵决策树模型。建立多棵决策树模型的目的是为了对域名类别进行同等对待的处理,使得最终的域名判别结果更加稳定,并且正确率更高,有效避免了类别预测结果稳定性较低,可信性较低这种情形。
第三步,对模型的预测性能进行评价。模型正式投入运行前,需要评估模型的预测性能以放心后续模型使用。模型预测性能越强,后续基于模型预测的域名类别越可靠。首先,用基于训练数据集生成的多棵决策树对测试数据集的观测的类别进行预测;然后,把预测的类别和观测的实际类别做比较,生成混淆矩阵,计算模型性能的评价指标如正确率,精度和召回率等。生成的混淆矩阵如下:
| pre/act | 0 | 1 |
| 0 | 28946 | 2910 |
| 1 | 1393 | 42021 |
由此计算模型预测性能的各项评价指标如下:
| 正确率 | 0.9428 |
| 误判率 | 0.0572 |
| 召回率 | 0.9352 |
| 精度 | 0.9679 |
根据以上性能评价指标,可以大致了解到:如果有100个域名需要判断类别,约有94个左右的域名会被准确判别到其类别,约有6个左右的域名会被错误判别到其类别。如果样本中有100个C&C域名,约有94个域名会被准确判别为C&C域名。如果预测结果中有100个C&C域名,约有97个域名真正是C&C域名。经过以上指标的初步判断,模型预测性能非常高。
第四步,对基于决策树模型预测的类别进行校正,以提高类别预测的准确率。考虑到决策树模型存在一定的错误率,希望通过采取一定的方法对误判的类别予以校正。通过对类别误判的域名的观察,发现这部分类别被误判的域名可同时采取一定方法被校正,这三种方法分别为:1)与黑白名单进行对照;比如部分类别被误判的域名出现在黑白名单中,并且这部分域名的类别准确且已知,此时可以根据黑白名单的类别对类别误判的域名的类别进行校正。2)对域名可能包含的汉语拼音数目进行统计。考虑到中国的域名喜欢使用汉语拼音,如baidu.com,alibaba.com和shangpin.com等域名使用到汉语拼音,这部分域名有时类别会被误判为C&C域名。基于中国式域名的这种特点,新增字段detect_pinyin,目的是用来识别域名是否包含拼音。这个字段的大小是域名字符串包含的可能的汉语拼音数目的加权平均值,可以选择一个阈值,当域名对应的字段detect_pinyin的大小不小于这个阈值时,可认为这个域名的类别是合法域名。3)对域名包含的字母和数字结合体数目进行统计。这种现象针对部分字母和数字结合体数目较多的域名,这部分域名的类别被判别为非合法域名。对于这种情形,新增字段了isolate_num。这个字段用来统计字母和数字结合体出现的次数。当字段isolate_num的大小不小于某阈值,认为这个域名是C&C域名。
第五步,基于校正后的域名类别判定结果,生成基于单个域名和单个IP的相关访问的统计结果。对于单个C&C域名,如访问次数越大,但访问的IP数目越小,这个域名为C&C域名的可能性越大。对于单个IP,如访问可疑域名数目越大,这个IP被网络入侵的可能性越大,这样就可以定向寻找到有问题的客户端。这种统计结果可以生成相关报表每天推送给安全部门,并结合安全部门的专业知识来实施相关操作。单个IP的相关访问的统计结果如下:
| IP | 数目 |
| 172.19.91.63 | 735 |
| 172.19.91.98 | 679 |
| 172.19.91.99 | 659 |
| 172.19.91.102 | 577 |
| 172.19.91.108 | 540 |
| 172.19.91.93 | 535 |
| 172.19.91.86 | 532 |
| 172.19.91.81 | 519 |
| 172.19.91.89 | 489 |
| 172.19.91.77 | 374 |
| 172.19.91.92 | 174 |
由以上表格不难发现,172.19.91.*这个网段访问的可疑域名个数非常多,属于一种异常现象。安全部门在对应客户端上查杀到病毒。这说明了这种方法的实际检测性能强,可以连续检测到同一个网段的多个IP。
单个域名的相关访问统计结果如下:
| 域名 | 数目 |
| 54dun.com | 174582 |
| fn818.com | 61503 |
| 333yxw.com | 51297 |
| up530.com | 47998 |
| wt1985.com | 23520 |
| hlcyy.com | 22433 |
| jx31.com | 11122 |
由以上表格不难发现,单个可疑域名的访问次数也异常,属于一种异常现象。这几个域名由单个PC客户端访问,访问次数如果由人工点击访问无法实现。安全部门在PC客户端上查杀到病毒。
上述方法步骤计算量小、预测精度非常高、操作简单、易理解。经过测试数据集对决策树模型预测性能的评估,发现模型预测准确率,召回率和精度各指标都非常高。经过这种简单的数据统计,也能够发现可疑域名的访问次数也异常并且发现了单个客户端访问可疑域名的次数也异常。经过以上的几个步骤,能够成功地发现当天有多个网段均在频繁访问可疑域名并且有单个域名被多次访问。
虽然以上描述了本发明的具体实施方式,但是本领域的技术人员应当理解,这些仅是举例说明,本发明的保护范围是由所附权利要求书限定的。本领域的技术人员在不背离本发明的原理和实质的前提下,可以对这些实施方式做出多种变更或修改,但这些变更和修改均落入本发明的保护范围。
Claims (8)
1.一种基于域名特征的C&C域名识别方法,其特征在于,包括以下步骤:
S1、基于域名的定性特征,对给定的域名生成用于判定域名类别的量化指标;
S2、从给定的域名中随机抽取部分域名进入训练数据集,剩余域名进入测试数据集,并应用决策树集成算法,基于训练数据集生成域名类别判定模型;
S3、应用生成的域名类别判定模型对测试数据集中的剩余域名的域名类别进行判定,并与剩余域名的实际类别进行比较,计算所述域名类别判定模型的预测性能指标;
S4、对应用所述域名类别判定模型判定的域名类别进行校正;
S5、基于校正后的域名类别,生成单个域名的统计结果。
2.如权利要求1所述的C&C域名识别方法,其特征在于,步骤S5中对于单个域名,若访问次数大于一第一阈值,且访问的IP数量小于一第二阈值,则将所述单个域名识别为C&C域名。
3.如权利要求1所述的C&C域名识别方法,其特征在于,步骤S5中还生成单个IP的统计结果。
4.如权利要求3所述的C&C域名识别方法,其特征在于,步骤S5中对于单个IP,若判断出访问C&C域名的数量大于一第三阈值,则将所述单个IP识别为被网络入侵的IP。
5.如权利要求1所述的C&C域名识别方法,其特征在于,步骤S2中所述决策树集成算法为bagging算法。
6.如权利要求1所述的C&C域名识别方法,其特征在于,步骤S1中生成的量化指标包括域名中的拼音出现次数。
7.如权利要求1所述的C&C域名识别方法,其特征在于,步骤S4中进行校正的方式包括与黑白名单进行对照、对域名中包含的拼音数目进行统计以及对域名中包含的字母和数字结合体的数目进行统计。
8.如权利要求1所述的C&C域名识别方法,其特征在于,所述预测性能指标包括正确率、精度及召回度。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510541217.8A CN105072214B (zh) | 2015-08-28 | 2015-08-28 | 基于域名特征的c&c域名识别方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510541217.8A CN105072214B (zh) | 2015-08-28 | 2015-08-28 | 基于域名特征的c&c域名识别方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105072214A true CN105072214A (zh) | 2015-11-18 |
| CN105072214B CN105072214B (zh) | 2018-10-09 |
Family
ID=54501493
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510541217.8A Active CN105072214B (zh) | 2015-08-28 | 2015-08-28 | 基于域名特征的c&c域名识别方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105072214B (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106230867A (zh) * | 2016-09-29 | 2016-12-14 | 北京知道创宇信息技术有限公司 | 预测域名是否恶意的方法、系统及其模型训练方法、系统 |
| CN107612911A (zh) * | 2017-09-20 | 2018-01-19 | 杭州安恒信息技术有限公司 | 基于dns流量检测受感染主机和c&c服务器的方法 |
| CN107645503A (zh) * | 2017-09-20 | 2018-01-30 | 杭州安恒信息技术有限公司 | 一种基于规则的恶意域名所属dga家族的检测方法 |
| CN107682348A (zh) * | 2017-10-19 | 2018-02-09 | 杭州安恒信息技术有限公司 | 基于机器学习的dga域名快速判别方法及装置 |
| CN108156174A (zh) * | 2018-01-15 | 2018-06-12 | 深圳市联软科技股份有限公司 | 基于c&c域名分析的僵尸网络检测方法、装置、设备及介质 |
| CN108337259A (zh) * | 2018-02-01 | 2018-07-27 | 南京邮电大学 | 一种基于HTTP请求Host信息的可疑网页识别方法 |
| CN108900655A (zh) * | 2018-08-08 | 2018-11-27 | 北京谷安天下科技有限公司 | 一种域名存活性识别方法、装置及电子设备 |
| CN109302418A (zh) * | 2018-11-15 | 2019-02-01 | 东信和平科技股份有限公司 | 一种基于深度学习的恶意域名检测方法及装置 |
| CN109714356A (zh) * | 2019-01-08 | 2019-05-03 | 北京奇艺世纪科技有限公司 | 一种异常域名的识别方法、装置及电子设备 |
| CN110311930A (zh) * | 2019-08-01 | 2019-10-08 | 杭州安恒信息技术股份有限公司 | 远控回连行为的识别方法、装置及电子设备 |
| TWI811545B (zh) * | 2020-05-18 | 2023-08-11 | 安碁資訊股份有限公司 | 域名系統中惡意域名的偵測方法與偵測裝置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101702660A (zh) * | 2009-11-12 | 2010-05-05 | 中国科学院计算技术研究所 | 异常域名检测方法及系统 |
| CN103152222A (zh) * | 2013-01-05 | 2013-06-12 | 中国科学院信息工程研究所 | 一种基于主机群特征检测速变攻击域名的方法 |
| CN103634317A (zh) * | 2013-11-28 | 2014-03-12 | 北京奇虎科技有限公司 | 基于云安全对恶意网址信息进行安全鉴定的方法及系统 |
| CN104217160A (zh) * | 2014-09-19 | 2014-12-17 | 中国科学院深圳先进技术研究院 | 一种中文钓鱼网站检测方法及系统 |
-
2015
- 2015-08-28 CN CN201510541217.8A patent/CN105072214B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101702660A (zh) * | 2009-11-12 | 2010-05-05 | 中国科学院计算技术研究所 | 异常域名检测方法及系统 |
| CN103152222A (zh) * | 2013-01-05 | 2013-06-12 | 中国科学院信息工程研究所 | 一种基于主机群特征检测速变攻击域名的方法 |
| CN103634317A (zh) * | 2013-11-28 | 2014-03-12 | 北京奇虎科技有限公司 | 基于云安全对恶意网址信息进行安全鉴定的方法及系统 |
| CN104217160A (zh) * | 2014-09-19 | 2014-12-17 | 中国科学院深圳先进技术研究院 | 一种中文钓鱼网站检测方法及系统 |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106230867A (zh) * | 2016-09-29 | 2016-12-14 | 北京知道创宇信息技术有限公司 | 预测域名是否恶意的方法、系统及其模型训练方法、系统 |
| CN107645503B (zh) * | 2017-09-20 | 2020-01-24 | 杭州安恒信息技术股份有限公司 | 一种基于规则的恶意域名所属dga家族的检测方法 |
| CN107612911A (zh) * | 2017-09-20 | 2018-01-19 | 杭州安恒信息技术有限公司 | 基于dns流量检测受感染主机和c&c服务器的方法 |
| CN107645503A (zh) * | 2017-09-20 | 2018-01-30 | 杭州安恒信息技术有限公司 | 一种基于规则的恶意域名所属dga家族的检测方法 |
| CN107612911B (zh) * | 2017-09-20 | 2020-05-01 | 杭州安恒信息技术股份有限公司 | 基于dns流量检测受感染主机和c&c服务器的方法 |
| CN107682348A (zh) * | 2017-10-19 | 2018-02-09 | 杭州安恒信息技术有限公司 | 基于机器学习的dga域名快速判别方法及装置 |
| CN108156174A (zh) * | 2018-01-15 | 2018-06-12 | 深圳市联软科技股份有限公司 | 基于c&c域名分析的僵尸网络检测方法、装置、设备及介质 |
| CN108156174B (zh) * | 2018-01-15 | 2020-03-27 | 深圳市联软科技股份有限公司 | 基于c&c域名分析的僵尸网络检测方法、装置、设备及介质 |
| CN108337259A (zh) * | 2018-02-01 | 2018-07-27 | 南京邮电大学 | 一种基于HTTP请求Host信息的可疑网页识别方法 |
| CN108900655A (zh) * | 2018-08-08 | 2018-11-27 | 北京谷安天下科技有限公司 | 一种域名存活性识别方法、装置及电子设备 |
| CN109302418A (zh) * | 2018-11-15 | 2019-02-01 | 东信和平科技股份有限公司 | 一种基于深度学习的恶意域名检测方法及装置 |
| CN109302418B (zh) * | 2018-11-15 | 2021-11-12 | 东信和平科技股份有限公司 | 一种基于深度学习的恶意域名检测方法及装置 |
| CN109714356A (zh) * | 2019-01-08 | 2019-05-03 | 北京奇艺世纪科技有限公司 | 一种异常域名的识别方法、装置及电子设备 |
| CN110311930A (zh) * | 2019-08-01 | 2019-10-08 | 杭州安恒信息技术股份有限公司 | 远控回连行为的识别方法、装置及电子设备 |
| TWI811545B (zh) * | 2020-05-18 | 2023-08-11 | 安碁資訊股份有限公司 | 域名系統中惡意域名的偵測方法與偵測裝置 |
| US11956261B2 (en) | 2020-05-18 | 2024-04-09 | Acer Cyber Security Incorporated | Detection method for malicious domain name in domain name system and detection device |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105072214B (zh) | 2018-10-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105072214A (zh) | 基于域名特征的c&c域名识别方法 | |
| CN111428231B (zh) | 基于用户行为的安全处理方法、装置及设备 | |
| CN110233849B (zh) | 网络安全态势分析的方法及系统 | |
| Zhu et al. | OFS-NN: an effective phishing websites detection model based on optimal feature selection and neural network | |
| EP3651043B1 (en) | Url attack detection method and apparatus, and electronic device | |
| CN108200054B (zh) | 一种基于dns解析的恶意域名检测方法及装置 | |
| CN104077396B (zh) | 一种钓鱼网站检测方法及装置 | |
| CN111027069B (zh) | 恶意软件家族检测方法、存储介质和计算设备 | |
| CN105897714A (zh) | 基于dns流量特征的僵尸网络检测方法 | |
| CN112866023B (zh) | 网络检测、模型训练方法、装置、设备及存储介质 | |
| RU2708356C1 (ru) | Система и способ двухэтапной классификации файлов | |
| CN112492059A (zh) | Dga域名检测模型训练方法、dga域名检测方法、装置及存储介质 | |
| CN110781876B (zh) | 一种基于视觉特征的仿冒域名轻量级检测方法及系统 | |
| CN110162958B (zh) | 用于计算设备的综合信用分的方法、装置和记录介质 | |
| CN110855716B (zh) | 一种面向仿冒域名的自适应安全威胁分析方法及系统 | |
| Mythreya et al. | Prediction and prevention of malicious URL using ML and LR techniques for network security: machine learning | |
| CN111614616A (zh) | 一种xss攻击自动检测方法 | |
| Harbola et al. | Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set | |
| YANG et al. | Phishing website detection using C4. 5 decision tree | |
| CN112287345B (zh) | 基于智能风险检测的可信边缘计算系统 | |
| US11665185B2 (en) | Method and apparatus to detect scripted network traffic | |
| CN110808947B (zh) | 一种自动化的脆弱性量化评估方法及系统 | |
| KR101863569B1 (ko) | 머신 러닝 기반의 취약점 정보를 분류하는 방법 및 장치 | |
| CN110472416A (zh) | 一种网页恶意代码检测方法及相关装置 | |
| CN107239704A (zh) | 恶意网页发现方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |