CN105939340A - 一种发现隐藏的蠕虫病毒的方法及系统 - Google Patents
一种发现隐藏的蠕虫病毒的方法及系统 Download PDFInfo
- Publication number
- CN105939340A CN105939340A CN201610169390.4A CN201610169390A CN105939340A CN 105939340 A CN105939340 A CN 105939340A CN 201610169390 A CN201610169390 A CN 201610169390A CN 105939340 A CN105939340 A CN 105939340A
- Authority
- CN
- China
- Prior art keywords
- domain name
- module
- blacklist
- training pattern
- subsystem
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种发现隐藏的蠕虫病毒的方法及系统。利用本发明的方法及系统,能够快速并且准确地发现隐藏的蠕虫病毒。本发明的方法将机器学习的SVM算法应用于恶意域名检测,实际上是赋予机器以人类的经验来完成复杂的分类工作;域名特征值的分析方法比较新颖和全面,包括计算字符的熵值,好念程度分析,字母和数字的连续性分析,n‑gram(一种自然语言处理的方法,计算一组词语出现的频率)分析,顶级域名分析等;黑名单动态加载机制,使隐藏的蠕虫病毒能够被实时,快速地发现。
Description
技术领域
发明总体涉及计算机技术领域,具体涉及网络安全领域,尤其涉及一种发现隐藏的蠕虫病毒的方法和系统。
背景技术
蠕虫病毒(例如Conficker)一般利用netbios或DNS的方式对C&C服务器(僵尸网络中的命令和控制中心)进行域名请求。为了对抗域名黑名单的封堵,Conficker采用域名生成算法(Domain Generation Algorithm,DGA)定期生成大量新域名进行请求,有效地干扰了黑名单的检测和维护。
目前,检测恶意域名的方法不多。主要有:
基于域名特征的方法分析域名的静态特征,比如TTL,域名长度等,准确率不高;
基于统计分析的方法分析域名请求的动态特征,检测周期过长,不能快速响应病毒的攻击;
通过分析病毒的源码找出随机算法,这种方法往往有滞后的缺陷,跟不上病毒的更新速度。
因此,现有的恶意域名检测方法不能有效地发现隐藏的蠕虫病毒。
发明内容
为解决上述当前技术存在的问题,本发明提供了一种发现隐藏的蠕虫病毒的方法。另外,本申请还提供一种发现隐藏的蠕虫病毒的系统。基于本发明的方法和系统。能够快速和准确地检测恶意域名,从而发现隐藏的蠕虫病毒。
本发明的发现隐藏的蠕虫病毒的方法,具体包含以下步骤:
步骤一:利用域名特征计算的相关算法,结合机器学习的支持向量机SVM算法,离线生成域名训练模型;
步骤二:利用深度包检测DPI技术解析域名请求,生成域名库;
步骤三:结合域名训练模型和域名库,利用域名特征计算的相关算法和SVM算法,预测域名的类别,对恶意域名生成黑名单;
步骤四:利用DPI技术,结合黑名单,对恶意域名请求产生告警事件。
进一步地,其中,步骤一中离线生成域名训练模型具体为:
(1)向构建训练模型子系统输入大量的训练数据,利用特征计算的相关算法,计算域名的特征值;
(2)利用SVM算法,对特征值归一化,得到归一化参数,最后生成域名训练模型。
进一步地,其中,训练数据包含:合法域名和恶意域名。
进一步地,其中,特征计算包含:计算字符的熵值,分析字符的好念程度,分析字母和数字的连续程度,利用n-gram方法进行分析,分析顶级域名。
进一步地,其中,步骤二中生成域名库具体为:DPI子系统接收数据包,协议解析模块对协议进行解析,生成域名库。
进一步地,其中,步骤三中生成黑名单具体为:
(1)生成黑名单模块利用特征计算的相关算法计算域名特征值;
(2)利用SVM算法,结合归一化参数把特征值归一化,结合域名训练模型预测域名是否合法,对恶意域名生成黑名单。
进一步地,其中,步骤四中对恶意域名请求产生告警事件具体为:
黑名单匹配模块加载域名黑名单,对恶意域名生成告警事件并上报给界面模块;
界面模块展示恶意域名事件。
根据本发明的一种发现隐藏的蠕虫病毒的系统,该系统布置在监控服务器中,在典型的的网络拓扑中,通过旁路模式部署,监控服务器连接网络中交换机的镜像端口,监控网络中的所有流量,其中,所述发现隐藏的蠕虫病毒的系统包括:构建训练模型子系统和深度包检测DPI子系统;
其中,构建训练模型子系统用于生成训练模型,DPI子系统用于解析域名请求,然后生成域名库,以及生成域名黑名单和匹配域名黑名单;
所述构建训练模型子系统和深度包检测DPI子系统通过文件方式彼此通信,构建训练模型子系统的输出包括域名训练模型文件和归一化参数文件是DPI子系统的输入,DPI子系统在生成域名黑名单阶段需要使用域名训练模型和归一化参数。
进一步地,其中,所述构建训练模型子系统包括:
域名特征计算模块,其用于对大量的合法域名和恶意域名进行特征值计算;以及
生成域名训练模型模块,该模块利用SVM算法,首先对特征值做归一化,然后生成域名训练模型,得到归一化参数;
其中,所述域名特征计算模块和生成域名训练模型模块通过文件方式彼此通信,域名特征计算模块的输出包括特征值文件是生成域名训练模型模块的输入,生成域名训练模型时需要使用特征值。
进一步地,其中,所述DPI子系统包括:
界面模块,其用于展示安全警告;
核心模块,其作为协议解析模块对协议进行分析;
生成黑名单模块,其利用SVM算法,结合域名训练模型和归一化,预测域名是否合法;
黑名单匹配模块,其通过加载域名黑名单,对匹配黑名单的恶意域名产生警告事件;以及
底层模块,其作为收包和基本解析模块来接收数据包,并对数据包做基本解析;
其中,所述底层模块和所述核心模块彼此通信连接,共享数据包解析数据,所述核心模块在所述底层模块解析的基础上做深度解析;所述核心模块和所述生成黑名单模块彼此通信连接,共享数据包深度解析数据括域名信息,所述生成黑名单模块预测域名是否合法;所述生成黑名单模块和所述黑名单匹配模块通过文件的方式彼此通信,所述生成黑名单模块生成黑名单规则文件,所述黑名单匹配模块加载黑名单;黑名单模块和界面模块彼此通信连接,进程间通信可以采用socket(套接字)方式,黑名单模块对匹配的恶意域名产生告警事件,上报给界面模块。
本申请实施例的技术方案,能够快速并且准确地发现隐藏的蠕虫病毒。具体地具有如下创新点:
把机器学习的SVM算法应用于恶意域名检测,实际上是赋予机器以人类的经验来完成复杂的分类工作;
域名特征值的分析方法比较新颖和全面,包括计算字符的熵值,好念程度分析,字母和数字的连续性分析,n-gram(一种自然语言处理的方法,计算一组词语出现的频率)分析,顶级域名分析等;
黑名单动态加载机制,使隐藏的蠕虫病毒能够被实时,快速地发现。
附图说明
图1为本发明的发现隐藏的蠕虫病毒的方法的示例性流程图;
图2为根据本发明方法构建训练模型的示例性流程图;
图3为根据本发明的方法生成黑名单的示例性流程图;
图4为本发明的发现隐藏的蠕虫病毒的系统中构建训练模型子系统的示例性系统架构;
图5为本发明的发现隐藏的蠕虫病毒的系统中DPI子系统的示例性系统架构;
图6为本发明的发现隐藏的蠕虫病毒的系统应用的示例性网络拓扑。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,下面结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
参照图1,示出了本发明的发现隐藏的蠕虫病毒的方法的示例性流程。首先利用域名特征计算的相关算法,结合机器学习的支持向量机SVM(Support Vector Machine)算法,离线生成域名训练模型。具体地,结合图2可以看出,离线构建训练模型时,首先输入大量的合法域名和恶意域名作为训练数据,利用特征计算的相关算法,计算域名的特征值;然后利用SVM算法,对特征值归一化,得到归一化参数,最后生成域名训练模型。其中,对域名进行特征值计算包含:计算字符的熵值,分析字符串的好念程度,分析字母和数字的连续程度,利用n-gram方法进行分析,分析顶级域名。
利用DPI(深度包检测)技术解析域名请求,生成域名库;结合域名训练模型和域名库,利用域名特征计算的相关算法以及SVM算法,预测域名的类别,对恶意域名生成黑名单。具体地,结合图3可以看出,DPI子系统接收数据包,协议解析模块对协议进行解析,生成域名库;生成黑名单模块首先利用特征计算的相关算法计算域名特征值,然后利用SVM算法,结合归一化参数把特征值归一化,结合域名训练模型预测域名是否合法,对恶意域名生成黑名单。
利用DPI技术,结合黑名单,对恶意域名请求产生告警事件。具体地,黑名单匹配模块加载域名黑名单,对恶意域名生成告警事件并上报给WEB模块;WEB模块展示恶意域名事件。
根据本发明的一种发现隐藏的蠕虫病毒的系统,其包括:构建训练模型子系统和深度包检测DPI子系统,其中,构建训练模型子系统用于生成训练模型,DPI子系统用于解析域名请求,然后生成域名库,以及生成域名黑名单和匹配域名黑名单;所述构建训练模型子系统和深度包检测DPI子系统彼此通信连接。
参见图4,示出了本发明的发现隐藏的蠕虫病毒的系统中构建训练模型的示例性系统架构。由图4可以看出,该构建训练模型子系统包括:域名特征计算模块和生成域名训练模型模块。其中,域名特征计算模块用于对大量的合法域名和恶意域名进行特征值计算;生成域名训练模型模块利用SVM算法,首先对特征值做归一化,然后生成域名训练模型,得到归一化参数。所述域名特征计算模块和生成域名训练模型模块在构建训练模型子系统中彼此通信连接。
参见图5,示出了本发明的发现隐藏的蠕虫病毒的系统中DPI子系统的示例性系统架构。由图5可以看出,DPI子系统包括:
界面模块,即WEB模块,该米快用于展示安全警告;
核心模块,图5中该核心模块实施为协议解析模块,用于对协议进行分析;
生成黑名单模块,其利用SVM算法,结合域名训练模型和归一化,预测域名是否合法;
黑名单匹配模块,其通过加载域名黑名单,对匹配黑名单的恶意域名产生警告事件;以及
底层模块,在图5中其具体事实为收包和基本解析模块,用于接收数据包,并对数据包做基本解析。
在所述DPI子系统中,所述界面模块、核心模块、生成黑名单模块、黑名单匹配模块及底层模块彼此通信连接。
最后,参照图6,示出了本发明的发现隐藏的蠕虫病毒的系统应用的示例性网络拓扑。其中,发现隐藏的蠕虫病毒的系统布置在监控服务器1中,监控服务器1连接网络中交换机2的镜像端口。当Conficker蠕虫病毒通过例如计算机3的netbios(网络基本输入输出系统(Network BasicInput/Output System))或者DNS(域名服务器)的方式对C&C服务器4发起域名请求时,协议流量能被监控服务器1捕获到。在监控服务器上运行的发现隐藏的蠕虫病毒的系统中的DPI子系统中的底层模块,接收协议数据包并做基本解析得到基本解析数据;核心模块利用基本解析数据进行深度解析得到域名信息等数据;生成黑名单模块利用SVM算法,结合域名训练模型和归一化参数,以及域名信息,预测域名是否合法,对恶意域名生成黑名单规则文件;黑名单匹配模块加载域名黑名单,对匹配黑名单的恶意域名产生警告事件;WEB模块对产生的警告事件进行显示。
以上所述实例仅表达了本发明的实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利的限制。应该指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种发现隐藏的蠕虫病毒的方法,其特征在于,包括以下步骤:
步骤一:利用域名特征计算的相关算法,结合机器学习的支持向量机SVM算法,离线生成域名训练模型;
步骤二:利用深度包检测DPI技术解析域名请求,生成域名库;
步骤三:结合域名训练模型和域名库,利用域名特征计算的相关算法和SVM算法,预测域名的类别,对恶意域名生成黑名单;
步骤四:利用DPI技术,结合黑名单,对恶意域名请求产生告警事件。
2.根据权利要求1所述的方法,其中,步骤一中离线生成域名训练模型具体为:
(1)向构建训练模型子系统输入大量的训练数据,利用特征计算的相关算法,计算域名的特征值;
(2)利用SVM算法,对特征值归一化,得到归一化参数,最后生成域名训练模型。
3.根据权利要求2所述的方法,其中,所述训练数据包含:合法域名和恶意域名。
4.根据权利要求1或2所述的方法,其中,特征计算包含:计算字符的熵值,分析字符的好念程度,分析字母和数字的连续程度,利用n-gram方法进行分析,分析顶级域名。
5.根据权利要求1所述的方法,其中,步骤二中生成域名库具体为:DPI子系统接收数据包,协议解析模块对协议进行解析,生成域名库。
6.根据权利要求1所述的方法,其中,步骤三中生成黑名单具体为:
(1)生成黑名单模块利用特征计算的相关算法计算域名特征值;
(2)利用SVM算法,结合归一化参数把特征值归一化,结合域名训练模型预测域名是否合法,对恶意域名生成黑名单。
7.根据权利要求1所述的方法,其中,步骤四中对恶意域名请求产生告警事件具体为:
黑名单匹配模块加载域名黑名单,对恶意域名生成告警事件并上报给界面模块;
界面模块展示恶意域名事件。
8.一种发现隐藏的蠕虫病毒的系统,其特征在于,该系统布置在监控服务器中,在典型的的网络拓扑中,通过旁路模式部署,监控服务器连接网络中交换机的镜像端口,监控网络中的所有流量,其中,所述发现隐藏的蠕虫病毒的系统包括:构建训练模型子系统和深度包检测DPI子系统;
其中,构建训练模型子系统用于生成训练模型,DPI子系统用于解析域名请求,然后生成域名库,以及生成域名黑名单和匹配域名黑名单;
所述构建训练模型子系统和深度包检测DPI子系统通过文件方式彼此通信,构建训练模型子系统的输出包括域名训练模型文件和归一化参数文件是DPI子系统的输入,DPI子系统在生成域名黑名单阶段需要使用域名训练模型和归一化参数。
9.根据权利要求8所述的发现隐藏的蠕虫病毒的系统,其中所述构建训练模型子系统包括:
域名特征计算模块,其用于对大量的合法域名和恶意域名进行特征值计算;以及
生成域名训练模型模块,该模块利用SVM算法,首先对特征值做归一化,然后生成域名训练模型,得到归一化参数;
其中,所述域名特征计算模块和生成域名训练模型模块通过文件方式彼此通信,域名特征计算模块的输出包括特征值文件是生成域名训练模型模块的输入,生成域名训练模型时需要使用特征值。
10.根据权利要求8所述的发现隐藏的蠕虫病毒的系统,其中,所述DPI子系统包括:
界面模块,其用于展示安全警告;
核心模块,其作为协议解析模块对协议进行分析;
生成黑名单模块,其利用SVM算法,结合域名训练模型和归一化,预测域名是否合法;
黑名单匹配模块,其通过加载域名黑名单,对匹配黑名单的恶意域名产生警告事件;以及
底层模块,其作为收包和基本解析模块来接收数据包,并对数据包做基本解析;
其中,所述底层模块和所述核心模块彼此通信连接,共享数据包解析数据,所述核心模块在所述底层模块解析的基础上做深度解析;所述核心模块和所述生成黑名单模块彼此通信连接,共享数据包深度解析数据括域名信息,所述生成黑名单模块预测域名是否合法;所述生成黑名单模块和所述黑名单匹配模块通过文件的方式彼此通信,所述生成黑名单模块生成黑名单规则文件,所述黑名单匹配模块加载黑名单;黑名单模块和界面模块彼此通信连接,进程间通信可以采用socket方式,黑名单模块对匹配的恶意域名产生告警事件,上报给界面模块。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2016100453000 | 2016-01-22 | ||
CN201610045300 | 2016-01-22 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105939340A true CN105939340A (zh) | 2016-09-14 |
Family
ID=57151978
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610169390.4A Pending CN105939340A (zh) | 2016-01-22 | 2016-03-23 | 一种发现隐藏的蠕虫病毒的方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105939340A (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106230867A (zh) * | 2016-09-29 | 2016-12-14 | 北京知道创宇信息技术有限公司 | 预测域名是否恶意的方法、系统及其模型训练方法、系统 |
CN106603522A (zh) * | 2016-12-09 | 2017-04-26 | 北京安天电子设备有限公司 | 一种基于旁路监听的云数据病毒探测方法及系统 |
CN107046586A (zh) * | 2017-04-14 | 2017-08-15 | 四川大学 | 一种基于类自然语言特征的算法生成域名检测方法 |
CN108282450A (zh) * | 2017-01-06 | 2018-07-13 | 阿里巴巴集团控股有限公司 | 异常域名的检测方法及装置 |
CN108737439A (zh) * | 2018-06-04 | 2018-11-02 | 上海交通大学 | 一种基于自反馈学习的大规模恶意域名检测系统及方法 |
CN109714356A (zh) * | 2019-01-08 | 2019-05-03 | 北京奇艺世纪科技有限公司 | 一种异常域名的识别方法、装置及电子设备 |
CN109756510A (zh) * | 2019-01-25 | 2019-05-14 | 兰州理工大学 | 一种基于N-Gram的恶意域名检测方法 |
CN112528287A (zh) * | 2020-12-29 | 2021-03-19 | 中国南方电网有限责任公司 | 一种多终端参与的计算机病毒查杀方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102176698A (zh) * | 2010-12-20 | 2011-09-07 | 北京邮电大学 | 一种基于迁移学习的用户异常行为检测方法 |
CN102790762A (zh) * | 2012-06-18 | 2012-11-21 | 东南大学 | 基于url分类的钓鱼网站检测方法 |
CN105024969A (zh) * | 2014-04-17 | 2015-11-04 | 北京启明星辰信息安全技术有限公司 | 一种实现恶意域名识别的方法及装置 |
-
2016
- 2016-03-23 CN CN201610169390.4A patent/CN105939340A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102176698A (zh) * | 2010-12-20 | 2011-09-07 | 北京邮电大学 | 一种基于迁移学习的用户异常行为检测方法 |
CN102790762A (zh) * | 2012-06-18 | 2012-11-21 | 东南大学 | 基于url分类的钓鱼网站检测方法 |
CN105024969A (zh) * | 2014-04-17 | 2015-11-04 | 北京启明星辰信息安全技术有限公司 | 一种实现恶意域名识别的方法及装置 |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106230867A (zh) * | 2016-09-29 | 2016-12-14 | 北京知道创宇信息技术有限公司 | 预测域名是否恶意的方法、系统及其模型训练方法、系统 |
CN106603522A (zh) * | 2016-12-09 | 2017-04-26 | 北京安天电子设备有限公司 | 一种基于旁路监听的云数据病毒探测方法及系统 |
CN108282450A (zh) * | 2017-01-06 | 2018-07-13 | 阿里巴巴集团控股有限公司 | 异常域名的检测方法及装置 |
CN107046586A (zh) * | 2017-04-14 | 2017-08-15 | 四川大学 | 一种基于类自然语言特征的算法生成域名检测方法 |
CN107046586B (zh) * | 2017-04-14 | 2019-07-23 | 四川大学 | 一种基于类自然语言特征的算法生成域名检测方法 |
CN108737439A (zh) * | 2018-06-04 | 2018-11-02 | 上海交通大学 | 一种基于自反馈学习的大规模恶意域名检测系统及方法 |
CN108737439B (zh) * | 2018-06-04 | 2021-02-09 | 上海交通大学 | 一种基于自反馈学习的大规模恶意域名检测系统及方法 |
CN109714356A (zh) * | 2019-01-08 | 2019-05-03 | 北京奇艺世纪科技有限公司 | 一种异常域名的识别方法、装置及电子设备 |
CN109756510A (zh) * | 2019-01-25 | 2019-05-14 | 兰州理工大学 | 一种基于N-Gram的恶意域名检测方法 |
CN109756510B (zh) * | 2019-01-25 | 2021-01-08 | 兰州理工大学 | 一种基于N-Gram的恶意域名检测方法 |
CN112528287A (zh) * | 2020-12-29 | 2021-03-19 | 中国南方电网有限责任公司 | 一种多终端参与的计算机病毒查杀方法 |
CN112528287B (zh) * | 2020-12-29 | 2022-03-11 | 中国南方电网有限责任公司 | 一种多终端参与的计算机病毒查杀方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105939340A (zh) | 一种发现隐藏的蠕虫病毒的方法及系统 | |
Schüppen et al. | {FANCI}: Feature-based automated {NXDomain} classification and intelligence | |
CN112104677B (zh) | 一种基于知识图谱的受控主机检测方法和装置 | |
Lee et al. | Early filtering of ephemeral malicious accounts on Twitter | |
CN108449342A (zh) | 恶意请求检测方法及装置 | |
CN111131260B (zh) | 一种海量网络恶意域名识别和分类方法及系统 | |
CN113315742B (zh) | 攻击行为检测方法、装置及攻击检测设备 | |
CN108055228B (zh) | 一种智能电网入侵检测系统及方法 | |
Zhou et al. | CNN-based DGA detection with high coverage | |
Franc et al. | Learning detector of malicious network traffic from weak labels | |
CN110324273A (zh) | 一种基于dns请求行为与域名构成特征相结合的僵尸网络检测法 | |
CN111224941A (zh) | 一种威胁类型识别方法及装置 | |
Xu et al. | [Retracted] DDoS Detection Using a Cloud‐Edge Collaboration Method Based on Entropy‐Measuring SOM and KD‐Tree in SDN | |
CN113704328A (zh) | 基于人工智能的用户行为大数据挖掘方法及系统 | |
Kozik et al. | Pattern extraction algorithm for NetFlow‐based botnet activities detection | |
Mekky et al. | Separation of benign and malicious network events for accurate malware family classification | |
CN113965393B (zh) | 一种基于复杂网络和图神经网络的僵尸网络检测方法 | |
CN105827611A (zh) | 一种基于模糊推理的分布式拒绝服务网络攻击检测方法和系统 | |
CN112333128B (zh) | 一种基于自编码器的Web攻击行为检测系统 | |
Kumar et al. | Enhanced domain generating algorithm detection based on deep neural networks | |
CN112204930B (zh) | 恶意域名检测设备、系统和方法 | |
Yang et al. | Cloud-edge coordinated traffic anomaly detection for industrial cyber-physical systems | |
CN113905016A (zh) | 一种dga域名检测方法、检测装置及计算机存储介质 | |
EP3379772B1 (en) | Analysis method, analysis device, and analysis program | |
Tong et al. | D3n: Dga detection with deep-learning through nxdomain |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination |