CN109246083A - 一种dga域名的检测方法及装置 - Google Patents

一种dga域名的检测方法及装置 Download PDF

Info

Publication number
CN109246083A
CN109246083A CN201810905038.1A CN201810905038A CN109246083A CN 109246083 A CN109246083 A CN 109246083A CN 201810905038 A CN201810905038 A CN 201810905038A CN 109246083 A CN109246083 A CN 109246083A
Authority
CN
China
Prior art keywords
domain name
domains
dga
domain
subclass
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201810905038.1A
Other languages
English (en)
Other versions
CN109246083B (zh
Inventor
肖军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Qianxin Technology Co Ltd
Original Assignee
Beijing Qianxin Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Qianxin Technology Co Ltd filed Critical Beijing Qianxin Technology Co Ltd
Priority to CN201810905038.1A priority Critical patent/CN109246083B/zh
Publication of CN109246083A publication Critical patent/CN109246083A/zh
Application granted granted Critical
Publication of CN109246083B publication Critical patent/CN109246083B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例提供一种DGA域名的检测方法及装置,所述方法包括:对域名进行聚类,以获取若干个包含有同类特征域名的域名集合;对所述域名集合中的域名进行域名生成算法DGA检测;若判断获知检测结果为存在DGA域名,则确定所述DGA域名对应的域名请求发送方为被植入恶意代码的终端。所述装置执行上述方法。本发明实施例提供的DGA域名的检测方法及装置,能够高效、准确地对DGA域名进行检测,从而确定DGA域名对应的域名请求发送方是否为被植入恶意代码的终端。

Description

一种DGA域名的检测方法及装置
技术领域
本发明实施例涉及网络安全技术领域,具体涉及一种DGA域名的检测方法及装置。
背景技术
DGA(域名生成算法)是一种利用随机字符来生成C&C域名,从而逃避域名黑名单检测的技术手段。例如:一个由恶意软件Cryptolocker创建的DGA生成域xeogrhxquuubt.com,如果我们的进程尝试建立其它连接,那么我们的机器就可能感染Cryptolocker勒索病毒。域名黑名单通常用于检测和阻断这些域的连接,但对于不断更新的DGA算法并不奏效。现有技术的方法还基于机器学习,构建分类器检测DGA域名,但是该类方法主要存在以下不足:一是需要预先收集训练数据,即耗时耗力;二是不在训练集中的DGA类型就不会被检测出来,即检测结果不准确。
因此,如何避免上述缺陷,能够高效、准确地对DGA域名进行检测,从而确定DGA域名对应的域名请求发送方是否存在安全隐患,成为亟须解决的问题。
发明内容
针对现有技术存在的问题,本发明实施例提供一种DGA域名的检测方法及装置。
第一方面,本发明实施例提供一种DGA域名的检测方法,所述方法包括:
对域名进行聚类,以获取若干个包含有同类特征域名的域名集合;
对所述域名集合中的域名进行域名生成算法DGA检测;
若判断获知检测结果为存在DGA域名,则确定所述DGA域名对应的域名请求发送方为被植入恶意代码的终端。
第二方面,本发明实施例提供一种DGA域名的检测装置,所述装置包括:
聚类单元,用于对域名进行聚类,以获取若干个包含有同类特征域名的域名集合;
检测单元,用于对所述域名集合中的域名进行域名生成算法DGA检测;
确定单元,用于若判断获知检测结果为存在DGA域名,则确定所述DGA域名对应的域名请求发送方为被植入恶意代码的终端。
第三方面,本发明实施例提供一种电子设备,包括:处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如下方法:
对域名进行聚类,以获取若干个包含有同类特征域名的域名集合;
对所述域名集合中的域名进行域名生成算法DGA检测;
若判断获知检测结果为存在DGA域名,则确定所述DGA域名对应的域名请求发送方为被植入恶意代码的终端。
第四方面,本发明实施例提供一种非暂态计算机可读存储介质,包括:
所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如下方法:
对域名进行聚类,以获取若干个包含有同类特征域名的域名集合;
对所述域名集合中的域名进行域名生成算法DGA检测;
若判断获知检测结果为存在DGA域名,则确定所述DGA域名对应的域名请求发送方为被植入恶意代码的终端。
本发明实施例提供的DGA域名的检测方法及装置,先通过聚类的方式获取到域名集合,再对域名集合中的域名进行DGA检测,若检测结果为存在DGA域名,则确定该DGA域名对应的域名请求发送方为被植入恶意代码的终端,能够高效、准确地对DGA域名进行检测,从而确定DGA域名对应的域名请求发送方是否为被植入恶意代码的终端。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例DGA域名的检测方法流程示意图;
图2为本发明实施例根据所有时间间隔聚类得到域名集合的示意图;
图3为本发明另一实施例DGA域名的检测方法流程图;
图4为本发明另一实施例DGA域名的检测方法流程图;
图5为本发明实施例DGA域名的检测装置结构示意图;
图6为本发明实施例提供的电子设备实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了更好地理解本发明实施例,对DGA行为表现规律作如下说明:
DGA域名是用预定的算法生成的域名。通常,恶意代码定期(比如,每天)生成一批DGA域名,并预先注册其中的一小部分。比如,恶意软件conficker.c每天生成5万个域名,而每天注册的域名是500个。恶意软件Bot(或者恶意代码)每次生成一个域名,尝试进行解析,由于大部分域名不可解析,响应的内容是nxdomain。在收到nxdomain后,Bot会继续生成下一个域名并提交,这一过程重复进行,直到域名被解析。相应地,请求序列(由域名请求按照发送时刻的先后组成的序列)中只有最后一个被解析成功,其余序列都是nxdomain。此外,整个请求序列的时间间隔较小。Bot频繁发出域名请求,直到解析成功后停止。此外,由同一个算法生成的域名,从统计上讲,各个字符对应的统计规律保持稳定。
综上所述,DGA域名包括如下三个特征:一、DGA域名序列最后一个解析成功,其余全是nxdomain;二、DGA请求时间间隔较短;三、DGA域名字符串中的字符符合稳定的统计规律。即达到一定规模(数量)的同一个DGA算法生成的集合之间,其字符分布比率应该是相等或者近似相等的。
图1为本发明实施例DGA域名的检测方法流程示意图,如图1所示,本发明实施例提供的一种DGA域名的检测方法,包括以下步骤:
S101:对域名进行聚类,以获取若干个包含有同类特征域名的域名集合。
具体的,装置对域名进行聚类,以获取若干个包含有同类特征域名的域名集合。需要说明的是:这里的域名是指从大数据平台中筛选出的有效域名,大数据平台可以包括Hadoop、Spark等,不作具体限定。可以通过如下方式筛选出有效域名:读取域名请求,和针对该域名请求返回的应答数据。如果该域名的应答数据中包括有nxdomain类型的内容,则认为该域名请求对应的域名为有效域名。同类特征域名可以理解为作为同一个域名请求发送方的终端所发送的域名请求、同一个DGA生成的域名字符串(具体是一级域名)、以及发送时刻间隔时段较短的域名请求。对域名进行聚类,以获取若干个包含有同类特征域名的域名集合具体说明如下:
获取各域名请求发送方的IP地址,根据所述IP地址聚类得到每一IP地址对应的第一备选域名集合,即获取同一个域名请求发送方的终端对应的域名;在所述第一备选域名集合中获取一级域名长度,根据所述一级域名长度聚类得到每一一级域名长度对应的第二备选域名集合,即在同一个域名请求发送方的终端对应的域名中,再获取同一个DGA对应的域名(即认为相同一级域名长度对应同一个DGA);在所述第二备选域名集合中获取各相邻域名请求对应的各发送时刻,根据所述各发送时刻,获取所述域名集合,即在同一个域名请求发送方的终端、同一个DGA对应的域名中,再获取发送时刻间隔时段较短的域名请求对应的域名,并组成域名集合。对根据所述各发送时刻,获取所述域名集合具体说明如下:
若判断获知所述各发送时刻之间的时间间隔大于预设时间间隔,则将大于所述预设时间间隔的时间间隔对应的两个域名请求划分为两个集合,并重复执行所述若判断获知所述各发送时刻之间的时间间隔大于预设时间间隔,则将大于所述预设时间间隔的时间间隔对应的两个域名请求划分为两个集合,以获取根据所有时间间隔聚类得到的所述域名集合。预设时间间隔可以根据实际情况自主设置,图2为本发明实施例根据所有时间间隔聚类得到域名集合的示意图,如图2所示,t1~t11为各相邻域名请求对应的各发送时刻,由于t1和t2之间的时间间隔小于T(对应预设时间间隔),因此,将域名r1和域名r2作为同一个集合的元素,同理,r2和r3和r4不再赘述。如果t4和t5之间的时间间隔Δt1大于T,则将域名r4和域名r5分别作为两个集合的元素,即r1~r4组成一个域名集合S1、同理,r5~r8组成另一个域名集合S2,图2中的其余部分不再赘述。
S102:对所述域名集合中的域名进行域名生成算法DGA检测。
具体的,装置对所述域名集合中的域名进行域名生成算法DGA检测。具体说明如下:
读取一个目标域名集合;若判断获知所述目标域名集合中包含的域名数量大于等于数量阈值,则根据所述域名数量,将所述目标域名集合划分为两个子集合;分别解析每个子集合中的一级域名,以获取每个子集合对应的所有字符;计算所述所有字符中的每个字符的字符分布比率,并构建包含有所有字符的字符分布比率的向量;其中,所述字符分布比率为每个字符在对应子集合中所有一级域名中出现次数与所有字符在所述对应子集合中所有一级域名中出现总次数的比值;根据所述每个子集合分别对应的所述向量,确定所述DGA检测的检测结果。图3为本发明另一实施例DGA域名的检测方法流程图,如图3所示,目标域名集合可以是按照预设的随机顺序从若干个域名集合中读取的第一个,数量阈值可以根据实际情况自主设置,可选为100;对根据所述域名数量,将所述目标域名集合划分为两个子集合作具体说明如下:若判断获知所述域名数量为偶数,则将所述目标域名集合划分为域名数量相等的两个子集合;参照上述举例,目标域名集合为上述域名集合S1,域名数量为4个(实际数量会很多,这里为方便说明举例为4个),可以将域名r1和域名r2作为S1的一个子集合S11,将域名r3和域名r4作为S1的另一个子集合S12,还可以将域名r1和域名r3作为一个子集合,将域名r2和域名r4作为另一个子集合,不作具体限定。若判断获知所述域名数量为奇数,则将所述目标域名集合划分为其中一个子集合的域名数量比另一个子集合的域名数量多一个。参照图2,可以将域名r9和域名r10作为一个子集合,将域名r11作为另一个子集合,不作具体限定。对分别解析每个子集合中的一级域名,以获取每个子集合对应的所有字符,举例说明如下:域名abcdefg.tunnel.com中的“abcdefg”和域名12345678.tunnel.com中的“12345678”是S1的一个子集合S11中的一级域名,该子集合S11对应的所有字符为a、b、c、d、e、f、g、1、2、3、4、5、6、7、8,需要说明的是,通常每个子集合中包含的一级域名较多,且每个一级域名长度较长,且包含的字符也较多,因此,所有字符为全部的37个字符,即26个英文字母a~z、10个数字0~9和1个连接符“-”。以字符a为例,如果字符a在子集合S11中的所有一级域名中出现次数为500次,所有字符(通常是37个字符)在子集合S11中的所有一级域名中出现次数为1万次,则子集合S11中的字符a的字符分布比率为0.05(500/10000),同理,计算出其他字符、数字和连接符一一对应的字符分布比率,即这37个字符分布比率之和恰好等于1,这37个字符分布比率组成了子集合S11对应的向量X11,同理,另外的37个字符分布比率组成了子集合S12对应的向量X12。根据所述每个子集合分别对应的所述向量,确定所述DGA检测的检测结果,具体包括:
计算所述每个子集合分别对应的所述向量之间的欧氏距离;若判断获知所述欧氏距离小于距离阈值,则直接确定所述检测结果为存在所述DGA域名。距离阈值可以根据实际情况自主设置,可选为0.1,即计算向量X11和向量X12之间的欧氏距离L1,如果L1<0.1,则直接确定检测结果为存在DGA域名,即是由DGA生成的域名。
若判断获知所述欧氏距离大于等于所述距离阈值,则继续读取下一个目标域名集合,并重复执行,直到遍历完所述域名集合中的所有目标域名集合,若判断获知所有目标域名集合的检测结果都为不存在所述DGA域名,则确定所述DGA检测的检测结果为不存在所述DGA域名。参照图3,即如果L1≥0.1,则继续读取下一个目标域名集合,继续重复执行上述实施例中读取第一个目标域名集合的步骤,直到遍历完所述域名集合中的所有目标域名集合,如果每一个目标域名集合的检测结果都为不存在所述DGA域名,则确定DGA检测的检测结果为不存在DGA域名。
S103:若判断获知检测结果为存在DGA域名,则确定所述DGA域名对应的域名请求发送方为被植入恶意代码的终端。
具体的,装置若判断获知检测结果为存在DGA域名,则确定所述DGA域名对应的域名请求发送方为被植入恶意代码的终端。终端可以是PC机等,可以进一步通过上述该终端对应的IP地址标记该终端是被植入恶意代码的,如果该检测结果为不存在DGA域名,则确定所述DGA域名对应的域名请求发送方为未被植入恶意代码的终端。图4为本发明另一实施例DGA域名的检测方法流程图,如图4所示,图3的整体技术方案可以理解为是对图4中的步骤“DGA域名检测”的具体说明,图4的具体说明,可以参照上述实施例的说明,不再赘述。
本发明实施例提供的DGA域名的检测方法,先通过聚类的方式获取到域名集合,再对域名集合中的域名进行DGA检测,若检测结果为存在DGA域名,则确定该DGA域名对应的域名请求发送方为被植入恶意代码的终端,能够高效、准确地对DGA域名进行检测,从而确定DGA域名对应的域名请求发送方是否为被植入恶意代码的终端。
在上述实施例的基础上,所述获取若干个包含有同类特征域名的域名集合,包括:
获取各域名请求发送方的IP地址,根据所述IP地址聚类得到每一IP地址对应的第一备选域名集合。
具体的,装置获取各域名请求发送方的IP地址,根据所述IP地址聚类得到每一IP地址对应的第一备选域名集合。可参照上述实施例,不再赘述。
在所述第一备选域名集合中获取一级域名长度,根据所述一级域名长度聚类得到每一一级域名长度对应的第二备选域名集合。
具体的,装置在所述第一备选域名集合中获取一级域名长度,根据所述一级域名长度聚类得到每一一级域名长度对应的第二备选域名集合。可参照上述实施例,不再赘述。
在所述第二备选域名集合中获取各相邻域名请求对应的各发送时刻,根据所述各发送时刻,获取所述域名集合。
具体的,装置在所述第二备选域名集合中获取各相邻域名请求对应的各发送时刻,根据所述各发送时刻,获取所述域名集合。可参照上述实施例,不再赘述。
本发明实施例提供的DGA域名的检测方法,先后通过IP地址、一级域名长度和各相邻域名请求对应的各发送时刻聚类域名,能够有效地对域名进行聚类,进一步能够高效、准确地对DGA域名进行检测,从而确定DGA域名对应的域名请求发送方是否为被植入恶意代码的终端。
在上述实施例的基础上,所述根据所述各发送时刻,获取所述域名集合,包括:
若判断获知所述各发送时刻之间的时间间隔大于预设时间间隔,则将大于所述预设时间间隔的时间间隔对应的两个域名请求划分为两个集合,并重复执行所述若判断获知所述各发送时刻之间的时间间隔大于预设时间间隔,则将大于所述预设时间间隔的时间间隔对应的两个域名请求划分为两个集合,以获取根据所有时间间隔聚类得到的所述域名集合。
具体的,装置若判断获知所述各发送时刻之间的时间间隔大于预设时间间隔,则将大于所述预设时间间隔的时间间隔对应的两个域名请求划分为两个集合,并重复执行所述若判断获知所述各发送时刻之间的时间间隔大于预设时间间隔,则将大于所述预设时间间隔的时间间隔对应的两个域名请求划分为两个集合,以获取根据所有时间间隔聚类得到的所述域名集合。可参照上述实施例,不再赘述。
本发明实施例提供的DGA域名的检测方法,通过将大于预设时间间隔的时间间隔对应的两个域名请求划分为两个集合,并重复执行,进一步能够合理聚类域名,进一步能够高效、准确地对DGA域名进行检测,从而确定DGA域名对应的域名请求发送方是否为被植入恶意代码的终端。
在上述实施例的基础上,所述对所述域名集合中的域名进行域名生成算法DGA检测,包括:
读取一个目标域名集合;若判断获知所述目标域名集合中包含的域名数量大于等于数量阈值,则根据所述域名数量,将所述目标域名集合划分为两个子集合。
具体的,装置读取一个目标域名集合;若判断获知所述目标域名集合中包含的域名数量大于等于数量阈值,则根据所述域名数量,将所述目标域名集合划分为两个子集合。可参照上述实施例,不再赘述。
分别解析每个子集合中的一级域名,以获取每个子集合对应的所有字符。
具体的,装置分别解析每个子集合中的一级域名,以获取每个子集合对应的所有字符。可参照上述实施例,不再赘述。
计算所述所有字符中的每个字符的字符分布比率,并构建包含有所有字符的字符分布比率的向量;其中,所述字符分布比率为每个字符在对应子集合中所有一级域名中出现次数与所有字符在所述对应子集合中所有一级域名中出现总次数的比值。
具体的,装置计算所述所有字符中的每个字符的字符分布比率,并构建包含有所有字符的字符分布比率的向量;其中,所述字符分布比率为每个字符在对应子集合中所有一级域名中出现次数与所有字符在所述对应子集合中所有一级域名中出现总次数的比值。可参照上述实施例,不再赘述。
根据所述每个子集合分别对应的所述向量,确定所述DGA检测的检测结果。
具体的,装置根据所述每个子集合分别对应的所述向量,确定所述DGA检测的检测结果。可参照上述实施例,不再赘述。
本发明实施例提供的DGA域名的检测方法,先通过将目标域名集合划分为两个子集合,再分别构建包含有所有字符的字符分布比率的向量,最后根据分别构建出的向量,确定DGA检测的检测结果,进一步能够高效、准确地对DGA域名进行检测,从而确定DGA域名对应的域名请求发送方是否为被植入恶意代码的终端。
在上述实施例的基础上,所述根据所述每个子集合分别对应的所述向量,确定所述DGA检测的检测结果,包括:
计算所述每个子集合分别对应的所述向量之间的欧氏距离。
具体的,装置计算所述每个子集合分别对应的所述向量之间的欧氏距离。可参照上述实施例,不再赘述。
若判断获知所述欧氏距离小于距离阈值,则直接确定所述检测结果为存在所述DGA域名。
具体的,装置若判断获知所述欧氏距离小于距离阈值,则直接确定所述检测结果为存在所述DGA域名。可参照上述实施例,不再赘述。
本发明实施例提供的DGA域名的检测方法,如果每个子集合分别对应的向量之间的欧氏距离小于距离阈值,则直接确定检测结果为存在DGA域名,进一步能够高效、准确地对DGA域名进行检测,从而确定DGA域名对应的域名请求发送方是否为被植入恶意代码的终端。
在上述实施例的基础上,所述方法还包括:
若判断获知所述欧氏距离大于等于所述距离阈值,则继续读取下一个目标域名集合,并重复执行,直到遍历完所述域名集合中的所有目标域名集合,若判断获知所有目标域名集合的检测结果都为不存在所述DGA域名,则确定所述DGA检测的检测结果为不存在所述DGA域名。
具体的,装置若判断获知所述欧氏距离大于等于所述距离阈值,则继续读取下一个目标域名集合,并重复执行,直到遍历完所述域名集合中的所有目标域名集合,若判断获知所有目标域名集合的检测结果都为不存在所述DGA域名,则确定所述DGA检测的检测结果为不存在所述DGA域名。可参照上述实施例,不再赘述。
本发明实施例提供的DGA域名的检测方法,如果每个子集合分别对应的向量之间的欧氏距离大于等于距离阈值,则继续读取、重复执行下一个目标域名集合,直到遍历完域名集合中的所有目标域名集合,若都不存在DGA域名,则确定DGA检测的检测结果为不存在DGA域名,进一步能够高效、准确地对DGA域名进行检测,从而确定DGA域名对应的域名请求发送方是否为被植入恶意代码的终端。
在上述实施例的基础上,所述根据所述域名数量,将所述目标域名集合划分为两个子集合,包括:
若判断获知所述域名数量为偶数,则将所述目标域名集合划分为域名数量相等的两个子集合。
具体的,装置若判断获知所述域名数量为偶数,则将所述目标域名集合划分为域名数量相等的两个子集合。可参照上述实施例,不再赘述。
若判断获知所述域名数量为奇数,则将所述目标域名集合划分为其中一个子集合的域名数量比另一个子集合的域名数量多一个。
具体的,装置若判断获知所述域名数量为奇数,则将所述目标域名集合划分为其中一个子集合的域名数量比另一个子集合的域名数量多一个。可参照上述实施例,不再赘述。
本发明实施例提供的DGA域名的检测方法,通过将目标域名集合平均划分为两个子集合,进一步便于比较子集合之间的字符分布比率,从而更加高效地对DGA域名进行检测。
图5为本发明实施例DGA域名的检测装置结构示意图,如图5所示,本发明实施例提供了一种DGA域名的检测装置,包括聚类单元501、检测单元502和确定单元503,其中:
聚类单元501用于对域名进行聚类,以获取若干个包含有同类特征域名的域名集合;检测单元502用于对所述域名集合中的域名进行域名生成算法DGA检测;确定单元503用于若判断获知检测结果为存在DGA域名,则确定所述DGA域名对应的域名请求发送方为被植入恶意代码的终端。
具体的,聚类单元501用于对域名进行聚类,以获取若干个包含有同类特征域名的域名集合;检测单元502用于对所述域名集合中的域名进行域名生成算法DGA检测;确定单元503用于若判断获知检测结果为存在DGA域名,则确定所述DGA域名对应的域名请求发送方为被植入恶意代码的终端。
本发明实施例提供的DGA域名的检测装置,先通过聚类的方式获取到域名集合,再对域名集合中的域名进行DGA检测,若检测结果为存在DGA域名,则确定该DGA域名对应的域名请求发送方为被植入恶意代码的终端,能够高效、准确地对DGA域名进行检测,从而确定DGA域名对应的域名请求发送方是否为被植入恶意代码的终端。
在上述实施例的基础上,所述聚类单元501具体用于:获取各域名请求发送方的IP地址,根据所述IP地址聚类得到每一IP地址对应的第一备选域名集合;在所述第一备选域名集合中获取一级域名长度,根据所述一级域名长度聚类得到每一一级域名长度对应的第二备选域名集合;在所述第二备选域名集合中获取各相邻域名请求对应的各发送时刻,根据所述各发送时刻,获取所述域名集合。
具体的,所述聚类单元501具体用于:获取各域名请求发送方的IP地址,根据所述IP地址聚类得到每一IP地址对应的第一备选域名集合;在所述第一备选域名集合中获取一级域名长度,根据所述一级域名长度聚类得到每一一级域名长度对应的第二备选域名集合;在所述第二备选域名集合中获取各相邻域名请求对应的各发送时刻,根据所述各发送时刻,获取所述域名集合。
本发明实施例提供的DGA域名的检测装置,先后通过IP地址、一级域名长度和各相邻域名请求对应的各发送时刻聚类域名,能够有效地对域名进行聚类,进一步能够高效、准确地对DGA域名进行检测,从而确定DGA域名对应的域名请求发送方是否为被植入恶意代码的终端。
在上述实施例的基础上,所述聚类单元501还具体用于:若判断获知所述各发送时刻之间的时间间隔大于预设时间间隔,则将大于所述预设时间间隔的时间间隔对应的两个域名请求划分为两个集合,并重复执行所述若判断获知所述各发送时刻之间的时间间隔大于预设时间间隔,则将大于所述预设时间间隔的时间间隔对应的两个域名请求划分为两个集合,以获取根据所有时间间隔聚类得到的所述域名集合。
具体的,所述聚类单元501还具体用于:若判断获知所述各发送时刻之间的时间间隔大于预设时间间隔,则将大于所述预设时间间隔的时间间隔对应的两个域名请求划分为两个集合,并重复执行所述若判断获知所述各发送时刻之间的时间间隔大于预设时间间隔,则将大于所述预设时间间隔的时间间隔对应的两个域名请求划分为两个集合,以获取根据所有时间间隔聚类得到的所述域名集合。
本发明实施例提供的DGA域名的检测装置,通过将大于预设时间间隔的时间间隔对应的两个域名请求划分为两个集合,并重复执行,进一步能够合理聚类域名,进一步能够高效、准确地对DGA域名进行检测,从而确定DGA域名对应的域名请求发送方是否为被植入恶意代码的终端。
在上述实施例的基础上,所述检测单元502具体用于:读取一个目标域名集合;若判断获知所述目标域名集合中包含的域名数量大于等于数量阈值,则根据所述域名数量,将所述目标域名集合划分为两个子集合;分别解析每个子集合中的一级域名,以获取每个子集合对应的所有字符;计算所述所有字符中的每个字符的字符分布比率,并构建包含有所有字符的字符分布比率的向量;其中,所述字符分布比率为每个字符在对应子集合中所有一级域名中出现次数与所有字符在所述对应子集合中所有一级域名中出现总次数的比值;根据所述每个子集合分别对应的所述向量,确定所述DGA检测的检测结果。
具体的,所述检测单元502具体用于:读取一个目标域名集合;若判断获知所述目标域名集合中包含的域名数量大于等于数量阈值,则根据所述域名数量,将所述目标域名集合划分为两个子集合;分别解析每个子集合中的一级域名,以获取每个子集合对应的所有字符;计算所述所有字符中的每个字符的字符分布比率,并构建包含有所有字符的字符分布比率的向量;其中,所述字符分布比率为每个字符在对应子集合中所有一级域名中出现次数与所有字符在所述对应子集合中所有一级域名中出现总次数的比值;根据所述每个子集合分别对应的所述向量,确定所述DGA检测的检测结果。
本发明实施例提供的DGA域名的检测装置,先通过将目标域名集合划分为两个子集合,再分别构建包含有所有字符的字符分布比率的向量,最后根据分别构建出的向量,确定DGA检测的检测结果,进一步能够高效、准确地对DGA域名进行检测,从而确定DGA域名对应的域名请求发送方是否为被植入恶意代码的终端。
在上述实施例的基础上,所述检测单元502还具体用于:计算所述每个子集合分别对应的所述向量之间的欧氏距离;若判断获知所述欧氏距离小于距离阈值,则直接确定所述检测结果为存在所述DGA域名。
具体的,所述检测单元502还具体用于:计算所述每个子集合分别对应的所述向量之间的欧氏距离;若判断获知所述欧氏距离小于距离阈值,则直接确定所述检测结果为存在所述DGA域名。
本发明实施例提供的DGA域名的检测装置,如果每个子集合分别对应的向量之间的欧氏距离小于距离阈值,则直接确定检测结果为存在DGA域名,进一步能够高效、准确地对DGA域名进行检测,从而确定DGA域名对应的域名请求发送方是否为被植入恶意代码的终端。
在上述实施例的基础上,所述装置还用于:若判断获知所述欧氏距离大于等于所述距离阈值,则继续读取下一个目标域名集合,并重复执行,直到遍历完所述域名集合中的所有目标域名集合,若判断获知所有目标域名集合的检测结果都为不存在所述DGA域名,则确定所述DGA检测的检测结果为不存在所述DGA域名。
具体的,所述装置还用于:若判断获知所述欧氏距离大于等于所述距离阈值,则继续读取下一个目标域名集合,并重复执行,直到遍历完所述域名集合中的所有目标域名集合,若判断获知所有目标域名集合的检测结果都为不存在所述DGA域名,则确定所述DGA检测的检测结果为不存在所述DGA域名。
本发明实施例提供的DGA域名的检测装置,如果每个子集合分别对应的向量之间的欧氏距离大于等于距离阈值,则继续读取、重复执行下一个目标域名集合,直到遍历完域名集合中的所有目标域名集合,若都不存在DGA域名,则确定DGA检测的检测结果为不存在DGA域名,进一步能够高效、准确地对DGA域名进行检测,从而确定DGA域名对应的域名请求发送方是否为被植入恶意代码的终端。
在上述实施例的基础上,所述检测单元502还具体用于:若判断获知所述域名数量为偶数,则将所述目标域名集合划分为域名数量相等的两个子集合;若判断获知所述域名数量为奇数,则将所述目标域名集合划分为其中一个子集合的域名数量比另一个子集合的域名数量多一个。
具体的,所述检测单元502还具体用于:若判断获知所述域名数量为偶数,则将所述目标域名集合划分为域名数量相等的两个子集合;若判断获知所述域名数量为奇数,则将所述目标域名集合划分为其中一个子集合的域名数量比另一个子集合的域名数量多一个。
本发明实施例提供的DGA域名的检测装置,通过将目标域名集合平均划分为两个子集合,进一步便于比较子集合之间的字符分布比率,从而更加高效地对DGA域名进行检测。
本发明实施例提供的DGA域名的检测装置具体可以用于执行上述各方法实施例的处理流程,其功能在此不再赘述,可以参照上述方法实施例的详细描述。
图6为本发明实施例提供的电子设备实体结构示意图,如图6所示,所述电子设备包括:处理器(processor)601、存储器(memory)602和总线603;
其中,所述处理器601、存储器602通过总线603完成相互间的通信;
所述处理器601用于调用所述存储器602中的程序指令,以执行上述各方法实施例所提供的方法,例如包括:对域名进行聚类,以获取若干个包含有同类特征域名的域名集合;对所述域名集合中的域名进行域名生成算法DGA检测;若判断获知检测结果为存在DGA域名,则确定所述DGA域名对应的域名请求发送方为被植入恶意代码的终端。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:对域名进行聚类,以获取若干个包含有同类特征域名的域名集合;对所述域名集合中的域名进行域名生成算法DGA检测;若判断获知检测结果为存在DGA域名,则确定所述DGA域名对应的域名请求发送方为被植入恶意代码的终端。
本实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:对域名进行聚类,以获取若干个包含有同类特征域名的域名集合;对所述域名集合中的域名进行域名生成算法DGA检测;若判断获知检测结果为存在DGA域名,则确定所述DGA域名对应的域名请求发送方为被植入恶意代码的终端。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的电子设备等实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上各实施例仅用以说明本发明的实施例的技术方案,而非对其限制;尽管参照前述各实施例对本发明的实施例进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明的各实施例技术方案的范围。

Claims (16)

1.一种DGA域名的检测方法,其特征在于,包括:
对域名进行聚类,以获取若干个包含有同类特征域名的域名集合;
对所述域名集合中的域名进行域名生成算法DGA检测;
若判断获知检测结果为存在DGA域名,则确定所述DGA域名对应的域名请求发送方为被植入恶意代码的终端。
2.根据权利要求1所述的方法,其特征在于,所述获取若干个包含有同类特征域名的域名集合,包括:
获取各域名请求发送方的IP地址,根据所述IP地址聚类得到每一IP地址对应的第一备选域名集合;
在所述第一备选域名集合中获取一级域名长度,根据所述一级域名长度聚类得到每一一级域名长度对应的第二备选域名集合;
在所述第二备选域名集合中获取各相邻域名请求对应的各发送时刻,根据所述各发送时刻,获取所述域名集合。
3.根据权利要求2所述的方法,其特征在于,所述根据所述各发送时刻,获取所述域名集合,包括:
若判断获知所述各发送时刻之间的时间间隔大于预设时间间隔,则将大于所述预设时间间隔的时间间隔对应的两个域名请求划分为两个集合,并重复执行所述若判断获知所述各发送时刻之间的时间间隔大于预设时间间隔,则将大于所述预设时间间隔的时间间隔对应的两个域名请求划分为两个集合,以获取根据所有时间间隔聚类得到的所述域名集合。
4.根据权利要求1至3任一所述的方法,其特征在于,所述对所述域名集合中的域名进行域名生成算法DGA检测,包括:
读取一个目标域名集合;若判断获知所述目标域名集合中包含的域名数量大于等于数量阈值,则根据所述域名数量,将所述目标域名集合划分为两个子集合;
分别解析每个子集合中的一级域名,以获取每个子集合对应的所有字符;
计算所述所有字符中的每个字符的字符分布比率,并构建包含有所有字符的字符分布比率的向量;其中,所述字符分布比率为每个字符在对应子集合中所有一级域名中出现次数与所有字符在所述对应子集合中所有一级域名中出现总次数的比值;
根据所述每个子集合分别对应的所述向量,确定所述DGA检测的检测结果。
5.根据权利要求4所述的方法,其特征在于,所述根据所述每个子集合分别对应的所述向量,确定所述DGA检测的检测结果,包括:
计算所述每个子集合分别对应的所述向量之间的欧氏距离;
若判断获知所述欧氏距离小于距离阈值,则直接确定所述检测结果为存在所述DGA域名。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
若判断获知所述欧氏距离大于等于所述距离阈值,则继续读取下一个目标域名集合,并重复执行,直到遍历完所述域名集合中的所有目标域名集合,若判断获知所有目标域名集合的检测结果都为不存在所述DGA域名,则确定所述DGA检测的检测结果为不存在所述DGA域名。
7.根据权利要求4所述的方法,其特征在于,所述根据所述域名数量,将所述目标域名集合划分为两个子集合,包括:
若判断获知所述域名数量为偶数,则将所述目标域名集合划分为域名数量相等的两个子集合;
若判断获知所述域名数量为奇数,则将所述目标域名集合划分为其中一个子集合的域名数量比另一个子集合的域名数量多一个。
8.一种DGA域名的检测装置,其特征在于,包括:
聚类单元,用于对域名进行聚类,以获取若干个包含有同类特征域名的域名集合;
检测单元,用于对所述域名集合中的域名进行域名生成算法DGA检测;
确定单元,用于若判断获知检测结果为存在DGA域名,则确定所述DGA域名对应的域名请求发送方为被植入恶意代码的终端。
9.根据权利要求8所述的装置,其特征在于,所述聚类单元具体用于:
获取各域名请求发送方的IP地址,根据所述IP地址聚类得到每一IP地址对应的第一备选域名集合;
在所述第一备选域名集合中获取一级域名长度,根据所述一级域名长度聚类得到每一一级域名长度对应的第二备选域名集合;
在所述第二备选域名集合中获取各相邻域名请求对应的各发送时刻,根据所述各发送时刻,获取所述域名集合。
10.根据权利要求9所述的装置,其特征在于,所述聚类单元还具体用于:
若判断获知所述各发送时刻之间的时间间隔大于预设时间间隔,则将大于所述预设时间间隔的时间间隔对应的两个域名请求划分为两个集合,并重复执行所述若判断获知所述各发送时刻之间的时间间隔大于预设时间间隔,则将大于所述预设时间间隔的时间间隔对应的两个域名请求划分为两个集合,以获取根据所有时间间隔聚类得到的所述域名集合。
11.根据权利要求8至10任一所述的装置,其特征在于,所述检测单元具体用于:
读取一个目标域名集合;若判断获知所述目标域名集合中包含的域名数量大于等于数量阈值,则根据所述域名数量,将所述目标域名集合划分为两个子集合;
分别解析每个子集合中的一级域名,以获取每个子集合对应的所有字符;
计算所述所有字符中的每个字符的字符分布比率,并构建包含有所有字符的字符分布比率的向量;其中,所述字符分布比率为每个字符在对应子集合中所有一级域名中出现次数与所有字符在所述对应子集合中所有一级域名中出现总次数的比值;
根据所述每个子集合分别对应的所述向量,确定所述DGA检测的检测结果。
12.根据权利要求11所述的装置,其特征在于,所述检测单元还具体用于:
计算所述每个子集合分别对应的所述向量之间的欧氏距离;
若判断获知所述欧氏距离小于距离阈值,则直接确定所述检测结果为存在所述DGA域名。
13.根据权利要求12所述的装置,其特征在于,所述装置还用于:
若判断获知所述欧氏距离大于等于所述距离阈值,则继续读取下一个目标域名集合,并重复执行,直到遍历完所述域名集合中的所有目标域名集合,若判断获知所有目标域名集合的检测结果都为不存在所述DGA域名,则确定所述DGA检测的检测结果为不存在所述DGA域名。
14.根据权利要求11所述的装置,其特征在于,所述检测单元还具体用于:
若判断获知所述域名数量为偶数,则将所述目标域名集合划分为域名数量相等的两个子集合;
若判断获知所述域名数量为奇数,则将所述目标域名集合划分为其中一个子集合的域名数量比另一个子集合的域名数量多一个。
15.一种电子设备,其特征在于,包括:处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1至7任一所述的方法。
16.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如权利要求1至7任一所述的方法。
CN201810905038.1A 2018-08-09 2018-08-09 一种dga域名的检测方法及装置 Active CN109246083B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810905038.1A CN109246083B (zh) 2018-08-09 2018-08-09 一种dga域名的检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810905038.1A CN109246083B (zh) 2018-08-09 2018-08-09 一种dga域名的检测方法及装置

Publications (2)

Publication Number Publication Date
CN109246083A true CN109246083A (zh) 2019-01-18
CN109246083B CN109246083B (zh) 2021-08-03

Family

ID=65071409

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810905038.1A Active CN109246083B (zh) 2018-08-09 2018-08-09 一种dga域名的检测方法及装置

Country Status (1)

Country Link
CN (1) CN109246083B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113746952A (zh) * 2021-09-14 2021-12-03 京东科技信息技术有限公司 Dga域名检测方法、装置、电子设备及计算机存储介质
CN114666071A (zh) * 2020-12-04 2022-06-24 中国移动通信集团广东有限公司 僵尸网络识别方法、装置及终端设备

Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101702660A (zh) * 2009-11-12 2010-05-05 中国科学院计算技术研究所 异常域名检测方法及系统
US20120084860A1 (en) * 2010-10-01 2012-04-05 Alcatel-Lucent Usa Inc. System and method for detection of domain-flux botnets and the like
CN105577660A (zh) * 2015-12-22 2016-05-11 国家电网公司 基于随机森林的dga域名检测方法
CN105610830A (zh) * 2015-12-30 2016-05-25 山石网科通信技术有限公司 域名的检测方法及装置
US9654484B2 (en) * 2014-07-31 2017-05-16 Cisco Technology, Inc. Detecting DGA-based malicious software using network flow information
CN106713371A (zh) * 2016-12-08 2017-05-24 中国电子科技网络信息安全有限公司 一种基于DNS异常挖掘的Fast Flux僵尸网络检测方法
CN106911717A (zh) * 2017-04-13 2017-06-30 成都亚信网络安全产业技术研究院有限公司 一种域名检测方法及装置
CN106992969A (zh) * 2017-03-03 2017-07-28 南京理工大学 基于域名字符串统计特征的dga生成域名的检测方法
CN107566376A (zh) * 2017-09-11 2018-01-09 中国信息安全测评中心 一种威胁情报生成方法、装置及系统
CN107645503A (zh) * 2017-09-20 2018-01-30 杭州安恒信息技术有限公司 一种基于规则的恶意域名所属dga家族的检测方法
CN107666490A (zh) * 2017-10-18 2018-02-06 中国联合网络通信集团有限公司 一种可疑域名检测方法及装置
CN108156174A (zh) * 2018-01-15 2018-06-12 深圳市联软科技股份有限公司 基于c&c域名分析的僵尸网络检测方法、装置、设备及介质
CN108282450A (zh) * 2017-01-06 2018-07-13 阿里巴巴集团控股有限公司 异常域名的检测方法及装置

Patent Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101702660A (zh) * 2009-11-12 2010-05-05 中国科学院计算技术研究所 异常域名检测方法及系统
US20120084860A1 (en) * 2010-10-01 2012-04-05 Alcatel-Lucent Usa Inc. System and method for detection of domain-flux botnets and the like
US9654484B2 (en) * 2014-07-31 2017-05-16 Cisco Technology, Inc. Detecting DGA-based malicious software using network flow information
CN105577660A (zh) * 2015-12-22 2016-05-11 国家电网公司 基于随机森林的dga域名检测方法
CN105610830A (zh) * 2015-12-30 2016-05-25 山石网科通信技术有限公司 域名的检测方法及装置
CN106713371A (zh) * 2016-12-08 2017-05-24 中国电子科技网络信息安全有限公司 一种基于DNS异常挖掘的Fast Flux僵尸网络检测方法
CN108282450A (zh) * 2017-01-06 2018-07-13 阿里巴巴集团控股有限公司 异常域名的检测方法及装置
CN106992969A (zh) * 2017-03-03 2017-07-28 南京理工大学 基于域名字符串统计特征的dga生成域名的检测方法
CN106911717A (zh) * 2017-04-13 2017-06-30 成都亚信网络安全产业技术研究院有限公司 一种域名检测方法及装置
CN107566376A (zh) * 2017-09-11 2018-01-09 中国信息安全测评中心 一种威胁情报生成方法、装置及系统
CN107645503A (zh) * 2017-09-20 2018-01-30 杭州安恒信息技术有限公司 一种基于规则的恶意域名所属dga家族的检测方法
CN107666490A (zh) * 2017-10-18 2018-02-06 中国联合网络通信集团有限公司 一种可疑域名检测方法及装置
CN108156174A (zh) * 2018-01-15 2018-06-12 深圳市联软科技股份有限公司 基于c&c域名分析的僵尸网络检测方法、装置、设备及介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
王林汝: "基于静态及动态特征的恶意域名检测技术研究", 《技术与实践》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114666071A (zh) * 2020-12-04 2022-06-24 中国移动通信集团广东有限公司 僵尸网络识别方法、装置及终端设备
CN114666071B (zh) * 2020-12-04 2023-09-05 中国移动通信集团广东有限公司 僵尸网络识别方法、装置及终端设备
CN113746952A (zh) * 2021-09-14 2021-12-03 京东科技信息技术有限公司 Dga域名检测方法、装置、电子设备及计算机存储介质
CN113746952B (zh) * 2021-09-14 2024-04-16 京东科技信息技术有限公司 Dga域名检测方法、装置、电子设备及计算机存储介质

Also Published As

Publication number Publication date
CN109246083B (zh) 2021-08-03

Similar Documents

Publication Publication Date Title
Papadogeorgou et al. Causal inference with interfering units for cluster and population level treatment allocation programs
CN109413044A (zh) 一种异常访问请求识别方法及终端设备
CN109583594B (zh) 深度学习训练方法、装置、设备及可读存储介质
CN110166344B (zh) 一种身份标识识别方法、装置以及相关设备
CN104102875A (zh) 基于加权朴素贝叶斯分类器的软件服务质量监控方法及系统
CN109246083A (zh) 一种dga域名的检测方法及装置
CN103294947A (zh) 程序解析系统及方法
CN109446171A (zh) 一种数据处理方法和装置
CN108399333A (zh) 用于执行网页的防病毒扫描的系统和方法
CN109558952A (zh) 数据处理方法、系统、设备及存储介质
CN110380925A (zh) 一种网络设备探测中端口选择方法及系统
CN108600270A (zh) 一种基于网络日志的异常用户检测方法及系统
CN111476610A (zh) 一种信息检测方法、装置及计算机可读存储介质
CN110012068A (zh) 一种下载控制方法、装置及存储介质
CN115102705B (zh) 一种基于深度强化学习的自动化网络安全检测方法
CN109041071A (zh) 一种电力无线专网探针部署方法和装置
Ten Broeke et al. Cooperation can improve the resilience of common-pool resource systems against over-harvesting
CN109011565A (zh) 一种游戏运行前状态的分析方法、装置及服务器
CN103236978A (zh) As拓扑顶层自治系统结点的确定方法和装置
Bruglieri et al. Metaheuristics for the minimum gap graph partitioning problem
CN106022936B (zh) 适用论文合作网络的基于社团结构的影响最大化算法
Lesturgie et al. Coalescence times, life history traits and conservation concerns: An example from four coastal shark species from the Indo‐Pacific
CN110515819A (zh) 性能测试方法、电子设备、调度系统及介质
Zhang et al. Neural network weights do not converge to stationary points: An invariant measure perspective
Shlapentokh-Rothman et al. Securing the software defined perimeter with evolutionary co-optimization

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088

Applicant after: Qianxin Technology Group Co.,Ltd.

Address before: 100015 15, 17 floor 1701-26, 3 building, 10 Jiuxianqiao Road, Chaoyang District, Beijing.

Applicant before: Beijing Qi'anxin Technology Co.,Ltd.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant