CN109309673A - 一种基于神经网络的dns隐蔽信道检测方法 - Google Patents
一种基于神经网络的dns隐蔽信道检测方法 Download PDFInfo
- Publication number
- CN109309673A CN109309673A CN201811087694.1A CN201811087694A CN109309673A CN 109309673 A CN109309673 A CN 109309673A CN 201811087694 A CN201811087694 A CN 201811087694A CN 109309673 A CN109309673 A CN 109309673A
- Authority
- CN
- China
- Prior art keywords
- domain name
- neural network
- dns
- sample
- communication channel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000013528 artificial neural network Methods 0.000 title claims abstract description 83
- 238000004891 communication Methods 0.000 title claims abstract description 51
- 238000001514 detection method Methods 0.000 title claims abstract description 30
- 238000012549 training Methods 0.000 claims abstract description 49
- 238000007781 pre-processing Methods 0.000 claims description 13
- 239000013598 vector Substances 0.000 claims description 8
- 230000001537 neural effect Effects 0.000 claims description 6
- 210000005036 nerve Anatomy 0.000 claims description 4
- 238000012360 testing method Methods 0.000 claims description 4
- 235000013399 edible fruits Nutrition 0.000 claims description 3
- 238000003062 neural network model Methods 0.000 claims description 3
- 238000002203 pretreatment Methods 0.000 claims description 3
- 238000013135 deep learning Methods 0.000 abstract description 3
- 239000000523 sample Substances 0.000 description 37
- 238000000034 method Methods 0.000 description 8
- 238000012545 processing Methods 0.000 description 4
- 230000004044 response Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 210000004218 nerve net Anatomy 0.000 description 2
- 241000208340 Araliaceae Species 0.000 description 1
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 description 1
- 235000003140 Panax quinquefolius Nutrition 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 235000008434 ginseng Nutrition 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Life Sciences & Earth Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于神经网络的DNS隐蔽信道检测方法,将深度学习应用在DNS隐蔽信道检测的技术领域,提高了现有的DNS隐蔽信道检测方法的准确率、降低了现有的DNS隐蔽信道检测方法的误报率,将数值特征和字符特征结合使用,降低了模型训练时间,提高准确率,将可疑域名用whois查询,根据规则自动判断域名是否合法,将与神经网络预测结果不符的域名重新训练神经网络,形成循环,持续改善神经网络。
Description
技术领域
本发明涉及隐蔽信道检测方法技术领域,尤其涉及一种基于神经网络的DNS隐蔽信道检测方法。
背景技术
DNS域名系统在当今互联网的运行中起着至关重要的作用,它提供了域名与IP地址之间的双向映射服务,它使得人们可以不用去记忆那些为了让机器读取的IP数串,只需要记住相对有意义的域名即可。因为DNS是网络通信中必不可少的,所以很少有防火墙和入侵检测系统会对DNS流量进行过滤,这就为黑客们利用DNS进行攻击提供了条件。
DNS Tunneling,是隐蔽信道的一种,通过将其他协议封装在DNS协议中传输建立通信。黑客们可以利用它实现诸如远程控制、文件传输等操作。现在越来越多的研究证明DNS隐蔽信道也经常在僵尸网络和APT攻击中扮演着重要的角色。DNS隐蔽信道可以分为直连和中继两种方式。直连是指客户端和指定的目标DNS 服务器直接连接,将数据编码封装在DNS协议中进行通信,这种方式速度快,但是隐蔽性弱,而且很多时候不允许自己指定DNS服务器,应用场景有限。中继的方式是指当本地DNS服务器无法回答用户需要解析的域名时,本地DNS服务器会通过互联网与DNS查询服务器进行查询,比如从net域的服务器得到xxx.net域的授权服务器地址,最后定位到所查询域的权威DNS服务器,形成一个逻辑信道进行通信。黑客们将通信的数据封装在客户端查询的请求中,最终到达被黑客控制的权威DNS服务器,进而在该权威DNS服务器解析获得数据,再将响应信息封装在DNS协议响应中返回,达到隐蔽通信的目的。
专利“一种基于神经网络的DNS隐蔽信道检测方法”中,提出的方法是先根据阈值筛选出域名超长的DNS查询请求消息,然后对发送端IP地址和查询域名中的纯域名进行计数,一次来判断是否存在隐蔽信道。方法过于简单,缺乏更多的依据,效果并不理想。
专利“一种基于神经网络的DNS隐蔽信道检测方法”中,根据7个特征来生成随机森林,分别是DNS会话时长、DNS数据包总数、“上行大包”占DNS请求包总数的比例、“下行小包”占DNS响应报总数的比例、有效载荷的上传下载比、域名的对应的主机名数量和主动探测DNS会话中出现的域名,其中前6个特征都是数量型特征,作为实时评估向量,最后一个特征作为备选评估向量。
Almusawi等人提出了采用多标签或所谓的核支持向量机分类器来处理DNS隧道类型的分类问题。这篇文章不仅仅是把DNS隐蔽信道检测作为二分类问题,即分类标签只有合法的和隧道的,而是把隧道的又细分为FTP-DNS隧道、HTTP-DNS隧道、HTTP-DNS隧道和POP3-DNS隧道。这样做会把分类任务集中到对隧道类型的分类上,具有一定的研究价值,但是在实际应用中,我们更关心的是识别出是合法的还是隧道的,而没有必要过多的考虑隧道类型。
发明内容
本发明的目的就在于为了解决上述问题而提供一种基于神经网络的DNS隐蔽信道检测方法。
本发明通过以下技术方案来实现上述目的:
本发明包括以下步骤:
S1:对收集到的域名样本进行处理,包括分类、提取二级域名和生成词向量等,得到可以用来训练神经网络的训练样本;
S2:用训练好的神经网络模型识别待检测域名,若神经网络给出的该域名存在DNS隐蔽信道的概率超过预先设定的阈值,则将其标注为可疑域名;
S3:对可疑域名,用whois查询模块查询其一级域名,根据注册时间等信息,判断其是否合法;
S4:可疑域名从whois查询模块输出后,得到一个正确的标签,若该标签和神经网络给出的预测不同,则将该域名和正确的标签录入数据库,当数据库中的域名达到一定数量时,将这些神经网络预测“错误”的域名重新标记上正确的标签,来作为新的训练样本,对神经网络再进行训练。
本发明优选的,根据步骤S1,对收集到的域名样本进行处理时包括数据预处理模块、神经网络训练与预测模块、Whois查询可疑域名模块和神经网络再训练模块进行处理,数据预处理模块包括对待检测样本的预处理和对训练样本的预处理,预处理之后得到字符特征和数值特征,作为神经网络训练与预测模块的输入,具体的说是训练样本经过预处理后用以神经网络的训练,而经过数据预处理模块后待检测样本用训练好的神经网络来预测,神经网络训练与预测模块的输出是待检测样本为可疑样本的概率,若这个概率超过事先设定的阈值,则将对应的待检测样本的一级域名输入到Whois域名查询模块,Whois域名查询模块接收域名作为输入,根据过期时间、DNS地址、邮箱等信息判断域名是否合法,最后输出与神经网络的预测不一致的样本,并存入数据库,当数据库中的样本数量每达到一定值的时候,将其取出,作为神经网络再训练模块的输入,重新训练神经网络以更新神经网络的参数。
本发明优选的,所述数据预处理模块,在训练之前,需要对收集到的域名样本进行处理,将收集到的域名分割成主域名(main_domain)和子域名(sub_domain),将子域名字符存入字典,用索引进行编码,数据预处理模块计算子域名的长度和信息熵作为数值特征,对于训练样本,除了上述处理外,还会将这些样本作上标签用来训练神经网络。
本发明优选的,所述神经网络的训练与预测模块,将收集到的域名样本经过数据预处理之后,将80%的数据作为训练集,20%的数据用来测试,对神经网络进行10轮训练,然后用经过数据预处理之后的待检测样本作为训练好的神经网络的输入,进行预测。
本发明优选的,所述Whois可疑域名查询模块,主域名信息一般是在whois中可查的,因为域名都是注册过的并且正常域名是尽量将注册者的信息完善化的,这是因为越完善的信息该域名越不容易被屏蔽或拉黑,也就保证了域名的正常访问。
本发明优选的,所述神经网络的再训练模块,对于网络模型预测错误的域名,将其存入数据库,数据库中的域名数量每达到一定数值时,则将这些域名取出,经过与上述一样的预处理步骤,得到新的训练样本,重新训练网络模型,更新网络模型的参数,更新参数后的神经网络在预测域名是否存在DNS隐蔽信道的过程中,若神经网络的预测没有达到阈值或者和Whois域名查询模块给出的结果一致,则忽略该域名,若预测结果和Whois域名查询模块不一致则重复上述该过程。
本发明优选的,所述关于main_domain判断其是隐蔽信道的规则如下:
1)时间:创建时间比较晚,一般在两年以内,同时过期时间比较早;
2)DNS地址:由于隐蔽信道传递信息是需要有接收端的,一般会用自己的DNS地址来接受,域名的DNS是一些比较知名的公用的DNS服务器,那么其是隐蔽信道的可能性比较小,如果其用的是main_doamin本身做域名服务器那么此域名就更可能是黑的;
3)邮箱、联系人、电话等个人信息:正常域名会公布这些注册者的信息,并且其中以公司邮箱注册的可能性也比较大,如果这些信息中有privacy域名隐私保护的则认为其更可能是隐蔽信道。
本发明的有益效果在于:
本发明提供一种基于神经网络的DNS隐蔽信道检测方法,将深度学习应用在DNS隐蔽信道检测的技术领域,提高了现有的DNS隐蔽信道检测方法的准确率、降低了现有的DNS隐蔽信道检测方法的误报率,将数值特征和字符特征结合使用,降低了模型训练时间,提高准确率,将可疑域名用whois查询,根据规则自动判断域名是否合法,将与神经网络预测结果不符的域名重新训练神经网络,形成循环,持续改善神经网络。
附图说明
图1是本发明所述一种基于神经网络的DNS隐蔽信道检测方法的流程结构示意图;
图2是本发明所述神经网络预测流程图;
图3是本发明所述whois域名查询流程图;
图4是本发明所述神经网络的再训练模块流程图。
具体实施方式
下面结合附图对本发明作进一步说明:
如图1所示:本发明包括以下步骤:
S1:对收集到的域名样本进行处理,包括分类、提取二级域名和生成词向量等,得到可以用来训练神经网络的训练样本;
S2:用训练好的神经网络模型识别待检测域名,若神经网络给出的该域名存在DNS隐蔽信道的概率超过预先设定的阈值,则将其标注为可疑域名;
S3:对可疑域名,用whois查询模块查询其一级域名,根据注册时间等信息,判断其是否合法;
S4:可疑域名从whois查询模块输出后,得到一个正确的标签,若该标签和神经网络给出的预测不同,则将该域名和正确的标签录入数据库,当数据库中的域名达到一定数量时,将这些神经网络预测“错误”的域名重新标记上正确的标签,来作为新的训练样本,对神经网络再进行训练。
根据步骤S1,对收集到的域名样本进行处理时包括数据预处理模块、神经网络训练与预测模块、Whois查询可疑域名模块和神经网络再训练模块进行处理,数据预处理模块包括对待检测样本的预处理和对训练样本的预处理,预处理之后得到字符特征和数值特征,作为神经网络训练与预测模块的输入,具体的说是训练样本经过预处理后用以神经网络的训练,而经过数据预处理模块后待检测样本用训练好的神经网络来预测,神经网络训练与预测模块的输出是待检测样本为可疑样本的概率,若这个概率超过事先设定的阈值,则将对应的待检测样本的一级域名输入到Whois域名查询模块,Whois域名查询模块接收域名作为输入,根据过期时间、DNS地址、邮箱等信息判断域名是否合法,最后输出与神经网络的预测不一致的样本,并存入数据库,当数据库中的样本数量每达到一定值的时候,将其取出,作为神经网络再训练模块的输入,重新训练神经网络以更新神经网络的参数。
所述数据预处理模块,在训练之前,需要对收集到的域名样本进行处理,将收集到的域名分割成主域名(main_domain)和子域名(sub_domain),例如wenxue.baidu.com-->wenxue(sub_domain)和baidu.com(main_domain),将子域名字符存入字典,用索引进行编码,因为域名的长短不一致,而我们需要得到维度一致的特征向量,所以我们对域名进行填充,最终得到长度一致的向量。除此之外,该模块还计算子域名的长度和信息熵作为数值特征,对于训练样本,除了上述处理外,本模块还会将这些样本作上标签用来训练神经网络。
如图2所示,所述神经网络的训练与预测模块。我们收集到的域名样本经过数据预处理之后,将80%的数据作为训练集,20%的数据用来测试,对神经网络进行10轮训练(可以根据实际情况调节)。然后用经过数据预处理之后的待检测样本作为训练好的神经网络的输入,进行预测。神经网络预测的流程图如图2所示,神经网络预测后得到待检测域名存在DNS隐蔽信道的概率值,若该值超过阈值90%(可根据实际情况调整),则认为该域名为可疑域名,对应的主域名作为Whois域名查询模块的输入,若没有达到阈值则忽略。
如图3所示,所述Whois可疑域名查询模块。主域名信息一般是在whois中可查的,因为域名都是注册过的并且正常域名是尽量将注册者的信息完善化的,这是因为越完善的信息该域名越不容易被屏蔽或拉黑,也就保证了域名的正常访问。
所述关于main_domain我们的判断其是隐蔽信道的规则如下:
1)时间 :创建时间比较晚,一般在两年以内;同时过期时间比较早;
2)DNS地址:由于隐蔽信道传递信息是需要有接收端的,一般会用自己的DNS地址来接受,也就是说如果此域名的DNS是一些比较知名的公用的DNS服务器那么其是隐蔽信道的可能性比较小,在此我们总结了一个DNS服务器库,认为其不再此库中就认为是黑的。当然如果其用的是main_doamin本身做域名服务器那么此域名就更可能是黑的;
3)邮箱、联系人、电话等个人信息:正常域名会公布这些注册者的信息,并且其中以公司邮箱注册的可能性也比较大。如果这些信息中有privacy域名隐私保护的则认为其更可能是隐蔽信道。
whois域名查询模块的具体流程如图3所示。如果可疑域名的时间是合法的,我们则查看其DNS地址是否在DNS服务器库中。若没有则认为是DNS隐蔽信道,若有则认为是合法的,进行下一步判断。判断其邮箱、电话等信息是否真正存在,因为很多DNS隐蔽信道使用的域名时临时注册的,不会留下真实的邮箱、联系人姓名、电话、手机等信息
所述神经网络的再训练模块的流程图如图4所示。对于网络模型预测错误的域名,我们将其存入数据库,数据库中的域名数量每达到一定数值时,则将这些域名取出,经过与上述一样的预处理步骤,得到新的训练样本,重新训练网络模型,更新网络模型的参数。更新参数后的神经网络在预测域名是否存在DNS隐蔽信道的过程中,若神经网络的预测没有达到阈值或者和Whois域名查询模块给出的结果一致,则忽略该域名,若预测结果和Whois域名查询模块不一致则重复上述该过程。
综上所述,本发明提供一种基于神经网络的DNS隐蔽信道检测方法,将深度学习应用在DNS隐蔽信道检测的技术领域,提高了现有的DNS隐蔽信道检测方法的准确率、降低了现有的DNS隐蔽信道检测方法的误报率,将数值特征和字符特征结合使用,降低了模型训练时间,提高准确率,将可疑域名用whois查询,根据规则自动判断域名是否合法,将与神经网络预测结果不符的域名重新训练神经网络,形成循环,持续改善神经网络。
本领域技术人员不脱离本发明的实质和精神,可以有多种变形方案实现本发明,以上所述仅为本发明较佳可行的实施例而已,并非因此局限本发明的权利范围,凡运用本发明说明书及附图内容所作的等效结构变化,均包含于本发明的权利范围之内。
Claims (7)
1.一种基于神经网络的DNS隐蔽信道检测方法,其特征在于,包括以下步骤:
S1:对收集到的域名样本进行处理,包括分类、提取二级域名和生成词向量等,得到可以用来训练神经网络的训练样本;
S2:用训练好的神经网络模型识别待检测域名,若神经网络给出的该域名存在DNS隐蔽信道的概率超过预先设定的阈值,则将其标注为可疑域名;
S3:对可疑域名,用whois查询模块查询其一级域名,根据注册时间等信息,判断其是否合法;
S4:可疑域名从whois查询模块输出后,得到一个正确的标签,若该标签和神经网络给出的预测不同,则将该域名和正确的标签录入数据库,当数据库中的域名达到一定数量时,将这些神经网络预测“错误”的域名重新标记上正确的标签,来作为新的训练样本,对神经网络再进行训练。
2.根据权利要求1所述的一种基于神经网络的DNS隐蔽信道检测方法,其特征在于:根据步骤S1,对收集到的域名样本进行处理时包括数据预处理模块、神经网络训练与预测模块、Whois查询可疑域名模块和神经网络再训练模块进行处理,数据预处理模块包括对待检测样本的预处理和对训练样本的预处理,预处理之后得到字符特征和数值特征,作为神经网络训练与预测模块的输入,具体的说是训练样本经过预处理后用以神经网络的训练,而经过数据预处理模块后待检测样本用训练好的神经网络来预测,神经网络训练与预测模块的输出是待检测样本为可疑样本的概率,若这个概率超过事先设定的阈值,则将对应的待检测样本的一级域名输入到Whois域名查询模块,Whois域名查询模块接收域名作为输入,根据过期时间、DNS地址、邮箱等信息判断域名是否合法,最后输出与神经网络的预测不一致的样本,并存入数据库,当数据库中的样本数量每达到一定值的时候,将其取出,作为神经网络再训练模块的输入,重新训练神经网络以更新神经网络的参数。
3.根据权利要求2所述的一种基于神经网络的DNS隐蔽信道检测方法,其特征在于:所述数据预处理模块,在训练之前,需要对收集到的域名样本进行处理,将收集到的域名分割成主域名(main_domain)和子域名(sub_domain),将子域名字符存入字典,用索引进行编码,数据预处理模块计算子域名的长度和信息熵作为数值特征,对于训练样本,除了上述处理外,还会将这些样本作上标签用来训练神经网络。
4.根据权利要求2所述的一种基于神经网络的DNS隐蔽信道检测方法,其特征在于:所述神经网络的训练与预测模块,将收集到的域名样本经过数据预处理之后,将80%的数据作为训练集,20%的数据用来测试,对神经网络进行10轮训练,然后用经过数据预处理之后的待检测样本作为训练好的神经网络的输入,进行预测。
5.根据权利要求2所述的一种基于神经网络的DNS隐蔽信道检测方法,其特征在于:所述Whois可疑域名查询模块,主域名信息一般是在whois中可查的,因为域名都是注册过的并且正常域名是尽量将注册者的信息完善化的,这是因为越完善的信息该域名越不容易被屏蔽或拉黑,也就保证了域名的正常访问。
6.根据权利要求2所述的一种基于神经网络的DNS隐蔽信道检测方法,其特征在于:所述神经网络的再训练模块,对于网络模型预测错误的域名,将其存入数据库,数据库中的域名数量每达到一定数值时,则将这些域名取出,经过与上述一样的预处理步骤,得到新的训练样本,重新训练网络模型,更新网络模型的参数,更新参数后的神经网络在预测域名是否存在DNS隐蔽信道的过程中,若神经网络的预测没有达到阈值或者和Whois域名查询模块给出的结果一致,则忽略该域名,若预测结果和Whois域名查询模块不一致则重复上述该过程。
7.根据权利要求5所述的一种基于神经网络的DNS隐蔽信道检测方法,其特征在于:所述关于main_domain判断其是隐蔽信道的规则如下:
1)时间:创建时间比较晚,一般在两年以内,同时过期时间比较早;
2)DNS地址:由于隐蔽信道传递信息是需要有接收端的,一般会用自己的DNS地址来接受,域名的DNS是一些比较知名的公用的DNS服务器,那么其是隐蔽信道的可能性比较小,如果其用的是main_doamin本身做域名服务器那么此域名就更可能是黑的;
3)邮箱、联系人、电话等个人信息:正常域名会公布这些注册者的信息,并且其中以公司邮箱注册的可能性也比较大,如果这些信息中有privacy域名隐私保护的则认为其更可能是隐蔽信道。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811087694.1A CN109309673A (zh) | 2018-09-18 | 2018-09-18 | 一种基于神经网络的dns隐蔽信道检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811087694.1A CN109309673A (zh) | 2018-09-18 | 2018-09-18 | 一种基于神经网络的dns隐蔽信道检测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109309673A true CN109309673A (zh) | 2019-02-05 |
Family
ID=65225055
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811087694.1A Pending CN109309673A (zh) | 2018-09-18 | 2018-09-18 | 一种基于神经网络的dns隐蔽信道检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109309673A (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110071829A (zh) * | 2019-04-12 | 2019-07-30 | 腾讯科技(深圳)有限公司 | Dns隧道检测方法、装置及计算机可读存储介质 |
| CN110602094A (zh) * | 2019-09-09 | 2019-12-20 | 华侨大学 | 一种基于感知哈希的时间式网络隐蔽信道检测方法 |
| CN110838913A (zh) * | 2019-11-26 | 2020-02-25 | 华侨大学 | 一种基于秘密共享的时间式网络隐蔽信道检测方法 |
| CN111901449A (zh) * | 2020-07-01 | 2020-11-06 | 四川速宝网络科技有限公司 | 一种优化域名访问的方法及装置 |
| CN111953673A (zh) * | 2020-08-10 | 2020-11-17 | 深圳市联软科技股份有限公司 | 一种dns隐蔽隧道检测方法及系统 |
| CN112085039A (zh) * | 2019-06-12 | 2020-12-15 | 四川大学 | 一种基于随机森林的icmp隐蔽通道检测方法 |
| CN112351018A (zh) * | 2020-10-28 | 2021-02-09 | 东巽科技(北京)有限公司 | Dns隐蔽信道检测方法、装置及设备 |
| CN112367312A (zh) * | 2020-10-30 | 2021-02-12 | 北京亚鸿世纪科技发展有限公司 | 一种研判dns隐蔽隧道的检测方法及装置 |
| CN112769811A (zh) * | 2020-12-30 | 2021-05-07 | 北京天融信网络安全技术有限公司 | 一种隐蔽信道检测模型更新方法及装置 |
| CN112836214A (zh) * | 2019-11-22 | 2021-05-25 | 南京聚铭网络科技有限公司 | 一种通讯协议隐蔽通道检测方法 |
| CN113810372A (zh) * | 2021-08-06 | 2021-12-17 | 杭州电子科技大学 | 一种低吞吐量dns隐蔽信道检测方法及装置 |
| CN113839948A (zh) * | 2021-09-26 | 2021-12-24 | 新华三信息安全技术有限公司 | 一种dns隧道流量检测方法、装置、电子设备和存储介质 |
| CN117671572A (zh) * | 2024-02-02 | 2024-03-08 | 深邦智能科技集团(青岛)有限公司 | 一种多平台联动的道路图像模型处理系统及方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120054860A1 (en) * | 2010-09-01 | 2012-03-01 | Raytheon Bbn Technologies Corp. | Systems and methods for detecting covert dns tunnels |
| CN102624706A (zh) * | 2012-02-22 | 2012-08-01 | 上海交通大学 | 一种dns隐蔽信道的检测方法 |
| CN106230867A (zh) * | 2016-09-29 | 2016-12-14 | 北京知道创宇信息技术有限公司 | 预测域名是否恶意的方法、系统及其模型训练方法、系统 |
| CN107786575A (zh) * | 2017-11-11 | 2018-03-09 | 北京信息科技大学 | 一种基于dns流量的自适应恶意域名检测方法 |
| CN108282450A (zh) * | 2017-01-06 | 2018-07-13 | 阿里巴巴集团控股有限公司 | 异常域名的检测方法及装置 |
-
2018
- 2018-09-18 CN CN201811087694.1A patent/CN109309673A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120054860A1 (en) * | 2010-09-01 | 2012-03-01 | Raytheon Bbn Technologies Corp. | Systems and methods for detecting covert dns tunnels |
| CN102624706A (zh) * | 2012-02-22 | 2012-08-01 | 上海交通大学 | 一种dns隐蔽信道的检测方法 |
| CN106230867A (zh) * | 2016-09-29 | 2016-12-14 | 北京知道创宇信息技术有限公司 | 预测域名是否恶意的方法、系统及其模型训练方法、系统 |
| CN108282450A (zh) * | 2017-01-06 | 2018-07-13 | 阿里巴巴集团控股有限公司 | 异常域名的检测方法及装置 |
| CN107786575A (zh) * | 2017-11-11 | 2018-03-09 | 北京信息科技大学 | 一种基于dns流量的自适应恶意域名检测方法 |
Non-Patent Citations (2)
| Title |
|---|
| 张猛;孙昊良;杨鹏;: "基于改进卷积神经网络识别DNS隐蔽信道" * |
| 章思宇;邹福泰;王鲁华;陈铭;: "基于DNS的隐蔽通道流量检测" * |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110071829A (zh) * | 2019-04-12 | 2019-07-30 | 腾讯科技(深圳)有限公司 | Dns隧道检测方法、装置及计算机可读存储介质 |
| CN112085039B (zh) * | 2019-06-12 | 2022-08-16 | 四川大学 | 一种基于随机森林的icmp隐蔽通道检测方法 |
| CN112085039A (zh) * | 2019-06-12 | 2020-12-15 | 四川大学 | 一种基于随机森林的icmp隐蔽通道检测方法 |
| CN110602094A (zh) * | 2019-09-09 | 2019-12-20 | 华侨大学 | 一种基于感知哈希的时间式网络隐蔽信道检测方法 |
| CN112836214A (zh) * | 2019-11-22 | 2021-05-25 | 南京聚铭网络科技有限公司 | 一种通讯协议隐蔽通道检测方法 |
| CN110838913A (zh) * | 2019-11-26 | 2020-02-25 | 华侨大学 | 一种基于秘密共享的时间式网络隐蔽信道检测方法 |
| CN111901449A (zh) * | 2020-07-01 | 2020-11-06 | 四川速宝网络科技有限公司 | 一种优化域名访问的方法及装置 |
| CN111901449B (zh) * | 2020-07-01 | 2022-07-22 | 四川速宝网络科技有限公司 | 一种优化域名访问的方法及装置 |
| CN111953673B (zh) * | 2020-08-10 | 2022-07-05 | 深圳市联软科技股份有限公司 | 一种dns隐蔽隧道检测方法及系统 |
| CN111953673A (zh) * | 2020-08-10 | 2020-11-17 | 深圳市联软科技股份有限公司 | 一种dns隐蔽隧道检测方法及系统 |
| CN112351018A (zh) * | 2020-10-28 | 2021-02-09 | 东巽科技(北京)有限公司 | Dns隐蔽信道检测方法、装置及设备 |
| CN112367312A (zh) * | 2020-10-30 | 2021-02-12 | 北京亚鸿世纪科技发展有限公司 | 一种研判dns隐蔽隧道的检测方法及装置 |
| CN112367312B (zh) * | 2020-10-30 | 2022-10-11 | 北京亚鸿世纪科技发展有限公司 | 一种研判dns隐蔽隧道的检测方法及装置 |
| CN112769811A (zh) * | 2020-12-30 | 2021-05-07 | 北京天融信网络安全技术有限公司 | 一种隐蔽信道检测模型更新方法及装置 |
| CN113810372A (zh) * | 2021-08-06 | 2021-12-17 | 杭州电子科技大学 | 一种低吞吐量dns隐蔽信道检测方法及装置 |
| CN113810372B (zh) * | 2021-08-06 | 2022-10-04 | 杭州电子科技大学 | 一种低吞吐量dns隐蔽信道检测方法及装置 |
| CN113839948A (zh) * | 2021-09-26 | 2021-12-24 | 新华三信息安全技术有限公司 | 一种dns隧道流量检测方法、装置、电子设备和存储介质 |
| CN113839948B (zh) * | 2021-09-26 | 2023-10-24 | 新华三信息安全技术有限公司 | 一种dns隧道流量检测方法、装置、电子设备和存储介质 |
| CN117671572A (zh) * | 2024-02-02 | 2024-03-08 | 深邦智能科技集团(青岛)有限公司 | 一种多平台联动的道路图像模型处理系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109309673A (zh) | 一种基于神经网络的dns隐蔽信道检测方法 | |
| CN109510815B (zh) | 一种基于有监督学习的多级钓鱼网站检测方法及检测系统 | |
| US7272853B2 (en) | Origination/destination features and lists for spam prevention | |
| Seymour et al. | Weaponizing data science for social engineering: Automated E2E spear phishing on Twitter | |
| US8438386B2 (en) | System and method for developing a risk profile for an internet service | |
| Torabi et al. | Detecting Internet abuse by analyzing passive DNS traffic: A survey of implemented systems | |
| US7984500B1 (en) | Detecting fraudulent activity by analysis of information requests | |
| CN109274632B (zh) | 一种网站的识别方法及装置 | |
| CN102638448A (zh) | 一种基于非内容分析的判断钓鱼网站的方法 | |
| CN108449342A (zh) | 恶意请求检测方法及装置 | |
| CN106453216A (zh) | 恶意网站拦截方法、装置及客户端 | |
| CN106230867A (zh) | 预测域名是否恶意的方法、系统及其模型训练方法、系统 | |
| US20230040895A1 (en) | System and method for developing a risk profile for an internet service | |
| US11997109B2 (en) | Malicious homoglyphic domain name detection and associated cyber security applications | |
| CN110830490B (zh) | 基于带对抗训练深度网络的恶意域名检测方法及系统 | |
| CN105376217B (zh) | 一种恶意跳转及恶意嵌套类不良网站的自动判定方法 | |
| CN108540490A (zh) | 一种钓鱼网站的检测和域名备案存储方法 | |
| CN108156165A (zh) | 一种误报检测的方法以及系统 | |
| CN107295118A (zh) | 联系人查找方法和装置 | |
| CN112333185A (zh) | 一种基于dns解析的域名阴影检测方法和装置 | |
| Zhu et al. | An effective neural network phishing detection model based on optimal feature selection | |
| CN107453973A (zh) | 一种甄别电子邮件发送者身份特征的方法和装置 | |
| CN107220262A (zh) | 信息处理方法和装置 | |
| CN113746804A (zh) | Dns隐蔽信道检测方法、装置、设备及存储介质 | |
| CN110069910A (zh) | 一种机器行为确定方法、网页浏览器及网页服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| CB02 | Change of applicant information |
Address after: No. 1 Dongji Avenue, Jiangning Economic and Technological Development Zone, Nanjing, Jiangsu Province, 211000 Applicant after: XINLIAN TECHNOLOGY (NANJING) Co.,Ltd. Address before: No. 1 Dongji Avenue, Jiangning Economic and Technological Development Zone, Nanjing, Jiangsu Province, 211000 Applicant before: NANJING FANGHENG INFORMATION TECHNOLOGY Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20190205 |
|
| WD01 | Invention patent application deemed withdrawn after publication |