CN109450845A - 一种基于深度神经网络的算法生成恶意域名检测方法 - Google Patents

一种基于深度神经网络的算法生成恶意域名检测方法 Download PDF

Info

Publication number
CN109450845A
CN109450845A CN201811090443.9A CN201811090443A CN109450845A CN 109450845 A CN109450845 A CN 109450845A CN 201811090443 A CN201811090443 A CN 201811090443A CN 109450845 A CN109450845 A CN 109450845A
Authority
CN
China
Prior art keywords
domain name
layer
neural network
deep neural
algorithm
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201811090443.9A
Other languages
English (en)
Other versions
CN109450845B (zh
Inventor
沈继忠
许聪源
杜歆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang University ZJU
Original Assignee
Zhejiang University ZJU
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang University ZJU filed Critical Zhejiang University ZJU
Priority to CN201811090443.9A priority Critical patent/CN109450845B/zh
Publication of CN109450845A publication Critical patent/CN109450845A/zh
Application granted granted Critical
Publication of CN109450845B publication Critical patent/CN109450845B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Abstract

本发明公开了一种基于深度神经网络的算法生成恶意域名检测方法。该检测方法的核心组件是一个多层深度神经网络。所述的多层深度神经网络包括:输入层、预处理层、域名表示层、特征提取层、分类层和输出层。输入层直接接受字符形式编码的域名字符串;预处理层用于提取域名的主体部分;域名表示层通过n‑gram表示方法,将域名信息组织成一个二维张量;特征提取层使用分块卷积结构提取特征;分类层由神经网络分类器构成,利用特征进行分类;输出层用于输出归一化概率。本发明对多数恶意域名,尤其是基于单词表和可发音的算法生成恶意域名检测效果良好,有实际应用价值。

Description

一种基于深度神经网络的算法生成恶意域名检测方法
技术领域
本发明涉及信息安全技术领域,尤其涉及一种基于深度神经网络的算法生成恶意域名检测方法。
背景技术
近年来,在利益驱使下,攻击者大量使用感染病毒的僵尸主机进行非法活动,例如发送垃圾信息,窃取信息,发起分布式拒绝服务攻击等。由此导致大量僵尸主机构成的僵尸网络发展迅速,僵尸主机的总数量也逐年增加,已经成为影响互联网安全的重要威胁之一。一个典型的僵尸网络由僵尸主机,C&C(command&control)服务器和攻击者组成。其中攻击者是攻击的发起方,他们通过C&C服务器中继来实现给僵尸主机更新程序,下达命令等操作,其后由接到命令的僵尸主机完成实际的攻击行为。在互联网上,越来越多的僵尸主机通过域名系统(Domain Name System,DNS)来动态切换C&C服务器。域名生成算法(DomainGeneration Algorithm,DGA)就是在此场景下应运而生,它可以在短时间内生成大量域名,僵尸主机会选择其中的少部分用于和C&C服务器通信。检测僵尸网络活动的一个重要方法就是检测这些由算法生成的恶意域名。
这类由算法生成的恶意域名的检测方法,可以分为手动检测和自动检测两大类。手动检测需要安全从业人员介入,由人工判断域名类型,费时费力,难以满足网络安全的实时性要求。自动检测由计算机系统自动完成检测,主要可以分为两类。一类是对DNS底层流量或者日志进行分析,DNS底层流量提供了大量关于DNS请求和响应的细节,可以较为全面地寻找和分类这列域名。但是,这也限制了这类检测方法的应用场景,即检测系统需要部署在互联网服务提供商(ISP)的机房或者企事业单位的网络中心。另一类方法尝试根据域名本身的特性来检测,它们的输入都仅仅是域名字符串。这类基于域名字符的检测只需要域名本身,解决了应用场景受限的问题。但是仅有域名字符串提供了较少的信息,这对检测算法提出了更高的要求,通常这些检测方法需要事先由人工指定一些特征,计算机根据这些人工提取的特征进行检测。此外,已有的工作并没有深入分析不同域名生成算法的区别和字符信息来源,因此对于不同的恶意域名,检测效果波动较大,在实际应用中有较大局限性。
发明内容
本发明的目的在于针对现有的算法生成恶意域名检测方法上的不足,提出一种基于深度神经网络的算法生成恶意域名检测方法。这种方法只需要输入待测域名本身,就可以判断待测域名是否属于算法生成恶意域名。
为了达到上述目的,本发明采用以下技术方案:一种基于深度神经网络的算法生成恶意域名检测方法,包括以下步骤:设计一个特定的多层深度神经网络,待测域名输入到该深度神经网络,经过逐层计算,从网络中输出待测域名属于算法生成恶意域名的概率,由概率值判断待测域名是否属于算法生成恶意域名。具体检测步骤如下:
步骤1:建立用于检测算法生成恶意域名的深度神经网络,该深度神经网络由输入层、预处理层、域名表示层、特征提取层、分类层和输出层组成;
所述输入层直接接收字符形式编码的域名字符串;
所述预处理层用于提取域名字符串中的域名主体部分,即去除顶级域,二级域等非决定性因素,保留对检测有决定性作用的主体部分;
所述域名表示层通过n-gram表示方法,将域名主体部分组织成一个二维张量;
所述特征提取层使用分块卷积结构从域名表示层获得的二维张量中提取分类特征;
所述分类层由多层全相连网络构成;
所述输出层使用非线性函数计算并输出域名属于算法生成恶意域名的概率;
步骤2:使用随机梯度下降法训练用于检测算法生成恶意域名的深度神经网络;
步骤3:将待测域名以字符形式编码组成域名字符串,输入训练好的深度神经网络,得到待测域名属于算法生成恶意域名的概率,由概率值判断待测域名是否属于算法生成恶意域名。
进一步地,所述特征提取层使用分块卷积结构提取特征,具体为:堆叠至少两个不同大小的卷积核,每个卷积核均从二维张量中获取不同尺度的分类特征,从而增加网络对不同尺度特征的适应性,同时并不额外增加网络的深度;不同卷积核提取的高维特征可以依次排列,构成高维特征向量。
进一步地,所述卷积核使用非中心对称的卷积核。
进一步地,所述分类层的每层全相连网络均可根据需要设置随机失活模块,以防止网络过拟合。
进一步地,所述输出层使用Sigmoid函数计算归一化概率。
进一步地,实际使用中,在输出层中可以设定一个门限,将概率二值化为0或1,分别表示待检测的域名是正常域名或恶意域名。
本发明有如下的有益效果:
1.本检测方法以端到端的方式工作,不需要人工提取特征,也不需要域名系统(DNS)上下文信息,只需要输入域名本身,就可以估计该域名属于算法生成恶意域名的概率。
2.基于单词表和可发音的算法生成恶意域名用传统的检测方法效果较差,本检测方法通过n-gram表达和卷积操作提取的特征依然可以实现有效检测。
3.二维卷积操作使用分块卷积结构,可以充分利用现代计算机的多核处理器和GPU进行并行计算,达到较高的运行效率,从而提高检测速度。
附图说明
图1是本发明实施例的深度神经网络结构示意图;
图2是本发明实施例的特征提取层中二维卷积操作的示意图。
具体实施方式
下面结合附图对本发明做进一步详细说明。
图1是本发明实施例的深度神经网络结构示意图,图中各模块的中文名称分别是:
1.Input——输入层;
2.Preprocess——预处理层;
3.Domain Presentation——域名表示层;
4.Feature Extraction——特征提取层;
5.Classification——分类层;
6.Output——输出层。
以域名www.Example.com为例,如图1所示,具体检测步骤如下:
步骤1,获取待测域名,以字符形式编码组成域名字符串“www.Example.com”,输入深度神经网络。
步骤2,通过预处理层对步骤1输入的域名进行预处理。输入的域名先统一为小写字母形式,变为“www.example.com”。接着提取域名主体部分,去除顶级域“.com”,二级域“www.”等非决定性因素,保留对检测有决定性作用的主体部分“example”。
步骤3,域名表示层将步骤2得到的域名主体部分“example”,通过n-gram表示方法,将域名信息展开成二维结构,具体表达形式为组织成一个二维张量。n-gram是一种应用于计算语言学等领域的n元语言序列模型。n-gram是指文本中连续出现的n个词,在处理字符级问题中,即定义为连续出现的n个字符。n-gram模型可以用于预测一个特定序列中下一项概率,与n-1阶马尔科夫链类似。而在本发明中,n-gram提供了一种域名表示的方法,当n取值为1,2和3时,n-gram通常又称为unigram,bigram和trigram。把域名字符串转换为n-gram表示的方法是:将预处理后的域名看做一个字符串d,使用一个长度为n的滑动窗w来操作,依次取出滑动窗中的元素,按顺序排列得到n-gram特征。以n=2为例,“example”的bigram表示为['ex','xa','am','mp','pl','le']。
步骤4,特征提取层以步骤3得到的二维张量作为输入,进行二维卷积操作,提取高维特征。如图2所示的特征提取层中二维卷积操作的示意图,描述的是一个3x4的非中心对称卷积核将输入张量映射到高维的特征张量,完成一个特征提取的过程,图2中各部分的中文名称分别是:
1.Input Tensor——输入张量;
2.Feature Tensor A——特征张量A;
3.Feature Tensor B——特征张量B。
一个二维卷积操作的输入张量是一个二维张量:2个维度分别是特征维度和长度维度。首先输入张量经过如下卷积操作得特征张量A:
其中,fout是网络的输出,X是输入到卷积核的数据,σ是非线性激活函数,是Hadamard积,w和b是卷积核的权重和偏置参数,d1和d2是输入数据的2个维度,c是通道数。
卷积后得到的特征张量A还需要进行一个池化(Pooling)操作。这里使用的是最大化池化(Max pooling),即在高维特征张量中,从相邻数据块中选取最大值作为输出,得到特征张量B。池化的主要功能是实现非线性下采样,剔除部分冗余特征,降低神经网络后续的计算量。
二维卷积操作通过分块卷积结构完成,主要通过堆叠多个不同大小的卷积核,增加了网络对不同尺度特征的适应性,同时并不额外增加网络的深度。不同卷积核提取的高维特征依次排列,构成高维特征向量。图1中分块卷积结构包含4个长度维度分别为2,3,5,7的卷积核。实际使用时,分块卷积结构并不局限于此数量的卷积核,大小也可以根据实际情况调整。
步骤5,分类层以步骤4输出的高维特征向量作为输入,将通过分类器进行分类,输出分类向量。分类器由多层全相连网络构成,每层可根据需要设置随机失活模块(Dropout)以防止网络过拟合。图1中,分类器由3层全相连网络构成,每层有128个神经元,都加上了随机失活模块。实际使用中并不局限于此规格(3层,128个神经元),随机失活模块也可以不设置。
步骤6,输出层以步骤5输出的分类向量作为输入,使用Sigmoid函数计算归一化概率。这个概率就是待测域名属于算法生成恶意域名的概率。实际使用中,可以设定一个门限将概率二值化为0或1,分别表示待检测的域名是正常域名或恶意域名。本例中,门限设为0.5,待测域名输出的概率为0.1左右,远低于门限。因此二值化为0,表示本发明的检测方法判断这是一个正常域名,而不是算法生成恶意域名。
本发明中的深度神经网络在使用前需要确定网络各参数的值,这一过程称为神经网络的训练过程。训练方法使用基于随机梯度下降(SGD)的ADAM优化方法。当然在实际应用中,可以直接使用训练好的网络,也可以自行采集数据进行训练。
目前在算法生成恶意域名检测问题上,并没有广泛使用的已标记数据集,因此需要搜集不同种类的域名用于构建数据集,以下给出一种构建数据集的方法。正常域名来自Alexa网站排名,Alexa列出了互联网上最流行的一百万个网站的域名,并根据流行程度排序。这里可以取前一万个最流行的域名作为正常域名的样本列入数据集。算法生成恶意域名的获得相对来说途径比较少,一种方法是通过已经被逆向的域名生成算法自己运算生成,另一种方法是通过公司/组织收集得到的在互联网上存在过的真实恶意域名。本发明使用的数据全部是后者,来源于公开的DGArchive项目,每一种恶意域名都取一万个。列入数据集里的域名不区分前后顺序,只保留正常或恶意的属性标签,随机选择用于训练。
本实施例中,我们选取了16类常见的算法生成恶意域名,依次加入一定数量的Alexa网站排名中列出的域名作为正常域名,按上述步骤构建数据集并进行检测测试实验。实验过程中,数据集以随机选取的方式划分成了训练集和测试集两部分,其中训练集用于训练深度神经网络,测试集用于评估检测的效果。检测实验的结果如下:该方法平均检测率达到96.65%,平均F-measure达到97.58%。而且本方法的检测效果比较稳定,全部种类的算法生成恶意域名的检测率都在90%以上。特别是对于基于单词表和可发音的算法生成恶意域名检测也依然有效,没有对上述16种的任何一种算法生成恶意域名检测失败的情况发生。
应当理解的是,上述实施例为了便于普通技术人员理解,描述较为详细且具体,并不能因此而认为是对本发明专利保护范围的限制,本领域的普通技术人员在本发明的启示下,在不脱离本发明权利要求所保护的范围情况下,还可以做出替换或变形,均落入本发明的保护范围之内,本发明的请求保护范围应以所附权利要求为准。

Claims (7)

1.一种基于深度神经网络的算法生成恶意域名检测方法,其特征在于,包括以下步骤:
步骤1:建立用于检测算法生成恶意域名的深度神经网络,该深度神经网络由输入层、预处理层、域名表示层、特征提取层、分类层和输出层组成;
所述输入层直接接收字符形式编码的域名字符串;
所述预处理层用于提取域名字符串中的域名主体部分;
所述域名表示层通过n-gram表示方法,将域名主体部分组织成一个二维张量;
所述特征提取层使用分块卷积结构从域名表示层获得的二维张量中提取分类特征;
所述分类层由多层全相连网络构成;
所述输出层使用非线性函数计算并输出域名属于算法生成恶意域名的概率;
步骤2:使用随机梯度下降法训练用于检测算法生成恶意域名的深度神经网络;
步骤3:将待测域名以字符形式编码组成域名字符串,输入训练好的深度神经网络,得到待测域名属于算法生成恶意域名的概率,由概率值判断待测域名是否属于算法生成恶意域名。
2.根据权利要求1所述的基于深度神经网络的算法生成恶意域名检测方法,其特征在于,所述特征提取层使用分块卷积结构提取特征,具体为:堆叠至少两个不同大小的卷积核,每个卷积核均从二维张量中获取不同尺度的分类特征,从而增加网络对不同尺度特征的适应性,同时并不额外增加网络的深度。
3.根据权利要求2所述的基于深度神经网络的算法生成恶意域名检测方法,其特征在于,所述卷积核使用非中心对称的卷积核。
4.根据权利要求1所述的基于深度神经网络的算法生成恶意域名检测方法,其特征在于,所述分类层的每层全相连网络均可根据需要设置随机失活模块,以防止网络过拟合。
5.根据权利要求1所述的基于深度神经网络的算法生成恶意域名检测方法,其特征在于,所述输出层使用Sigmoid函数计算归一化概率。
6.根据权利要求1所述的基于深度神经网络的算法生成恶意域名检测方法,其特征在于,所述输出层中设定门限,将概率二值化为0或1,分别表示待检测的域名是正常域名或恶意域名。
7.根据权利要求1所述的基于深度神经网络的算法生成恶意域名检测方法,其特征在于,该检测方法以端到端的方式工作,不需要人工提取特征,也不需要域名系统(DNS)上下文信息。
CN201811090443.9A 2018-09-18 2018-09-18 一种基于深度神经网络的算法生成恶意域名检测方法 Active CN109450845B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811090443.9A CN109450845B (zh) 2018-09-18 2018-09-18 一种基于深度神经网络的算法生成恶意域名检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811090443.9A CN109450845B (zh) 2018-09-18 2018-09-18 一种基于深度神经网络的算法生成恶意域名检测方法

Publications (2)

Publication Number Publication Date
CN109450845A true CN109450845A (zh) 2019-03-08
CN109450845B CN109450845B (zh) 2020-08-04

Family

ID=65532780

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811090443.9A Active CN109450845B (zh) 2018-09-18 2018-09-18 一种基于深度神经网络的算法生成恶意域名检测方法

Country Status (1)

Country Link
CN (1) CN109450845B (zh)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109960934A (zh) * 2019-03-25 2019-07-02 西安电子科技大学 一种基于cnn的恶意请求检测方法
CN110113327A (zh) * 2019-04-26 2019-08-09 北京奇安信科技有限公司 一种检测dga域名的方法及装置
CN110245348A (zh) * 2019-05-17 2019-09-17 北京百度网讯科技有限公司 一种意图识别方法及系统
CN110365659A (zh) * 2019-06-26 2019-10-22 浙江大学 一种小样本场景下的网络入侵检测数据集的构造方法
CN110798481A (zh) * 2019-11-08 2020-02-14 杭州安恒信息技术股份有限公司 基于深度学习的恶意域名检测方法及装置
CN111159588A (zh) * 2019-12-19 2020-05-15 电子科技大学 一种基于url成像技术的恶意url检测方法
CN112953914A (zh) * 2021-01-29 2021-06-11 浙江大学 一种dga域名检测分类方法及装置
GB2603279A (en) * 2021-01-26 2022-08-03 Ensign Infosecurity Pte Ltd A system and method for detecting domain generation algorithms (DGAs) using deep learning and signal processing techniques
CN115022282A (zh) * 2022-06-06 2022-09-06 天津大学 一种新型域名生成模型建立及应用
CN115065567A (zh) * 2022-08-19 2022-09-16 北京金睛云华科技有限公司 用于dga域名研判推理机的插件化执行方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170187747A1 (en) * 2015-12-28 2017-06-29 Arbor Networks, Inc. Using recurrent neural networks to defeat dns denial of service attacks
CN106992969A (zh) * 2017-03-03 2017-07-28 南京理工大学 基于域名字符串统计特征的dga生成域名的检测方法
US20180063163A1 (en) * 2016-08-26 2018-03-01 Cisco Technology, Inc. Learning indicators of compromise with hierarchical models
US20180063168A1 (en) * 2016-08-31 2018-03-01 Cisco Technology, Inc. Automatic detection of network threats based on modeling sequential behavior in network traffic
CN107770132A (zh) * 2016-08-18 2018-03-06 中兴通讯股份有限公司 一种对算法生成域名进行检测的方法及装置
CN107992469A (zh) * 2017-10-13 2018-05-04 中国科学院信息工程研究所 一种基于词序列的钓鱼url检测方法及系统
CN108156174A (zh) * 2018-01-15 2018-06-12 深圳市联软科技股份有限公司 基于c&c域名分析的僵尸网络检测方法、装置、设备及介质
CN108200054A (zh) * 2017-12-29 2018-06-22 北京奇安信科技有限公司 一种基于dns解析的恶意域名检测方法及装置

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170187747A1 (en) * 2015-12-28 2017-06-29 Arbor Networks, Inc. Using recurrent neural networks to defeat dns denial of service attacks
CN107770132A (zh) * 2016-08-18 2018-03-06 中兴通讯股份有限公司 一种对算法生成域名进行检测的方法及装置
US20180063163A1 (en) * 2016-08-26 2018-03-01 Cisco Technology, Inc. Learning indicators of compromise with hierarchical models
US20180063168A1 (en) * 2016-08-31 2018-03-01 Cisco Technology, Inc. Automatic detection of network threats based on modeling sequential behavior in network traffic
CN106992969A (zh) * 2017-03-03 2017-07-28 南京理工大学 基于域名字符串统计特征的dga生成域名的检测方法
CN107992469A (zh) * 2017-10-13 2018-05-04 中国科学院信息工程研究所 一种基于词序列的钓鱼url检测方法及系统
CN108200054A (zh) * 2017-12-29 2018-06-22 北京奇安信科技有限公司 一种基于dns解析的恶意域名检测方法及装置
CN108156174A (zh) * 2018-01-15 2018-06-12 深圳市联软科技股份有限公司 基于c&c域名分析的僵尸网络检测方法、装置、设备及介质

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
任昕: "基于隐马尔可夫模型和卷积神经网络的Web安全检测研究", 《湖南大学工程硕士学位论文》 *
袁辰: "基于对抗模型的恶意域名检测方法的研究和实现", 《北京建筑大学硕士学位论文》 *
陈立国等: "基于GRU型循环神经网络的随机域名检测", 《计算机系统应用》 *

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109960934A (zh) * 2019-03-25 2019-07-02 西安电子科技大学 一种基于cnn的恶意请求检测方法
CN110113327A (zh) * 2019-04-26 2019-08-09 北京奇安信科技有限公司 一种检测dga域名的方法及装置
CN110245348A (zh) * 2019-05-17 2019-09-17 北京百度网讯科技有限公司 一种意图识别方法及系统
CN110245348B (zh) * 2019-05-17 2023-11-24 北京百度网讯科技有限公司 一种意图识别方法及系统
CN110365659B (zh) * 2019-06-26 2020-08-04 浙江大学 一种小样本场景下的网络入侵检测数据集的构造方法
CN110365659A (zh) * 2019-06-26 2019-10-22 浙江大学 一种小样本场景下的网络入侵检测数据集的构造方法
CN110798481A (zh) * 2019-11-08 2020-02-14 杭州安恒信息技术股份有限公司 基于深度学习的恶意域名检测方法及装置
CN111159588A (zh) * 2019-12-19 2020-05-15 电子科技大学 一种基于url成像技术的恶意url检测方法
CN111159588B (zh) * 2019-12-19 2022-12-13 电子科技大学 一种基于url成像技术的恶意url检测方法
GB2603279A (en) * 2021-01-26 2022-08-03 Ensign Infosecurity Pte Ltd A system and method for detecting domain generation algorithms (DGAs) using deep learning and signal processing techniques
GB2603279B (en) * 2021-01-26 2023-02-22 Ensign Infosecurity Pte Ltd A system and method for detecting domain generation algorithms (DGAs) using deep learning and signal processing techniques
CN112953914A (zh) * 2021-01-29 2021-06-11 浙江大学 一种dga域名检测分类方法及装置
CN115022282A (zh) * 2022-06-06 2022-09-06 天津大学 一种新型域名生成模型建立及应用
CN115065567A (zh) * 2022-08-19 2022-09-16 北京金睛云华科技有限公司 用于dga域名研判推理机的插件化执行方法
CN115065567B (zh) * 2022-08-19 2022-11-11 北京金睛云华科技有限公司 用于dga域名研判推理机的插件化执行方法

Also Published As

Publication number Publication date
CN109450845B (zh) 2020-08-04

Similar Documents

Publication Publication Date Title
CN109450845A (zh) 一种基于深度神经网络的算法生成恶意域名检测方法
CN109101552B (zh) 一种基于深度学习的钓鱼网站url检测方法
Yang et al. Detecting malicious URLs via a keyword-based convolutional gated-recurrent-unit neural network
CN107786575B (zh) 一种基于dns流量的自适应恶意域名检测方法
Wang et al. PDRCNN: Precise phishing detection with recurrent convolutional neural networks
CN111027069B (zh) 恶意软件家族检测方法、存储介质和计算设备
CN108777674B (zh) 一种基于多特征融合的钓鱼网站检测方法
CN103530367B (zh) 一种钓鱼网站鉴别系统和方法
CN109005145A (zh) 一种基于自动特征抽取的恶意url检测系统及其方法
CN107992469A (zh) 一种基于词序列的钓鱼url检测方法及系统
CN111767725B (zh) 一种基于情感极性分析模型的数据处理方法及装置
US11762990B2 (en) Unstructured text classification
WO2016201938A1 (zh) 一种多阶段钓鱼网站检测方法与系统
CN106170002B (zh) 一种中文仿冒域名检测方法及系统
CN110602113A (zh) 一种基于深度学习的层次化钓鱼网站检测方法
CN112217787B (zh) 一种基于ed-gan的仿冒域名训练数据生成方法及系统
CN104537303A (zh) 一种钓鱼网站鉴别系统及鉴别方法
CN109086375A (zh) 一种基于词向量增强的短文本主题抽取方法
CN109977118A (zh) 一种基于词嵌入技术和lstm的异常域名检测方法
CN112235434B (zh) 融合k-means及其胶囊网络的DGA网络域名检测识别系统
CN113132410A (zh) 一种用于检测钓鱼网址的方法
Feng et al. A phishing webpage detection method based on stacked autoencoder and correlation coefficients
CN109617864B (zh) 一种网站识别方法及网站识别系统
Zhu et al. CCBLA: a lightweight phishing detection model based on CNN, BiLSTM, and attention mechanism
CN111967909A (zh) 一种基于卷积神经网络的托攻击检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant