CN110381089A - 基于深度学习对恶意域名检测防护方法 - Google Patents
基于深度学习对恶意域名检测防护方法 Download PDFInfo
- Publication number
- CN110381089A CN110381089A CN201910783310.8A CN201910783310A CN110381089A CN 110381089 A CN110381089 A CN 110381089A CN 201910783310 A CN201910783310 A CN 201910783310A CN 110381089 A CN110381089 A CN 110381089A
- Authority
- CN
- China
- Prior art keywords
- domain name
- malice
- malice domain
- module
- deep learning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于深度学习对恶意域名检测防护方法,首先通过解析DNS的报文,提取出域名,通过和已有的黑名单进行匹配,如果已经在已有的黑名单中,则将此域名标记并做下一步操作,如果已经在白名单中,则不做处理,通过转发模块转发此域名,否则通过深度学习的分类算法进行分类,如果通过深度学习的分类算法的分类结果为白名单则依然转发此域名,否则标记为黑名单,在已有的黑名单中添加此域名并做下一步处理。本发明的基于深度学习对恶意域名检测防护方法可以有效地对恶意域名进行检测和拦截,且执行速度及效率对比传统的恶意域名标注法更优。
Description
技术领域
本发明属于软件定义网络,深度学习技术领域,具体涉及SDN中控制器的自定义方法。
背景技术
随着网络用户的持续增长和网络应用的丰富,威胁网络安全的技术也在不断发展,恶意域名网站给网民们带来的财产安全和隐私安全的威胁也在极速增加,同时也给企业增加了网络安全防护建设的成本。域名解析服务(DNS)将点分十进制的IP数字串与字符串域名相互映射,使网民能快捷方便的记忆和访问域名相对应的网页,获取相关资讯和信息。DNS是整个互联网体系中重要的基础服务之一,但DNS服务本身缺乏恶意行为的检测以及拦截能力。DNS是建立在互信模型上来设计的,是一个完全开放的协作体系,它存在的缺陷也常被僵尸网络、钓鱼网站等恶意网络行为所利用。SDN网络架构解耦了传统网络下的数据转发层和控制层,其中,控制层负责制定转发的策略,通过统一的标准接口下发流表到数据转发层。而数据转发层仅提供数据转发功能,这样可以快速地处理匹配到的数据包。通过使用SDN技术可以降低设备负载,有效地帮助运营商控制网络基础设施,并且可以节约整体的网络运营成本,方便部署新的网络协议,研究SDN下的恶意域名检测以及防护技术具有极大的应用价值。深度学习通过构建更深层次的神经网络可以更快速、更准确地提取出样本数据的特征,训练出泛化能力优秀的算法。通过深度学习的卷积网络可以将未知域名中的主要特征属性提取出来,准确地分类域名所属种类,根据分类的结果是否为恶意域名进行拦截或者重定向转发等操作。
发明内容
发明目的:为了解决现有黑名单更新缓慢以及滞后性,本发明提供了一种基于深度学习的分类算法对恶意域名识别的方法。
技术方案:基于深度学习对恶意域名检测防护方法,包括下列步骤:
s1、解析DNS报文,提取其域名;
s2、将提取到的域名与已有黑名单匹配,并根据匹配结果做相应处理;
s3、如果当前域名不在黑名单中,再与白名单匹配,否则,如果当前域名在黑名单中则直接标记并做下一步操作;
s4、根据白名单匹配结果进行下一步操作,如果当前域名在白名单中则转发,否则将此域名应用于建立的基于深度学习卷积神经网络创建的恶意域名检测模型中,根据模型的分类结果做下一步操作;
s5、由最终得到的分类结果操作,如果判断为白名单则直接转发,否则进行恶意域名拦截或者重定向重转发操作。
进一步地,所述恶意域名检测模型基于深度学习的卷积神经网络创建,包括输入层、卷积层、池化层、全连接层,输入层为报文解析提取的待测域名,卷积层为多层卷积神经网络的嵌套,并在每层卷积层后连接一个池化层,最后通过全连接层,使用sigmoid激活函数进行分类。
进一步地,对恶意域名的拦截或者重定向操作是在SDN即软件定义网络中进行的,SDN通过将控制器与数据转发分离,可以对控制器实现自定义,在控制器中集成恶意域名防御系统,从而实现对恶意域名的拦截或者重定向转发的一系列操作。
进一步地,恶意域名防护系统包含DNS报文解析模块、恶意域名重定向模块、代理访问模块,所述DNS报文解析模块用以提取域名并查询以字典树形式存储的黑名单,判断是否开启重定向,根据一系列解析结果处理数据流;所述恶意域名重定向模块用以实现两次重定向,第一次通过下发重定向流表项到代理交换机上将DNS查询报文重定向到DNS重定向服务器,第二次通过DNS重定向服务器为DNS查询报文返回预先设置的IP作为查询结果,实现恶意域名的流量重定向;所述代理访问模块用以将主机去往恶意域名的流量重定向到代理交换机上,实现地址转换后发送给实际的目的地,返回的流量在代理交换机上地址转换后发回给用户主机DNS报文解析模块连接恶意域名重定向模块,恶意域名重定向模块连接代理访问模块;所述DNS报文解析模块连接恶意域名重定向模块,所述恶意域名重定向模块连接代理访问模块,域名先通过报文解析模块,输出为待测域名作为神经网络的输入,经过恶意域名检测模块的分类输出为恶意域名或者良性域名,如果是恶意域名则使用恶意域名重定向模块进行域名重定向操作,最后使用代理访问模块将恶意域名使用代理交换机转换后发送给实际目的地。代理交换机指SDN交换机,由流表和安全通道组成,流表用来匹配数据流进行转发,安全通道是交换机用来和控制器通信的,因为开启代理访问服务,当DNS重定向服务器收到DNS查询报文时,会给发送DNS查询报文的主机分配代理地址,并查询该域名的真实地址,然后调用控制器的代理REST API将<代理交换机ID、源地址、代理地址、目的地址、超时时间、监控端口>的对应关系发送给控制器并返回DNS响应报文给查询DNS的主机。。
有益效果:通过恶意域名检测模块,可以有效地对恶意域名进行检测和拦截,且执行速度及效率对比传统的恶意域名标注法更优,传统恶意域名检测通常是在恶意域名已经转发后并被用户举报为恶意域名才会标记到恶意域名黑名单中,操作滞后性严重。
附图说明
图1为恶意域名检测流程图。
图2为域名分类算法简单示意图。
图3为典型卷积神经网络层组件。
图4为典型的最大值池化层操作示意图。
具体实施方式
下面结合附图对本发明做更进一步的解释。
本发明提供了基于深度学习对恶意域名检测防护方法,包括下列步骤:s1、解析DNS报文,提取其域名;s2、将提取到的域名与已有黑名单匹配,并根据匹配结果做相应处理;s3、如果当前域名不在黑名单中,再与白名单匹配,否则,如果当前域名在黑名单中则直接标记并做下一步操作;s4、根据白名单匹配结果进行下一步操作,如果当前域名在白名单中则转发,否则将此域名应用于建立的基于深度学习卷积神经网络创建的恶意域名检测模型中,根据模型的分类结果做下一步操作。s5、由最终得到的分类结果操作,如果判断为白名单则直接转发,否则进行恶意域名拦截或者重定向重转发操作;恶意域名检测的流程图如图1所示。
恶意域名检测模型基于深度学习的卷积神经网络创建,包括输入层、卷积层、池化层、全连接层,输入层为报文解析提取的待测域名,卷积层为多层卷积神经网络的嵌套,并在每层卷积层后连接一个池化层,最后通过全连接层,使用sigmoid激活函数进行分类。卷积神经网络,是一种专门用来处理具有类似网格结构的数据的神经网络。卷积网络具有稀疏交互或者稀疏权重的特征,稀疏交互是指卷积神经网络最后的全连接层与输入层之间的“间接连接”是非全连接的,多次卷积可以找出一种合理的连接,使输入图片分成各种“小区域”,这种小区域再成为全连接层的输入。输入层进入全连接的第一层的元素会少很多,全连接层的参数会少很多,从而达到稀疏交互的效果。通过卷积运算可以提取域名中关键的特征,通过将提取到的特征与现有黑名单匹配判断此域名是否为恶意域名,如果是则进行删除或防护、重定向、代理访问等一系列操作,并在黑名单中添加此恶意域名。如果匹配结果不是恶意域名则通过转发模块转发此域名。通过域名解析将获取的资源包解析成一系列类似的字符串数据,将这些数据输入到分类算法中进行特征提取。恶意域名检测系统大致流程图如图2所示。
对恶意域名的拦截或者重定向操作是在SDN即软件定义网络中进行的,SDN通过将控制器与数据转发分离,可以对控制器实现自定义,在控制器中集成恶意域名防御系统,从而实现对恶意域名的拦截或者重定向转发的一系列操作。使用Floodlight作为控制器,控制器具有全局的网络视图,可以集中管理和配置整个网络的资源,在控制器中使用Floodlight的系统模块API以及结合卷积神经网络实现对恶意域名检测及防护系统。
为了评价本发明提出的恶意域名检测模块的分类效果,本发明使用四个评价指标进行评价,分别为准确率、误判率、召回率和精确率。
①准确率A:A=(TP+TN)/N,表示所有被正确分类的域名占整个测试集总数的比例;
②误判率FPR:FPR=FP/(FP+TN),表示被误判为恶意域名的个数占总的良性域名的比例,反应了分类器的误判能力;
③召回率R:R=TP/(TP+FN),表示被正确预测为恶意域名的个数占总的恶意域名的比例,召回率也叫查全率;
④精确率P:P=TP/(TP+FP),表示预测为恶意域名的样本中有多少是真正的恶意域名,精确率也叫查准率。
恶意域名检测模型是基于卷积网络扩展的,模型由卷积网络衍生,最基本的模型为卷积网络。卷积网络中一个典型层包含三级,在第一级中,这一层并行计算多个卷积产生一组线性激活响应。在第二级中,每一个线性激活响应会通过一个非线性的激活函数如relu,sigmoid,softmax等,本发明是对域名检测分类,结果为恶意或者良性的二分类问题,因此使用sigmoid作为非线性激活函数,函数公式如下:f(x)=1/1+e-x,sigmoid函数具有计算方便,节省时间等优点,常用于二分类问题中。这一级也被成为探测级。在第三级中,使用池化函数来进一步调整这一层的输出。池化层(maxpool和averagepool)会使用某一位置的相邻输出的总体统计特征来代替网络在该位置的输出,可以提高特征提取的准确率以及降低网络模型的规模。本发明使用3*3的最大值池化函数,最大池化为将3*3矩阵范围内的元素取最大值作为新的输出,然后通过移动这个池化矩阵,使其对卷积层的每一个输出元素做完全一样的处理,通过池化处理,输入矩阵的尺寸会被有效缩小,池化的使用既可以加快计算速度也有防止过拟合的作用。一个典型的卷积神经网络层组件如图3所示,典型的最大值池化层操作如图4所示。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (4)
1.基于深度学习对恶意域名检测防护方法,其特征在于:包括下列步骤:
s1、解析DNS报文,提取其域名;
s2、将提取到的域名与已有黑名单匹配,并根据匹配结果做相应处理;
s3、如果当前域名不在黑名单中,再与白名单匹配,否则,如果当前域名在黑名单中则直接标记并做下一步操作;
s4、根据白名单匹配结果进行下一步操作,如果当前域名在白名单中则转发,否则将此域名应用于建立的基于深度学习卷积神经网络创建的恶意域名检测模型中,根据模型的分类结果做下一步操作;
s5、由最终得到的分类结果操作,如果判断为白名单则直接转发,否则进行恶意域名拦截或者重定向重转发操作。
2.根据权利要求1所述的基于深度学习对恶意域名检测防护方法,其特征在于:所述恶意域名检测模型基于深度学习的卷积神经网络创建,包括输入层、卷积层、池化层、全连接层,输入层为报文解析提取的待测域名,卷积层为多层卷积神经网络的嵌套,并在每层卷积层后连接一个池化层,最后通过全连接层,使用sigmoid激活函数进行分类。
3.根据权利要求1所述的基于深度学习对恶意域名检测防护方法,其特征在于:对恶意域名的拦截或者重定向操作是在SDN即软件定义网络中进行的,SDN通过将控制器与数据转发分离,可以对控制器实现自定义,在控制器中集成恶意域名防御系统,从而实现对恶意域名的拦截或者重定向转发的一系列操作。
4.根据权利要求1-3所述的基于深度学习对恶意域名检测防护方法,其特征在于,恶意域名防护系统包含DNS报文解析模块、恶意域名重定向模块、代理访问模块,所述DNS报文解析模块用以提取域名并查询以字典树形式存储的黑名单,判断是否开启重定向,根据一系列解析结果处理数据流;所述恶意域名重定向模块用以实现两次重定向,第一次通过下发重定向流表项到代理交换机上将DNS查询报文重定向到DNS重定向服务器,第二次通过DNS重定向服务器为DNS查询报文返回预先设置的IP作为查询结果,实现恶意域名的流量重定向;所述代理访问模块用以将主机去往恶意域名的流量重定向到代理交换机上,实现地址转换后发送给实际的目的地,返回的流量在代理交换机上地址转换后发回给用户主机DNS报文解析模块连接恶意域名重定向模块,恶意域名重定向模块连接代理访问模块;所述DNS报文解析模块连接恶意域名重定向模块,所述恶意域名重定向模块连接代理访问模块,域名先通过报文解析模块,输出为待测域名作为神经网络的输入,经过恶意域名检测模块的分类输出为恶意域名或者良性域名,如果是恶意域名则使用恶意域名重定向模块进行域名重定向操作,最后使用代理访问模块将恶意域名使用代理交换机转换后发送给实际目的地。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910783310.8A CN110381089A (zh) | 2019-08-23 | 2019-08-23 | 基于深度学习对恶意域名检测防护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910783310.8A CN110381089A (zh) | 2019-08-23 | 2019-08-23 | 基于深度学习对恶意域名检测防护方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110381089A true CN110381089A (zh) | 2019-10-25 |
Family
ID=68260468
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910783310.8A Pending CN110381089A (zh) | 2019-08-23 | 2019-08-23 | 基于深度学习对恶意域名检测防护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110381089A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110798481A (zh) * | 2019-11-08 | 2020-02-14 | 杭州安恒信息技术股份有限公司 | 基于深度学习的恶意域名检测方法及装置 |
| CN112491873A (zh) * | 2020-11-26 | 2021-03-12 | 杭州安恒信息技术股份有限公司 | 基于字典树的网络威胁检测方法、装置、设备及存储介质 |
| CN112995360A (zh) * | 2021-04-30 | 2021-06-18 | 新华三技术有限公司 | 一种域名检测方法、装置、dga服务设备及存储介质 |
| CN113221106A (zh) * | 2021-05-25 | 2021-08-06 | 杭州安恒信息安全技术有限公司 | 一种车辆的防护方法、装置和计算机可读存储介质 |
| CN113343219A (zh) * | 2021-05-31 | 2021-09-03 | 烟台中科网络技术研究所 | 一种自动高效的高风险移动应用程序检测方法 |
| CN113727350A (zh) * | 2021-09-26 | 2021-11-30 | 北京恒安嘉新安全技术有限公司 | 恶意网址处理方法、装置、计算机设备及存储介质 |
| CN114928476A (zh) * | 2022-04-27 | 2022-08-19 | 北京天融信网络安全技术有限公司 | 目标文件的安全性检测方法及检测装置 |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101572701A (zh) * | 2009-02-10 | 2009-11-04 | 中科正阳信息安全技术有限公司 | 针对DNS服务的抗DDoS攻击安全网关系统 |
| US20150040227A1 (en) * | 2010-08-13 | 2015-02-05 | Mcafee, Inc. | System, method, and computer program product for preventing a modification to a domain name system setting |
| CN104539625A (zh) * | 2015-01-09 | 2015-04-22 | 江苏理工学院 | 一种基于软件定义的网络安全防御系统及其工作方法 |
| CN104601557A (zh) * | 2014-12-29 | 2015-05-06 | 广东顺德中山大学卡内基梅隆大学国际联合研究院 | 一种基于软件定义网络的恶意网站防护方法及系统 |
| CN105119930A (zh) * | 2015-09-09 | 2015-12-02 | 南京理工大学 | 基于OpenFlow协议的恶意网站防护方法 |
| CN105577660A (zh) * | 2015-12-22 | 2016-05-11 | 国家电网公司 | 基于随机森林的dga域名检测方法 |
| CN105897714A (zh) * | 2016-04-11 | 2016-08-24 | 天津大学 | 基于dns流量特征的僵尸网络检测方法 |
| CN106230867A (zh) * | 2016-09-29 | 2016-12-14 | 北京知道创宇信息技术有限公司 | 预测域名是否恶意的方法、系统及其模型训练方法、系统 |
| US20170331843A1 (en) * | 2014-02-18 | 2017-11-16 | Proofpoint, Inc. | Systems and Methods for Targeted Attack Protection Using Predictive Sandboxing |
| CN108683649A (zh) * | 2018-04-28 | 2018-10-19 | 四川大学 | 一种基于文本特征的恶意域名检测方法 |
| CN109391602A (zh) * | 2017-08-11 | 2019-02-26 | 北京金睛云华科技有限公司 | 一种僵尸主机检测方法 |
| CN109474575A (zh) * | 2018-09-11 | 2019-03-15 | 北京奇安信科技有限公司 | 一种dns隧道的检测方法及装置 |
| CN109800852A (zh) * | 2018-11-29 | 2019-05-24 | 电子科技大学 | 一种多模态的垃圾邮件识别方法 |
-
2019
- 2019-08-23 CN CN201910783310.8A patent/CN110381089A/zh active Pending
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101572701A (zh) * | 2009-02-10 | 2009-11-04 | 中科正阳信息安全技术有限公司 | 针对DNS服务的抗DDoS攻击安全网关系统 |
| US20150040227A1 (en) * | 2010-08-13 | 2015-02-05 | Mcafee, Inc. | System, method, and computer program product for preventing a modification to a domain name system setting |
| US20170331843A1 (en) * | 2014-02-18 | 2017-11-16 | Proofpoint, Inc. | Systems and Methods for Targeted Attack Protection Using Predictive Sandboxing |
| CN104601557A (zh) * | 2014-12-29 | 2015-05-06 | 广东顺德中山大学卡内基梅隆大学国际联合研究院 | 一种基于软件定义网络的恶意网站防护方法及系统 |
| CN104539625A (zh) * | 2015-01-09 | 2015-04-22 | 江苏理工学院 | 一种基于软件定义的网络安全防御系统及其工作方法 |
| CN105119930A (zh) * | 2015-09-09 | 2015-12-02 | 南京理工大学 | 基于OpenFlow协议的恶意网站防护方法 |
| CN105577660A (zh) * | 2015-12-22 | 2016-05-11 | 国家电网公司 | 基于随机森林的dga域名检测方法 |
| CN105897714A (zh) * | 2016-04-11 | 2016-08-24 | 天津大学 | 基于dns流量特征的僵尸网络检测方法 |
| CN106230867A (zh) * | 2016-09-29 | 2016-12-14 | 北京知道创宇信息技术有限公司 | 预测域名是否恶意的方法、系统及其模型训练方法、系统 |
| CN109391602A (zh) * | 2017-08-11 | 2019-02-26 | 北京金睛云华科技有限公司 | 一种僵尸主机检测方法 |
| CN108683649A (zh) * | 2018-04-28 | 2018-10-19 | 四川大学 | 一种基于文本特征的恶意域名检测方法 |
| CN109474575A (zh) * | 2018-09-11 | 2019-03-15 | 北京奇安信科技有限公司 | 一种dns隧道的检测方法及装置 |
| CN109800852A (zh) * | 2018-11-29 | 2019-05-24 | 电子科技大学 | 一种多模态的垃圾邮件识别方法 |
Non-Patent Citations (3)
| Title |
|---|
| 文常保,茹锋: "《人工神经网络理论及应用》", 31 March 2019, 西安电子科技大学出版社 * |
| 李小兵: "基于SDN和机器学习的恶意域名检测与防护的研究", 《中国优秀硕士学位论文全文数据库(信息科技辑)》 * |
| 陈康,付华峥,向勇: "基于深度学习的恶意URL识别", 《计算机系统应用》 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110798481A (zh) * | 2019-11-08 | 2020-02-14 | 杭州安恒信息技术股份有限公司 | 基于深度学习的恶意域名检测方法及装置 |
| CN112491873A (zh) * | 2020-11-26 | 2021-03-12 | 杭州安恒信息技术股份有限公司 | 基于字典树的网络威胁检测方法、装置、设备及存储介质 |
| CN112995360A (zh) * | 2021-04-30 | 2021-06-18 | 新华三技术有限公司 | 一种域名检测方法、装置、dga服务设备及存储介质 |
| CN112995360B (zh) * | 2021-04-30 | 2021-07-30 | 新华三技术有限公司 | 一种域名检测方法、装置、dga服务设备及存储介质 |
| CN113221106A (zh) * | 2021-05-25 | 2021-08-06 | 杭州安恒信息安全技术有限公司 | 一种车辆的防护方法、装置和计算机可读存储介质 |
| CN113343219A (zh) * | 2021-05-31 | 2021-09-03 | 烟台中科网络技术研究所 | 一种自动高效的高风险移动应用程序检测方法 |
| CN113727350A (zh) * | 2021-09-26 | 2021-11-30 | 北京恒安嘉新安全技术有限公司 | 恶意网址处理方法、装置、计算机设备及存储介质 |
| CN114928476A (zh) * | 2022-04-27 | 2022-08-19 | 北京天融信网络安全技术有限公司 | 目标文件的安全性检测方法及检测装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110381089A (zh) | 基于深度学习对恶意域名检测防护方法 | |
| CN103023725B (zh) | 一种基于网络流量分析的异常检测方法 | |
| CN107683586A (zh) | 用于异常检测中的计算基于小区密度的稀有度的方法和装置 | |
| CN108701187A (zh) | 混合硬件软件分布式威胁分析 | |
| CN109033471A (zh) | 一种信息资产识别方法及装置 | |
| CN1881950A (zh) | 使用频谱分析的分组分类加速 | |
| CN110336789A (zh) | 基于混合学习的Domain-flux僵尸网络检测方法 | |
| Celik et al. | Detection of Fast-Flux Networks using various DNS feature sets | |
| CN110177123A (zh) | 基于dns映射关联图的僵尸网络检测方法 | |
| CN111953669A (zh) | 适用于SDN的Tor流量溯源与应用类型识别方法和系统 | |
| CN112333211B (zh) | 一种基于机器学习的工控行为检测方法和系统 | |
| CN111245784A (zh) | 多维度检测恶意域名的方法 | |
| CN108696453A (zh) | 轻量级的电力通信网sdn业务流感知方法及系统 | |
| CN110868404A (zh) | 一种基于tcp/ip指纹的工控设备自动识别方法 | |
| CN105471670A (zh) | 流量数据分类方法及装置 | |
| Kong et al. | Identification of abnormal network traffic using support vector machine | |
| Yang et al. | Naruto: DNS covert channels detection based on stacking model | |
| Yang et al. | Detecting DNS covert channels using stacking model | |
| CN109728977B (zh) | Jap匿名流量检测方法及系统 | |
| US11848959B2 (en) | Method for detecting and defending DDoS attack in SDN environment | |
| US11159548B2 (en) | Analysis method, analysis device, and analysis program | |
| KR101048991B1 (ko) | 봇넷 행동 패턴 분석 시스템 및 방법 | |
| CN101453320B (zh) | 一种服务识别方法及系统 | |
| CN111291078A (zh) | 一种域名匹配检测方法及装置 | |
| CN114785608B (zh) | 一种基于去中心化联邦学习的工业控制网络入侵检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 210012 No. 66, Xinfan Road, Gulou District, Nanjing, Jiangsu Province Applicant after: NANJING University OF POSTS AND TELECOMMUNICATIONS Address before: No. 186, software Avenue, Yuhuatai District, Nanjing, Jiangsu 210012 Applicant before: Nanjing University of Posts and Telecommunications |
|
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191025 |