CN110557382A - 一种利用域名共现关系的恶意域名检测方法及系统 - Google Patents

一种利用域名共现关系的恶意域名检测方法及系统 Download PDF

Info

Publication number
CN110557382A
CN110557382A CN201910729466.8A CN201910729466A CN110557382A CN 110557382 A CN110557382 A CN 110557382A CN 201910729466 A CN201910729466 A CN 201910729466A CN 110557382 A CN110557382 A CN 110557382A
Authority
CN
China
Prior art keywords
domain name
occurrence
malicious
sequence
domain
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910729466.8A
Other languages
English (en)
Inventor
云晓春
彭成维
张永铮
李书豪
徐小琳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Information Engineering of CAS
National Computer Network and Information Security Management Center
Original Assignee
Institute of Information Engineering of CAS
National Computer Network and Information Security Management Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Information Engineering of CAS, National Computer Network and Information Security Management Center filed Critical Institute of Information Engineering of CAS
Priority to CN201910729466.8A priority Critical patent/CN110557382A/zh
Publication of CN110557382A publication Critical patent/CN110557382A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种利用域名共现关系的恶意域名检测方法及系统。本发明利用域名请求之间的时间间隔,将DNS请求序列切割成域名共现序列,从而能够有效地将不属于同一网络活动触发的域名请求划分到不同的序列中;同时利用滑动窗口从域名共现序列中提取域名共现对:一方面,滑动窗口的引入成功地消除了由于共现序列长度过长而带来的计算复杂度增加的问题;另一方面,滑动窗口只保留个域名和其窗口内域名的共现关系,而忽略与更远位置的域名关系,能够有效地减少噪声共现关系。本发明能够通过分析域名团簇行为发现可疑的恶意域名团伙,感知恶意域名背后的关联关系,为更深层次研究恶意域名生态系统提供支撑。

Description

一种利用域名共现关系的恶意域名检测方法及系统
技术领域
本发明涉及计算机网络安全领域的恶意域名检测领域,尤其是涉及一种利用域名共现关系的恶意域名检测方法及系统。
背景技术
域名系统(domain name system,DNS)是当今互联网中重要的基础核心服务之一,负责提供统一的域名地址空间映射服务,主要将易于人类记忆的域名翻译为易于机器识别的IP地址。然而,近年来DNS遭受各种非法网络活动的滥用。例如,僵尸网络利用域名生成算法(domain generate algorithm,DGA)批量生成大量域名,构建更健壮的命令与控制(command&control,C&C)信道,逃避安全机构的封杀和屏蔽。网络诈骗犯注册与流行域名(如alipay.com)相似的域名(如al1pay.com),搭建钓鱼网站欺骗用户,从而窃取账户敏感信息、信用卡密码等。思科2016年度安全报告中指出高达91.3%的恶意软件均会从一定程度上滥用域名系统。在诸如网络钓鱼、恶意软件、垃圾邮件、勒索诈骗、僵尸网络等攻击手段背后,域名发挥着重要作用。这些网络攻击中使用的域名称为恶意域名。及时有效地检测恶意域名在异常检测、态势感知、追踪溯源中具有极其重要的研究意义和现实价值。
现有的恶意域名检测技术可以分为以下两类:
(1)基于手工特征和机器学习的技术。这类技术的主要思路是首先根据专家经验从域名相关数据中提取域名的特征(如域名的IP地址特征、域名的访问行为、域名的词法特征等),然后利用机器学习分类算法和域名黑白名单数据构建恶意域名分类器,最后用分类器识别更多的未知恶意域名。主要代表工作有Antonakakis等人在2010年USENIX会议273-290页提出的Notos系统、Bilge等人在2014年TISSEC期刊16(4)卷1-14页提出了Exposure系统等;
(2)基于关联关系和图推断的技术。这类技术的主要思路是首先从域名相关数据中挖掘关联关系,其次构建域名彼此之间的关联关系图,然后利用图论或其他算法从全局上计算未知域名和图上恶意节点之间的关联程度,最后判断未知域名的属性。主要代表工作有Khalil等人在2016年AsiaCCS会议663-674页提出来的方法、Peng等人在2017年TrustCom会议225-232页上提出的基于DNS CNAME记录的方法等。
在与检测技术博弈的过程中,攻击者不断地升级攻击手段,导致现有的检测技术存在以下不足:
(1)手工设计的特征存在脆弱性,敌手在了解现有检测技术提取的特征后,不断地调整域名的使用习惯和词法特征,导致之前的特征无法有效地区分正常域名与恶意域名;
(2)图推断算法计算复杂度高,无法一次性处理大规模域名数据;
(3)缺乏域名团簇层面分析,在恶意域名团体发现上表现差。
所述的域名团伙是指由同一个攻击组织或团队控制的域名集合。
发明内容
针对现有恶意域名检测技术存在的问题,本发明基于域名之间的共现关系,即在DNS流量中不同的域名请求往往会同时出现,提供了一种利用域名共现关系的恶意域名检测方法及系统。本发明利用域名请求之间的时间间隔,将DNS请求序列切割成域名共现序列,这一步骤能够有效地将不属于同一网络活动触发的域名请求划分到不同的序列中;同时利用滑动窗口从域名共现序列中提取域名共现对:一方面,滑动窗口的引入成功地消除了由于共现序列长度过长而带来的计算复杂度增加的问题;另一方面,滑动窗口只保留个域名和其窗口内域名的共现关系,而忽略与更远位置的域名关系,能够有效地减少噪声共现关系。
本发明是基于以下技术方案实现的:
一种利用域名共现关系的恶意域名检测方法,包括以下步骤:
(1)解析主机层面的DNS流量,获取请求信息,所述请求信息包括请求用户、请求域名和请求时间三元组信息;
(2)基于(1)中的三元组数据,利用时间间隔切割算法将请求用户的DNS请求序列划分为域名共现序列,所述时间间隔切割算法是指按照序列切割时间阈值τ将整个DNS请求序列切割成短小的子序列,即域名共现序列;
(3)基于(2)中的域名共现序列,利用滑动窗口方式生成域名共现对;
(4)基于(3)中的域名共现对,设计域名映射函数在保留域名共现关系的前提下,将每一个域名映射为特征向量;
(5)基于(4)中的特征向量,利用部分已知属性的正常域名和恶意域名,结合机器学习分类算法,训练恶意域名分类器,用于检测恶意域名。
(6)基于(4)中的域名特征向量和(5)中识别的恶意域名,使用机器学习聚类算法分析恶意域名团伙。
进一步地,步骤(1)所述主机层面DNS流量是指在没有经过NAT(Network AddressTranslation)网络地址转换之前的DNS流量。
进一步地,步骤(2)所述序列切割时间阈值τ是根据域名请求的时间间隔将DNS请求序列进行切割划分的重要参数。如果τ设定过大会导致无法有效地将属于不同网络活动触发的DNS请求序列切开。反之,如果τ设定过小会导致将属于同一个网络活动触发的DNS请求序列分被划分到不同的子序列。因此合适的序列切割时间阈值τ能够有效地增强本发明对恶意域名的检测效果。在实际使用中,本发明推荐设定τ为2秒、3秒、5秒等数值,同时也可以根据实际域名数据进行适当调整。
进一步地,步骤(3)中滑动窗口过大会导致距离较远的域名之间产生共现关系,从而可能引入噪声共现关系,因此在实际使用中推荐设定w为一个较小的整数,如1、2、3等。
进一步地,步骤(5)中所述机器学习分类算法包括随机森林(Random Forest)、XGBoost、深度学习等。
进一步地,上述方法的另一应用为:基于步骤(4)中的域名特征向量和步骤(5)中识别的恶意域名,使用诸如K-Means、X-Means、谱聚类等机器学习聚类算法分析恶意域名团伙。
本发明同时公开一种利用域名共现关系的恶意域名检测系统。本系统由域名数据预处理模块、域名共现序列提取模块、域名共现对提取模块、特征学习模块、恶意域名检测模块和团伙分析发现模块六部分构成,具体描述如下:
(1)域名数据预处理模块。本模块负责对DNS流量进行数据解析、噪音过滤,并按照时间顺序写入数据库。
(2)域名共现序列提取模块。本模块负责将解析的域名请求数据按照时间间隔切割算法划分成域名共现对。
(3)域名共现对提取模块。本模块负责将域名共现序列按照滑动窗口的方法生成域名共现对。
(4)特征学习模块。本模块基于域名共现对,利用嵌入学习,获取每一个域名的向量化表示,即为域名的特征向量。
(5)恶意域名检测模块。本模块可分为训练子模块和检测子模块。其中,训练子模块利用部分已知属性的正常域名和恶意域名,结合机器学习分类算法,训练恶意域名分类器;检测子模块利用训练好的分类器对未知属性的域名进行判定,检测恶意域名。
(6)团伙分析发现模块。本模块负责对模块(5)中识别的恶意域名进行更深层次的团伙分析,利用聚类算法发现域名团伙。
与公开的相关技术相比,本发明具有如下优点:
(1)能够通过无监督学习自动化地生成更加鲁棒的域名特征,使敌手更难绕过。
(2)能够处理大规模海量域名数据,无须复杂的图理论计算操作。
(3)能够通过分析域名团簇行为发现可疑的恶意域名团伙,感知恶意域名背后的关联关系,为更深层次研究恶意域名生态系统提供支撑。
附图说明
图1:本发明所述一种利用域名共现关系的恶意域名检测方法流程图;
图2:本发明域名共现序列生成示意图;
图3:本发明滑动窗口生成域名共现对示意图;
图4:本发明所述一种利用域名共现关系的恶意域名检测系统架构图。
具体实施方式
本发明的基本认知是主机层面的域名请求在时间上存在成团聚簇、伴随共现的现象,其基本依据是共现的域名之间存在紧密的关联,具有相似的域名属性。所述的域名属性是指域名是正常的还是恶意的。如发明内容相关部分所述,本发明将所公开的恶意域名检测方法分为六个步骤,流程图如图1所示。接下来将具体阐述每一个步骤。
(1)域名数据解析与预处理,具体实施方式如下:
a)针对每一条DNS请求数据包,提取请求记录(u,d,t)三元组,其中u代表请求数据包中源地址(以下简称用户),d为请求域名,t为请求时间。
b)按照用户和请求时间对三元组集合进行排序,形成域名请求数据集其中为用户ui请求域名的集合,代表用户ui在时间请求域名
(2)提取域名共现序列,具体实施方式如下:
c)针对用户ui的请求序列集合采用时间间隔的切割算法,即如果相邻的两个域名请求之间,的时间间隔大于切割阈值τ(如5秒),便将这两个域名请求切割开来,划分到不同的域名共现序列中,反之则划分到同一个域名共现序列中。图2展示了利用时间间隔切割域名数据的示例图。
d)整合所有用户的域名共现序列,形成域名共现序列集合其中是由个ni域名构成的序列。
(3)提取域名共现对,具体实施方式如下:
a)设定滑动窗口大小,假设为w。w为正整数。
b)针对每一个域名共现序列中的每一个域名dj,确定其窗口范围为C(dj)=(dj-w,dj-w+1,…,dj-1,dj+1,dj+2,…,dj+w),为dj前w个域名和后w个域名。
c)基于域名dj窗口范围C(dj),进一步提取域名共现对{(dj,dj-w),…,(dj,dj-1),(dj,dj+1),…,(dj,dj+w)},具体流程参见图3
d)整合所有序列中提取的域名共现对,形成集合
(4)特征学习。假设映射函数f:X→Rn,将每一个域名di∈X投影成实数空间中的一个向量vi,具体实施方式如下:
a)设计打分函数来衡量两个域名之间共现的概率。本发明采用sigmoid函数来衡量两个域名di和dj的共现概率,即
b)应用负采样技术生成不具有共现关系的负样本集合每一个负样本为一个域名对(di,dj),但是di和dj不具有共现关系。
c)构建映射目标函数,使得具有共现关系的域名对之间的共现概率尽可能大,而不具有共现关系的域名对之间的共现概率尽可能小,具体如公式(1)所示,
d)采用优化算法不断迭代优化,最后得到每一个域名对应的特征向量。
(5)恶意域名检测,具体实施过程如下:
a)结合域名黑白名单,匹配数据集中出现的域名以及这部分域名对应的特征向量,形成训练集合。利用有监督的机器学习分类算法(如随机森林,XGBoost等)训练恶意域名分类器;
b)利用训练好的分类器,检测剩下未知属性的域名,识别其中的恶意域名。
(6)恶意域名团伙发现,具体实施过程如下:
a)结合步骤(4)中获得的每个域名对应的特征向量,采用聚类算法进行聚类。
b)整理聚类之后的域名团簇,形成恶意域名团伙。
本发明公开的利用域名共现关系的恶意域名检测系统主要根据本方法的上述六个步骤部署实施,使用C/C++、Python语言开发后台程序,使用Java、javascript语言开发前台界面,使用MySQL数据库管理系统搭建相关数据库。
本系统主要由域名数据采集模块、时空伴随域名序列提取模块、时空伴随域名对提取模块、特征学习模块、恶意域名检测模块和团伙分析发现模块六部分构成,系统架构图如图4所示,具体描述如下:
(1)域名预处理模块。本模块可分为数据解析子模块和数据预处理子模块。其中,数据解析子模块主要负责对原始DNS流量数据进行解析,提取(请求用户、请求域名、请求时间)三元组信息。数据预处理子模块主要负责三元组数据进行噪声过滤、数据排序,最后存入数据库。
(2)域名共现序列提取模块。本模块负责将三元组数据按照时间间隔的切割算法划分到不同的序列中,每一个序列在本发明中称之为域名共现序列。
(3)域名共现对提取模块。本模块负责将域名共现序列按照滑动窗口的方法生成域名共现对。
(4)特征学习模块。本模块负责基于域名共现对,利用嵌入学习,获取每一个域名的特征向量。
(5)恶意域名检测模块。本模块可分为训练子模块和检测子模块。其中,训练子模块利用部分已知属性的正常域名和恶意域名,结合机器学习分类算法,训练恶意域名分类器;检测子模块利用训练好的分类器对未知属性的域名进行判定,检测恶意域名。
(6)团伙分析发现模块。本模块负责对检测出的恶意域名进行更深层次的团伙分析,利用聚类算法发现域名团伙。
实施例
本实施例利用一个企业网下近2个月的DNS流量数据进行实验。本发明提出的方法主要涉及到3个参数:1)序列切割时间间隔τ;2)滑动窗口大小w;3)每个域名特征向量的维度d。本实施例实验中选取τ∈{2,3,5},w∈{1,2,3}和d∈{100,200,300},共27种参数组合。针对每一组参数(τ,w,d),实验中采用标准的10-Fold交叉验证的方式来评估实验效果。实验中首先将训练数据集随机平均地分为10份,其中9份作为训练集,剩下1份作为测试集,获取在测试集上的检测效果。然后如此重复10次,让每一份数据均能作为测试集。最后,将10次的平均结果作为这组参数的最终实验结果。
本实施例选用3个主流的有监督的机器学习算法作为恶意域名检测的分类器。
1)随机森林(Random Forest):一种通过集成学习的思想将多棵决策树集成起来形成决策森林的算法。
2)XGBoost:XGBoost是一种面向基础的GradientBoosting算法的优化版本,具有的高效的运行效率、灵活性和可移植性。
3)深度神经网络(deep neural network,DNN):实验中构建了一个四层的神经网络,层与层之间采用全连接网络。第2、3、4层的神经元个数依次设定为128、32、2,非线性激活函数采用Relu函数,最后采用softmax函数归一化输出结果。训练过程采用交叉熵函数构建模型的损失函数,通过随机梯度下降算法来最小化损失函数。
详细实验结果如表1所示。RandomForest平均能够达到93.97%的F-Measure,91.80%的精度和96.30%的召回率。XGboost平均能够达到94.06%的F-Measure,91.41%的精度和96.90%的召回率。DNN平均能够达到93.85%的F-Measure,91.76%的精度和96.05%的召回率。综上可知,在3种不同的分类算法下本发明均能够有效地检测恶意域名。
表1检测效果

Claims (10)

1.一种利用域名共现关系的恶意域名检测方法,包括以下步骤:
(1)解析主机层面的DNS流量,获取请求信息,所述请求信息包括请求用户、请求域名和请求时间三元组信息;
(2)基于(1)中的三元组数据,按照序列切割时间阈值τ将请求用户的DNS请求序列进行切割,划分为域名共现序列;
(3)基于(2)中的域名共现序列,生成域名共现对;
(4)基于(3)中的域名共现对,在保留域名共现关系的前提下,将每一个域名映射为特征向量;
(5)将(4)中的特征向量输入恶意域名分类器以检测恶意域名;
其中所述恶意域名分类器通过下述步骤得到:
按照上述步骤(1)-(4)得到特征向量,利用已知属性的正常域名和恶意域名,结合机器学习分类算法进行训练,得到恶意域名分类器。
2.如权利要求1所述一种利用域名共现关系的恶意域名检测方法,其特征在于,步骤(1)中主机层面DNS流量未经NAT网络地址转换。
3.如权利要求1所述一种利用域名共现关系的恶意域名检测方法,其特征在于,步骤(1)还包括:按照请求用户和请求时间对三元组集合进行排序,形成域名请求数据集其中为用户ui请求域名的集合,代表用户ui在时间请求域名
4.如权利要求3所述一种利用域名共现关系的恶意域名检测方法,其特征在于,步骤(2)具体为:针对用户ui的请求序列集合Di,将相邻的两个域名请求之间的时间间隔大于切割阈值τ的两个域名请求切割开来,划分到不同的域名共现序列中,反之则划分到同一个域名共现序列中。
5.如权利要求3所述一种利用域名共现关系的恶意域名检测方法,其特征在于,步骤(3)具体为:
(3-1)设定滑动窗口w大小;
(3-2)针对每一个域名共现序列中的每一个域名dj,确定其窗口范围为C(dj)=(dj-w,dj-w+1,…,dj-1,dj+1,dj+2,…,dj+w),为dj前w个域名和后w个域名;
(3-3)基于域名dj窗口范围C(dj),进一步提取域名共现对{(dj,dj-w),…,(dj,dj-1),(dj,dj+1),…,(dj,dj+w)};
(3-4)整合所有序列中提取的域名共现对,形成集合
6.如权利要求3所述一种利用域名共现关系的恶意域名检测方法,其特征在于,步骤(4)具体为:
(4-1)采用sigmoid函数衡量两个域名di和dj的共现概率,即:
(4-2)应用负采样技术生成不具有共现关系的负样本集合每一个负样本为一个域名对(di,dj),但是di和dj不具有共现关系;
(4-3)构建如下映射目标函数:
(4-4)采用优化算法不断迭代优化,最后得到每一个域名对应的特征向量。
7.如权利要求3所述一种利用域名共现关系的恶意域名检测方法,其特征在于,步骤(5)机器学习分类算法包括随机森林、随机森林、深度神经网络。
8.基于权利要求1-7任一所述方法检测恶意域名团伙的方法,包括如下步骤:
(1)结合每个域名所对应的特征向量,采用机器学习聚类算法进行聚类;
(2)整理聚类之后的域名团簇,形成恶意域名团伙。
9.一种利用域名共现关系的恶意域名检测系统,包括:
(1)域名数据预处理模块:负责对DNS流量进行数据解析、噪音过滤,并按照时间顺序写入数据库;
(2)域名共现序列提取模块:负责将解析的域名请求数据按照时间间隔切割算法划分成域名共现对;
(3)域名共现对提取模块:负责将域名共现序列按照滑动窗口的方法生成域名共现对;
(4)特征学习模块:基于域名共现对,利用嵌入学习,获取每一个域名的向量化表示,即为域名的特征向量;
(5)恶意域名检测模块:本模块可分为训练子模块和检测子模块;其中,训练子模块利用部分已知属性的正常域名和恶意域名,结合机器学习分类算法,训练恶意域名分类器;检测子模块利用训练好的分类器对未知属性的域名进行判定,检测恶意域名。
10.如权利要求9所述的检测系统,还包括:团伙分析发现模块,该模块负责对恶意域名检测模块中识别的恶意域名进行团伙分析,利用机器学习聚类算法发现域名团伙。
CN201910729466.8A 2019-08-08 2019-08-08 一种利用域名共现关系的恶意域名检测方法及系统 Pending CN110557382A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910729466.8A CN110557382A (zh) 2019-08-08 2019-08-08 一种利用域名共现关系的恶意域名检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910729466.8A CN110557382A (zh) 2019-08-08 2019-08-08 一种利用域名共现关系的恶意域名检测方法及系统

Publications (1)

Publication Number Publication Date
CN110557382A true CN110557382A (zh) 2019-12-10

Family

ID=68737195

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910729466.8A Pending CN110557382A (zh) 2019-08-08 2019-08-08 一种利用域名共现关系的恶意域名检测方法及系统

Country Status (1)

Country Link
CN (1) CN110557382A (zh)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111935099A (zh) * 2020-07-16 2020-11-13 兰州理工大学 一种基于深度降噪自编码网络的恶意域名检测方法
CN112019569A (zh) * 2020-10-20 2020-12-01 腾讯科技(深圳)有限公司 恶意域名检测方法、装置及存储介质
CN112422589A (zh) * 2021-01-25 2021-02-26 腾讯科技(深圳)有限公司 域名系统请求的识别方法、存储介质及电子设备
CN112835995A (zh) * 2021-02-04 2021-05-25 中国互联网络信息中心 一种基于解析关系的域名图嵌入表示分析方法及装置
CN112910888A (zh) * 2021-01-29 2021-06-04 杭州迪普科技股份有限公司 非法域名注册团伙挖掘方法及装置
CN113542442A (zh) * 2020-04-21 2021-10-22 深信服科技股份有限公司 一种恶意域名检测方法、装置、设备及存储介质
CN113572719A (zh) * 2020-04-29 2021-10-29 深信服科技股份有限公司 一种域名检测方法、装置、设备及可读存储介质
CN113765841A (zh) * 2020-06-01 2021-12-07 中国电信股份有限公司 恶意域名的检测方法和装置
CN114024718A (zh) * 2021-10-12 2022-02-08 鹏城实验室 恶意域名检测方法、装置、设备及存储介质
CN114363062A (zh) * 2021-12-31 2022-04-15 深信服科技股份有限公司 一种域名检测方法、系统、设备及计算机可读存储介质
CN114401122A (zh) * 2021-12-28 2022-04-26 中国电信股份有限公司 一种域名检测方法、装置、电子设备及存储介质
CN115102714A (zh) * 2022-05-17 2022-09-23 中国科学院信息工程研究所 基于动态演进图的恶意域名检测方法及装置
CN117176480A (zh) * 2023-11-03 2023-12-05 北京锐服信科技有限公司 一种攻击事件的溯源的方法与系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080301809A1 (en) * 2007-05-31 2008-12-04 Nortel Networks System and method for detectng malicious mail from spam zombies
CN102045215A (zh) * 2009-10-21 2011-05-04 成都市华为赛门铁克科技有限公司 僵尸网络检测方法及装置
US20130291109A1 (en) * 2008-11-03 2013-10-31 Fireeye, Inc. Systems and Methods for Scheduling Analysis of Network Content for Malware
CN107786575A (zh) * 2017-11-11 2018-03-09 北京信息科技大学 一种基于dns流量的自适应恶意域名检测方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080301809A1 (en) * 2007-05-31 2008-12-04 Nortel Networks System and method for detectng malicious mail from spam zombies
US20130291109A1 (en) * 2008-11-03 2013-10-31 Fireeye, Inc. Systems and Methods for Scheduling Analysis of Network Content for Malware
CN102045215A (zh) * 2009-10-21 2011-05-04 成都市华为赛门铁克科技有限公司 僵尸网络检测方法及装置
CN107786575A (zh) * 2017-11-11 2018-03-09 北京信息科技大学 一种基于dns流量的自适应恶意域名检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
彭成维,云晓春,张永铮,李书豪: ""一种基于域名请求伴随关系的恶意域名检测方法"", 《计算机研究与发展》 *

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113542442B (zh) * 2020-04-21 2022-09-30 深信服科技股份有限公司 一种恶意域名检测方法、装置、设备及存储介质
CN113542442A (zh) * 2020-04-21 2021-10-22 深信服科技股份有限公司 一种恶意域名检测方法、装置、设备及存储介质
CN113572719B (zh) * 2020-04-29 2023-03-24 深信服科技股份有限公司 一种域名检测方法、装置、设备及可读存储介质
CN113572719A (zh) * 2020-04-29 2021-10-29 深信服科技股份有限公司 一种域名检测方法、装置、设备及可读存储介质
CN113765841A (zh) * 2020-06-01 2021-12-07 中国电信股份有限公司 恶意域名的检测方法和装置
CN111935099A (zh) * 2020-07-16 2020-11-13 兰州理工大学 一种基于深度降噪自编码网络的恶意域名检测方法
CN112019569A (zh) * 2020-10-20 2020-12-01 腾讯科技(深圳)有限公司 恶意域名检测方法、装置及存储介质
CN112422589A (zh) * 2021-01-25 2021-02-26 腾讯科技(深圳)有限公司 域名系统请求的识别方法、存储介质及电子设备
CN112910888A (zh) * 2021-01-29 2021-06-04 杭州迪普科技股份有限公司 非法域名注册团伙挖掘方法及装置
CN112835995A (zh) * 2021-02-04 2021-05-25 中国互联网络信息中心 一种基于解析关系的域名图嵌入表示分析方法及装置
CN112835995B (zh) * 2021-02-04 2023-11-07 中国互联网络信息中心 一种基于解析关系的域名图嵌入表示分析方法及装置
CN114024718A (zh) * 2021-10-12 2022-02-08 鹏城实验室 恶意域名检测方法、装置、设备及存储介质
CN114024718B (zh) * 2021-10-12 2024-05-07 鹏城实验室 恶意域名检测方法、装置、设备及存储介质
CN114401122A (zh) * 2021-12-28 2022-04-26 中国电信股份有限公司 一种域名检测方法、装置、电子设备及存储介质
CN114401122B (zh) * 2021-12-28 2024-04-05 中国电信股份有限公司 一种域名检测方法、装置、电子设备及存储介质
CN114363062A (zh) * 2021-12-31 2022-04-15 深信服科技股份有限公司 一种域名检测方法、系统、设备及计算机可读存储介质
CN115102714A (zh) * 2022-05-17 2022-09-23 中国科学院信息工程研究所 基于动态演进图的恶意域名检测方法及装置
CN117176480A (zh) * 2023-11-03 2023-12-05 北京锐服信科技有限公司 一种攻击事件的溯源的方法与系统
CN117176480B (zh) * 2023-11-03 2024-01-09 北京锐服信科技有限公司 一种攻击事件的溯源的方法与系统

Similar Documents

Publication Publication Date Title
CN110557382A (zh) 一种利用域名共现关系的恶意域名检测方法及系统
Vinayakumar et al. Evaluating deep learning approaches to characterize and classify the DGAs at scale
CN109450842B (zh) 一种基于神经网络的网络恶意行为识别方法
Vinayakumar et al. Evaluating deep learning approaches to characterize and classify malicious URL’s
CN108156131B (zh) Webshell检测方法、电子设备和计算机存储介质
CN112866023B (zh) 网络检测、模型训练方法、装置、设备及存储介质
CN108229156A (zh) Url攻击检测方法、装置以及电子设备
Ren et al. CSKG4APT: A cybersecurity knowledge graph for advanced persistent threat organization attribution
CN109391706A (zh) 基于深度学习的域名检测方法、装置、设备和存储介质
Mohan et al. Spoof net: syntactic patterns for identification of ominous online factors
CN112019651B (zh) 利用深度残差网络和字符级滑动窗口的dga域名检测方法
CN112073550B (zh) 融合字符级滑动窗口和深度残差网络的dga域名检测方法
CN112073551B (zh) 基于字符级滑动窗口和深度残差网络的dga域名检测系统
Tong et al. A method for detecting DGA botnet based on semantic and cluster analysis
CN112235434B (zh) 融合k-means及其胶囊网络的DGA网络域名检测识别系统
Al-Ahmadi et al. PDGAN: Phishing detection with generative adversarial networks
Narayan et al. Desi: Deepfake source identifier for social media
Perry et al. No-doubt: Attack attribution based on threat intelligence reports
CN111368289A (zh) 一种恶意软件检测方法和装置
He et al. Malicious domain detection via domain relationship and graph models
Latha et al. Fake profile identification in social network using machine learning and NLP
CN109344913B (zh) 一种基于改进MajorClust聚类的网络入侵行为检测方法
Remmide et al. Detection of phishing URLs using temporal convolutional network
Shukla et al. UInDeSI4. 0: An efficient Unsupervised Intrusion Detection System for network traffic flow in Industry 4.0 ecosystem
Peng et al. Malicious URL recognition and detection using attention-based CNN-LSTM

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20191210