CN110650157A - 基于集成学习的Fast-flux域名检测方法 - Google Patents

基于集成学习的Fast-flux域名检测方法 Download PDF

Info

Publication number
CN110650157A
CN110650157A CN201911013025.4A CN201911013025A CN110650157A CN 110650157 A CN110650157 A CN 110650157A CN 201911013025 A CN201911013025 A CN 201911013025A CN 110650157 A CN110650157 A CN 110650157A
Authority
CN
China
Prior art keywords
domain name
fast
dns
sample
flux
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911013025.4A
Other languages
English (en)
Other versions
CN110650157B (zh
Inventor
谷勇浩
郭振洋
李良训
王翼翡
黄泽祺
李凯悦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing University of Posts and Telecommunications
Original Assignee
Beijing University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing University of Posts and Telecommunications filed Critical Beijing University of Posts and Telecommunications
Priority to CN201911013025.4A priority Critical patent/CN110650157B/zh
Publication of CN110650157A publication Critical patent/CN110650157A/zh
Application granted granted Critical
Publication of CN110650157B publication Critical patent/CN110650157B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4552Lookup mechanisms between a plurality of directories; Synchronisation of directories, e.g. metadirectories
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了基于集成学习的Fast‑flux域名检测方法,对DNS日志或DNS流量进行过滤,将非法记录删除,为后续特征提取减少数据处理量;对过滤后DNS日志或流量记录进行字段提取操作,进行特征提取,提取的特征包括:A记录数、国家数、ASN数、查询响应时间、查询响应包的大小;根据样本的类型,对正常域名和Fast‑flux域名进行标记;使用已标记的数据样本进行训练,通过集成思想生成最终强分类器;对检测数据进行预处理,得到最终的样本,并使用最终强分类器进行检测,生成分类结果。通过对DNS日志和流量进行分析,提取查询响应时间、响应包大小新特征,减低了对CDN域名的误报,提高了对Fast‑flux域名的检测效率。

Description

基于集成学习的Fast-flux域名检测方法
技术领域
本发明涉及域名检测技术领域,具体为基于集成学习的Fast-flux域名检测方法。
背景技术
僵尸网络是由一群被恶意软件感染的主机和控制它们的C&C(命令与控制)信道组成 的网络,其可以被用于DDoS攻击、垃圾邮件、点击欺诈和比特币采集等。这些攻击对网络、商业、能源都可能造成威胁。近些年年我国有大量主机感染僵尸程序成为僵尸主机, 受国内外的僵尸服务器支配。根据国家互联网应急中心统计,2015年我国境内被僵尸程序 感染主机数量为1978万台,控制它们的僵尸服务器在境外逐渐增多,境内因为打击而减 少。所以僵尸主机的发现,僵尸服务器与僵尸主机联系的切断,僵尸程序的清理,僵尸程 序传播的抑制是我国一个需要解决的问题。
在早期的僵尸网络中,控制者通常会把C&C服务器的域名或者IP地址硬编码到恶意 程序中,僵尸主机通过这些信息定时访问C&C主机获取命令。但同时安全人员也能够通过逆向恶意程序,得到C&C服务器的域名或者IP,利用这些信息定位C&C主机,安全人 员就可以隔断C&C主机从而破坏僵尸网络。不少控制者为了保护C&C主机,使用Fast-flux 技术和Domain-flux技术来提高C&C服务器的健壮性。
Fast-flux技术是指一个域名拥有一个不断变化的IP地址列表,这个列表可能会有几百 到上千条。为了实现频繁的变化IP地址,控制者提供最底层域名服务器,这个服务器会返 回频繁变化的C&C服务器IP地址。由于域名不断地变化,安全人员很难根据追踪得到C&C 主机的IP地址,无法破坏僵尸网络主机。
目前从方法角度分类,僵尸网络检测使用的方法可分为阈值法和基于机器学习的方 法。使用阈值的方法,一般是在所用特征可以将样本投射到人类可以分析的空间范围内的 时候,这种情况对特征要求较高,且维度不宜过大。机器学习的方法可以处理更加复杂的 情况,适用性也比较广,所以得到了更多的应用。
现有文献《基于DNS记录特征和CART的Fast-flux恶意域名识别研究和实现》提出了从DNS日志中记录特征利用CART算法构建决策树的检测方法,下面结合图1,对方法 流程进行描述。
本方法步骤如下图1所示:
步骤1:接收DNS日志数据。
步骤2:对DNS日志数据进行预处理操作,删除非法DNS日志记录。
步骤3:将预处理之后的数据与现有的正常域名、CDN域名、Fast=Flux域名进行比照, 判断是否有相同的部分。
步骤4:对预处理之后的数据进行特征提取,提取的特征包括:域名对应的IP数、IP所在地理位置的经纬度、TTl、域名长度、域名对应的IP数、IP所在地理位置的经纬度、 响应时间波动率,后三个特征用来检测CDN域名。提取完特征后,形成样本。
步骤5:利用训练样本使用CART算法生成决策树,使用CART算法生成决策树过程如下:5-1、设结点的训练数据集为D,计算现有特征对该数据集的Gini系数。此时,对 每一个特征A,对其可能取的每个值a,根据样本点对A=a的测试为“是”或“否”将D 分割成D1和D2两部分,计算A=a时的Gini系数。
5-2、在所有可能的特征A以及它们所有可能的切分点a中,选择Gini系数最小的特征及其对应的切分点作为最优特征与最优切分点。依最优特征与最优切分点,从现结点生成两个子结点,将训练数据集依特征分配到两个子结点中去。
对两个子结点递归地调用步骤l-2,直至满足停止条件。算法停止计算的条件是结点中 的样本个数小于预定阈值,或样本集的Gini系数小于预定阈值(样本基本属于同一类), 或者没有更多特征。
步骤6:显示检测结果,结果包含正常域名、Fast-flux域名、CDN域名。
现有技术一的缺点:
1、检测结果部分依赖于现有的已知域名;当已知域名不够完备或有错误时,检测性 能将会下降。
2、算法对数据比较敏感;CART算法对数据比较敏感,样本的细小变得,会使整个树发生巨大的变化,算法运行时间变长。
现有技术二的技术方案,与正常的域名相比,Fast-flux域名的响应时间波动比较大。 文献《基于IP分布及请求响应时间的恶意fast-flux域名检测算法》提出了一种基于Ip分 布与响应时间波动的Fast-flux域名检测方法。下面结合图2,对方法流程进行描述。
具体方法步骤:
步骤1:利用现有数据组合成训练数据,其中正常域名来自ALEXA网站,Fast-flux域 名来自DNSBL、ATLAS。
步骤2:特征提取,利用现有域名进行特征提取,提取的特征包括:IP分布、IP响应时 间波动。设域名M解析所对应的不同IP地址为{IP1,IP2,...IPN},对于IPi(1≤i≤n),从主机H每隔时间t向其发送HTTP请求REQ,共发送R个,获取IPi对于每个HTTP请求REQr (1≤r≤n)的响应时间tr并计算出该R个响应时间的平均值Taver,设域名M解析IP响应时 间波动为W,IP响应时间波动公式如公式(1)所示:
Figure BDA0002244772800000031
步骤3:使用特征提取完毕的样本进行训练。
步骤4:训练完之后生成SVM模型。
步骤5:接收要检测的域名数据。
步骤6:同步骤2,进行特征提取。利用SVM模型进行测试。
步骤7:输出检测结果。
现有技术二的缺点:
1、特征提取繁琐,特征提取的过程中,需要向域名所对应的IP发送多次HTTP请求,十分耗费时间。
2、SVM模型参数确定问题。SVM的性能取决于参数的确定,如何设定SVM参数一直是一个问题。
本方案在Fast-Flux僵尸网络进行深入研究的基础上,针对现有Fast-Flux僵尸网络检 测技术的不足,提出一种基于集成学习的Fast-flux域名检测方法。
发明内容
本发明的目的在于提供基于集成学习的Fast-flux域名检测方法,以解决上述背景技术 中提出的问题。
为实现上述目的,本发明提供如下技术方案:基于集成学习的Fast-flux域名检测方法 具体步骤如下:
1、对DNS日志或DNS流量进行过滤,将非法的记录删除,为后续特征提取减少数 据处理量;
2、对过滤后的DNS日志或流量记录进行字段提取操作,提取的字段主要包括:域名解析所对应的IP、DNS请求时间、DNS请求响应时间、DNS响应包大小等,提取这些字 段为后续特征提取做准备;
3、根据步骤2中的字段,进行特征提取,提取的特征包括:A记录数、国家数、ASN数、查询响应时间、查询响应包的大小;
4、根据样本的类型,对正常域名和Fast-flux域名进行标记;
5、使用步骤4中的已标记的数据样本进行训练,通过集成思想生成最终强分类器;
6、将待测数据,按步骤1、2、3执行相应的操作,得到最终的样本,并使用最终强 分类器进行检测,生成分类结果。
进一步优选,所述的步骤5的具体流程如下:
5-1、初始化样本权值,每个样本的权值都是相等的,设样本数为N,则每个样本权值 为1/N,将迭代次数设为0,将迭代次数最大值设为n;
5-2、判断当前迭代次数是否小于迭代次数最大值,如果小于则执行步骤5-3,否则执 行步骤5-6;
5-3、计算弱分类器在当前样本分布上的误差率,选取当前最优分类器,选取的标准是 在当前样本分布上误差率最小;
5-4、根据误差率,计算该弱分类器在最终强分类器中所占的权重;
5-5、更新训练样本的权值分布,并跳转步骤5-2;
5-6、根据每个弱分类器的权重,组合生成最终最强分类器。
本发明的有益效果:本发明通过对DNS日志和流量进行分析,提取查询响应时间、响应包大小新特征,减低了对CDN域名的误报,提高了对Fast-flux域名的检测效率。
本发明将集成思想应用到有监督机器学习模型决策树模型,提高了决策树模型在检测 Fast-flux域名方面的准确率。
附图说明
图1为背景技术中现有技术一的工作流程图;
图2为背景技术中现有技术二的工作流程图;
图3为本发明的流程结构示意图;
图4为本发明步骤5的流程结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地 描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本 发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实 施例,都属于本发明保护的范围。
参照图3所示,本具体实施方式基于集成学习的Fast-flux域名检测方法具体步骤如下:
1、对DNS日志或DNS流量进行过滤,将非法的记录删除,为后续特征提取减少数 据处理量;
2、对过滤后的DNS日志或流量记录进行字段提取操作,提取的字段主要包括:域名解析所对应的IP、DNS请求时间、DNS请求响应时间、DNS响应包大小等。提取这些字 段为后续特征提取做准备;
3、根据步骤2中的字段,进行特征提取,提取的特征包括:A记录数、国家数、ASN数、查询响应时间、查询响应包的大小;
4、根据样本的类型,对正常域名和Fast-flux域名进行标记;
5、使用步骤4中的已标记的数据样本进行训练,通过集成思想生成最终强分类器;
6、将待测数据,按步骤1、2、3执行相应的操作,得到最终的样本,并使用最终强 分类器进行检测,生成分类结果。
进一步优选,参照图4所示,所述的步骤5的具体流程如下:
5-1、初始化样本权值,每个样本的权值都是相等的,设样本数为N,则每个样本权值 为1/N,将迭代次数设为0,将迭代次数最大值设为n;
5-2、判断当前迭代次数是否小于迭代次数最大值,如果小于则执行步骤5-3,否则执 行步骤5-6;
5-3、计算弱分类器在当前样本分布上的误差率,选取当前最优分类器,选取的标准是 在当前样本分布上误差率最小;
5-4、根据误差率,计算该弱分类器在最终强分类器中所占的权重;
5-5、更新训练样本的权值分布,并跳转步骤5-2;
5-6、根据每个弱分类器的权重,组合生成最终最强分类器。
实施例
本实施例采用的操作系统为Windows10,操作系统安装了python2.7版本以及PyCharm。PyCharm是一种Python IDE,带有一整套可以帮助用户在使用Python语言开发 时提高其效率的工具。本实施例所采用的Fast-Flux域名均来自DNSBL所收集的真实的 Fast-flux域名,所采用的正常域名来自ALEXA网站。
本实施例除了使用除A记录数、国家数、ASN数三个以后特征,还提出了查询响应时间、响应包大小两个特征用以降低对CDN域名的误报。
①查询响应时间
由于Fast-Flux为了能及时快速的变化IP,TTL值设的比较小(通常小于600),DNS服务器缓存的时间小,当进行DNS查询,会在多个DNS服务器之间进行迭代查询或递归 查询,查询消耗时间比正常网站多。
设在t1时间对域名A发起DNS查询,在t2时间收到DNS响应结果,则A域名的查 询响应时间QT如公式(2)所示:
QT=t2-t1 公式(2)
(若在时间t1后,未收到DNS响应结果,在t1'时间再次对域名A发起DNS查询,则 t1=t1')
②响应包大小
由于Fast-Flux返回的DNS请求结果中,包含的A记录数、NS记录数比较多,所 以dig命令接收响应包比较大,比正常域名的响应包要大。
AdaBoosting集成算法,首先初始化训练数据的权值分布。每一个训练样本一开始被赋予相同的权值,这样训练样本集的初始权值分布D如公式(3)所示:
Figure BDA0002244772800000071
进行迭代t=1,2,...,T
a)选取一个当前误差率最低的分类器h作为第t个基本分类器Ht,并计算该分类器在 分布Dt上的误差率,计算公式如公式(4)所示:
Figure BDA0002244772800000072
b)计算该弱分类器在最终分类器中所占的权重
c)更新训练样本的权值分布,更新公式如公式(5)所示:
Figure BDA0002244772800000073
最后按弱分类器权重组合各个弱分类器,即
Figure BDA0002244772800000074
通过符号函数的作用得到一个强分类器,如公式(7)所示:
Figure BDA0002244772800000075
Adaboosting提供一种框架,在框架内可以使用各种方法构建子分类器。可以使用简单的弱分类器,不用对特征进行筛选,也不存在过拟合的现象。
Adaboosting算法不需要弱分类器的先验知识,最后得到的强分类器的分类精度依 赖于所有弱分类器。无论是应用于人造数据还是真实数据,Adaboosting都能显著的提高学习精度。
检测结果,本实施例共使用样本数量包括324个Fast-Flux域名、100个CDN域名、100个正常域名,总控524个域名样本。将524个域名样本按照7:3的比例随机划分为 训练集与测试集,使用新特征与不使用新特征对比效果如表1所示:
表1
特征使用情况 准确率 召回率 F1-Score
不适用新特征 0.9555 0.9555 0.9555
使用新特征 0.9797 0.9797 0.9797
由表1可以看出,使用新特征之后,提高了对Fast-Flux域名的检测性能,并降低了对 CDN域名的误报。
本实施例所使用的AdaBoosting方法不会对数据本身敏感,不会因为样本的细小变化 而使算法时间变长。
本实施例中所需要的特征都可以直接或间接从DNS日志或流量中获得,不需要向域 名发送多次请求,节约了时间。
本实施例本发明所使用的模型受参数影响不大,使用默认参数也能保持较好的检测性 能。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解 在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变 型,本发明的范围由所附权利要求及其等同物限定。

Claims (2)

1.基于集成学习的Fast-flux域名检测方法,其特征在于:具体步骤如下:
(1)、对DNS日志或DNS流量进行过滤,将非法的记录删除,为后续特征提取减少数据处理量;
(2)、对过滤后的DNS日志或流量记录进行字段提取操作,提取的字段主要包括:域名解析所对应的IP、DNS请求时间、DNS请求响应时间、DNS响应包大小,提取这些字段为后续特征提取做准备;
(3)、根据步骤(2)中的字段,进行特征提取,提取的特征包括:A记录数、国家数、ASN数、查询响应时间、查询响应包的大小;
(4)、根据样本的类型,对正常域名和Fast-flux域名进行标记;
(5)、使用步骤(4)中的已标记的数据样本进行训练,通过集成思想生成最终强分类器;
(6)、将待测数据,按步骤(1)、(2)、(3)执行相应的操作,得到最终的样本,并使用最终强分类器进行检测,生成分类结果。
2.根据权利要求1所述的基于集成学习的Fast-flux域名检测方法,其特征在于:所述的步骤(5)的具体流程如下:
(5-1)、初始化样本权值,每个样本的权值都是相等的,设样本数为N,则每个样本权值为1/N,将迭代次数设为0,将迭代次数最大值设为n;
(5-2)、判断当前迭代次数是否小于迭代次数最大值,如果小于则执行步骤(5-3),否则执行步骤(5-6);
(5-3)、计算弱分类器在当前样本分布上的误差率,选取当前最优分类器,选取的标准是在当前样本分布上误差率最小;
(5-4)、根据误差率,计算该弱分类器在最终强分类器中所占的权重;
(5-5)、更新训练样本的权值分布,并跳转步骤(5-2);
(5-6)、根据每个弱分类器的权重,组合生成最终最强分类器。
CN201911013025.4A 2019-10-23 2019-10-23 基于集成学习的Fast-flux域名检测方法 Active CN110650157B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911013025.4A CN110650157B (zh) 2019-10-23 2019-10-23 基于集成学习的Fast-flux域名检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911013025.4A CN110650157B (zh) 2019-10-23 2019-10-23 基于集成学习的Fast-flux域名检测方法

Publications (2)

Publication Number Publication Date
CN110650157A true CN110650157A (zh) 2020-01-03
CN110650157B CN110650157B (zh) 2021-01-15

Family

ID=69013358

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911013025.4A Active CN110650157B (zh) 2019-10-23 2019-10-23 基于集成学习的Fast-flux域名检测方法

Country Status (1)

Country Link
CN (1) CN110650157B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111371917A (zh) * 2020-02-28 2020-07-03 北京信息科技大学 一种域名检测方法及系统
CN115277170A (zh) * 2022-07-25 2022-11-01 南京未来网络产业创新有限公司 一种僵尸网络与cdn网络的主动分类方法及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103152442A (zh) * 2013-01-31 2013-06-12 中国科学院计算机网络信息中心 一种僵尸网络域名的检测与处理方法及系统
CN107360200A (zh) * 2017-09-20 2017-11-17 广东工业大学 一种基于分类信心和网站特征的钓鱼检测方法
CN107786575A (zh) * 2017-11-11 2018-03-09 北京信息科技大学 一种基于dns流量的自适应恶意域名检测方法
US20180351972A1 (en) * 2017-05-31 2018-12-06 Infoblox Inc. Inline dga detection with deep networks
CN109413079A (zh) * 2018-11-09 2019-03-01 四川大学 一种高速网络下Fast-Flux僵尸网络检测方法和系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103152442A (zh) * 2013-01-31 2013-06-12 中国科学院计算机网络信息中心 一种僵尸网络域名的检测与处理方法及系统
US20180351972A1 (en) * 2017-05-31 2018-12-06 Infoblox Inc. Inline dga detection with deep networks
CN107360200A (zh) * 2017-09-20 2017-11-17 广东工业大学 一种基于分类信心和网站特征的钓鱼检测方法
CN107786575A (zh) * 2017-11-11 2018-03-09 北京信息科技大学 一种基于dns流量的自适应恶意域名检测方法
CN109413079A (zh) * 2018-11-09 2019-03-01 四川大学 一种高速网络下Fast-Flux僵尸网络检测方法和系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
谷勇浩、郭振洋等: "Semi-Supervised K-Means DDoS Detection Method Using Hybrid Feature Selection Algorithm", 《IEEE》 *
马旸,强小辉,蔡冰,王林汝: "大规模网络中基于集成学习的恶意域名检测", 《计算机工程》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111371917A (zh) * 2020-02-28 2020-07-03 北京信息科技大学 一种域名检测方法及系统
CN111371917B (zh) * 2020-02-28 2022-04-22 北京信息科技大学 一种域名检测方法及系统
CN115277170A (zh) * 2022-07-25 2022-11-01 南京未来网络产业创新有限公司 一种僵尸网络与cdn网络的主动分类方法及系统
CN115277170B (zh) * 2022-07-25 2023-09-12 南京未来网络产业创新有限公司 一种僵尸网络与cdn网络的主动分类方法及系统

Also Published As

Publication number Publication date
CN110650157B (zh) 2021-01-15

Similar Documents

Publication Publication Date Title
CN107786575B (zh) 一种基于dns流量的自适应恶意域名检测方法
Janarthanan et al. Feature selection in UNSW-NB15 and KDDCUP'99 datasets
CN112910929B (zh) 基于异质图表示学习的恶意域名检测方法及装置
US8260914B1 (en) Detecting DNS fast-flux anomalies
CN111131260B (zh) 一种海量网络恶意域名识别和分类方法及系统
CN102685145A (zh) 一种基于dns数据包的僵尸网络域名发现方法
CN110830490B (zh) 基于带对抗训练深度网络的恶意域名检测方法及系统
CN107370752B (zh) 一种高效的远控木马检测方法
US10440035B2 (en) Identifying malicious communication channels in network traffic by generating data based on adaptive sampling
CN113206860B (zh) 一种基于机器学习和特征选择的DRDoS攻击检测方法
KR100628329B1 (ko) 네트워크 세션 특성 정보에 대한 공격 행위 탐지규칙 생성장치 및 그 방법
Zhou et al. CNN-based DGA detection with high coverage
Celik et al. Detection of Fast-Flux Networks using various DNS feature sets
CN110650156B (zh) 网络实体的关系聚类方法、装置及网络事件的识别方法
CN110650157B (zh) 基于集成学习的Fast-flux域名检测方法
Lei et al. Detecting malicious domains with behavioral modeling and graph embedding
CN110351291A (zh) 基于多尺度卷积神经网络的DDoS攻击检测方法及装置
Zang et al. Identifying fast-flux botnet with AGD names at the upper DNS hierarchy
Yang et al. Fast3DS: A real-time full-convolutional malicious domain name detection system
CN115442075A (zh) 一种基于异质图传播网络的恶意域名检测方法和系统
Brandao et al. Log Files Analysis for Network Intrusion Detection
CN116886400A (zh) 一种恶意域名检测方法、系统及介质
Little et al. Spectral clustering technique for classifying network attacks
Masud et al. Mining concept-drifting data stream to detect peer to peer botnet traffic
CN111371917B (zh) 一种域名检测方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant