CN115834176A - 一种基于沙箱流量构建异构图的恶意域名检测方法 - Google Patents

一种基于沙箱流量构建异构图的恶意域名检测方法 Download PDF

Info

Publication number
CN115834176A
CN115834176A CN202211443881.5A CN202211443881A CN115834176A CN 115834176 A CN115834176 A CN 115834176A CN 202211443881 A CN202211443881 A CN 202211443881A CN 115834176 A CN115834176 A CN 115834176A
Authority
CN
China
Prior art keywords
node
domain name
sandbox
graph
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211443881.5A
Other languages
English (en)
Inventor
何道敬
戴家玉
顾鸿杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Jingshan Technology Co ltd
East China Normal University
Original Assignee
Shanghai Jingshan Technology Co ltd
East China Normal University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Jingshan Technology Co ltd, East China Normal University filed Critical Shanghai Jingshan Technology Co ltd
Priority to CN202211443881.5A priority Critical patent/CN115834176A/zh
Publication of CN115834176A publication Critical patent/CN115834176A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于沙箱流量构建异构图的恶意域名检测方法,目标是使用沙箱流量构建异构图并结合图神经网络算法进行恶意域名检测,包括:搜集恶意文件活跃样本,在cuckoo沙箱中运行并采集沙箱流量数据;根据沙箱流量数据构造沙箱流量场景异构图,并利用正常域名标注数据集与恶意域名标注数据集对沙箱场景异构图中的域名节点标注;通过异构图神经网络嵌入学习,检测沙箱流量场景异构图中的恶意域名。本发明通过提取沙箱流量中的四类节点以及对应的十种关系,构建沙箱流量异构图,并采用异构图神经网络学习域名的图嵌入特征,最后使用分类器对未知属性域名的图嵌入特征进行分类,从而检测恶意域名。

Description

一种基于沙箱流量构建异构图的恶意域名检测方法
技术领域
本发明涉及恶意域名检测领域,尤其是一种基于沙箱流量构建异构图的恶意域名检测方法。
背景技术
近些年以来,随着大数据、云计算和物联网等新兴技术的出现,互联网产业呈现多元化发展趋势,同时人民的日常生活也更加便利和智能化。随着互联网技术的不断完善与发展,互联网的服务和协议也被滥用于各种恶意活动:如传播恶意软件、进行命令和控制(C&C)通信、发送垃圾邮件、托管诈骗和网络钓鱼网页等。域名作为互联网服务的重要一环,同时也成为实施恶意行为的重要途径。恶意域名作为具有恶意链接的网址,利用应用软件或浏览器的漏洞,在网站内植入木马、病毒程序等恶意代码,并利用伪装的网站服务内容来诱导用户访问。
当前主流的恶意域名检测系统主要是利用机器学习方法学习恶意域名的字符特征或者基于DNS流量构建域名关系图结合图嵌入方法来进行检测,然而以上方法未考虑到恶意域名的恶意行为特征,容易被Domain-Flux或IP-Flux等技术规避检测。
综上所述,为了更加有效及时地遏制使用恶意域名作为控制中心发起的一系列网络攻击,针对恶意域名的检测识别已经成为网络安全领域的重要研究对象。
发明内容
本发明的目的是提供一种基于沙箱流量构建异构图的恶意域名检测方法,使用沙箱流量构建异构图并结合图神经网络算法进行恶意域名检测,对具备完备关联模式的恶意域名、新出现的恶意域名及关联模式不完备的恶意域名进行识别,最终提升恶意域名检测的准确率。
为实现上述目的,本发明的技术方案如下:
本发明公开了一种基于沙箱流量构建异构图的恶意域名检测方法,目标是使用沙箱流量构建异构图并结合图神经网络算法进行恶意域名检测,包括:搜集恶意文件活跃样本,在cuckoo沙箱中运行并采集沙箱流量数据;根据沙箱流量数据构造沙箱流量场景异构图,并利用正常域名标注数据集与恶意域名标注数据集对沙箱场景异构图中的域名节点标注;通过异构图神经网络嵌入学习,检测沙箱流量场景异构图中的恶意域名。本发明通过提取沙箱流量中的四类节点以及对应的十种关系,构建沙箱流量异构图,并采用异构图神经网络学习域名的图嵌入特征,最后使用分类器对未知属性域名的图嵌入特征进行分类,从而检测恶意域名。其步骤包括:
1)首先进行沙箱流量提取,收集恶意样本:从github上的开源项目Malware和APTDATASETS,搜集恶意文件活跃样本,搭建cuckoo沙箱,在沙箱中运行收集到的恶意文件活跃样本,获得半结构化沙箱流量数据,所述沙箱流量数据包括运行所得的PCAP格式的网络流量包以及JSON格式的文件行为信息包;所述恶意文件包括木马软件、流氓软件、窃听软件及勒索软件;
2)基于沙箱流量数据构造沙箱流量场景异构图G=(V,E),其中V为节点类型,E为边的类型;
3)使用基于注意力机制的异构图神经网络算法对所构造的沙箱流量场景异构图进行异构图嵌入学习,获取域名的图嵌入特征;
4)构建恶意域名分类器,分类器使用四层的全连接神经网络对图嵌入特征进行分类;所述四层的全连接神经网络,每层输出维度为16×128×64×2,输入层维度16为图嵌入特征的维度,输出层维度为2,将未知域名分为恶意或正常;最终检测出恶意域名;其中:所述沙箱流量场景异构图G=(V,E),具体为:
2.1)V为节点,包括域名节点、文件节点、IP地址节点以及URL节点;所述域名节点包括黑域名、白域名以及待预测的未知域名;
2.2)E为节点对应的数种边,具体地,从网络流量包中抽取网络边,从文件行为信息包中抽取文件边。
文件边包括:“DOWNLOAD_TO”:通过URL下载一个文件;“DROP_TO”:起始节点文件释放终点文件;“CONTACT_IP_TO”:文件与IP进行通信;“CONTACT_DOMAIN_TO”:文件与域名进行通信;“CONTACT_URL_TO”:文件与URL进行通信;“QUERY_DOMAIN_TO”:文件询问DNS服务器;
网络边包括:“RESOLVE_TO_IP”:域名解析到IP;“PARENT_DOMAIN_OF”:起始节点域名是终点域名的父域;“HOST_OF”:域名或IP是URL的主机;“RESOLVE_TO_DOMAIN”:起始节点域名解析到终点域名;
所述步骤3),具体包括:
3.1)邻居采样;通过邻居采样算法获得所述异构图中每个节点要聚合的邻居列表以及对应的边信息;
3.2)信息聚合;异构图中每个节点通过信息聚合算法学习所述邻居采样获得的邻居信息,最终获得图嵌入特征;包括以下步骤:
步骤a.计算节点的各个邻居的节点级别的注意力,并根据节点级别的注意力分数聚合邻居信息并更新节点的节点级别注意力信息;
Figure BDA0003949140890000031
Figure BDA0003949140890000032
Figure BDA0003949140890000033
其中,
Figure BDA0003949140890000034
是节点i的关系为r的邻居节点集合,则j为节点i的邻居节点;
Figure BDA0003949140890000035
是节点i的第l层信息;
Figure BDA0003949140890000036
是可训练参数矩阵,din为输入向量维度;||是拼接操作,拼接后的信息维度为
Figure BDA0003949140890000037
为维度调整参数矩阵,用于调整信息维度;对得到的信息ei,j使用LeakyReLU激活函数激活后进行Softmax归一化操作,计算出最终的基于节点的注意力分数αi,r,聚合操作更新后节点的节点级别注意力信息为
Figure BDA0003949140890000038
步骤b.计算边级别的注意力分数,根据边的注意力分数聚合邻居的节点级别注意力信息并更新节点的下一层信息;具体实现公式如下:
Figure BDA0003949140890000039
Figure BDA00039491408900000310
Figure BDA00039491408900000311
其中,
Figure BDA00039491408900000312
是节点i的入度,r(i,j)是节点i→j之间边的权重,人工设置;
Figure BDA00039491408900000313
的作用与节点注意力计算中的a作用相同,用于调整信息维度;
Figure BDA00039491408900000314
是可训练参数矩阵;
Figure BDA00039491408900000315
是偏置值,边级别的注意力使用ReLU:f(x)=max(0,x)激活函数进行激活;通过上述计算更新节点i的l+1层信息
Figure BDA00039491408900000316
通过所述的信息聚合方式,更新三次信息,则每个节点学习到三层邻居信息,获得每个域名节点的最终图嵌入特征。
与现有方法相比,本发明的有益效果是:
本发明提供一种基于沙箱流量的异构图恶意域名检测方法,使用文件沙箱流量获取的信息构建异构图,与传统基于DNS流量信息构建异构图的方式相比包含更丰富的节点和关系信息,能更好还原恶意域名在被利用进行恶意行为时的行为信息,学习到更丰富的恶意域名特征。使用信息聚合的方式进行图嵌入信息的学习,与传统基于元路径处理异构图的域名检测算法相比,减少了专家知识的使用,并且利用与学习到所有节点和边的信息。使用基于注意力机制的异构图神经网络方法处理异构图的嵌入,先计算节点级别注意力,再计算边级别注意力,可以同时学习到节点与边的特点。在所述的边级别注意力中加入人工干扰,实现人工控制图学习方向,增加可解释性。本发明提供的方法,可对具备完备关联模式的恶意域名、新出现的恶意域名及关联模式不完备的恶意域名进行识别,提升了恶意域名检测的准确率。
附图说明
图1为本发明流程图;
图2为本发明沙箱流量提取流程示意图;
图3为本发明基于沙箱流量构建的异构图示意图。
具体实施方式
以下结合附图对本发明进行详细说明。应当理解的是,此处描述的具体实施方式仅用于说明和解释本发明,并不用于限制本发明。
如图1所示,本发明提出一种基于沙箱流量的异构图恶意域名检测方法,其步骤包括:
步骤1:如图2所示,从github上的开源项目Malware,APT DATASETS,搜集恶意文件活跃样本;搭建cuckoo沙箱,在沙箱中运行收集到的恶意文件活跃样本,获得半结构化沙箱流量数据,所述数据主要包括运行所得的PCAP格式的网络流量包以及JSON格式的文件行为信息包;
步骤2:基于沙箱流量数据构造沙箱流量场景异构图G=(V,E),构建的异构图如图3所示。其中V为节点类型,主要包括域名节点、文件节点、IP地址节点、URL节点;E为边的类型,主要包括四类节点间的十种关系;所述域名节点包括黑域名、白域名以及待预测的未知域名;其中V为节点,主要包括四类节点,分别是域名节点、文件节点、IP地址节点以及URL节点。所述域名节点包括黑域名、白域名以及待预测的未知域名;E为节点对应的十种边,具体地,从网络流量包中抽取网络相关的边,从文件行为信息包中抽取文件相关的边。
文件相关的边主要包括:“DOWNLOAD_TO”:通过URL下载一个文件;“DROP_TO”:起始节点文件释放终点文件;“CONTACT_IP_TO”:文件与IP进行通信;“CONTACT_DOMAIN_TO”:文件与域名进行通信;“CONTACT_URL_TO”:文件与URL进行通信;“QUERY_DOMAIN_TO”:文件询问DNS服务器。
网络相关的边主要包括:“RESOLVE_TO_IP”:域名解析到IP;“PARENT_DOMAIN_OF”:起始节点域名是终点域名的父域;“HOST_OF”:域名或IP是URL的主机;“RESOLVE_TO_DOMAIN”:起始节点域名解析到终点域名;
步骤3:使用基于注意力机制的异构图神经网络算法进行异构图嵌入学习,获取域名的图嵌入特征;具体包括以下两个部分内容:
1)邻居采样。通过邻居采样算法获得所述异构图中每个节点要聚合的邻居列表以及对应的边信息;
2)信息聚合。异构图中每个节点通过信息聚合算法学习所述邻居采样获得的邻居信息,最终获得图嵌入特征;
通过所述的信息聚合方式,更新三次信息,则每个节点学习到三层邻居信息,获得每个域名节点的最终图嵌入特征;
步骤4:构建恶意域名分类器,分类器使用四层的全连接神经网络对处理后的图嵌入特征进行分类。所述四层的全连接神经网络,每层输出维度为16×128×64×2,输入层维度16为图嵌入特征的维度,输出层维度为2,将未知域名分为恶意或正常。最终检测出恶意域名。
实施例
步骤1.在本实施例中,首先进行恶意文件收集。主要收集了以下两类数据:恶意文件样本和域名相关数据。
1)针对恶意文件样本,从Malshare开源沙箱网站,github上的开源项目MalwareDataBase,APT Malware DATASETS,搜集恶意文件活跃样本并自动化提交至Cuckoo沙箱进行分析。其中Malware DataBase包含的恶意文件类型主要包含木马软件、流氓软件、窃听软件、勒索软件等。APT Malware DATASETS是从活跃的APT组织活动中收集的恶意软件。
2)对域名相关数据,用于对沙箱流量中涉及的域名进行标记。根据360网络安全实验室、Alexa和Umbrella等安全组织的公开域名黑名单和白名单对沙箱流量中涉及的域名进行的恶意属性标记。
步骤2.然后搭建cuckoo沙箱。本实施例使用Ubuntu20.04操作系统作为cuckoo主机、Windows XP和Windows7操作系统作为cuckoo客户端。客户端被安装在virtulbox上,客户端虚拟机的网络被配置为host-only的网络接口,用于隔离cuckoo主机的实际网络与客户端虚拟网络。为了最大程度获得文件的执行与调用信息,关闭了客户端的安全防护进程如Windows防火墙以及自动更新。客户端cuckoo代理充当cuckoo主机和cuckoo客户端之间的通信媒介。
搭建好Cuckoo沙箱后,基于Cuckoo自带的“REST API”服务编写脚本实现批量提交恶意文件至客户端分析,并保存获得的JSON格式的文件分析报告以及PCAP格式的网络流量跟踪包。
步骤3.构建异构图。首先根据文件沙箱获取的两类分析报告进行解析,分析文件分析报告并提取文件边,分析网络流量包并提取网络边,并抽取四类节点信息。文件相关关系来自于文件操作过程中的一些行为,如释放其他文件,文件通信等,主要从JSON格式的文件行为报告结合PCAP格式的网络流量包提取。网络相关边是在网络通信行为中产生的,如DNS的域名解析等,主要从PCAP格式的网络流量包中提取。抽取的节点信息如下表所示:
Figure BDA0003949140890000061
根据抽取的节点和边信息构建异构图,如图3所示。
步骤4.构建图神经网络模型并进行实验。本实施例使用pytorch深度学习框架进行模型的搭建,该框架提供GPU加速的张量计算,可以在段时间内处理大规模的数据并且该框架还支持动态神经网络,可逐层对神经网络进行修改,并且神经网络具备自动求导的功能,这对本实施例的模型实现提供了极大的便利。在图的搭建上,本实施例选择了DGL框架,它在图处理方面的优势和速度为大型图神经网络的实现提供了保障。
在本实施例的实验中,为了保证图的连通性,提取了300个领域节点的三跳数据,其中黑白两色的未知节点各100个。提取的节点总数为2430050,边的数量为10416032。具有恶意属性的特定类型的节点数量分布如表所示:
节点 域名 文件 URL IP地址
总节点数 539863 1598053 1110736 443905
恶意节点 50855 1049373 323656 0
正常节点 223866 174156 0 0
未知属性 265142 374524 787080 443905
为了实现对大型图的建模与训练,采用了批次训练的训练方法。首先进行邻居采样,确定每个待训练domain节点要聚合的邻居节点,进行批次训练。使用批次训练后,模型的资源占用情况仅与batch-size(每个dataloader加载的数据量)以及邻居采样算法(每个节点要聚合的邻居节点数量)有关。因此可以在资源受限的情况下实现大规模图的训练。
最终的预测结果如表所示:
精确率 召回率 F1分数 AUC
本模型 92.22% 90.74% 91.42% 94.67%
RGCN 88.56% 76.31% 81.98% 87.26%
HAN 23.62% 46.13% 31.24% 59.52%
通过实验,对域名检测模型的精确度、召回度、auc、f1-score进行多方位评估,并与现有模型进行横向比较,证明了本发明的有效性。
显然,本发明的上述实施例仅仅是为清楚地说明本发明所作的举例,而不是对本发明的实施方式的限定。本行业的技术人员应当了解,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。

Claims (6)

1.一种基于沙箱流量构建异构图的恶意域名检测方法,其特征在于,该方法包括以下具体步骤:
1)首先进行沙箱流量提取,收集恶意样本:从github上的开源项目Malware和APTDATASETS,搜集恶意文件活跃样本,搭建cuckoo沙箱,在沙箱中运行收集到的恶意文件活跃样本,获得半结构化沙箱流量数据,所述沙箱流量数据包括运行所得的PCAP格式的网络流量包以及JSON格式的文件行为信息包;所述恶意文件包括木马软件、流氓软件、窃听软件及勒索软件;
2)基于沙箱流量数据构造沙箱流量场景异构图G=(V,E),其中V为节点类型,E为边的类型;
3)使用基于注意力机制的异构图神经网络算法对所构造的沙箱流量场景异构图进行异构图嵌入学习,获取域名的图嵌入特征;
4)构建恶意域名分类器,分类器使用四层的全连接神经网络对图嵌入特征进行分类;所述四层的全连接神经网络,每层输出维度为16×128×64×2,输入层维度16为图嵌入特征的维度,输出层维度为2,将未知域名分为恶意或正常;最终检测出恶意域名。
2.根据权利要求1所述的基于沙箱流量构建异构图的恶意域名检测方法,其特征在于,所述沙箱流量场景异构图G=(V,E),具体为:
2.1)V为节点,包括域名节点、文件节点、IP地址节点以及URL节点;所述域名节点包括黑域名、白域名以及待预测的未知域名;
2.2)E为节点对应的数种边,具体地,从网络流量包中抽取网络边,从文件行为信息包中抽取文件边。
3.根据权利要求2所述的基于沙箱流量构建异构图的恶意域名检测方法,其特征在于,所述文件边包括:“DOWNLOAD_TO”:通过URL下载一个文件;“DROP_TO”:起始节点文件释放终点文件;“CONTACT_IP_TO”:文件与IP进行通信;“CONTACT_DOMAIN_TO”:文件与域名进行通信;“CONTACT_URL_TO”:文件与URL进行通信;“QUERY_DOMAIN_TO”:文件询问DNS服务器。
4.根据权利要求2所述的基于沙箱流量构建异构图的恶意域名检测方法,其特征在于,所述网络边包括:“RESOLVE_TO_IP”:域名解析到IP;“PARENT_DOMAIN_OF”:起始节点域名是终点域名的父域;“HOST_OF”:域名或IP是URL的主机;“RESOLVE_TO_DOMAIN”:起始节点域名解析到终点域名。
5.根据权利要求1所述的基于沙箱流量构建异构图的恶意域名检测方法,其特征在于,所述步骤3),具体包括:
3.1)邻居采样;通过邻居采样算法获得所述异构图中每个节点要聚合的邻居列表以及对应的边信息;
3.2)信息聚合;异构图中每个节点通过信息聚合算法学习所述邻居采样获得的邻居信息,最终获得图嵌入特征。
6.根据权利要求5所述的基于沙箱流量构建异构图的恶意域名检测方法,其特征在于,所述3.2)信息聚合,具体包括以下步骤:
步骤a.计算节点的各个邻居的节点级别的注意力,并根据节点级别的注意力分数聚合邻居信息并更新节点的节点级别注意力信息;
Figure FDA0003949140880000021
Figure FDA0003949140880000022
Figure FDA0003949140880000023
其中,
Figure FDA0003949140880000024
是节点i的关系为r的邻居节点集合,则j为节点i的邻居节点;
Figure FDA0003949140880000025
是节点i的第l层信息;
Figure FDA0003949140880000026
是可训练参数矩阵,din为输入向量维度;||是拼接操作,拼接后的信息维度为
Figure FDA0003949140880000027
Figure FDA0003949140880000028
为维度调整参数矩阵,用于调整信息维度;对得到的信息ei,j使用LeakyReLU激活函数激活后进行Softmax归一化操作,计算出最终的基于节点的注意力分数αi,r,聚合操作更新后节点的节点级别注意力信息为
Figure FDA0003949140880000029
步骤b.计算边级别的注意力分数,根据边的注意力分数聚合邻居的节点级别注意力信息并更新节点的下一层信息;具体实现公式如下:
Figure FDA00039491408800000210
Figure FDA00039491408800000211
Figure FDA00039491408800000212
其中,
Figure FDA00039491408800000213
是节点i的入度,r(i,j)是节点i→j之间边的权重,人工设置;
Figure FDA00039491408800000214
的作用与节点注意力计算中的a作用相同,用于调整信息维度;
Figure FDA00039491408800000215
Figure FDA00039491408800000216
是可训练参数矩阵,dout是输出向量维度;
Figure FDA00039491408800000217
是偏置值,边级别的注意力使用ReLU:f(x)=max(0,x)激活函数进行激活;通过上述计算更新节点i的l+1层信息
Figure FDA00039491408800000218
通过所述的信息聚合方式,更新三次信息,则每个节点学习到三层邻居信息,获得每个域名节点的最终图嵌入特征。
CN202211443881.5A 2022-11-18 2022-11-18 一种基于沙箱流量构建异构图的恶意域名检测方法 Pending CN115834176A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211443881.5A CN115834176A (zh) 2022-11-18 2022-11-18 一种基于沙箱流量构建异构图的恶意域名检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211443881.5A CN115834176A (zh) 2022-11-18 2022-11-18 一种基于沙箱流量构建异构图的恶意域名检测方法

Publications (1)

Publication Number Publication Date
CN115834176A true CN115834176A (zh) 2023-03-21

Family

ID=85528974

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211443881.5A Pending CN115834176A (zh) 2022-11-18 2022-11-18 一种基于沙箱流量构建异构图的恶意域名检测方法

Country Status (1)

Country Link
CN (1) CN115834176A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117294486A (zh) * 2023-09-18 2023-12-26 广州大学 一种基于图嵌入的恶意流量检测方法及系统

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117294486A (zh) * 2023-09-18 2023-12-26 广州大学 一种基于图嵌入的恶意流量检测方法及系统

Similar Documents

Publication Publication Date Title
CN108449342B (zh) 恶意请求检测方法及装置
CN109450842B (zh) 一种基于神经网络的网络恶意行为识别方法
Vinayakumar et al. Scalable framework for cyber threat situational awareness based on domain name systems data analysis
CN112910929B (zh) 基于异质图表示学习的恶意域名检测方法及装置
Rekha et al. Intrusion detection in cyber security: role of machine learning and data mining in cyber security
CN109525577B (zh) 基于http行为图的恶意软件检测方法
CN110011932B (zh) 一种可识别未知流量的网络流量分类方法和终端设备
US11516235B2 (en) System and method for detecting bots based on anomaly detection of JavaScript or mobile app profile information
CN113378899B (zh) 非正常账号识别方法、装置、设备和存储介质
CN114422211B (zh) 基于图注意力网络的http恶意流量检测方法及装置
CN111224941A (zh) 一种威胁类型识别方法及装置
CN111835622B (zh) 信息拦截方法、装置、计算机设备和存储介质
CN112884121A (zh) 基于生成对抗深度卷积网络的流量识别方法
CN115834176A (zh) 一种基于沙箱流量构建异构图的恶意域名检测方法
Silva et al. A statistical analysis of intrinsic bias of network security datasets for training machine learning mechanisms
He et al. Malicious domain detection via domain relationship and graph models
CN115442075A (zh) 一种基于异质图传播网络的恶意域名检测方法和系统
Ma et al. AI@ nti-Malware: An intelligent framework for defending against malware attacks
Fan et al. EvoIoT: An evolutionary IoT and non-IoT classification model in open environments
Liu et al. MMWD: An efficient mobile malicious webpage detection framework based on deep learning and edge cloud
CN111291078B (zh) 一种域名匹配检测方法及装置
Tultul et al. Comparison of the efficiency of machine learning algorithms for phishing detection from uniform resource locator
CN116738369A (zh) 一种流量数据的分类方法、装置、设备及存储介质
Kuze et al. Classification of diversified web crawler accesses inspired by biological adaptation
Lu et al. F2DC: Android malware classification based on raw traffic and neural networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination