CN109150873A - 基于pso_svm优化算法的恶意域名检测***及方法 - Google Patents

基于pso_svm优化算法的恶意域名检测***及方法 Download PDF

Info

Publication number
CN109150873A
CN109150873A CN201810933699.5A CN201810933699A CN109150873A CN 109150873 A CN109150873 A CN 109150873A CN 201810933699 A CN201810933699 A CN 201810933699A CN 109150873 A CN109150873 A CN 109150873A
Authority
CN
China
Prior art keywords
domain name
module
malice
machine learning
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN201810933699.5A
Other languages
English (en)
Inventor
高岩
保永武
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
HONGXU INFORMATION TECHNOLOGY Co Ltd WUHAN
Original Assignee
HONGXU INFORMATION TECHNOLOGY Co Ltd WUHAN
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by HONGXU INFORMATION TECHNOLOGY Co Ltd WUHAN filed Critical HONGXU INFORMATION TECHNOLOGY Co Ltd WUHAN
Priority to CN201810933699.5A priority Critical patent/CN109150873A/zh
Publication of CN109150873A publication Critical patent/CN109150873A/zh
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2411Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on the proximity to a decision surface, e.g. support vector machines
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Data Mining & Analysis (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Evolutionary Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于PSO_SVM优化算法的恶意域名检测***及方法,涉及信息安全领域。本***包括恶意域名检测单元(10)和机器学习训练单元(20);恶意域名检测单元(10)包括依次交互的待测域名信息采集模块(11)、待测域名特征提取模块(12)和恶意域名检测模块(13);机器学习训练单元(20)包括依次交互的域名样本信息采集模块(21)、域名样本特征提取模块(22)和机器学习训练模块(23);机器学习训练模块(23)和恶意域名检测模块(13)前后交互。本发明具有:①可用性;②可扩展性;③有效性。

Description

基于PSO_SVM优化算法的恶意域名检测***及方法
技术领域
本发明涉及信息安全领域,尤其涉及一种基于PSO_SVM优化算法的恶意域名检测***及方法。
背景技术
计算机技术与互联网技术的飞速发展以及信息技术应用的普及,互联网已经成为人们交流和信息共享的主要工具及重要平台。据统计,截至2017年12月,我国网民规模达7.72亿,全年共计新增网民4074万人。互联网普及率为55.8%,较2016年底提升2.6个百分点。我国个人互联网应用保持快速发展,各类应用用户规模均呈上升趋势。
伴随互联网迅速的发展,互联网的安全问题也随之而来。在互联网虚拟世界中,域名就等同于身份证,是网站身份的标识。在互联网虚拟世界中对域名的管理却不够严格,域名的注册过程十分简单,在未经过严格审查的情况下可以直接到相关机构进行注册。域名管理机构会在对域名的使用及对其注册目的不明的情况下办理域名注册,没能对恶意用户进行筛选,导致钓鱼网站,淫秽***,非法政治言论网站以及恶意代码网站等恶意域名层出不穷,给国家安全、企业以及个人的财产安全带来了严重的威胁。据统计,2017年全球范围内共截获恶意域名总量达到8011万个,其中挂马网站4275万个,诈骗网站3735万个。美国恶意域名总量为2684万个,位列全球第一,其次是中国1350万个。我国的恶意域名数量仅次于美国,安全形势不容乐观。
现有技术中,通常采用对域名的结构特征进行机器学习训练,然后通过训练后的机器学习模型对恶意域名进行检测,其中机器学习模型通常使用PSO_SVM算法对域名分类。但是仅仅只通过域名的结构特征对域名检测并不全面,并且传统的PSO_SVM算法在恶意域名分类上并不精确,因此仅仅使用域名的结构特征并基于PSO_SVM算法训练的机器学习模型检测恶意域名的并不完善。
发明内容
本发明的目的就在于克服现有技术存在的缺点和不足,提供一种基于PSO_SVM优化算法的恶意域名检测***及方法,提高了恶意域名检测的精确性并提高了机器学习训练模块的性能。
实现本发明目的技术方案是:
本发明是基于恶意域名检测技术,通过域名进行词法分析,不仅从域名的长度、字母数字的比例进行分析,还将域名间的相似程度引入特征向量中,同时将域名的WHOIS信息的数据(WHOIS信息完整度、历史修改时间以及次数等)也加入特征向量集,得到较为全面的特征向量集。
在机器学习训练模块中,基于传统的利用粒子群算法优化支持向量机算法的参数对恶意域名进行分类,本发明优化了粒子群算法的惯性权重,使得算法性能提升。
一、基于PSO_SVM优化算法的恶意域名检测***(简称***)
本***包括恶意域名检测单元1和机器学习训练单元;
恶意域名检测单元包括依次交互的待测域名信息采集模块、待测域名特征提取模块和恶意域名检测模块;
机器学习训练单元包括依次交互的域名样本信息采集模块、域名样本特征提取模块和机器学习训练模块;
机器学习训练模块和恶意域名检测模块前后交互。
二、基于PSO_SVM优化算法的恶意域名检测方法(简称方法)
本方法研究通过机器学习训练后的***,对待测域名是否为恶意域名进行精确区分;本方法采用优化后的PSO_SVM算法的针对恶意域名检测的机器学习训练。
本方法包括下列步骤:
①通过优化后的机器学习训练模块训练后,比较准确地分出恶意域名:
机器学习训练模块通过优化PSO_SVM算法对样本进行训练,将每个样本域名的特征输入到机器学习训练模块中,主要包括样本域名WHOIS信息,域名解析特征,域名词法特征、域名解析特征、域名WHOIS信息特征,对以上特征进行机器学习的训练,经过多次训练后,机器学习训练模块能够比较准确地区分出域名是否为恶意域名;
②采集待检测域名的信息特征作为向量集,用于判断域名是否为恶意域名:
恶意域名检测模块中,将待检测的域名进行信息采集,包括域名的解析信息以及WHOIS信息;将待测域名的特征信息采集,包括待检测域名的词法特征、域名解析特征、域名WHOIS信息特征,将采集后的向量集输入到经过机器学习训练后的恶意域名检测模块中进行检测;
③基于机器学习检测恶意域名的方法:
通过机器学习训练后的恶意域名检测模块检测待检测域名,识别待检测域名是否为恶意域名。
本发明具有下列优点和积极效果:
①可行性:该***通过机器学习训练,利用大量域名黑、白名单进行训练后可以有效地分辨出待测域名是否为恶意域名,从而防止恶意域名给用户带来威胁;
②可扩展性:本发明机器学习的训练样本主要来自于2017年统计的恶意域名,可以通过对最近的恶意域名进行收集并加入机器学习训练模块中进行训练,可以提高恶意域名识别的准确性;
③有效性:本发明机器学习训练模块中通过对随机森林算法、PSO_SVM算法以及改进后的PSO_SVM算法进行测试并比较,可知三种方法皆可区分恶意域名,其中优化后的PSO_SVM的查准率、召回率更高,并且误报率更低,因此本发明可以更有效地识别恶意域名。
附图说明
图1为本***的结构方框图;
图2为粒子群优化算法流程图;
图3为优化后粒子群优化算法流程图。
图中:
10—恶意域名检测单元,
11—待测域名信息采集模块,
12—待测域名特征提取模块,
13—恶意域名检测模块;
20—机器学习训练单元
21—域名样本信息采集模块,
22—域名样本特征提取模块,
23—机器学习训练模块。
缩略语:
1、WHOIS:是用来查询域名的IP以及所有者等信息的传输协议,是当前域名***中不可或缺的一项信息服务。在浏览域名时,很多用户希望进一步了解域名、名字服务器的详细信息,这就会用到WHOIS;对于域名的注册服务机构(registrar)而言,要确认域名数据是否已经正确注册到域名注册中心(registry),也经常会用到WHOIS;直观来看,WHOIS就是链接到域名数据库的搜索引擎,一般来说是属于网络信息中心(NIC)所提供和维护的名字服务之一。
2、SVM:是指支持向量机,是常见的一种判别方法;在机器学习领域,是一个有监督的学习模型,通常用来进行模式识别、分类以及回归分析。
3、PSO:粒子群优化算法,是一种基于种群的随机优化技术,由Eberhart和Kennedy于1995年提出;粒子群算法模仿昆虫、兽群、鸟群和鱼群等的群集行为,这些群体按照一种合作的方式寻找食物,群体中的每个成员通过学习它自身的经验和其他成员的经验来不断改变其搜索模式。
具体实施方式
下面结合附图和实施例详细说明:
一、***
1、总体
如图1,本***包括恶意域名检测单元10和机器学习训练单元20;
恶意域名检测单元10包括依次交互的待测域名信息采集模块11、待测域名特征提取模块12和恶意域名检测模块13;
机器学习训练单元20包括依次交互的域名样本信息采集模块21、域名样本特征提取模块22和机器学习训练模块23;
机器学习训练模块23和恶意域名检测模块13前后交互。
2、功能模块
1)待测域名信息采集模块11
待测域名信息采集模块11是通过WHOIS接口对域名信息进行爬取和解析信息进行采集,并对爬取的信息分类存储在该域名的文件夹下,在后续检测过程中读取。
通过该模块能够查询出域名的注册时间、到期时间、注册人、IP地址、归属地和检测域名时间的后续检测所需要的网络属性;所述的解析信息进行采集,主要针对域名的TTL值、A地址记录(IPV4)、别名记录(CNAME)和PTR反向记录(从IP地址解析域名)的域名信息数据,并将数据保存用于后续的恶意域名判断。
2)待测域名特征提取模块12
待测域名特征提取模块12是待测域名的信息进行采集后,对待测域名的特征进行提取。
本模块主要针对域名的词法特征、域名解析特征、域名WHOIS特征。其中域名的词法特征包含域名长度、域名中数字所占整体长度比例、域名后分隔符间最大长度、域名是否包含特殊字符、与合法域名的编辑距离、域名的信息熵;域名的解析特征包含域名所对应的IP地址数量、TTL平均值、TTL方差、TTL最大值;域名WHOIS特征包含WHOIS信息的完整程度、域名IP年更新频率、域名WHOIS信息年更新频率。将获取特征信息作为特征向量,并转化为机器学习训练模块所能使用的数据文件。
3)恶意域名检测模块13
恶意域名检测模块13是将前文所获取的域名信息以及域名特征输入至训练完成的恶意域名检测模块13中,得到待测域名的检测结果。
4)域名样本信息采集模块21
将大量样本域名进行信息采集是将样本域名的信息数据进行采集,所采集的信息数据类型与待测域名信息采集模块11数据类型相同,输入到机器学习训练模块23中进行分类训练。
5)域名样本特征提取模块22
域名样本特征提取模块22是将样本域名进行特征提取,所提取的特征数据类型与待测域名特征提取模块12数据类型相同,输入到机器学习训练模块23中进行分类训练。
6)机器学习训练模块23
机器学习训练模块23是在提取出所需要的域名特征数据后,本模块利用优化后的PSO_SVM(粒子群优化的支持向量机算法)进行域名检测。
SVM(支持向量机)是是建立在统计学理论上,以结构风险最小化为原则通过最优的方法训练样本集合解决机器学***面(Optimal Hyperplane),把该多维空间合理地分为两个部分,这个非线性变换是经过核函数实现的;针对SVM算法中,本发明主要针对径向基核函数以及惩罚因子进行优化,其中惩罚因子能够令支持向量机算法中误分样本种类比例和算法复杂度折中。
径向基核函数以及惩罚因子选取的值决定了机器学习算法的精确度以及效率,因此引入PSO(粒子群优化算法)对支持向量机算法进行参数优化,得到更高效、准确的结果。
PSO是一种基于群体优化的算法,提出每个粒子都有自己的速度与位置,速度表示该粒子的移动方向与距离,其位置表示空间的坐标。一般以vi表示第i个粒子在当时状态的速度,xi表示第i粒子在当时状态下的位置,pBesti表示为第i个粒子所搜寻过的最优位置,gBest表示整个种群的最优位置。粒子群算法在初始阶段会随机初始化所有粒子的速度与位置,接着通过迭代记录pBesti与gBest来更新粒子的速度与位置,从而得到最优解。算法如下:
vi=vi-1+c1rand(pBesti-xi-1)+c2Rand(gBest-xi-1)
xi=xi-1+vi
其中rand与Rand都是属于[0,1]的随机数;c1与c2都为学习因子且为正的常数;i表示当前迭代的次数。其优化参数,得到最优解的过程如图3所示。
但该种粒子群算法收敛的速度很快,容易造成局部最优的结果,导致检测结果不准确。本发明提出加入惯性权重w优化粒子群算法。公式如下
vi=wvi-1+c1rand(pBesti-xi-1)+c2Rand(gBesti-xi-1)
w值越大,该算法的全局搜索能力越强,局部搜索能力弱;w值越小,则该算法的局部搜索能力越强,全局搜索能力弱。本发明中,在粒子群算法迭代n次后,所得到的gBest的值没有改变,这时认为该算法目前局部搜索的优先级高;在粒子群算法连续迭代n次时,每次gBest的值都在变化,这时认为该算法目前全局搜索的优先级高。对w值选取如下:
若gBest的值连续n次迭代都在变化;且w小于w的最大值,则将w取值增大;
若gBest的值连续n次迭代都在变化;且w等于w的最大值,则将w取值增大;
若gBest的连续n次迭代都没有被更新;且w大于w的最小值,则将w取值减小;
若gBest的连续n次迭代都没有被更新;且w小于w的最小值,则将w取值减小;
本方法利用进后的粒子群算法的全局搜索与局部搜索,自动且快速地寻找到最优的解,使得支持向量机算法中的参数径向基核函数以及惩罚因子得到最优解,流程如图3。
(1)向量机中的径向基核函数以及惩罚因子2个参数作为粒子群算法搜索空间中的粒子;初始化该粒子的速度以及位置;设置其种群数量,最大迭代数imax及改变其惯性权重值所需的迭代次数n。
(2)计算出各个粒子适应度的值,并把每个粒子的最优解记录为pBesti,种群最优解记录为gBest。
(3)在计算过程中根据设定的n值,变化惯性权重的值,更新pBesti与gBest的值。
(4)接着将当前所迭代的次数i加1与所设定的最大迭代次数imax进行比较,判断大小。如果当前所迭代的次数i+1<imax则再进行步骤(2)中的过程;如果当前迭代数达到imax则结束该算法,当前所求得的解为最优解。
最后通过机器学习模块通过训练大量域名样本,提高检测恶意域名的准确性。
3、本***的工作机理:
本***分为准备阶段和实施阶段:
在准备阶段对大量域名样本进行信息收集以及特征收集,将收集的数据输入到机器学习训练模块23中,通过优化后的PSO_SVM分类算法在机器学习训练模块23中对样本进行分类,经过大量训练后的机器学习训练模块23可高效地分辨出恶意域名;
在实施阶段中,获取待检测域名后对待检测域名的信息以及特征数据进行收集,将收集后的数据输入到恶意域名检测模块13中,可得到待检测域名的检测结果。
二、方法
1、传统的PSO_SVM算法
如图2,传统的PSO_SVM算法的工作流程是:
a、随机初始化种群中的粒子位置和速度-201;
b、计算每一个粒子的适应度值-202;
c、判断个体的种群的最优点是否在域内-203,
是则进入步骤d,否则跳转到步骤e;
d、最优点的替换-204
e、判断是否满足终止条件-205,
是则进入步骤f,否则依次通过优化粒子速度-207、优化粒子位置-208和产生新一代粒子-209,再跳转到步骤b;
f、流程结束-206。
2、本PSO_SVM算法的工作流程
如图3,本PSO_SVM算法的工作流程是:
A、开始算法-301;
B、粒子速度和位置初始化-302;
C、粒子适应度进行计算-303;
D、对参数w的取值进行调整,w为惯性权重,决定算法的全局搜索能力,在此并非对w进行线性选取,而是动态的选取最优值-304;
E、更新粒子的位置与速度-305;
F、粒子的迭代次数加一-306;
G、判断粒子是否小于粒子的最大迭代次数-307,
是则跳转到步骤C,否则进入步骤H;
H、结束-308。
本算法利用改进后的粒子群算法的全局搜索与局部搜索,自动且快速地寻找到最优的解该算法求解得到的最优解,即粒子的最佳位置,将值直接代入支持向量机算法中,就得到了优化过后的支持向量机算法。
三、应用
该***的验证试验中,选取了5000个白名单样本以及5000个恶意域名样本,分成5组,每组包含1000个白名单样本和1000个恶意域名样本作为训练集用机器学习方法进行训练。训练完成后,从白名单样本和恶意域名样本中分别抽取500个样本进行检测。将实验结果与基于随机森林算法的恶意域名检测方法进行对比,如下表:
算法 召回率 查准率 误报率
随机森林 92.56% 92.86% 8.67%
PSO_SVM 98.13% 98.57% 1.44%
其中召回率是指检测到恶意域名占恶意域名样本的比例,查准率是指检测到恶意域名为真实恶意域名占检测到恶意域名的比例,误报率是指在恶意域名样本中的域名被误认为是非恶意域名占恶意域名样本的比例。
由验证试验结果可以看出,基于PSO_SVM优化算法的恶意域名检测方法可以有效且准确的检测出恶意域名;本发明可以用户恶意域名的批量检测。

Claims (4)

1.一种基于PSO_SVM优化算法的恶意域名检测***,其特征在于:
包括恶意域名检测单元(10)和机器学习训练单元(20);
恶意域名检测单元(10)包括依次交互的待测域名信息采集模块(11)、待测域名特征提取模块(12)和恶意域名检测模块(13);
机器学习训练单元(20)包括依次交互的域名样本信息采集模块(21)、域名样本特征提取模块(22)和机器学习训练模块(23);
机器学习训练模块(23)和恶意域名检测模块(13)前后交互。
2.按权利要求1所述的恶意域名检测***,其特征在于:
所述的待测域名信息采集模块(11)是通过WHOIS接口对域名信息进行爬取和解析信息进行采集,并对爬取的信息分类存储在该域名的文件夹下,在后续检测过程中读取;
所述的待测域名特征提取模块(12)是待测域名的信息进行采集后,对待测域名的特征进行提取;
所述的恶意域名检测模块(13)是将前文所获取的域名信息以及域名特征输入至训练完成的恶意域名检测模块(13)中,得到待测域名的检测结果;
所述的域名样本信息采集模块(21)是将大量样本域名进行信息采集,其中样本域名中需包含正常域名以及恶意域名,输入到机器学习模块中进行分类训练;
所述的域名样本特征提取模块(22)是将样本域名进行特征提取,输入到机器学习模块中进行分类训练;
所述的机器学习训练模块(23)是在提取出所需要的域名特征数据后,本模块利用优化后的PSO_SVM进行域名检测。
3.基于权利要求1-2所述的恶意域名检测***的恶意域名检测方法,其特征在于:
①通过优化后的机器学习训练模块训练后,比较准确的区分出恶意域名:
机器学习训练模块通过优化PSO_SVM算法对样本进行训练,将每个样本域名的特征输入到机器学习训练模块中,主要包括样本域名WHOIS信息,域名解析特征,域名词法特征、域名解析特征、域名WHOIS信息特征,对以上特征进行机器学习的训练,经过多次训练后,机器学习模块能够比较准确的区分出域名是否为恶意域名;
②采集待检测域名的信息特征作为向量集,用于判断域名是否为恶意域名:
恶意域名检测单元中,将待检测的域名进行信息采集,包括域名的解析信息以及WHOIS信息;将待测域名的特征信息采集,包括待检测域名的词法特征、域名解析特征、域名WHOIS信息特征,将采集后的向量集输入到经过机器学习训练后的检测模块中进行检测;
③基于机器学习检测恶意域名的方法:
通过机器学习训练后的检测模块检测待检测域名,识别待检测域名是否为恶意域名。
4.按权利要求3所述的恶意域名检测方法,其特征在于:
所述的步骤①中的机器学习训练模块的PSO_SVM算法的工作流程是:
A、开始算法(301);
B、粒子速度和位置初始化(302);
C、粒子适应度进行计算(303);
D、对参数w的取值进行调整,w为惯性权重,决定算法的全局搜索能力,在此并非对w进行线性选取,而是动态地选取最优值(304);
E、更新粒子的位置与速度(305);
F、粒子的迭代次数加一(306);
G、判断粒子是否小于粒子的最大迭代次数(307),
是则跳转到步骤C,否则进入步骤H;
H、结束(308)。
CN201810933699.5A 2018-08-16 2018-08-16 基于pso_svm优化算法的恶意域名检测***及方法 Withdrawn CN109150873A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810933699.5A CN109150873A (zh) 2018-08-16 2018-08-16 基于pso_svm优化算法的恶意域名检测***及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810933699.5A CN109150873A (zh) 2018-08-16 2018-08-16 基于pso_svm优化算法的恶意域名检测***及方法

Publications (1)

Publication Number Publication Date
CN109150873A true CN109150873A (zh) 2019-01-04

Family

ID=64789629

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810933699.5A Withdrawn CN109150873A (zh) 2018-08-16 2018-08-16 基于pso_svm优化算法的恶意域名检测***及方法

Country Status (1)

Country Link
CN (1) CN109150873A (zh)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109714356A (zh) * 2019-01-08 2019-05-03 北京奇艺世纪科技有限公司 一种异常域名的识别方法、装置及电子设备
CN110008705A (zh) * 2019-04-15 2019-07-12 北京微步在线科技有限公司 一种基于深度学习的恶意域名识别方法、装置及电子设备
CN110798481A (zh) * 2019-11-08 2020-02-14 杭州安恒信息技术股份有限公司 基于深度学习的恶意域名检测方法及装置
CN111355733A (zh) * 2020-02-29 2020-06-30 中国地震局地震研究所 一种基于svm算法的震害信息入侵检测***和检测方法
US20210099485A1 (en) * 2019-09-27 2021-04-01 Mcafee, Llc Methods and apparatus to detect website phishing attacks
CN114050912A (zh) * 2021-09-30 2022-02-15 中国科学院信息工程研究所 一种基于深度强化学习的恶意域名检测方法和装置
CN114090967A (zh) * 2021-10-25 2022-02-25 广州大学 一种基于pso-msvm的apt组织追踪溯源方法及***
CN116384253A (zh) * 2023-04-20 2023-07-04 中国石油大学(北京) 管道漏磁检测缺陷深度预测模型建立、预测方法及装置

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103077347A (zh) * 2012-12-21 2013-05-01 中国电力科学研究院 一种基于改进核心向量机数据融合的复合式入侵检测方法
US20130163829A1 (en) * 2011-12-21 2013-06-27 Electronics And Telecommunications Research Institute System for recognizing disguised face using gabor feature and svm classifier and method thereof
CN104732244A (zh) * 2015-04-15 2015-06-24 大连交通大学 基于小波变换、多策略pso和svm集成的遥感图像分类方法
CN105704103A (zh) * 2014-11-26 2016-06-22 中国科学院沈阳自动化研究所 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法
CN106503788A (zh) * 2016-10-28 2017-03-15 中国矿业大学 基于自适应粒子群的最小二乘支持向量机预测方法
CN106682682A (zh) * 2016-10-20 2017-05-17 北京工业大学 一种基于粒子群优化算法对支持向量机的优化方法
CN108270761A (zh) * 2017-01-03 2018-07-10 ***通信有限公司研究院 一种域名合法性检测方法及装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130163829A1 (en) * 2011-12-21 2013-06-27 Electronics And Telecommunications Research Institute System for recognizing disguised face using gabor feature and svm classifier and method thereof
CN103077347A (zh) * 2012-12-21 2013-05-01 中国电力科学研究院 一种基于改进核心向量机数据融合的复合式入侵检测方法
CN105704103A (zh) * 2014-11-26 2016-06-22 中国科学院沈阳自动化研究所 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法
CN104732244A (zh) * 2015-04-15 2015-06-24 大连交通大学 基于小波变换、多策略pso和svm集成的遥感图像分类方法
CN106682682A (zh) * 2016-10-20 2017-05-17 北京工业大学 一种基于粒子群优化算法对支持向量机的优化方法
CN106503788A (zh) * 2016-10-28 2017-03-15 中国矿业大学 基于自适应粒子群的最小二乘支持向量机预测方法
CN108270761A (zh) * 2017-01-03 2018-07-10 ***通信有限公司研究院 一种域名合法性检测方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
袁福祥等: "基于历史数据的异常域名检测算法", 《通信学报》 *

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109714356A (zh) * 2019-01-08 2019-05-03 北京奇艺世纪科技有限公司 一种异常域名的识别方法、装置及电子设备
CN110008705A (zh) * 2019-04-15 2019-07-12 北京微步在线科技有限公司 一种基于深度学习的恶意域名识别方法、装置及电子设备
US20210099485A1 (en) * 2019-09-27 2021-04-01 Mcafee, Llc Methods and apparatus to detect website phishing attacks
US11831419B2 (en) * 2019-09-27 2023-11-28 Mcafee, Llc Methods and apparatus to detect website phishing attacks
CN110798481A (zh) * 2019-11-08 2020-02-14 杭州安恒信息技术股份有限公司 基于深度学习的恶意域名检测方法及装置
CN111355733A (zh) * 2020-02-29 2020-06-30 中国地震局地震研究所 一种基于svm算法的震害信息入侵检测***和检测方法
CN114050912A (zh) * 2021-09-30 2022-02-15 中国科学院信息工程研究所 一种基于深度强化学习的恶意域名检测方法和装置
CN114090967A (zh) * 2021-10-25 2022-02-25 广州大学 一种基于pso-msvm的apt组织追踪溯源方法及***
CN116384253A (zh) * 2023-04-20 2023-07-04 中国石油大学(北京) 管道漏磁检测缺陷深度预测模型建立、预测方法及装置
CN116384253B (zh) * 2023-04-20 2024-04-05 中国石油大学(北京) 管道漏磁检测缺陷深度预测模型建立、预测方法及装置

Similar Documents

Publication Publication Date Title
CN109150873A (zh) 基于pso_svm优化算法的恶意域名检测***及方法
CN107577688B (zh) 基于媒体信息采集的原创文章影响力分析***
CN107153789B (zh) 利用随机森林分类器实时检测安卓恶意软件的方法
CN104239436B (zh) 一种基于文本分类和聚类分析的网络热点事件发现方法
CN102937951B (zh) 建立ip地址分类模型的方法、对用户分类的方法及装置
US20150200963A1 (en) Method for detecting phishing website without depending on samples
CN106375345B (zh) 一种基于周期性检测的恶意软件域名检测方法及***
CN111385297B (zh) 无线设备指纹识别方法、***、设备及可读存储介质
CN111131260B (zh) 一种海量网络恶意域名识别和分类方法及***
CN108769079A (zh) 一种基于机器学习的Web入侵检测技术
CN106843941B (zh) 信息处理方法、装置和计算机设备
CN103218431A (zh) 一种能识别网页信息自动采集的***与方法
CN110737821B (zh) 相似事件查询的方法、装置、存储介质和终端设备
CN107368856A (zh) 恶意软件的聚类方法及装置、计算机装置及可读存储介质
CN109284613B (zh) 标识检测及仿冒站点检测方法、装置、设备及存储介质
Bai Phishing website detection based on machine learning algorithm
CN108319672A (zh) 基于云计算的移动终端不良信息过滤方法及***
CN108268886A (zh) 用于识别外挂操作的方法及***
CN107493275A (zh) 异构网络安全日志信息的自适应提取和分析方法及***
CN104933178B (zh) 官方网站确定方法和***及官方网站的排序方法
CN111222031A (zh) 一种网站判别方法及***
CN106776958A (zh) 基于关键路径的违法网站识别***及其方法
CN108650145A (zh) 一种家庭宽带WiFi下手机号码特征自动提取方法
CN115392351A (zh) 风险用户识别方法、装置、电子设备及存储介质
CN114168948A (zh) 网络安全态势综合分析方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication

Application publication date: 20190104

WW01 Invention patent application withdrawn after publication