CN109450845B - 一种基于深度神经网络的算法生成恶意域名检测方法 - Google Patents

一种基于深度神经网络的算法生成恶意域名检测方法 Download PDF

Info

Publication number
CN109450845B
CN109450845B CN201811090443.9A CN201811090443A CN109450845B CN 109450845 B CN109450845 B CN 109450845B CN 201811090443 A CN201811090443 A CN 201811090443A CN 109450845 B CN109450845 B CN 109450845B
Authority
CN
China
Prior art keywords
domain name
layer
neural network
deep neural
malicious
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811090443.9A
Other languages
English (en)
Other versions
CN109450845A (zh
Inventor
沈继忠
许聪源
杜歆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang University ZJU
Original Assignee
Zhejiang University ZJU
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang University ZJU filed Critical Zhejiang University ZJU
Priority to CN201811090443.9A priority Critical patent/CN109450845B/zh
Publication of CN109450845A publication Critical patent/CN109450845A/zh
Application granted granted Critical
Publication of CN109450845B publication Critical patent/CN109450845B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Molecular Biology (AREA)
  • Computational Linguistics (AREA)
  • Biophysics (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Software Systems (AREA)
  • Biomedical Technology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明公开了一种基于深度神经网络的算法生成恶意域名检测方法。该检测方法的核心组件是一个多层深度神经网络。所述的多层深度神经网络包括:输入层、预处理层、域名表示层、特征提取层、分类层和输出层。输入层直接接受字符形式编码的域名字符串;预处理层用于提取域名的主体部分;域名表示层通过n‑gram表示方法,将域名信息组织成一个二维张量;特征提取层使用分块卷积结构提取特征;分类层由神经网络分类器构成,利用特征进行分类;输出层用于输出归一化概率。本发明对多数恶意域名,尤其是基于单词表和可发音的算法生成恶意域名检测效果良好,有实际应用价值。

Description

一种基于深度神经网络的算法生成恶意域名检测方法
技术领域
本发明涉及信息安全技术领域,尤其涉及一种基于深度神经网络的算法生成恶意域名检测方法。
背景技术
近年来,在利益驱使下,攻击者大量使用感染病毒的僵尸主机进行非法活动,例如发送垃圾信息,窃取信息,发起分布式拒绝服务攻击等。由此导致大量僵尸主机构成的僵尸网络发展迅速,僵尸主机的总数量也逐年增加,已经成为影响互联网安全的重要威胁之一。一个典型的僵尸网络由僵尸主机,C&C(command&control)服务器和攻击者组成。其中攻击者是攻击的发起方,他们通过C&C服务器中继来实现给僵尸主机更新程序,下达命令等操作,其后由接到命令的僵尸主机完成实际的攻击行为。在互联网上,越来越多的僵尸主机通过域名***(Domain Name System,DNS)来动态切换C&C服务器。域名生成算法(DomainGeneration Algorithm,DGA)就是在此场景下应运而生,它可以在短时间内生成大量域名,僵尸主机会选择其中的少部分用于和C&C服务器通信。检测僵尸网络活动的一个重要方法就是检测这些由算法生成的恶意域名。
这类由算法生成的恶意域名的检测方法,可以分为手动检测和自动检测两大类。手动检测需要安全从业人员介入,由人工判断域名类型,费时费力,难以满足网络安全的实时性要求。自动检测由计算机***自动完成检测,主要可以分为两类。一类是对DNS底层流量或者日志进行分析,DNS底层流量提供了大量关于DNS请求和响应的细节,可以较为全面地寻找和分类这列域名。但是,这也限制了这类检测方法的应用场景,即检测***需要部署在互联网服务提供商(ISP)的机房或者企事业单位的网络中心。另一类方法尝试根据域名本身的特性来检测,它们的输入都仅仅是域名字符串。这类基于域名字符的检测只需要域名本身,解决了应用场景受限的问题。但是仅有域名字符串提供了较少的信息,这对检测算法提出了更高的要求,通常这些检测方法需要事先由人工指定一些特征,计算机根据这些人工提取的特征进行检测。此外,已有的工作并没有深入分析不同域名生成算法的区别和字符信息来源,因此对于不同的恶意域名,检测效果波动较大,在实际应用中有较大局限性。
发明内容
本发明的目的在于针对现有的算法生成恶意域名检测方法上的不足,提出一种基于深度神经网络的算法生成恶意域名检测方法。这种方法只需要输入待测域名本身,就可以判断待测域名是否属于算法生成恶意域名。
为了达到上述目的,本发明采用以下技术方案:一种基于深度神经网络的算法生成恶意域名检测方法,包括以下步骤:设计一个特定的多层深度神经网络,待测域名输入到该深度神经网络,经过逐层计算,从网络中输出待测域名属于算法生成恶意域名的概率,由概率值判断待测域名是否属于算法生成恶意域名。具体检测步骤如下:
步骤1:建立用于检测算法生成恶意域名的深度神经网络,该深度神经网络由输入层、预处理层、域名表示层、特征提取层、分类层和输出层组成;
所述输入层直接接收字符形式编码的域名字符串;
所述预处理层用于提取域名字符串中的域名主体部分,即去除顶级域,二级域等非决定性因素,保留对检测有决定性作用的主体部分;
所述域名表示层通过n-gram表示方法,将域名主体部分组织成一个二维张量;
所述特征提取层使用分块卷积结构从域名表示层获得的二维张量中提取分类特征;
所述分类层由多层全相连网络构成;
所述输出层使用非线性函数计算并输出域名属于算法生成恶意域名的概率;
步骤2:使用随机梯度下降法训练用于检测算法生成恶意域名的深度神经网络;
步骤3:将待测域名以字符形式编码组成域名字符串,输入训练好的深度神经网络,得到待测域名属于算法生成恶意域名的概率,由概率值判断待测域名是否属于算法生成恶意域名。
进一步地,所述特征提取层使用分块卷积结构提取特征,具体为:堆叠至少两个不同大小的卷积核,每个卷积核均从二维张量中获取不同尺度的分类特征,从而增加网络对不同尺度特征的适应性,同时并不额外增加网络的深度;不同卷积核提取的高维特征可以依次排列,构成高维特征向量。
进一步地,所述卷积核使用非中心对称的卷积核。
进一步地,所述分类层的每层全相连网络均可根据需要设置随机失活模块,以防止网络过拟合。
进一步地,所述输出层使用Sigmoid函数计算归一化概率。
进一步地,实际使用中,在输出层中可以设定一个门限,将概率二值化为0或1,分别表示待检测的域名是正常域名或恶意域名。
本发明有如下的有益效果:
1.本检测方法以端到端的方式工作,不需要人工提取特征,也不需要域名***(DNS)上下文信息,只需要输入域名本身,就可以估计该域名属于算法生成恶意域名的概率。
2.基于单词表和可发音的算法生成恶意域名用传统的检测方法效果较差,本检测方法通过n-gram表达和卷积操作提取的特征依然可以实现有效检测。
3.二维卷积操作使用分块卷积结构,可以充分利用现代计算机的多核处理器和GPU进行并行计算,达到较高的运行效率,从而提高检测速度。
附图说明
图1是本发明实施例的深度神经网络结构示意图;
图2是本发明实施例的特征提取层中二维卷积操作的示意图。
具体实施方式
下面结合附图对本发明做进一步详细说明。
图1是本发明实施例的深度神经网络结构示意图,图中各模块的中文名称分别是:
1.Input——输入层;
2.Preprocess——预处理层;
3.Domain Presentation——域名表示层;
4.Feature Extraction——特征提取层;
5.Classification——分类层;
6.Output——输出层。
以域名www.Example.com为例,如图1所示,具体检测步骤如下:
步骤1,获取待测域名,以字符形式编码组成域名字符串“www.Example.com”,输入深度神经网络。
步骤2,通过预处理层对步骤1输入的域名进行预处理。输入的域名先统一为小写字母形式,变为“www.example.com”。接着提取域名主体部分,去除顶级域“.com”,二级域“www.”等非决定性因素,保留对检测有决定性作用的主体部分“example”。
步骤3,域名表示层将步骤2得到的域名主体部分“example”,通过n-gram表示方法,将域名信息展开成二维结构,具体表达形式为组织成一个二维张量。n-gram是一种应用于计算语言学等领域的n元语言序列模型。n-gram是指文本中连续出现的n个词,在处理字符级问题中,即定义为连续出现的n个字符。n-gram模型可以用于预测一个特定序列中下一项概率,与n-1阶马尔科夫链类似。而在本发明中,n-gram提供了一种域名表示的方法,当n取值为1,2和3时,n-gram通常又称为unigram,bigram和trigram。把域名字符串转换为n-gram表示的方法是:将预处理后的域名看做一个字符串d,使用一个长度为n的滑动窗w来操作,依次取出滑动窗中的元素,按顺序排列得到n-gram特征。以n=2为例,“example”的bigram表示为['ex','xa','am','mp','pl','le']。
步骤4,特征提取层以步骤3得到的二维张量作为输入,进行二维卷积操作,提取高维特征。如图2所示的特征提取层中二维卷积操作的示意图,描述的是一个3x4的非中心对称卷积核将输入张量映射到高维的特征张量,完成一个特征提取的过程,图2中各部分的中文名称分别是:
1.Input Tensor——输入张量;
2.Feature Tensor A——特征张量A;
3.Feature Tensor B——特征张量B。
一个二维卷积操作的输入张量是一个二维张量:2个维度分别是特征维度和长度维度。首先输入张量经过如下卷积操作得特征张量A:
Figure BDA0001804210630000041
其中,fout是网络的输出,X是输入到卷积核的数据,σ是非线性激活函数,
Figure BDA0001804210630000042
是Hadamard积,w和b是卷积核的权重和偏置参数,d1和d2是输入数据的2个维度,c是通道数。
卷积后得到的特征张量A还需要进行一个池化(Pooling)操作。这里使用的是最大化池化(Max pooling),即在高维特征张量中,从相邻数据块中选取最大值作为输出,得到特征张量B。池化的主要功能是实现非线性下采样,剔除部分冗余特征,降低神经网络后续的计算量。
二维卷积操作通过分块卷积结构完成,主要通过堆叠多个不同大小的卷积核,增加了网络对不同尺度特征的适应性,同时并不额外增加网络的深度。不同卷积核提取的高维特征依次排列,构成高维特征向量。图1中分块卷积结构包含4个长度维度分别为2,3,5,7的卷积核。实际使用时,分块卷积结构并不局限于此数量的卷积核,大小也可以根据实际情况调整。
步骤5,分类层以步骤4输出的高维特征向量作为输入,将通过分类器进行分类,输出分类向量。分类器由多层全相连网络构成,每层可根据需要设置随机失活模块(Dropout)以防止网络过拟合。图1中,分类器由3层全相连网络构成,每层有128个神经元,都加上了随机失活模块。实际使用中并不局限于此规格(3层,128个神经元),随机失活模块也可以不设置。
步骤6,输出层以步骤5输出的分类向量作为输入,使用Sigmoid函数计算归一化概率。这个概率就是待测域名属于算法生成恶意域名的概率。实际使用中,可以设定一个门限将概率二值化为0或1,分别表示待检测的域名是正常域名或恶意域名。本例中,门限设为0.5,待测域名输出的概率为0.1左右,远低于门限。因此二值化为0,表示本发明的检测方法判断这是一个正常域名,而不是算法生成恶意域名。
本发明中的深度神经网络在使用前需要确定网络各参数的值,这一过程称为神经网络的训练过程。训练方法使用基于随机梯度下降(SGD)的ADAM优化方法。当然在实际应用中,可以直接使用训练好的网络,也可以自行采集数据进行训练。
目前在算法生成恶意域名检测问题上,并没有广泛使用的已标记数据集,因此需要搜集不同种类的域名用于构建数据集,以下给出一种构建数据集的方法。正常域名来自Alexa网站排名,Alexa列出了互联网上最流行的一百万个网站的域名,并根据流行程度排序。这里可以取前一万个最流行的域名作为正常域名的样本列入数据集。算法生成恶意域名的获得相对来说途径比较少,一种方法是通过已经被逆向的域名生成算法自己运算生成,另一种方法是通过公司/组织收集得到的在互联网上存在过的真实恶意域名。本发明使用的数据全部是后者,来源于公开的DGArchive项目,每一种恶意域名都取一万个。列入数据集里的域名不区分前后顺序,只保留正常或恶意的属性标签,随机选择用于训练。
本实施例中,我们选取了16类常见的算法生成恶意域名,依次加入一定数量的Alexa网站排名中列出的域名作为正常域名,按上述步骤构建数据集并进行检测测试实验。实验过程中,数据集以随机选取的方式划分成了训练集和测试集两部分,其中训练集用于训练深度神经网络,测试集用于评估检测的效果。检测实验的结果如下:该方法平均检测率达到96.65%,平均F-measure达到97.58%。而且本方法的检测效果比较稳定,全部种类的算法生成恶意域名的检测率都在90%以上。特别是对于基于单词表和可发音的算法生成恶意域名检测也依然有效,没有对上述16种的任何一种算法生成恶意域名检测失败的情况发生。
应当理解的是,上述实施例为了便于普通技术人员理解,描述较为详细且具体,并不能因此而认为是对本发明专利保护范围的限制,本领域的普通技术人员在本发明的启示下,在不脱离本发明权利要求所保护的范围情况下,还可以做出替换或变形,均落入本发明的保护范围之内,本发明的请求保护范围应以所附权利要求为准。

Claims (5)

1.一种基于深度神经网络的算法生成恶意域名检测方法,其特征在于,包括以下步骤:
步骤1:建立用于检测算法生成恶意域名的深度神经网络,该深度神经网络由输入层、预处理层、域名表示层、特征提取层、分类层和输出层组成;
所述输入层直接接收字符形式编码的域名字符串;
所述预处理层用于提取域名字符串中的域名主体部分;
所述域名表示层通过n-gram表示方法,将域名主体部分组织成一个二维张量,两个维度分别是特征维度和长度维度;
所述特征提取层使用分块卷积结构从域名表示层获得的二维张量中提取分类特征,包括:
堆叠至少两个不同大小的卷积核,每个卷积核均从二维张量中获取不同尺度的分类特征,从而增加网络对不同尺度特征的适应性,同时并不额外增加网络的深度;
所述卷积核使用非中心对称的卷积核;
所述分类层由多层全相连网络构成;
所述输出层使用非线性函数计算并输出域名属于算法生成恶意域名的概率;
步骤2:使用随机梯度下降法训练用于检测算法生成恶意域名的深度神经网络;
步骤3:将待测域名以字符形式编码组成域名字符串,输入训练好的深度神经网络,得到待测域名属于算法生成恶意域名的概率,由概率值判断待测域名是否属于算法生成恶意域名。
2.根据权利要求1所述的基于深度神经网络的算法生成恶意域名检测方法,其特征在于,所述分类层的每层全相连网络均可根据需要设置随机失活模块,以防止网络过拟合。
3.根据权利要求1所述的基于深度神经网络的算法生成恶意域名检测方法,其特征在于,所述输出层使用Sigmoid函数计算归一化概率。
4.根据权利要求1所述的基于深度神经网络的算法生成恶意域名检测方法,其特征在于,所述输出层中设定门限,将概率二值化为0或1,分别表示待检测的域名是正常域名或恶意域名。
5.根据权利要求1所述的基于深度神经网络的算法生成恶意域名检测方法,其特征在于,该检测方法以端到端的方式工作,不需要人工提取特征,也不需要域名***(DNS)上下文信息。
CN201811090443.9A 2018-09-18 2018-09-18 一种基于深度神经网络的算法生成恶意域名检测方法 Active CN109450845B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811090443.9A CN109450845B (zh) 2018-09-18 2018-09-18 一种基于深度神经网络的算法生成恶意域名检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811090443.9A CN109450845B (zh) 2018-09-18 2018-09-18 一种基于深度神经网络的算法生成恶意域名检测方法

Publications (2)

Publication Number Publication Date
CN109450845A CN109450845A (zh) 2019-03-08
CN109450845B true CN109450845B (zh) 2020-08-04

Family

ID=65532780

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811090443.9A Active CN109450845B (zh) 2018-09-18 2018-09-18 一种基于深度神经网络的算法生成恶意域名检测方法

Country Status (1)

Country Link
CN (1) CN109450845B (zh)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109960934A (zh) * 2019-03-25 2019-07-02 西安电子科技大学 一种基于cnn的恶意请求检测方法
CN110113327A (zh) * 2019-04-26 2019-08-09 北京奇安信科技有限公司 一种检测dga域名的方法及装置
CN110245348B (zh) * 2019-05-17 2023-11-24 北京百度网讯科技有限公司 一种意图识别方法及***
CN110365659B (zh) * 2019-06-26 2020-08-04 浙江大学 一种小样本场景下的网络入侵检测数据集的构造方法
CN110798481A (zh) * 2019-11-08 2020-02-14 杭州安恒信息技术股份有限公司 基于深度学习的恶意域名检测方法及装置
CN111159588B (zh) * 2019-12-19 2022-12-13 电子科技大学 一种基于url成像技术的恶意url检测方法
SG10202100813PA (en) * 2021-01-26 2021-02-25 Ensign Infosecurity Pte Ltd A SYSTEM AND METHOD FOR DETECTING DOMAIN GENERATION ALGORITHMS (DGAs) USING DEEP LEARNING AND SIGNAL PROCESSING TECHNIQUES
CN112953914A (zh) * 2021-01-29 2021-06-11 浙江大学 一种dga域名检测分类方法及装置
CN114549926A (zh) * 2022-01-24 2022-05-27 北京百度网讯科技有限公司 目标检测与目标检测模型的训练方法、装置
CN115022282B (zh) * 2022-06-06 2023-07-21 天津大学 一种新型域名生成模型建立及应用
CN115065567B (zh) * 2022-08-19 2022-11-11 北京金睛云华科技有限公司 用于dga域名研判推理机的插件化执行方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107770132A (zh) * 2016-08-18 2018-03-06 中兴通讯股份有限公司 一种对算法生成域名进行检测的方法及装置

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10044751B2 (en) * 2015-12-28 2018-08-07 Arbor Networks, Inc. Using recurrent neural networks to defeat DNS denial of service attacks
US10375143B2 (en) * 2016-08-26 2019-08-06 Cisco Technology, Inc. Learning indicators of compromise with hierarchical models
US10154051B2 (en) * 2016-08-31 2018-12-11 Cisco Technology, Inc. Automatic detection of network threats based on modeling sequential behavior in network traffic
CN106992969A (zh) * 2017-03-03 2017-07-28 南京理工大学 基于域名字符串统计特征的dga生成域名的检测方法
CN107992469A (zh) * 2017-10-13 2018-05-04 中国科学院信息工程研究所 一种基于词序列的钓鱼url检测方法及***
CN108200054B (zh) * 2017-12-29 2021-02-12 奇安信科技集团股份有限公司 一种基于dns解析的恶意域名检测方法及装置
CN108156174B (zh) * 2018-01-15 2020-03-27 深圳市联软科技股份有限公司 基于c&c域名分析的僵尸网络检测方法、装置、设备及介质

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107770132A (zh) * 2016-08-18 2018-03-06 中兴通讯股份有限公司 一种对算法生成域名进行检测的方法及装置

Also Published As

Publication number Publication date
CN109450845A (zh) 2019-03-08

Similar Documents

Publication Publication Date Title
CN109450845B (zh) 一种基于深度神经网络的算法生成恶意域名检测方法
CN107786575B (zh) 一种基于dns流量的自适应恶意域名检测方法
Wang et al. PDRCNN: Precise phishing detection with recurrent convolutional neural networks
CN109005145B (zh) 一种基于自动特征抽取的恶意url检测***及其方法
CN110633570B (zh) 面向恶意软件汇编格式检测模型的黑盒攻击的防御方法
US10178107B2 (en) Detection of malicious domains using recurring patterns in domain names
David et al. Deepsign: Deep learning for automatic malware signature generation and classification
US10033757B2 (en) Identifying malicious identifiers
Opara et al. HTMLPhish: Enabling phishing web page detection by applying deep learning techniques on HTML analysis
CN109308494B (zh) Lstm模型及基于该模型的网络攻击识别方法及***
CN111600919B (zh) 智能网络应用防护***模型的构建方法和装置
Mohan et al. Spoof net: syntactic patterns for identification of ominous online factors
CN111031026A (zh) 一种dga恶意软件感染主机检测方法
Yu et al. Weakly supervised deep learning for the detection of domain generation algorithms
EP4133394A1 (en) Unstructured text classification
CN112492059A (zh) Dga域名检测模型训练方法、dga域名检测方法、装置及存储介质
Liu et al. An efficient multistage phishing website detection model based on the CASE feature framework: Aiming at the real web environment
Zhou et al. CNN-based DGA detection with high coverage
CN110647745A (zh) 基于深度学习的恶意软件汇编格式的检测方法
CN110933105A (zh) 一种Web攻击检测方法、***、介质和设备
CN112948578B (zh) 一种dga域名开集分类方法、装置、电子设备及介质
Vinayakumar et al. A deep-dive on machine learning for cyber security use cases
Alharthi et al. A real-time deep-learning approach for filtering Arabic low-quality content and accounts on Twitter
CN111866004A (zh) 安全评估方法、装置、计算机***和介质
CN112651025A (zh) 一种基于字符级嵌入编码的webshell检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant