CN111935097B - 一种检测dga域名的方法 - Google Patents

一种检测dga域名的方法 Download PDF

Info

Publication number
CN111935097B
CN111935097B CN202010684753.4A CN202010684753A CN111935097B CN 111935097 B CN111935097 B CN 111935097B CN 202010684753 A CN202010684753 A CN 202010684753A CN 111935097 B CN111935097 B CN 111935097B
Authority
CN
China
Prior art keywords
domain name
dga
detected
domain
family
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010684753.4A
Other languages
English (en)
Other versions
CN111935097A (zh
Inventor
徐钟豪
陈伟
谢忱
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Douxiang Information Technology Co ltd
Original Assignee
Shanghai Douxiang Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Douxiang Information Technology Co ltd filed Critical Shanghai Douxiang Information Technology Co ltd
Priority to CN202010684753.4A priority Critical patent/CN111935097B/zh
Publication of CN111935097A publication Critical patent/CN111935097A/zh
Application granted granted Critical
Publication of CN111935097B publication Critical patent/CN111935097B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明涉及一种检测DGA域名的方法,包括以下步骤:建立DGA域名检测模型和DGA家族检测模型;收集待检测DNS协议数据,提取待检测DNS协议数据中的待检测域名;提取待检测域名中的特征;将提取的特征规范化处理;将规范化后的特征导入DGA域名检测模型和DGA家族检测模型,得到各已检测域名为DGA域名的概率和为DGA家族的概率;继续检测各已检测域名,根据已检测域名为DGA域名的概率及特征的数量得到已检测域名中属于DGA域名的域名,根据已检测域名为DGA家族的概率及每种DGA家族中包含已检测域名的数量得到已检测域名中属于DGA家族的域名;展示属于DGA域名和属于DGA家族的域名。从而使检测过程具有特征灵活、误报低、维护成本低以及新变种检出率高等优点。

Description

一种检测DGA域名的方法
技术领域
本发明涉及互联网安全技术领域,特别涉及一种检测DGA域名的方法。
背景技术
DGA(域名生成算法)是一种利用随机字符来生成C&C域名,从而逃避域名黑名单检测的技术手段。例如,一个由Cryptolocker创建的DGA生成域xeogrhxquuubt.com,如果进程尝试与其建立连接,则尝试机器就可能感染Cryptolocker勒索病毒。域名黑名单通常用于检测和阻断这些域的连接,但对于不断更新的DGA算法并不奏效。
目前安全产品多是基于域名进行检测,提取其特征进行检测,但是实际应用中会存在误报较高的问题,很多正常域名会被检出,例如中文拼音域名以及正常的超长域名,很容易被当成DGA域名被检出。
因此有必要提供一种检测DGA域名的方法,使检测过程具有特征灵活、误报低、维护成本低以及新变种检出率高等优点。
发明内容
本发明的目的在于提供一种检测DGA域名的方法,使检测过程具有特征灵活、误报低、维护成本低以及新变种检出率高等优点。
为了解决现有技术中存在的问题,本发明提供了一种检测DGA域名的方法,包括以下步骤:
建立DGA域名检测模型和DGA家族检测模型;
收集待检测DNS协议数据,提取待检测DNS协议数据中的待检测域名;
提取待检测域名中的特征;
将提取的特征规范化处理;
将规范化后的特征导入DGA域名检测模型和DGA家族检测模型,得到各已检测域名为DGA域名的概率和为DGA家族的概率;
继续检测各已检测域名,根据已检测域名为DGA域名的概率及特征的数量得到已检测域名中属于DGA域名的域名;
继续检测各已检测域名,根据已检测域名为DGA家族的概率及每种DGA家族中包含已检测域名的数量得到已检测域名中属于DGA家族的域名;
展示属于DGA域名和属于DGA家族的域名。
可选的,在所述检测DGA域名的方法中,建立DGA域名检测模型和DGA家族检测模型包括以下步骤:
生成训练数据,包括正常域名和DGA域名数据;
对所述训练数据做特征工程处理,提取建模特征;
将建模特征规范化处理;
采用机器学习算法对规范化后的正常域名建模特征和DGA域名建模特征做模型训练,形成DGA域名检测模型和DGA家族检测模型。
可选的,在所述检测DGA域名的方法中,生成训练数据的方式为:
收集用于DGA域名检测模型训练的域名数据,包括正常域名和DGA域名数据;
收集用于DGA家族检测模型训练的DGA域名数据。
可选的,在所述检测DGA域名的方法中,对所述训练数据做特征工程处理,提取建模特征,方式如下:
提取训练数据中各域名的18个特征为建模特征,18个特征分别为:域名熵、域名长度、熵与长度的比值、辅音出现的频率、数字出现的频率、重复字母出现的频率、连续数字出现的频率、连续辅音出现的频率、顶级域是否是私人域、子域名unigram在样本中出现次数均值、子域名unigram在样本中出现次数方差、子域名bigram在样本中出现次数均值、子域名bigram在样本中出现次数方差、子域名trigram在样本中出现次数均值、子域名trigram在样本中出现次数方差、n-gram转移概率、顶级域在正负样本中出现次数的比值以及子域名trigram在正负样本中出现次数的比值。
可选的,在所述检测DGA域名的方法中,提取待检测域名中的特征,包括以下步骤:
提取待检测域名中的特征和提取的建模特征相同。
可选的,在所述检测DGA域名的方法中,将提取的特征规范化处理和将建模特征规范化处理的方式为:
将所有提取的特征和所有建模特征取值规范化到0~1之间。
可选的,在所述检测DGA域名的方法中,在得到各已检测域名为DGA域名的概率和为DGA家族的概率之后,继续检测各已检测域名之前,还需要进行模型前置过滤,模型前置过滤的步骤包括:
去除掉DGA域名概率和DGA家族概率小于0.5的已检测域名。
可选的,在所述检测DGA域名的方法中,所述检测DGA域名的方法还包括以下步骤:
确定可疑主机,对所有主机中的DNS协议数据进行检测,确定可疑主机方式为:统计每个主机发送的无响应DNS查询数量,如果发送的无响应DNS查询数量大于20,则是可疑主机;否则是非可疑主机。
可选的,在所述检测DGA域名的方法中,对于可疑主机和非可疑主机,根据已检测域名为DGA域名的概率及特征的数量得到已检测域名中属于DGA域名的域名,包括以下步骤:
计算突变时间,过滤掉不存在突变时间的主机;
根据突变时间内的无响应DNS查询数据进行层次聚类产生类簇,并过滤掉类簇数量小于15的类簇;
计算符合条件的类簇的上下边界,获取突变时间内的有响应域名,提取有响应域名中特征有15个在类簇的上下边界内的有响应域名并展示;
后置过滤,过滤得到无响应域名中DGA域名概率大于0.95的无响应域名并展示。
可选的,在所述检测DGA域名的方法中,对于可疑主机和非可疑主机,根据已检测域名为DGA家族的概率及每种DGA家族中包含已检测域名的数量得到已检测域名中属于DGA家族的域名,包括以下步骤:
根据得到的已检测域名为DGA家族的概率,只保留DGA家族的概率大于0.95的已检测域名,
根据DGA家族种类对已检测域名进行分组,统计每种DGA家族中已检测域名的数量,当同一种DGA家族中已检测域名数量大于阈值时,将对应DGA家族中已检测域名进行展示。
在本发明所提供的检测DGA域名的方法中,通过结合DGA算法往往短时间生成大量域名的特点,使用统计方法找出DGA域名的生成规律,然后结合由机器学习算法训练形成的模型做检测,解决了现有技术中基于域名进行检测而导致误报较高等问题,使本发明所述的检测方法具有特征灵活、误报低、维护成本低以及新变种检出率高等优点。
附图说明
图1为本发明实施例提供的检测方法的流程图;
图2为本发明实施例提供的建立DGA域名检测模型和DGA家族检测模型的流程图;
图3为本发明实施例提供的得到属于DGA域名的域名的流程图;
图4为本发明实施例提供的得到属于DGA家族的域名的流程图。
具体实施方式
下面将结合示意图对本发明的具体实施方式进行更详细的描述。根据下列描述,本发明的优点和特征将更清楚。需说明的是,附图均采用非常简化的形式且均使用非精准的比例,仅用以方便、明晰地辅助说明本发明实施例的目的。
在下文中,如果本文所述的方法包括一系列步骤,则本文所呈现的这些步骤的顺序并非必须是可执行这些步骤的唯一顺序,且一些所述的步骤可被省略和/或一些本文未描述的其他步骤可被添加到该方法中。
目前安全产品多是基于域名进行检测,提取其特征进行检测,但是实际应用中会存在误报较高的问题,很多正常域名会被检出,例如中文拼音域名以及正常的超长域名,很容易被当成DGA域名被检出。
因此有必要提供一种检测DGA域名的方法,如图1所示,图1为本发明实施例提供的检测方法的流程图,所述检测方法包括以下步骤:
建立DGA域名检测模型和DGA家族检测模型;
收集待检测DNS协议数据,提取待检测DNS协议数据中的待检测域名;
提取待检测域名中的特征;
将提取的特征规范化处理;
将规范化后的特征导入DGA域名检测模型和DGA家族检测模型,得到各已检测域名为DGA域名的概率和为DGA家族的概率;
继续检测各已检测域名,根据已检测域名为DGA域名的概率及特征的数量得到已检测域名中属于DGA域名的域名;
继续检测各已检测域名,根据已检测域名为DGA家族的概率及每种DGA家族中包含已检测域名的数量得到已检测域名中属于DGA家族的域名;
展示属于DGA域名和属于DGA家族的域名。
本发明通过结合DGA算法往往短时间生成大量域名的特点,使用统计方法找出DGA域名的生成规律,然后结合由机器学习算法训练形成的模型做检测,解决了现有技术中基于域名进行检测而导致误报较高等问题,使本发明所述的检测方法具有特征灵活、误报低、维护成本低以及新变种检出率高等优点。
如图2所示,图2为本发明实施例提供的建立DGA域名检测模型和DGA家族检测模型的流程图,本发明中建立DGA域名检测模型和DGA家族检测模型包括以下步骤:
生成训练数据,包括正常域名和DGA域名数据;
对所述训练数据做特征工程处理,提取建模特征;
将建模特征规范化处理;
采用机器学习算法对规范化后的正常域名建模特征和DGA域名建模特征做模型训练,形成DGA域名检测模型和DGA家族检测模型;
将训练好的DGA域名检测模型和DGA家族检测模型保存,用于检测。
其中,机器学习算法包括但不限于随机森林算法、支持向量机算法以及逻辑回归算法等,算法选取过程可以采用对算法效果进行评估的方法,通过交叉验证各种方法,以选择最优算法。
具体的,生成训练数据的方式为:
收集用于DGA域名检测模型训练的域名数据,包括正常域名和DGA域名数据;收集用于DGA家族检测模型训练的DGA域名数据。在一个实施例中,DGA域名数据使用自研DGA数据生成器采集,DGA数据生成器指可以使用matsnu、zeus、pushdo以及tinba等DGA算法生成的DGA域名的工具,正常域名数据从Alexa网站统计的全球域名排名数据中获取。
对于DGA域名检测模型和DGA家族检测模型的建立,只有采用的训练数据不同,其余流程均相同。
进一步的,对所述训练数据做特征工程处理,提取建模特征,方式如下:
提取训练数据中各域名的18个特征为建模特征,18个特征分别为:(1)域名熵、(2)域名长度、(3)熵与长度的比值、(4)辅音出现的频率、(5)数字出现的频率、(6)重复字母出现的频率、(7)连续数字出现的频率、(8)连续辅音出现的频率、(9)顶级域是否是私人域、(10)子域名unigram在样本中出现次数均值、(11)子域名unigram在样本中出现次数方差、(12)子域名bigram在样本中出现次数均值、(13)子域名bigram在样本中出现次数方差、(14)子域名trigram在样本中出现次数均值、(15)子域名trigram在样本中出现次数方差、(16)n-gram转移概率、(17)顶级域在正负样本中出现次数的比值以及(18)子域名trigram在正负样本中出现次数的比值。
其中,18个特征可以分为5类,特征(1)-(3)为第一类特征,特征(4)-(8)为第二类特征,特征(9)为第三类特征,特征(10)-(16)为第四类特征,特征(17)-(18)为第五类特征。并且,所有特征中子域名具体指域名中去掉顶级域名(TLD)后的剩余部分。
通常的,提取待检测域名中的特征,包括以下步骤:提取待检测域名中的特征和提取的建模特征相同。
进一步的,因为各个特征量纲不同,取值范围跨度较大,所以需要对特征进行规范化处理,将提取的特征规范化处理和将建模特征规范化处理的方式为:所有提取的特征和所有建模特征取值规范化到0~1之间。
在所述检测DGA域名的方法中,检测方法如下:
首先,收集真实生产环境中的待检测DNS协议数据,使用协议解析工具提取出待检测DNS协议数据中所有DNS协议流量数据,从DNS协议流量数据提取待检测域名。协议解析工具例如可以为bro和argus等软件工具。
其次,提取待检测域名中的特征和将提取的特征规范化处理的流程与训练模型的流程相同,这里不再赘述。
接着,将规范化后的特征导入DGA域名检测模型和DGA家族检测模型,得到各已检测域名为DGA域名的概率和为DGA家族的概率。
进一步的,在得到各已检测域名为DGA域名的概率和为DGA家族的概率之后,继续检测各已检测域名之前,还需要进行模型前置过滤,模型前置过滤的步骤包括:去除掉DGA域名概率和DGA家族概率小于0.5的已检测域名,只保留可疑的已检测域名进行后续检测。
优选的,在所述检测DGA域名的方法中,所述检测DGA域名的方法还包括以下步骤:确定可疑主机,对所有主机中的DNS协议数据进行检测,确定可疑主机方式为:统计每个主机发送的无响应DNS查询数量,如果发送的无响应DNS查询数量大于20,则是可疑主机;否则是非可疑主机。
最后,继续检测各已检测域名,如图3所示,图3为本发明实施例提供的得到属于DGA域名的域名的流程图。优选的,对于可疑主机和非可疑主机,根据已检测域名为DGA域名的概率及特征的数量得到已检测域名中属于DGA域名的域名,包括以下步骤:
计算突变时间,过滤掉不存在突变时间的主机;
根据突变时间内的无响应DNS查询数据进行层次聚类产生类簇,并过滤掉类簇数量小于15的类簇;
计算符合条件的类簇的上下边界,获取突变时间内的有响应域名,提取有响应域名中特征有15个在类簇的上下边界内的有响应域名并展示;
后置过滤,过滤得到无响应域名中DGA域名概率大于0.95的无响应域名并展示。
进一步的,继续检测各已检测域名,如图4所示,图4为本发明实施例提供的得到属于DGA家族的域名的流程图。优选的,对于可疑主机和非可疑主机,根据已检测域名为DGA家族的概率及每种DGA家族中包含已检测域名的数量得到已检测域名中属于DGA家族的域名,包括以下步骤:
根据得到的已检测域名为DGA家族的概率,只保留DGA家族的概率大于0.95的已检测域名,
对保留的已检测域名进行分组,根据DGA家族种类对已检测域名进行分组,统计每种DGA家族中已检测域名的数量,当同一种DGA家族中已检测域名数量大于阈值时,将对应DGA家族中已检测域名进行展示。
通过根据已检测域名为DGA域名的概率及特征的数量得到已检测域名中属于DGA域名的域名;根据已检测域名为DGA家族的概率及每种DGA家族中包含已检测域名的数量得到已检测域名中属于DGA家族的域名;使检测方法不仅仅依靠于域名及其特征,更增加了在特定时间内对数量等进行判断等灵活处理手段,使本发明所述的检测方法具有特征灵活、误报低、维护成本低以及新变种检出率高等优点。
综上,在在本发明所提供的检测DGA域名的方法中,通过结合DGA算法往往短时间生成大量域名的特点,使用统计方法找出DGA域名的生成规律,然后结合由机器学习算法训练形成的模型做检测,解决了现有技术中基于域名进行检测而导致误报较高等问题,使本发明所述的检测方法具有特征灵活、误报低、维护成本低以及新变种检出率高等优点。
上述仅为本发明的优选实施例而已,并不对本发明起到任何限制作用。任何所属技术领域的技术人员,在不脱离本发明的技术方案的范围内,对本发明揭露的技术方案和技术内容做任何形式的等同替换或修改等变动,均属未脱离本发明的技术方案的内容,仍属于本发明的保护范围之内。

Claims (7)

1.一种检测DGA域名的方法,其特征在于,包括以下步骤:
建立DGA域名检测模型和DGA家族检测模型;
收集待检测DNS协议数据,提取待检测DNS协议数据中的待检测域名;
提取待检测域名中的特征;
将提取的特征规范化处理;
将规范化后的特征导入DGA域名检测模型和DGA家族检测模型,得到各已检测域名为DGA域名的概率和为DGA家族的概率;
继续检测各已检测域名,根据已检测域名为DGA域名的概率及特征的数量得到已检测域名中属于DGA域名的域名;继续检测各已检测域名,根据已检测域名为DGA家族的概率及每种DGA家族中包含已检测域名的数量得到已检测域名中属于DGA家族的域名;
方式如下:确定可疑主机,对所有主机中的DNS协议数据进行检测,确定可疑主机方式为:统计每个主机发送的无响应DNS查询数量,如果发送的无响应DNS查询数量大于20,则是可疑主机;否则是非可疑主机;
对于可疑主机和非可疑主机,根据已检测域名为DGA域名的概率及特征的数量得到已检测域名中属于DGA域名的域名,包括以下步骤:计算突变时间,过滤掉不存在突变时间的主机;根据突变时间内的无响应DNS查询数据进行层次聚类产生类簇,并过滤掉类簇数量小于15的类簇;计算符合条件的类簇的上下边界,获取突变时间内的有响应域名,提取有响应域名中特征有15个在类簇的上下边界内的有响应域名并展示;后置过滤,过滤得到无响应域名中DGA域名概率大于0.95的无响应域名并展示;
对于可疑主机和非可疑主机,根据已检测域名为DGA家族的概率及每种DGA家族中包含已检测域名的数量得到已检测域名中属于DGA家族的域名,包括以下步骤:根据得到的已检测域名为DGA家族的概率,只保留DGA家族的概率大于0.95的已检测域名,根据DGA家族种类对保留的已检测域名进行分组,统计每种DGA家族中已检测域名的数量,当同一种DGA家族中已检测域名数量大于阈值时,将对应DGA家族中已检测域名进行展示。
2.如权利要求1所述的检测DGA域名的方法,其特征在于,建立DGA域名检测模型和DGA家族检测模型包括以下步骤:
生成训练数据,包括正常域名和DGA域名数据;
对所述训练数据做特征工程处理,提取建模特征;
将建模特征规范化处理;
采用机器学习算法对规范化后的正常域名建模特征和DGA域名建模特征做模型训练,形成DGA域名检测模型和DGA家族检测模型。
3.如权利要求2所述的检测DGA域名的方法,其特征在于,生成训练数据的方式为:
收集用于DGA域名检测模型训练的域名数据,包括正常域名和DGA域名数据;
收集用于DGA家族检测模型训练的DGA域名数据。
4.如权利要求2所述的检测DGA域名的方法,其特征在于,对所述训练数据做特征工程处理,提取建模特征,方式如下:
提取训练数据中各域名的18个特征为建模特征,18个特征分别为:域名熵、域名长度、熵与长度的比值、辅音出现的频率、数字出现的频率、重复字母出现的频率、连续数字出现的频率、连续辅音出现的频率、顶级域是否是私人域、子域名unigram在样本中出现次数均值、子域名unigram在样本中出现次数方差、子域名bigram在样本中出现次数均值、子域名bigram在样本中出现次数方差、子域名trigram在样本中出现次数均值、子域名trigram在样本中出现次数方差、n-gram转移概率、顶级域在正负样本中出现次数的比值以及子域名trigram在正负样本中出现次数的比值。
5.如权利要求4所述的检测DGA域名的方法,其特征在于,提取待检测域名中的特征,包括以下步骤:
提取待检测域名中的特征和提取的建模特征相同。
6.如权利要求2所述的检测DGA域名的方法,其特征在于,将提取的特征规范化处理和将建模特征规范化处理的方式为:
将所有提取的特征和所有建模特征取值规范化到0~1之间。
7.如权利要求1所述的检测DGA域名的方法,其特征在于,在得到各已检测域名为DGA域名的概率和为DGA家族的概率之后,继续检测各已检测域名之前,还需要进行模型前置过滤,模型前置过滤的步骤包括:
去除掉DGA域名概率和DGA家族概率小于0.5的已检测域名。
CN202010684753.4A 2020-07-16 2020-07-16 一种检测dga域名的方法 Active CN111935097B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010684753.4A CN111935097B (zh) 2020-07-16 2020-07-16 一种检测dga域名的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010684753.4A CN111935097B (zh) 2020-07-16 2020-07-16 一种检测dga域名的方法

Publications (2)

Publication Number Publication Date
CN111935097A CN111935097A (zh) 2020-11-13
CN111935097B true CN111935097B (zh) 2022-07-19

Family

ID=73313191

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010684753.4A Active CN111935097B (zh) 2020-07-16 2020-07-16 一种检测dga域名的方法

Country Status (1)

Country Link
CN (1) CN111935097B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113158660B (zh) * 2021-04-09 2023-03-21 深圳市联软科技股份有限公司 应用于渗透测试的子域名发现方法及***
CN113328994B (zh) * 2021-04-30 2022-07-12 新华三信息安全技术有限公司 一种恶意域名处理方法、装置、设备及机器可读存储介质
CN113746952B (zh) * 2021-09-14 2024-04-16 京东科技信息技术有限公司 Dga域名检测方法、装置、电子设备及计算机存储介质
CN114844682B (zh) * 2022-04-11 2023-05-26 广东工业大学 一种dga域名检测方法及***
CN116743483B (zh) * 2023-07-14 2024-04-16 上海斗象信息科技有限公司 子域名生成方法、子域名命名规律学习方法、装置

Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105407103A (zh) * 2015-12-19 2016-03-16 中国人民解放军信息工程大学 一种基于多粒度异常检测的网络威胁评估方法
CN106713312A (zh) * 2016-12-21 2017-05-24 深圳市深信服电子科技有限公司 检测非法域名的方法及装置
US9690938B1 (en) * 2015-08-05 2017-06-27 Invincea, Inc. Methods and apparatus for machine learning based malware detection
CN107645503A (zh) * 2017-09-20 2018-01-30 杭州安恒信息技术有限公司 一种基于规则的恶意域名所属dga家族的检测方法
CN107742079A (zh) * 2017-10-18 2018-02-27 杭州安恒信息技术有限公司 恶意软件识别方法及***
CN107786575A (zh) * 2017-11-11 2018-03-09 北京信息科技大学 一种基于dns流量的自适应恶意域名检测方法
CN108600200A (zh) * 2018-04-08 2018-09-28 腾讯科技(深圳)有限公司 域名检测方法、装置、计算机设备及存储介质
CN110233849A (zh) * 2019-06-20 2019-09-13 电子科技大学 网络安全态势分析的方法及***
CN110263827A (zh) * 2019-05-31 2019-09-20 中国工商银行股份有限公司 基于交易规律识别的异常交易检测方法及装置
CN110602100A (zh) * 2019-09-16 2019-12-20 上海斗象信息科技有限公司 Dns隧道流量的检测方法
CN110826059A (zh) * 2019-09-19 2020-02-21 浙江工业大学 面向恶意软件图像格式检测模型的黑盒攻击的防御方法及其装置
CN111031026A (zh) * 2019-12-09 2020-04-17 杭州安恒信息技术股份有限公司 一种dga恶意软件感染主机检测方法
CN111147459A (zh) * 2019-12-12 2020-05-12 北京网思科平科技有限公司 一种基于dns请求数据的c&c域名检测方法及装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10198579B2 (en) * 2014-08-22 2019-02-05 Mcafee, Llc System and method to detect domain generation algorithm malware and systems infected by such malware
US10326736B2 (en) * 2016-11-02 2019-06-18 Cisco Technology, Inc. Feature-based classification of individual domain queries

Patent Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9690938B1 (en) * 2015-08-05 2017-06-27 Invincea, Inc. Methods and apparatus for machine learning based malware detection
CN105407103A (zh) * 2015-12-19 2016-03-16 中国人民解放军信息工程大学 一种基于多粒度异常检测的网络威胁评估方法
CN106713312A (zh) * 2016-12-21 2017-05-24 深圳市深信服电子科技有限公司 检测非法域名的方法及装置
CN107645503A (zh) * 2017-09-20 2018-01-30 杭州安恒信息技术有限公司 一种基于规则的恶意域名所属dga家族的检测方法
CN107742079A (zh) * 2017-10-18 2018-02-27 杭州安恒信息技术有限公司 恶意软件识别方法及***
CN107786575A (zh) * 2017-11-11 2018-03-09 北京信息科技大学 一种基于dns流量的自适应恶意域名检测方法
CN108600200A (zh) * 2018-04-08 2018-09-28 腾讯科技(深圳)有限公司 域名检测方法、装置、计算机设备及存储介质
CN110263827A (zh) * 2019-05-31 2019-09-20 中国工商银行股份有限公司 基于交易规律识别的异常交易检测方法及装置
CN110233849A (zh) * 2019-06-20 2019-09-13 电子科技大学 网络安全态势分析的方法及***
CN110602100A (zh) * 2019-09-16 2019-12-20 上海斗象信息科技有限公司 Dns隧道流量的检测方法
CN110826059A (zh) * 2019-09-19 2020-02-21 浙江工业大学 面向恶意软件图像格式检测模型的黑盒攻击的防御方法及其装置
CN111031026A (zh) * 2019-12-09 2020-04-17 杭州安恒信息技术股份有限公司 一种dga恶意软件感染主机检测方法
CN111147459A (zh) * 2019-12-12 2020-05-12 北京网思科平科技有限公司 一种基于dns请求数据的c&c域名检测方法及装置

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
detecting domain generation algorithms based on reinforcement learning;cheng hua et al;《2019 International Conference on Cyber-Enabled Distributed Computing and Knowledge Discovery (CyberC)》;20191231;全文 *
一种通用的恶意域名检测集成学习方法;刘浩杰等;《网络空间安全》;20190925(第09期);全文 *
基于组合分类器的恶意域名检测技术;盛剑涛等;《电信科学》;20200520(第05期);全文 *

Also Published As

Publication number Publication date
CN111935097A (zh) 2020-11-13

Similar Documents

Publication Publication Date Title
CN111935097B (zh) 一种检测dga域名的方法
CN107566376B (zh) 一种威胁情报生成方法、装置及***
CN110233849B (zh) 网络安全态势分析的方法及***
CN105072214B (zh) 基于域名特征的c&c域名识别方法
CN111818198B (zh) 域名检测方法、域名检测装置和设备以及介质
CN112866023B (zh) 网络检测、模型训练方法、装置、设备及存储介质
CN108712403B (zh) 基于域名构造相似性的非法域名挖掘方法
CN109660518B (zh) 网络的通信数据检测方法、装置以及机器可读存储介质
CN107666490A (zh) 一种可疑域名检测方法及装置
CN111031026A (zh) 一种dga恶意软件感染主机检测方法
CN104077396A (zh) 一种钓鱼网站检测方法及装置
CN109922065B (zh) 恶意网站快速识别方法
Layton et al. Automatically determining phishing campaigns using the uscap methodology
CN110830607B (zh) 域名分析方法、装置和电子设备
CN109039875B (zh) 一种基于链接特征分析的钓鱼邮件检测方法及***
CN111131260A (zh) 一种海量网络恶意域名识别和分类方法及***
CN113098887A (zh) 一种基于网站联合特征的钓鱼网站检测方法
CN113704328B (zh) 基于人工智能的用户行为大数据挖掘方法及***
CN110572359A (zh) 基于机器学习的钓鱼网页检测方法
CN111079029A (zh) 敏感账号的检测方法、存储介质和计算机设备
CN117077153A (zh) 基于大规模语言模型的静态应用安全检测误报判别方法
CN112948725A (zh) 基于机器学习的钓鱼网站url检测方法及***
CN113645173A (zh) 一种恶意域名的识别方法、***和设备
CN113746804B (zh) Dns隐蔽信道检测方法、装置、设备及存储介质
CN109120733B (zh) 一种利用dns进行通信的检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant