CN116886414A - 一种dga域名检测方法、***及存储介质 - Google Patents
一种dga域名检测方法、***及存储介质 Download PDFInfo
- Publication number
- CN116886414A CN116886414A CN202311002710.3A CN202311002710A CN116886414A CN 116886414 A CN116886414 A CN 116886414A CN 202311002710 A CN202311002710 A CN 202311002710A CN 116886414 A CN116886414 A CN 116886414A
- Authority
- CN
- China
- Prior art keywords
- domain name
- dga
- information
- model
- dga domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 82
- 238000004458 analytical method Methods 0.000 claims abstract description 51
- 238000007670 refining Methods 0.000 claims abstract description 8
- 238000013499 data model Methods 0.000 claims description 71
- 238000012360 testing method Methods 0.000 claims description 15
- 238000012549 training Methods 0.000 claims description 15
- 238000012795 verification Methods 0.000 claims description 8
- 241000287828 Gallus gallus Species 0.000 claims description 4
- 238000004590 computer program Methods 0.000 claims description 3
- 230000010365 information processing Effects 0.000 claims description 3
- 238000007781 pre-processing Methods 0.000 claims 1
- 238000004422 calculation algorithm Methods 0.000 description 9
- 238000003745 diagnosis Methods 0.000 description 4
- 238000000034 method Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000012417 linear regression Methods 0.000 description 1
- 238000007477 logistic regression Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000007637 random forest analysis Methods 0.000 description 1
- 238000012706 support-vector machine Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及信息安全技术领域,公开了一种DGA域名检测方法、***及存储介质,包括:获取正常域名集和恶意域名数据集中的原始数据;对所述原始数据进行分类细化提取各基本特征信息,所述基本特征信息包括域名字符统计特征和域名N‑Gram模型特征;基于所述基本特征信息建立DGA域名检测模型;从DNS流量中获取请求域名信息,将所述请求域名信息输入至所述DGA域名检测模型中输出分析结果。本发明提高了DGA域名发现的正确率,降低误报率,并能有效发现和检测未知类型的DGA域名。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种DGA域名检测方法、***及存储介质。
背景技术
随在互联网技术的不断发展,网络安全变得尤为重要。在网络安全领域,攻击者常常会使用域名将恶意程序连接至远程命令和控制服务器,从而达到操控受害者机器的目的。攻击者使用域名生成算法(Domain Generation Algorithm,简称“DGA”),可以生成大量伪随机或看似具备某种规律的域名,这些域名通常会被编码在恶意软件中,相比于硬编码的域名,DGA域名可以有效避开黑名单列表的检测,因此现有的域名检测方法无法对准确的检测出DGA域名,因此无法准确的进行预警。
发明内容
本发明提供了一种DGA域名检测方法、***及存储介质,提高了DGA域名发现的正确率,降低误报率,并能有效发现和检测未知类型的DGA域名。
为实现上述目的,本发明提供了如下方案:本发明提供一种DGA域名检测方法,包括:获取正常域名集和恶意域名数据集中的原始数据;
对所述原始数据进行分类细化提取各基本特征信息,所述基本特征信息包括域名字符统计特征和域名N-Gram模型特征;
基于所述基本特征信息建立DGA域名检测模型;
从DNS流量中获取请求域名信息,将所述请求域名信息输入至所述DGA域名检测模型中输出分析结果。
在其中一个实施例中,所述域名字符统计特征包括域名字符长度、字符随机性、唯一字符数和元音字母比例。
在其中一个实施例中,在对所述原始数据进行分类细化提取各基本特征信息时,对原始数据进行预处理,剔除无效数据。
在其中一个实施例中,基于所述基本特征信息建立DGA域名检测模型,包括:
基于基本特征信息建立数据模型集群,所述数据模型集群包括多个数据模型;
将所述基本特征信息分别输入至多个数据模型中,获得对应数据模型的初始预测结果;
基于所述请求域名信息与初始预测结果的匹配度设定初始数据模型;
对初始数据模型进行测试,将分析结果符合预设指标的初始数据模型确定为所述DGA域名检测模型。
在其中一个实施例中,对初始数据模型进行测试,包括:
将基本特征信息按预设条件分为训练数据与验证数据;基于训练数据对初始数据模型进行训练;基于验证数据对训练后的初始数据模型进行测试,输出符合预设指标的初始数据模型。
在其中一个实施例中,对初始数据模型进行测试,将分析结果符合预设指标的初始数据模型确定为所述DGA域名检测模型包括:
当初始数据模型唯一时,将分析结果符合预设指标的初始数据模型确定为所述DGA域名检测模型;
当初始数据模型不唯一时,将分析结果符合预设指标且符合预设指标率最高的初始数据模型确定为所述DGA域名检测模型。
在其中一个实施例中,从DNS流量中获取请求域名信息,将所述请求域名信息输入至所述DGA域名检测模型中输出分析结果,包括:
将所述请求域名信息输入至所述DGA域名检测模型中,得到所述分析结果;
将所述分析结果进行储存并输出;
将所述分析结果为DGA域名的域名更新至威胁情报中。
在其中一个实施例中,在从DNS流量中获取请求域名信息,将所述请求域名信息输入至所述DGA域名检测模型中输出分析结果之后,分析结果为DGA域名时,请求主机将所述DGA域名标记为"肉鸡"。
为了实现上述目的,还提供了一种DGA域名检测***,包括:信息获取模块,用于获取正常域名集和恶意域名数据集中的原始数据;
信息处理模块,用于对所述原始数据进行分类细化提取各基本特征信息,所述基本特征信息包括域名字符统计特征和域名N-Gram模型特征;基于所述基本特征信息建立DGA域名检测模型;从DNS流量中获取请求域名信息,将所述请求域名信息输入至所述DGA域名检测模型中输出分析结果。
为了实现上述目的,还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序指令,当所述计算机程序指令被加载并运行时,执行所述的DGA域名检测方法。
本发明的技术效果:通过基于基本特征信息建立DGA域名检测模型;从DNS流量中获取请求域名信息,将所述请求域名信息输入至所述DGA域名检测模型中输出分析结果,并将DGA域名检测模型的输出分析结果作为DGA域名的检测结果,能够准确、高效地检测DGA域名。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的DGA域名检测方法的流程图;
图2是本发明实施例提供的建立DGA域名检测模型的流程图;
图3是本发明实施例提供的对初始数据模型进行测试的流程图;
图4是本发明实施例提供的DGA域名检测***的示意图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不是用来限制本发明的范围。
在本申请的描述中,需要理解的是,术语“中心”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本申请和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本申请的限制。
术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。
在本申请的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本申请中的具体含义。
DGA(域名生成算法)是一种利用随机字符来生成C&C域名,从而逃避域名黑名单检测的技术手段。例如,一个由Cryptolocker创建的DGA生成域xeogrhxquuubt.com,如果进程尝试与其建立连接,则尝试机器就可能感染Cryptolocker勒索病毒。域名黑名单通常用于检测和阻断这些域的连接,但对于不断更新的DGA算法并不奏效。
目前安全产品多是基于域名进行检测,提取其特征进行检测,但是实际应用中会存在误报较高的问题,很多正常域名会被检出,例如中文拼音域名以及正常的超长域名,很容易被当成DGA域名被检出。
如图1所示,本实施例公开了一种DGA域名检测方法,包括:
步骤S1,获取正常域名集和恶意域名数据集中的原始数据;
步骤S2,对原始数据进行分类细化提取各基本特征信息,所述基本特征信息包括域名字符统计特征和域名N-Gram模型特征;
步骤S3,基于所述基本特征信息建立DGA域名检测模型;
步骤S4,从DNS流量中获取请求域名信息,将请求域名信息输入至所述DGA域名检测模型中输出分析结果。
可以理解的是,上述实施例中,可以提高DGA域名发现的正确率,降低误报率,并能有效发现和检测未知类型的DGA域名。
在一些具体实施例中,所述域名字符统计特征包括域名字符长度、字符随机性、唯一字符数和元音字母比例。
在一些具体实施例中,在对所述原始数据进行分类细化提取各基本特征信息时,对原始数据进行预处理,剔除无效数据。
可以理解的是,上述实施例中,为了提高故障诊断模型建立的准确性,需要对原始数据信息进行预处理,清除无效数据和干扰数据。
如图2所示,在一些具体实施例中,在步骤S3中,基于所述基本特征信息建立DGA域名检测模型,包括:
步骤S31,基于基本特征信息建立数据模型集群,所述数据模型集群包括多个数据模型;
步骤S32,将所述基本特征信息分别输入至多个数据模型中,获得对应数据模型的初始预测结果;
步骤S33,基于所述请求域名信息与初始预测结果的匹配度设定初始数据模型;
步骤S34,对初始数据模型进行测试,将分析结果符合预设指标的初始数据模型确定为所述DGA域名检测模型。
可以理解的是,上述实施例中,数据模型包括但不限于随机森林算法、支持向量机算法以及逻辑回归算法等,攻击者通常会通过域名生成算法(DGA,Domain GenerationAlgorithm)来生成伪随机字符串并用作顶级域名与多级域名,来有效地避开黑名单列表的检测。所以需要设立DGA域名检测模型,来对DGA域名进行检测。为了得到最优结果作为DGA域名检测模型,对不同模型进行评估,对比检测效果的优劣,具体的对初始数据模型进行测试,将分析结果符合预设指标的初始数据模型确定为所述DGA域名检测模型。
基于所述请求域名信息与初始预测结果的匹配度设定初始数据模型,包括:将所述初始预测结果与所述请求域名信息相匹配,将匹配度大于预设匹配度的初始分析结果对应的所述数据模型确定为所述初始数据模型。
如图3所示,在一些具体实施例中,对初始数据模型进行测试,包括:
步骤S341,将基本特征信息按预设条件分为训练数据与验证数据;
步骤S342,基于训练数据对初始数据模型进行训练;
步骤S343,基于验证数据对训练后的初始数据模型进行测试,输出符合预设指标的初始数据模型。
可以理解的是,上述实施例中,预设条件可以是预设的分配比例,例如将70%的数据样本分为训练数据,30%的数据样本分为验证数据。将训练数据输入进初始数据模型中,对初始数据模型的建模数据进行持续优化,可根据具体实施场景选择相应的训练方式,如利用训练数据进行线性回归训练等。利用验证数据对训练后的初始数据模型进行测试评估,当测试结果达到能满足当前数据分析需求的预设指标后代表训练完成,将训练完成的初始数据模型作为故障诊断模型。例如,预设指标为DGA域名的检测成功率为90%。
在一些具体实施例中,对初始数据模型进行测试,将分析结果符合预设指标的初始数据模型确定为所述DGA域名检测模型,包括:
当初始数据模型唯一时,将分析结果符合预设指标的初始数据模型确定为所述DGA域名检测模型;
当初始数据模型不唯一时,将分析结果符合预设指标且符合预设指标率最高的初始数据模型确定为所述DGA域名检测模型。
可以理解的是,上述实施例中,当匹配度大于预设匹配度的初始分析结果对应的数据模型只有一个时,将故障分析结果符合预设指标的初始数据模型确定为故障诊断模型;当匹配度大于预设匹配度的初始分析结果对应的数据模型有两个及以上时,将故障分析结果符合预设指标且符合预设指标率最高的初始数据模型确定为故障诊断模型。
在一些具体实施例中,在步骤S4中,从DNS流量中获取请求域名信息,将所述请求域名信息输入至所述DGA域名检测模型中输出分析结果,包括:
将所述请求域名信息输入至所述DGA域名检测模型中,得到所述分析结果;
将所述分析结果进行储存并输出;
将所述分析结果为DGA域名的域名更新至威胁情报中。
可以理解的是,上述实施例中,当所述分析结果为DGA域名的域名时,将所述分析结果进行储存并输出警报信息;当所述分析结果为正常域名的域名时,将所述分析结果进行储存。
在一些具体实施例中,在从DNS流量中获取请求域名信息,将所述请求域名信息输入至所述DGA域名检测模型中输出分析结果之后,分析结果为DGA域名时,请求主机将所述DGA域名标记为"肉鸡"。
可以理解的是,上述实施例中,从大量原始数据中提取特征,如域名长度、数字比例、元音辅音个数及比例、随机熵、n-gram 模型、域名后缀等;利用机器学习对收集的数据进行分析建模(即建立数据模型),选择最优结果保存为DGA域名检测模型(即将分析结果符合预设指标的初始数据模型确定为所述DGA域名检测模型);从DNS流量中获取请求的域名,利用DGA域名检测模型,针对DNS请求的域名进行检测,检测到DGA域名后,将请求主机标记为"肉鸡"。
如图4所示,为了实现上述目的,还提供了一种DGA域名检测***,包括:信息获取模块,用于获取正常域名集和恶意域名数据集中的原始数据;
信息处理模块,用于对所述原始数据进行分类细化提取各基本特征信息,所述基本特征信息包括域名字符统计特征和域名N-Gram模型特征;基于所述基本特征信息建立DGA域名检测模型;从DNS流量中获取请求域名信息,将所述请求域名信息输入至所述DGA域名检测模型中输出分析结果。
为了实现上述目的,还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序指令,当所述计算机程序指令被加载并运行时,执行所述的DGA域名检测方法。
应该理解的是,虽然本发明各实施例的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,各实施例中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
本领域普通技术人员可以理解:以上仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种DGA域名检测方法,其特征在于,包括:
获取正常域名集和恶意域名数据集中的原始数据;
对所述原始数据进行分类细化提取各基本特征信息,所述基本特征信息包括域名字符统计特征和域名N-Gram模型特征;
基于所述基本特征信息建立DGA域名检测模型;
从DNS流量中获取请求域名信息,将所述请求域名信息输入至所述DGA域名检测模型中输出分析结果。
2.根据权利要求1所述的DGA域名检测方法,其特征在于,所述域名字符统计特征包括域名字符长度、字符随机性、唯一字符数和元音字母比例。
3.根据权利要求1所述的DGA域名检测方法,其特征在于,在对所述原始数据进行分类细化提取各基本特征信息时,对原始数据进行预处理,剔除无效数据。
4.根据权利要求1所述的DGA域名检测方法,其特征在于,基于所述基本特征信息建立DGA域名检测模型,包括:
基于基本特征信息建立数据模型集群,所述数据模型集群包括多个数据模型;
将所述基本特征信息分别输入至多个数据模型中,获得对应数据模型的初始预测结果;
基于所述请求域名信息与初始预测结果的匹配度设定初始数据模型;
对初始数据模型进行测试,将分析结果符合预设指标的初始数据模型确定为所述DGA域名检测模型。
5.根据权利要求4所述的DGA域名检测方法,其特征在于,对初始数据模型进行测试,包括:
将基本特征信息按预设条件分为训练数据与验证数据;基于训练数据对初始数据模型进行训练;基于验证数据对训练后的初始数据模型进行测试,输出符合预设指标的初始数据模型。
6.根据权利要求4所述的DGA域名检测方法,其特征在于,对初始数据模型进行测试,将分析结果符合预设指标的初始数据模型确定为所述DGA域名检测模型包括:
当初始数据模型唯一时,将分析结果符合预设指标的初始数据模型确定为所述DGA域名检测模型;
当初始数据模型不唯一时,将分析结果符合预设指标且符合预设指标率最高的初始数据模型确定为所述DGA域名检测模型。
7.根据权利要求4所述的DGA域名检测方法,其特征在于,从DNS流量中获取请求域名信息,将所述请求域名信息输入至所述DGA域名检测模型中输出分析结果,包括:
将所述请求域名信息输入至所述DGA域名检测模型中,得到所述分析结果;
将所述分析结果进行储存并输出;
将所述分析结果为DGA域名的域名更新至威胁情报中。
8.根据权利要求4所述的DGA域名检测方法,其特征在于,在从DNS流量中获取请求域名信息,将所述请求域名信息输入至所述DGA域名检测模型中输出分析结果之后,分析结果为DGA域名时,请求主机将所述DGA域名标记为"肉鸡"。
9.一种DGA域名检测***,其特征在于,包括:
信息获取模块,用于获取正常域名集和恶意域名数据集中的原始数据;
信息处理模块,用于对所述原始数据进行分类细化提取各基本特征信息,所述基本特征信息包括域名字符统计特征和域名N-Gram模型特征;基于所述基本特征信息建立DGA域名检测模型;从DNS流量中获取请求域名信息,将所述请求域名信息输入至所述DGA域名检测模型中输出分析结果。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序指令,当所述计算机程序指令被加载并运行时,执行如权利要求1-8中任一权利要求所述的DGA域名检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311002710.3A CN116886414A (zh) | 2023-08-09 | 2023-08-09 | 一种dga域名检测方法、***及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311002710.3A CN116886414A (zh) | 2023-08-09 | 2023-08-09 | 一种dga域名检测方法、***及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116886414A true CN116886414A (zh) | 2023-10-13 |
Family
ID=88264519
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311002710.3A Pending CN116886414A (zh) | 2023-08-09 | 2023-08-09 | 一种dga域名检测方法、***及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116886414A (zh) |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170026390A1 (en) * | 2015-07-22 | 2017-01-26 | Cisco Technology, Inc. | Identifying Malware Communications with DGA Generated Domains by Discriminative Learning |
CN109391706A (zh) * | 2018-11-07 | 2019-02-26 | 顺丰科技有限公司 | 基于深度学习的域名检测方法、装置、设备和存储介质 |
US20190387005A1 (en) * | 2017-03-10 | 2019-12-19 | Visa International Service Association | Identifying malicious network devices |
CN111031026A (zh) * | 2019-12-09 | 2020-04-17 | 杭州安恒信息技术股份有限公司 | 一种dga恶意软件感染主机检测方法 |
CN112287338A (zh) * | 2020-11-30 | 2021-01-29 | 国网新疆电力有限公司电力科学研究院 | 基于adasyn算法和改进卷积神经网络的入侵检测方法及装置 |
CN112929390A (zh) * | 2021-03-12 | 2021-06-08 | 厦门帝恩思科技股份有限公司 | 一种基于多策略融合的网络智能监控方法 |
US20210320946A1 (en) * | 2020-04-13 | 2021-10-14 | Qatar Foundation For Education, Science And Community Development | Phishing domain detection systems and methods |
CN115277198A (zh) * | 2022-07-27 | 2022-11-01 | 西安热工研究院有限公司 | 一种工控***网络的漏洞检测方法、装置及存储介质 |
CN116455620A (zh) * | 2023-03-31 | 2023-07-18 | 华能信息技术有限公司 | 一种恶意域名访问分析及确定方法 |
-
2023
- 2023-08-09 CN CN202311002710.3A patent/CN116886414A/zh active Pending
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170026390A1 (en) * | 2015-07-22 | 2017-01-26 | Cisco Technology, Inc. | Identifying Malware Communications with DGA Generated Domains by Discriminative Learning |
US20190387005A1 (en) * | 2017-03-10 | 2019-12-19 | Visa International Service Association | Identifying malicious network devices |
CN109391706A (zh) * | 2018-11-07 | 2019-02-26 | 顺丰科技有限公司 | 基于深度学习的域名检测方法、装置、设备和存储介质 |
CN111031026A (zh) * | 2019-12-09 | 2020-04-17 | 杭州安恒信息技术股份有限公司 | 一种dga恶意软件感染主机检测方法 |
US20210320946A1 (en) * | 2020-04-13 | 2021-10-14 | Qatar Foundation For Education, Science And Community Development | Phishing domain detection systems and methods |
CN112287338A (zh) * | 2020-11-30 | 2021-01-29 | 国网新疆电力有限公司电力科学研究院 | 基于adasyn算法和改进卷积神经网络的入侵检测方法及装置 |
CN112929390A (zh) * | 2021-03-12 | 2021-06-08 | 厦门帝恩思科技股份有限公司 | 一种基于多策略融合的网络智能监控方法 |
CN115277198A (zh) * | 2022-07-27 | 2022-11-01 | 西安热工研究院有限公司 | 一种工控***网络的漏洞检测方法、装置及存储介质 |
CN116455620A (zh) * | 2023-03-31 | 2023-07-18 | 华能信息技术有限公司 | 一种恶意域名访问分析及确定方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110233849B (zh) | 网络安全态势分析的方法及*** | |
CN112866023B (zh) | 网络检测、模型训练方法、装置、设备及存储介质 | |
EP4319054A2 (en) | Identifying legitimate websites to remove false positives from domain discovery analysis | |
CN107918733A (zh) | 检测网页的恶意元素的***和方法 | |
CN111818198B (zh) | 域名检测方法、域名检测装置和设备以及介质 | |
CN104615760A (zh) | 钓鱼网站识别方法和*** | |
CN109391706A (zh) | 基于深度学习的域名检测方法、装置、设备和存储介质 | |
CN110557382A (zh) | 一种利用域名共现关系的恶意域名检测方法及*** | |
CN112492059A (zh) | Dga域名检测模型训练方法、dga域名检测方法、装置及存储介质 | |
CN112989348B (zh) | 攻击检测方法、模型训练方法、装置、服务器及存储介质 | |
CN113704328B (zh) | 基于人工智能的用户行为大数据挖掘方法及*** | |
CN109495479A (zh) | 一种用户异常行为识别方法及装置 | |
CN114553523A (zh) | 基于攻击检测模型的攻击检测方法及装置、介质、设备 | |
CN115580494B (zh) | 一种弱口令的检测方法、装置和设备 | |
KR102022058B1 (ko) | 웹 페이지 위변조 탐지 방법 및 시스템 | |
CN111654504B (zh) | 一种dga域名检测方法及装置 | |
CN110855716B (zh) | 一种面向仿冒域名的自适应安全威胁分析方法及*** | |
CN112905996A (zh) | 基于多维度数据关联分析的信息安全溯源***及方法 | |
CN109995751B (zh) | 上网设备标记方法、装置及存储介质、计算机设备 | |
CN113176968B (zh) | 基于接口参数分类的安全测试方法、装置及存储介质 | |
CN110855635B (zh) | Url识别方法、装置及数据处理设备 | |
Alosefer et al. | Predicting client-side attacks via behaviour analysis using honeypot data | |
CN115022152B (zh) | 一种用于判定事件威胁度的方法、装置及电子设备 | |
CN116886414A (zh) | 一种dga域名检测方法、***及存储介质 | |
CN115277065B (zh) | 一种物联网异常流量检测中的对抗攻击方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |