CN117596066A - 一种基于二级域名的轻量级物联网僵尸主机检测方法 - Google Patents
一种基于二级域名的轻量级物联网僵尸主机检测方法 Download PDFInfo
- Publication number
- CN117596066A CN117596066A CN202311668792.5A CN202311668792A CN117596066A CN 117596066 A CN117596066 A CN 117596066A CN 202311668792 A CN202311668792 A CN 202311668792A CN 117596066 A CN117596066 A CN 117596066A
- Authority
- CN
- China
- Prior art keywords
- domain name
- host
- query
- secondary domain
- vector
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 14
- 230000004044 response Effects 0.000 claims abstract description 12
- 238000003062 neural network model Methods 0.000 claims abstract description 7
- 238000001914 filtration Methods 0.000 claims abstract description 4
- 239000011159 matrix material Substances 0.000 claims description 24
- 238000000034 method Methods 0.000 claims description 20
- 238000012545 processing Methods 0.000 claims description 13
- 230000006870 function Effects 0.000 claims description 9
- 230000008569 process Effects 0.000 claims description 6
- 230000004913 activation Effects 0.000 claims description 3
- 238000004364 calculation method Methods 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 206010063385 Intellectualisation Diseases 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013136 deep learning model Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012549 training Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
- G06N3/0442—Recurrent networks, e.g. Hopfield networks characterised by memory or gating, e.g. long short-term memory [LSTM] or gated recurrent units [GRU]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Molecular Biology (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Virology (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明属于网络安全领域,公开了一种基于二级域名的轻量级物联网僵尸主机检测方法,包括S1,获取待检测的主机的dns查询数据,对dns查询数据进行过滤,获取响应代码为NXDOMAIN的查询记录;S2,对响应代码为NXDOMAIN的查询记录进行划分,得到查询序列;S3,通过预设的神经网络模型分别计算每个查询序列的恶意分数;S4,判断是否存在至少一个大于预设的恶意分数阈值的恶意分数,若是,则表示待检测的主机为僵尸主机,若否,则表示待检测的主机不属于僵尸主机。本发明实现了僵尸主机的准确检测。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种基于二级域名的轻量级物联网僵尸主机检测方法。
背景技术
物联网(IoT)是通过互联网将日常生活中的设备、传感器、工具等物理对象连接在一起形成的巨大网络。这些物理对象是智能手机、家用电器、车辆、工业设备、健康监测器等。它们与互联网连接时,能够收集、传输和交换数据,实现智能化、自动化和远程控制等功能。
随着物联网技术的发展,大量的物联网设备已在许多领域落地。如今,网络攻击已渗透到物联网***中。网络犯罪分子利用不安全的物联网设备并对其进行攻击以实施恶意活动。其中,造成惨重损失的是物联网僵尸网络。物联网僵尸网络是有控制者与被感染物联网设备之间形成的一个可一对多控制的网络,其中,被感染的物联网设备称为“僵尸主机”。当设备被感染成为僵尸主机后,它们会与C&C服务器建立通信连接。C&C(Command andControl)服务器是位于远程位置的中央服务器,由控制者用来控制和指挥僵尸主机执行各种恶意活动比如DDoS攻击。为了防止C&C服务器被追踪,僵尸主机进行反链C&C服务器。在特定的时间间隔内,攻击者使用种子运行DGA算法生成大量的域名,随机选择少量域名注册并指向C&C服务器。僵尸主机使用同样的种子运行DGA算法确保在相同的时间间隔内生成同样的域名,逐次查询生成的域名。若当前域名未注册,则查询其他域名;若当前域名注册,僵尸主机会通过DNS查询向DNS服务器发出请求,尝试解析这些域名的IP地址与C&C服务器建立通信连接。
因此,如何检测僵尸主机便成为需要解决的技术问题。
发明内容
本发明的目的在于公开一种基于二级域名的轻量级物联网僵尸主机检测方法,解决如何检测僵尸主机的问题。
为了达到上述目的,本发明提供如下技术方案:
本发明提供了一种基于二级域名的轻量级物联网僵尸主机检测方法,包括:
S1,获取待检测的主机的dns查询数据,对dns查询数据进行过滤,获取响应代码为NXDOMAIN的查询记录;
S2,对响应代码为NXDOMAIN的查询记录进行划分,得到查询序列;
S3,通过预设的神经网络模型分别计算每个查询序列的恶意分数;
S4,判断是否存在至少一个大于预设的恶意分数阈值的恶意分数,若是,则表示待检测的主机为僵尸主机,若否,则表示待检测的主机不属于僵尸主机。
可选的,查询记录包括时间戳、主机、二级域名这三个字段。
可选的,S2包括:
S21,对于时间戳相邻的两条响应代码为NXDOMAIN的查询记录a和b,若a和b对应的两个时间戳ta和tb之间的时间间隔大于预设的时间长度,则将查询记录a和b划分到两个不同的查询序列中;若a和b对应的两个时间戳ta和tb之间的时间间隔小于等于预设的时间长度,则将查询记录a和b划分到同一个查询序列中;
S22,对于已经划分好的查询序列,若时间戳相邻的两条响应代码为NXDOMAIN的查询记录中的二级域名相同,则保留时间戳较早的查询记录。
可选的,预设的神经网络模型包括输入层、嵌入层、LSTM层和输出层;
输入层用于获取查询序列中的二级域名的字符串;
嵌入层用于将二级域名的字符串转换为矩阵;
LSTM层用于对矩阵进行处理,得到包含了域名字符串字符间的上下文关系的长度为k的向量;
输出层用于计算查询序列的恶意分数,将长度为k的向量输入至输出层中得到查询序列的恶意分数。
可选的,将二级域名的字符串转换为矩阵,包括:
使用独热编码将二级域名转换为矩阵。
可选的,使用独热编码将二级域名转换为矩阵,包括:
使用长为39的向量表示二级域名中的一个字符,其中,这个长度为39的向量含义为:第1-26位代表字符“a”-“z”,第27-36位代表数字0-9,第37位代表“-”,第38位代表“.”,第39位代表其他的特殊字符;
用n表示二级域名的长度,则二级域名被转换为n×39的矩阵。
可选的,对矩阵进行处理,得到包含了域名字符串字符间的上下文关系的长度为k的向量,包括:
分别将矩阵中的每一个字符的向量作为一个时间步输入到LSTM中,处理过程如下列公式:
fn=σ(Wf[hn-1,xn]+bf)
in=σ(Wi[hn-1,xn]+bi)
on=σ(Wo[hn-1,xn]+bo)
hn=on·tanh(Cn)
其中fn是遗忘门,in是输入门,on是输出门,是候选记忆单元状态,Cn是记忆单元状态,hn是第n个时间步隐藏状态,σ是sigmoid激活函数,Wf是遗忘门权重,hn-1是第n-1个时间步的隐藏状态,xn是第n个时间步的输入,bf是遗忘门的偏置向量,Wi是输入门权重,bi是输入门的偏置向量,Wo是输出门权重,bo是输出门的偏置向量,Wc是计算候选记忆单元状态时的权重,bc是计算候选记忆单元状态时的偏置向量,Cn-1是第n-1个时间步的记忆单元状态。;经过LSTM层后,对每个长度为n的二级域名,生成一个长度为k的向量,该向量包含了域名字符串字符间的上下文关系。
可选的,计算查询序列的恶意分数,包括:
使用如下函数计算查询序列的恶意分数Sseq:
Pr(ndj|H1)表示待检测的主机可疑时,查询二级域名ndj的概率,m表示查询序列中包含的二级域名的总数,Pr(ndj|H0)表示主机正常时,查询二级域名ndj的概率。
有益效果:
本发明引入了一种新的域名检测模型,使用编码层和LSTM结构进行数据类别预测。该模型能以99%以上的精度准确检测域名类别,能够深入研究域名特征——集体分析目标IP、域名、DNS服务器之间的关系,从而实现了僵尸主机的准确检测。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的一种基于二级域名的轻量级物联网僵尸主机检测方法的一种示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
如图1所示的一种实施例,本发明提供了一种基于二级域名的轻量级物联网僵尸主机检测方法,包括:
S1,获取待检测的主机的dns查询数据,对dns查询数据进行过滤,获取响应代码为NXDOMAIN的查询记录;
S1主要是用来过滤掉无用的域名查询数据,只关注响应代码为NXDOMAIN的查询记录。
S2,对响应代码为NXDOMAIN的查询记录进行划分,得到查询序列;
S3,通过预设的神经网络模型分别计算每个查询序列的恶意分数;
S4,判断是否存在至少一个大于预设的恶意分数阈值的恶意分数,若是,则表示待检测的主机为僵尸主机,若否,则表示待检测的主机不属于僵尸主机。
本发明引入了一种新的域名检测模型,使用编码层和LSTM结构进行数据类别预测。该模型能以99%以上的精度准确检测域名类别,能够深入研究域名特征——集体分析目标IP、域名、DNS服务器之间的关系,从而实现了僵尸主机的准确检测。
可选的,查询记录包括时间戳、主机、二级域名这三个字段。
具体的,查询序列可以通过如下方式进行表示:
Qi=[(nd1,t1),(nd2,t2),...,(ndm,tm)]。
其中,(ndm,tm)表示主机i在事件戳tm查询NXDOMAIN域名ndm。
可选的,S2包括:
S21,对于时间戳相邻的两条响应代码为NXDOMAIN的查询记录a和b,若a和b对应的两个时间戳ta和tb之间的时间间隔大于预设的时间长度,则将查询记录a和b划分到两个不同的查询序列中;若a和b对应的两个时间戳ta和tb之间的时间间隔小于等于预设的时间长度,则将查询记录a和b划分到同一个查询序列中;
S22,对于已经划分好的查询序列,若时间戳相邻的两条响应代码为NXDOMAIN的查询记录中的二级域名相同,则保留时间戳较早的查询记录。
具体的,预设的时间长度可以是10分钟。
可选的,预设的神经网络模型包括输入层、嵌入层、LSTM层和输出层。
输入层用于获取查询序列中的二级域名的字符串。
例如,对于完整域名“www.***.com”“www.apple.cn”,本发明使用“***.com”和“apple.cn”作为输入。
嵌入层用于将二级域名的字符串转换为矩阵。
可选的,将二级域名的字符串转换为矩阵,包括:
使用独热编码将二级域名转换为矩阵。
可选的,使用独热编码将二级域名转换为矩阵,包括:
使用长为39的向量表示二级域名中的一个字符,其中,这个长度为39的向量含义为:第1-26位代表字符“a”-“z”,第27-36位代表数字0-9,第37位代表“-”,第38位代表“.”,第39位代表其他的特殊字符;
用n表示二级域名的长度,则二级域名被转换为n×39的矩阵。
具体的,其他特殊字符包括“/”、“?”、“%”等用于域名表示的符号。
LSTM层用于对矩阵进行处理,得到包含了域名字符串字符间的上下文关系的长度为k的向量。将长度为k的向量输入至输出层中得到查询序列的恶意分数。
可选的,对矩阵进行处理,得到包含了域名字符串字符间的上下文关系的长度为k的向量,包括:
分别将矩阵中的每一个字符的向量作为一个时间步输入到LSTM中,处理过程如下列公式:
fn=σ(Wf[hn-1,xn]+bf)
in=σ(Wi[hn-1,xn]+bi)
on=σ(Wo[hn-1,xn]+bo)
hn=on·tanh(Cn)
其中fn是遗忘门,in是输入门,on是输出门,是候选记忆单元状态,Cn是记忆单元状态,hn是第n个时间步隐藏状态,σ是sigmoid激活函数,Wf是遗忘门权重,hn-1是第n-1个时间步的隐藏状态,xn是第n个时间步的输入,bf是遗忘门的偏置向量,Wi是输入门权重,bi是输入门的偏置向量,Wo是输出门权重,bo是输出门的偏置向量,Wc是计算候选记忆单元状态时的权重,bc是计算候选记忆单元状态时的偏置向量,Cn-1是第n-1个时间步的记忆单元状态。;经过LSTM层后,对每个长度为n的二级域名,生成一个长度为k的向量,该向量包含了域名字符串字符间的上下文关系。
输出层用于计算查询序列的恶意分数。
经过以上步骤,对于每个长度为n的NXDOMAIN会生成长度为k的向量。在该方法中,将计算域名恶意分数问题看做二分类问题。具体而言,本方法将每个长度为k的向量作为输入,使用全连接层得到域名的恶意概率与良性概率,并使用交叉熵损失函数最小化真实标签与预测值的问题。
可选的,计算查询序列的恶意分数,包括:
使用如下函数计算查询序列的恶意分数Sseq:
Pr(ndj|H1)表示待检测的主机可疑时,查询二级域名ndj的概率,m表示查询序列中包含的二级域名的总数,Pr(ndj|H0)表示主机正常时,查询二级域名ndj的概率。
恶意分数Sseq越大,待检测的主机恶意的可能性越大。根据TRW,有两个手动设置的阈值μ和ν,它们分别代表假阳性率和假阴性率,则预设的恶意分数阈值表示为ν和μ可以设为0.01。
如果查询序列被认为是恶意的。只要一个查询序列被认为是恶意的,则表示该待检测的主机在大量访问不存在的域名,意味着它可能在访问使用DGA算法生成的域名来尝试与C&C服务器进行连接,那么该主机就是恶意主机。
本发明的优点如下:
1、实现大规模的数据处理
数据在GPU上进行计算,因而能够充分发挥数据并行处理的优势。采用分布式消息队列实现消息的智能分发,使得我们能充分利用集群的潜力,从而能有效地进行大规模数据处理,极大地提升了处理效率和速度。这种技术组合不仅加速了计算过程,也为更复杂、更庞大的数据问题的解决铺平了道路。
2、不需要人为标记数据
所涉及的模型分类任务被明确定义为二分类,着眼于对数据进行良性和恶意两大类的划分。针对恶意数据样本,运用特定的恶意域名生成算法,能够高效地生成批量的恶意数据集。而对于良性数据样本,选择从已有的互联网通用域名中构建良性数据集,这种方法避免了繁琐的人工标注过程。这一综合策略不仅明显简化了数据集准备工作,也为模型训练提供了有力支持。
3、计算速度快,占用资源小。
利用深度学习模型进行预测,赋予了我们使用GPU进行高效并行数据运算的能力。所选取的神经网络结构不仅保持了高预测准确率,还具有简洁的特点,从而减少了所需的计算工作量。在模型构建方面,我们选择了PyTorch框架,该框架不仅易于操作,更因其出色的模型编译功能,进一步提升了模型的计算速度。这一综合策略不仅加速了预测过程,也为高效而精准的预测结果奠定了坚实基础。
4、基于LSTM算法,对未响应的二级域名进行打分
使用LSTM提取域名字符串的特征。对每个长度为n的二级域名,模型会生成一个长为k的向量,该向量包含了域名字符串字符间的上下文关系。使用全连接层得到域名的恶意概率与良性概率。根据恶意概率与良性概率得到二级域名的恶意分数。
5、基于TRW算法发现潜在的僵尸主机
基于TRW算法,通过对主机请求解析但未响应的二级域名进行打分,根据该主机的所有域名得分总和是否超过阈值来判断其是否为僵尸主机。
以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节,也不限制该发明仅为所述的具体实施方式。显然,根据本说明书的内容,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本发明的原理和实际应用,从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。
Claims (8)
1.一种基于二级域名的轻量级物联网僵尸主机检测方法,其特征在于,包括:
S1,获取待检测的主机的dns查询数据,对dns查询数据进行过滤,获取响应代码为NXDOMAIN的查询记录;
S2,对响应代码为NXDOMAIN的查询记录进行划分,得到查询序列;
S3,通过预设的神经网络模型分别计算每个查询序列的恶意分数;
S4,判断是否存在至少一个大于预设的恶意分数阈值的恶意分数,若是,则表示待检测的主机为僵尸主机,若否,则表示待检测的主机不属于僵尸主机。
2.根据权利要求1所述的一种基于二级域名的轻量级物联网僵尸主机检测方法,其特征在于,查询记录包括时间戳、主机、二级域名这三个字段。
3.根据权利要求2所述的一种基于二级域名的轻量级物联网僵尸主机检测方法,其特征在于,S2包括:
S21,对于时间戳相邻的两条响应代码为NXDOMAIN的查询记录a和b,若a和b对应的两个时间戳ta和tb之间的时间间隔大于预设的时间长度,则将查询记录a和b划分到两个不同的查询序列中;若a和b对应的两个时间戳ta和tb之间的时间间隔小于等于预设的时间长度,则将查询记录a和b划分到同一个查询序列中;
S22,对于已经划分好的查询序列,若时间戳相邻的两条响应代码为NXDOMAIN的查询记录中的二级域名相同,则保留时间戳较早的查询记录。
4.根据权利要求2所述的一种基于二级域名的轻量级物联网僵尸主机检测方法,其特征在于,预设的神经网络模型包括输入层、嵌入层、LSTM层和输出层;
输入层用于获取查询序列中的二级域名的字符串;
嵌入层用于将二级域名的字符串转换为矩阵;
LSTM层用于对矩阵进行处理,得到包含了域名字符串字符间的上下文关系的长度为k的向量;
输出层用于计算查询序列的恶意分数,将长度为k的向量输入至输出层中得到查询序列的恶意分数。
5.根据权利要求4所述的一种基于二级域名的轻量级物联网僵尸主机检测方法,其特征在于,将二级域名的字符串转换为矩阵,包括:
使用独热编码将二级域名转换为矩阵。
6.根据权利要求5所述的一种基于二级域名的轻量级物联网僵尸主机检测方法,其特征在于,使用独热编码将二级域名转换为矩阵,包括:
使用长为39的向量表示二级域名中的一个字符,其中,这个长度为39的向量含义为:第1-26位代表字符“a”-“z”,第27-36位代表数字0-9,第37位代表“-”,第38位代表“.”,第39位代表其他的特殊字符;
用n表示二级域名的长度,则二级域名被转换为n×39的矩阵。
7.根据权利要求6所述的一种基于二级域名的轻量级物联网僵尸主机检测方法,其特征在于,对矩阵进行处理,得到包含了域名字符串字符间的上下文关系的长度为k的向量,包括:
分别将矩阵中的每一个字符的向量作为一个时间步输入到LSTM中,处理过程如下列公式:
fn=σ(Wf[hn-1,xn]+bf)
in=σ(Wi[hn-1,xn]+bi)
on=σ(Wo[hn-1,xn]+bo)
hn=on·tanh(Cn)
其中fn是遗忘门,in是输入门,on是输出门,是候选记忆单元状态,Cn是记忆单元状态,hn是第n个时间步隐藏状态,σ是sigmoid激活函数,Wf是遗忘门权重,hn-1是第n-1个时间步的隐藏状态,xn是第n个时间步的输入,bf是遗忘门的偏置向量,Wi是输入门权重,bi是输入门的偏置向量,Wo是输出门权重,bo是输出门的偏置向量,Wc是计算候选记忆单元状态时的权重,bc是计算候选记忆单元状态时的偏置向量,Cn-1是第n-1个时间步的记忆单元状态。;经过LSTM层后,对每个长度为n的二级域名,生成一个长度为k的向量,该向量包含了域名字符串字符间的上下文关系。
8.根据权利要求7所述的一种基于二级域名的轻量级物联网僵尸主机检测方法,其特征在于,计算查询序列的恶意分数,包括:
使用如下函数计算查询序列的恶意分数Sseq:
Pr(ndj|H1)表示待检测的主机可疑时,查询二级域名ndj的概率,m表示查询序列中包含的二级域名的总数,Pr(ndj|H0)表示主机正常时,查询二级域名ndj的概率。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311668792.5A CN117596066A (zh) | 2023-12-06 | 2023-12-06 | 一种基于二级域名的轻量级物联网僵尸主机检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311668792.5A CN117596066A (zh) | 2023-12-06 | 2023-12-06 | 一种基于二级域名的轻量级物联网僵尸主机检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117596066A true CN117596066A (zh) | 2024-02-23 |
Family
ID=89911427
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311668792.5A Pending CN117596066A (zh) | 2023-12-06 | 2023-12-06 | 一种基于二级域名的轻量级物联网僵尸主机检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117596066A (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180351972A1 (en) * | 2017-05-31 | 2018-12-06 | Infoblox Inc. | Inline dga detection with deep networks |
CN114897127A (zh) * | 2021-01-26 | 2022-08-12 | 安信资讯安全私人有限公司 | 检测域生成算法的***和方法 |
CN116170168A (zh) * | 2022-03-15 | 2023-05-26 | 中国科学院信息工程研究所 | 一种基于深度支持向量数据描述的dga域名检测方法及*** |
-
2023
- 2023-12-06 CN CN202311668792.5A patent/CN117596066A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180351972A1 (en) * | 2017-05-31 | 2018-12-06 | Infoblox Inc. | Inline dga detection with deep networks |
CN114897127A (zh) * | 2021-01-26 | 2022-08-12 | 安信资讯安全私人有限公司 | 检测域生成算法的***和方法 |
CN116170168A (zh) * | 2022-03-15 | 2023-05-26 | 中国科学院信息工程研究所 | 一种基于深度支持向量数据描述的dga域名检测方法及*** |
Non-Patent Citations (2)
Title |
---|
RUYU LI, ET AL: "FastIoTBot: Identifying IoT Bots by Fast Detecting Anomalous Domain Queries with Long Short-Term Memory Networks", 《2023 3RD INTERNATIONAL CONFERENCE ON CONSUMER ELECTRONICS AND COMPUTER ENGINEERING (ICCECE)》, 2 June 2023 (2023-06-02) * |
于光喜;张棪;崔华俊;杨兴华;李杨;刘畅;: "基于机器学习的僵尸网络DGA域名检测***设计与实现", 信息安全学报, no. 03, 15 May 2020 (2020-05-15) * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110191103B (zh) | 一种dga域名检测分类方法 | |
CN109450842B (zh) | 一种基于神经网络的网络恶意行为识别方法 | |
Bansal et al. | A comparative analysis of machine learning techniques for botnet detection | |
CN105208037B (zh) | 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法 | |
Jianliang et al. | The application on intrusion detection based on k-means cluster algorithm | |
CN111131260B (zh) | 一种海量网络恶意域名识别和分类方法及*** | |
CN105827594A (zh) | 一种基于域名可读性及域名解析行为的可疑性检测方法 | |
CN107370752B (zh) | 一种高效的远控木马检测方法 | |
Ullah et al. | A framework for anomaly detection in IoT networks using conditional generative adversarial networks | |
CN110611640A (zh) | 一种基于随机森林的dns协议隐蔽通道检测方法 | |
Lysenko et al. | DNS-based anti-evasion technique for botnets detection | |
Singh et al. | Detection and differentiation of application layer DDoS attack from flash events using fuzzy‐GA computation | |
Lu et al. | Botnet traffic detection using hidden markov models | |
CN115270996A (zh) | 一种dga域名检测方法、检测装置及计算机存储介质 | |
Garasia et al. | HTTP botnet detection using frequent patternset mining | |
CN113965393B (zh) | 一种基于复杂网络和图神经网络的僵尸网络检测方法 | |
Xu et al. | [Retracted] DDoS Detection Using a Cloud‐Edge Collaboration Method Based on Entropy‐Measuring SOM and KD‐Tree in SDN | |
Yang et al. | Detecting DNS tunnels using session behavior and random forest method | |
CN117892102B (zh) | 基于主动学习的入侵行为检测方法、***、设备及介质 | |
Yang et al. | Detecting DNS covert channels using stacking model | |
Hussan et al. | DDoS attack detection in IoT environment using optimized Elman recurrent neural networks based on chaotic bacterial colony optimization | |
Salau et al. | Evaluation of Bernoulli Naive Bayes model for detection of distributed denial of service attacks | |
Wang et al. | A detection scheme for DGA domain names based on SVM | |
CN117596066A (zh) | 一种基于二级域名的轻量级物联网僵尸主机检测方法 | |
CN114330504B (zh) | 基于Sketch的网络恶意流量检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |