基于word-hashing的DGA僵尸网络深度检测模型

针对使用域名生成算法(DGA)僵尸网络隐蔽性强,传统检测算法特征提取复杂的问题,提出一种无需提取具体特征的深度学习模型DGA域名检测方法.首先基于word-hashing将所有域名转用二元语法字符串表示,利用词袋模型把域名映射到高维向量空间.然后利用5层深度神经网络对转换为高维向量的域名进行训练分类检测.通过深度模型,能够从训练数据中发现不同层次抽象的隐藏模式和特征,而这些模式和特征使用传统的统计方法大多是无法发现的.实验中使用了10万条DGA域名和10万条合法域名作为样本,与基于自然语言特征分类算法进行对比实验.实验结果表明该深度模型对DGA域名检测准确率达到97.23%,比基于自然语言特征分类算法得到的检测准确率高3.7%.     

基于改进Transformer和强化学习的僵尸网络DGA域名检测

针对现有僵尸网络检测方法检测精度不高和检测时间开销较大的问题,提出一种基于改进Transformer和强化学习的僵尸网络域名生成算法(Domain Generation Algorithm,DGA)的域名检测方法。首先,利用深度可分离卷积替换ResNet和ResNeXt网络中的卷积块,通过减少网络模型参数来降低模型的时间开销;其次,利用改进后的ResNet和ResNeXt网络将域名字符串映射到深度特征空间,构造多尺度特征,强化特征的表达能力;再次,利用长短期记忆神经网络(Long Short-Term Memory,LSTM)对Transformer网络进行改进,在保持字符间相对位置的同时,进一步建立上下文的长距离依赖编码,并在此基础上引入注意力机制,强化模型对关键特征的捕获能力;最后,引入强化学习对模型进行微调,提高DGA域名的检测精度。在多个DGA域名数据集上进行测试验证,结果表明该模型在保持检测时间开销较小的基础上,具有更高的检测精度。     

一种基于深度学习的快速DGA域名分类算法

提出了一种基于深度学习的CNN-LSTM-Concat快速DGA域名分类算法,使用多层一维卷积网络对域名字符进行序列化处理,LSTM网络层用于强化获取字符间长距离依赖关系。通过将LSTM的多序列输入转化为单向量输入,在保证检测性能的前提下,能够大幅提高训练和检测速度。实验证明,我们的方法对DGA域名分类的准率在公开数据集上达到98.32%。同时,在准确率相比主流的LSTM方法更高的情况下,检测时间比LSTM方法快6.41倍。     

基于注意力机制的DGA域名检测算法

DGA域名(Domain Generation Algorithm)检测是恶意CC通信检测的关键技术之一。已有的检测方法通常基于域名构成的随机性进行检测,存在误报率高等问题,对于低随机性DGA域名的检测准确率较低,主要是因为此类方法未能有效提取低随机性DGA域名中的部分高随机性,为此提出了域名的多字符随机性提取方法。采用门控循环单元(GRU)实现多字符组合编码及其随机性提取;引入注意力机制,加强域名中部分高随机性特征。构建了基于注意力机制的循环神经网络的DGA域名检测算法(ATT-GRU),提升了低随机性DGA域名识别的有效性。实验结果表明,ATT-GRU算法在检测DGA域名上取得了比传统方法更高的检测精确率和更低的误报率。     

基于均值中心孪生卷积神经网络的DGA域名识别

相比于大多数仅依赖域名的特征进行DGA域名识别方法的特征值选取有限、分类准确度较低的问题，提出了利用数字证书和域名共同解析的特征向量识别DGA域名的方法.另外，为了提升计算准确度和时间效率，提出了带有均值中心的孪生卷积神经网络——MCSCNN模型，用于DGA域名的分类识别中.将所提出的方法应用于20种DGA域名的分类识别中，得到的准确度(A),精确度(P),召回率(R)以及F1值(F1)结果分别是98.35%,98.11%,98.38%以及98.42%,比对比算法的最优值分别提高了5.68%,4.76%,7.24%以及4.2%.在时间效率上MCSCNN所用时间只是对比算法最优时间的1/108,极大地提升了运算效率.     

基于数据增强的DBN-ELM入侵检测方法

随着工业4.0时代的到来,工控安全事件频发,工控信息安全问题已经备受关注。由于工控环境较为复杂,导致传统机器学习方法在分类大量工控数据时存在收敛速度慢、泛化性较差以及数据分布不均衡等问题。为了解决此类问题,本研究采用一种基于WGAN-GP数据增强并运用深度信念网络和极限学习机相结合的深度学习入侵检测方法,本方法基于一种梯度惩罚的生成对抗网络数据增强并将深度信念网络（deep belief network,DBN）自动提取特征的能力与极限学习机（extreme learning machine, ELM）快速学习的能力相结合。采用加拿大网络安全研究所公布的 CICIDS2017 数据集对所提出的算法进行测试,经过对比实验证明了该方法精度更高,收敛速度更快。为了验证所提出算法在工控环境中的适用性,本研究同时采用密西西比州立大学天然气管道数据集进行验证,证明了该算法在工业环境中具有高精度、误报率低等优点,为工业入侵检测的研究提供了一种新的研究思路。     

基于深度学习的虚假域名检测

为了检测恶意程序中的虚假域名,便于识别僵尸网络和恶意程序,提出一种基于深度学习的虚假域名检测模型;该模型以域名字符串的字符序列为输入,利用一维卷积神经网络和自注意力机制,分别挖掘字符序列中各字符之间的局部依赖信息和全局依赖信息,将两者拼接在一起得到组合特征向量;借助多层感知机,得到待检测域名属于不同域名类别的概率.仿真...     

域名请求行为特征与构成特征相结合的域名变换检测

针对僵尸网络为避免域名黑名单封堵而广泛采用域名变换技术的问题,提出一种域名请求行为特征与域名构成特征相结合的僵尸网络检测方法.该方法通过支持向量机(SVM)分类器对网络中主机解析失败的域名进行分析,提取出可疑感染主机;通过新域名聚类分析,将请求同一组新域名的主机集合作为检测对象,分析请求主机集合是否由可疑感染主机构成,提取出僵尸网络当前使用的域名集合以及命令与控制(Command and Control,C&C)服务器使用的IP地址集合.实验结果表明:训练后SVM分类器可达98.5％以上的准确率;经对ISP域名服务器监测,系统可准确提取出感染主机和C&C服务器的IP地址.     

基于改进深度卷积生成对抗网络的入侵检测方法研究

针对入侵检测系统因采用的网络攻击样本具有不平衡性而导致检测结果出现较大偏差的问题,文章提出一种将改进后的深度卷积生成对抗网络(DCGAN)与深度神经网络(DNN)相结合的入侵检测模型(DCGAN-DNN),深度卷积生成对抗网络能够通过学习已知攻击样本数据的内在特征分布生成新的攻击样本,并对深度卷积生成对抗网络中生成网络所用的线性整流(ReLU)激活函数作出改进,改善了均值偏移和神经元坏死的问题,提升了训练稳定性。使用CIC-IDS-2017数据集作为实验样本对模型进行评估,与传统的过采样方法相比DCGAN-DNN入侵检测模型对于未知攻击和少数攻击类型具有较高检测率。     

基于域名共现行为的僵尸网络行为追踪

针对局部行为特征信息偏少而使得僵尸网络行为难以全面追踪的问题,提出了一种基于域名共现行为的僵尸网络行为追踪方法.该方法通过域名共现评分算法计算待测域名与已知僵尸域名的域名共现行为来追踪其他僵尸域名,进而发现更多的僵尸主机;为提高域名评分准确性,还提出了过滤基于网络地址转换的主机域名访问、空间区分单个僵尸网络,以及基于观测时长共现行为统计3项改进措施.采集西安交通大学网络域名服务器的域名查询流量作为数据源进行了实验和测试,结果表明:基于改进的域名评分措施不仅将待测域名数量降为原来的1/4,且计算出的前10名域名共现评分更加合理,提高了追踪僵尸主机的准确性.     

一种高效的恶意域名检测框架

由于域名系统缺乏足够的安全机制,常作为黑客发动网络攻击的重要行动基础设施.因此如何快速准确地发现并阻断潜在的恶意域名及对应IP是防范未知网络攻击的重要手段和研究热点.讨论了恶意域名检测领域已有研究成果及其优缺点,提出了一种结合三种域名检测技术的新型恶意域名检测框架MDDF,结合实验结果讨论了该框架具备更好的检测效率及较好的完备性.      

域名纠纷问题研究略述

从域名资源管理的角度，搜集有关域史纠纷研究方面的各种资料，围绕域名、域名与知识产权关系、域名纠纷及其解决等问题进行分析和综合，试图揭示该领域目前的研究状况。     

基于MySQL的高可靠性缓存DNS系统的设计与实现

为提高DNS服务的响应时间,在分析DNS查询日志的基础上,提出了基于My SQL数据库的高可靠性缓存DNS系统,设计了该系统的框架结构,并在bind源代码的基础上使用C语言实现了该系统。通过大量域名对该系统进行压力测试表明,将DNS缓存存储于My SQL数据库相比传统DNS系统,在RTT max、RTT min、RTT average、Ran for、查询命中率和查询请求等方面都具有突出的性能,可大大改善DNS服务的响应时间。     

域名纠纷的法律适用和预防

目前调整域名纠纷的所适用法律主要是商标法、反不正当竞争法或民法中诚实信用原则,这样就不可避免地存在诸多问题,建议修改域名登记制度以预防域名纠纷的产生.     

域名的解析与逆向解析

详细介绍了域名系统DNS的三个组成部分,举例说明了域名的解析和逆向解析的工作流程,并给出一个Windows98环境下加快本机访问Internet 站点速度的实际应用.     

感染病毒机器的控制和处理方法探析

由于病毒给网络的正常运行带来很大的危害,中毒机器应该及时处理.在主要利用域名系统和防火墙的功能的基础上,研究和设计出一种引导用户自己解决病毒问题的思路和方法,一定程度上减轻了网管人员的工作量,从而更加有效地管理校园网.     

高速访问多出口局域网对外资源的方法研究

由于中国电信、中国网通、中国教育科研网等各大ISP的网间数据交换几乎都要经过北京互联网交换中心,因此不同的ISP网络之间始终存在交互瓶颈,很难实现不同网络的用户同时高速访问多出口局域网的对外资源。本文介绍了一些常用的解决方法,包括双域名模式、反向代理以及智能域名结合NAT技术的方式,并重点研究和阐述了第三种方法的实现,利用此方法有效地解决了本校对外资源不能同时被多个ISP网络用户高速访问的问题。     

使用Bind配置域名服务器详解

Bind是互联网上使用最广的域名解析软件,本文以ReadHat9.0操作系统为例分三步详细介绍Bind的配置及使用.