基于域名的恶意行为检测技术

文章首先对域名恶意行为进行简述;然后从域名恶意行为生成机制、相似性、跳变性和互通性四个维度介绍现有的基于域名的恶意行为安全检测技术;之后从DNS流量检测系统和基于DNS数据挖据技术两个维度介绍现有的检测系统;最后展望了恶意域名检测的发展方向。     

基于群卷积神经网络的恶意域名检验方法

针对恶意域名检测中存在的随机性大、现实样本少的缺陷,导致深度学习模型训练易出现过拟合的问题,提出了一种基于群卷积神经网络的恶意域名检测方法。首先将域名转换为嵌入词向量表示,然后通过随机维度组合生成随机数据集并构建卷积神经网络组,鉴于Inception结构优势将其加入到网络中,最后针对数据集易出现的类间样本失衡问题,引入了类间平衡系数以抑制模型训练过拟合,提高模型泛化能力。实验结果表明,在采集的域名检测数据集上,所构建的模型能够有效实现恶意域名检测;经过参数优化,相比于浅层模型组合分类器与典型深度神经网络模型LSTM-CNN,群卷积神经网络对所构建的域名检测集检测准确率分别提升了4%、1%,达到98.9%。     

基于属性基加密的恶意域名训练异常数据检测

传统的恶意域名训练异常数据检测耗时过长,检测准确率较低,为此提出基于属性基加密的恶意域名训练异常数据检测.分析域名长度、域名访问周期、突发的域名系统请求查询以及域名查询失败记录四大行为,通过提取IP地址、域名的共享地址数目、域名查询返回的终极地址以及对抗网络四个特征,转换攻击的数据信息.设置数据加密器,根据访问权限所涉...     

基于Ngram+Bi-GRU的多家族恶意域名检测

针对现有恶意域名检测方法存在检测精度不高和检测范围局限等问题,提出一种基于Ngram+Bi-GRU的多家族恶意域名检测算法.首先,利用Ngram模型对去除顶级域名的剩余域名级进行分割,获取到包含上下文语义信息的多个域名字符片段序列,并将域名字符片段序列转换成向量;然后,利用双向门控循环型网络(Bi-Directional Gated Recurrent Unit,Bi-GRU)自动学习域名向量的特征;最后,利用Softmax分类器实现合法域名与恶意域名的分类.通过在360Netlab和Malware Domain List等多家族恶意域名集上进行测试,算法运行结果表明,本文模型可对19种家族恶意域名保持检测精度在93％以上,平均检测精度为94.92％,并与当前主流的基于域名字符特征的恶意域名检测算法相比,本文模型在保持检测精度较高的基础上具有更广的检测范围.     

算法生成恶意域名的实时检测

当前对算法生成域名技术的检测,检测所用时间周期过长,无法对算法生成的恶意域名进行快速检测。针对此问题,本文基于新增域名与已分类恶意域名之间的关联关系,提出一种算法生成域名的实时检测方法,并在某省运营商DNS服务器机房部署本系统,实验验证本检测方法。实验表明与已有方法相比,本方法能够快速筛选用于恶意网络行为的算法生成域名。但本方法需要消耗大量的计算资源和内存资源,需要在后续的工作中研究解决。     

DDoS攻击恶意行为知识库构建

针对分布式拒绝服务（distributed denial of service,DDoS）网络攻击知识库研究不足的问题,提出了DDoS攻击恶意行为知识库的构建方法。该知识库基于知识图谱构建,包含恶意流量检测库和网络安全知识库两部分：恶意流量检测库对 DDoS 攻击引发的恶意流量进行检测并分类;网络安全知识库从流量特征和攻击框架对DDoS 攻击恶意行为建模,并对恶意行为进行推理、溯源和反馈。在此基础上基于DDoS 开放威胁信号（DDoS open threat signaling,DOTS）协议搭建分布式知识库,实现分布式节点间的数据传输、DDoS攻击防御与恶意流量缓解功能。实验结果表明,DDoS攻击恶意行为知识库能在多个网关处有效检测和缓解DDoS攻击引发的恶意流量,并具备分布式知识库间的知识更新和推理功能,表现出良好的可扩展性。     

基于CNN与LSTM相结合的恶意域名检测模型

为提高恶意域名检测准确率,该文提出一种基于卷积神经网络(CNN)与长短期记忆网络(LSTM)相结合的域名检测模型。该模型通过提取域名字符串中不同长度字符组合的序列特征进行恶意域名检测:首先,为避免N-Gram特征稀疏分布的问题,采用CNN提取域名字符串中字符组合特征并转化为维度固定的稠密向量;其次,为充分挖掘域名字符串上下文信息,采用LSTM提取字符组合前后关联的深层次序列特征,同时引入注意力机制为填充字符所处位置的输出特征分配较小权重,降低填充字符对特征提取的干扰,增强对长距离序列特征的提取能力;最后,将CNN提取局部特征与LSTM提取序列特征的优势相结合,获得不同长度字符组合的序列特征进行域名检测。实验表明:该模型较单一采用CNN或LSTM的模型具有更高的召回率和F1分数,尤其对matsnu和suppobox两类恶意域名的检测准确率较单一采用LSTM的模型提高了24.8%和3.77%。     

基于CNN与LSTM相结合的恶意域名检测模型

为提高恶意域名检测准确率,该文提出一种基于卷积神经网络(CNN)与长短期记忆网络(LSTM)相结合的域名检测模型.该模型通过提取域名字符串中不同长度字符组合的序列特征进行恶意域名检测:首先,为避免N-Gram特征稀疏分布的问题,采用CNN提取域名字符串中字符组合特征并转化为维度固定的稠密向量;其次,为充分挖掘域名字符串上下文信息,采用LSTM提取字符组合前后关联的深层次序列特征,同时引入注意力机制为填充字符所处位置的输出特征分配较小权重,降低填充字符对特征提取的干扰,增强对长距离序列特征的提取能力;最后,将CNN提取局部特征与LSTM提取序列特征的优势相结合,获得不同长度字符组合的序列特征进行域名检测.实验表明:该模型较单一采用CNN或LSTM的模型具有更高的召回率和F1分数,尤其对matsnu和suppobox两类恶意域名的检测准确率较单一采用LSTM的模型提高了24.8％和3.77％.     

IP威胁情报收集系统的设计与实现

随着互联网技术的发展,网络攻击日益频繁。IP情报作为威胁情报的基础构成,对其的收集很有必要。目前,网络上的IP情报相对分散,不便于分析人员查询、分析。文章提出的程序设计方案主要通过两个途径收集IP情报数据,使用网络爬虫,定期收集和更新网络上的开源威胁情报数据;通过定时检测,更新IP情报数据。然后通过规则筛选,清洗无用数据,存入数据库。该文提出的程序设计基于Django框架和ElasticSearch数据库开发,可以用来查询黑名单,包括恶意IP、恶意域名、恶意链接,以及域名的注册、历史解析记录等信息。同时,并与数据库中存在的APT攻击信息进行关联,将查询结果进行可视化。程序测试表明,该程序能够不断搜集和更新不同来源的IP情报数据,实现IP查询结果进行可视化显示。     

PLC控制系统入侵检测技术研究

由于PLC控制系统有别于传统的计算机网络系统,传统的病毒检测、网络入侵检测技术无法有效检测PLC控制系统攻击。设计一种非介入式的PLC控制系统入侵检测方法,采用以太网数据监听与现场控制网数据监听技术相结合的方法,通过PLC控制系统输入输出业务信息一致性检测,实现PLC恶意代码篡改数据攻击检测,通过业务规则检测实现违反业务约束的恶意控制指令检测。完成了PLC控制系统入侵检测系统开发,测试表明系统可以有效检测PLC系统的恶意代码攻击和恶意控制指令攻击。     

Detecting malicious domain names based on AGD

A new malicious domain name detection algorithm was proposed.More specifically,the domain names in a cluster belonging to a DGA (domain generation algorithm) or its variants was identified firstly by using cluster correlation.Then,these AGD (algorithmically generated domain) names’ TTL,the distribution and attribution of their resolved IP addresses,their whois features and their historical information were extracted and further applied SVM algorithm to identify the malicious domain names.Experimental results demonstrate that it achieves an accuracy rate of 98.4% and the false positive of 0.9% without any client query records.     

基于DNS日志的高级持续性威胁智能监测方法及应用

近年来,复杂环境下的高级持续性威胁(APT)防御逐渐成为网络安全关注的重点。APT攻击隐蔽性强,早期发现则危害性较小。文中提出的方法基于DNS日志深度挖掘,通过DGA域名智能检测,APT隧道智能检测等功能维度入手,从DNS日志角度提出APT防御的新思路,实现检测,监控,溯源等一体化功能。论文提出了基于Transformer神经网络和GRU融合算法检测恶意DGA域名和采用统计机器学习算法检测APT攻击通讯的DNS隧道,将早期网络安全防护预警扩展到DNS层面,弥补了网络安全措施对算法生成域名关注度的不足和DNS易被APT潜伏利用的漏洞。通过在实验环境中的深度测试,结果表明论文方法能够较好的应对日益严峻的互联网APT安全威胁。     

DNS攻击检测与安全防护研究综述

随着传统互联网逐渐向“互联网+”演变，域名系统（domain name system，DNS）从基础的地址解析向全面感知、可靠传输等新模式不断扩展。新场景下的DNS由于功能的多样性和覆盖领域的广泛性，一旦受到攻击会造成严重的后果，因此DNS攻击检测与安全防护方面的研究持续进行并越来越受到重视。首先介绍了几种常见的DNS攻击，包括DNS欺骗攻击、DNS隐蔽信道攻击、DNS DDoS（distributed denial of service）攻击、DNS 反射放大攻击、恶意 DGA 域名；然后，从机器学习的角度出发对这些攻击的检测技术进行了系统性的分析和总结；接着，从DNS去中心化、DNS加密认证、DNS解析限制3个方面详细介绍了DNS的安全防护技术；最后，对未来的研究方向进行了展望。     

高效的基于段模式的恶意URL检测方法

提出一种高效的基于段模式的检测恶意URL的方法,该方法首先解析已标注的恶意URL中的域名、路径名和文件名3个语义段,然后通过建立以三元组为词项的倒排索引快速计算恶意URL每个语义段的模式,最后基于倒排索引查找到的段模式来判定给定的URL是否是恶意URL。不仅如此,该方法还支持基于Jaccard的随机域名识别技术来判定包含随机域名的恶意URL。实验结果表明,与当前先进的基准方法相比,该方法具有较好的性能和可扩展性。     

Automated anatomical labeling of the bronchial branch and its application to the virtual bronchoscopy system

This paper describes a method for the automated anatomical labeling of the bronchial branch extracted from a three-dimensional (3-D) chest X-ray CT image and its application to a virtual bronchoscopy system (VBS). Automated anatomical labeling is necessary for implementing an advanced computer-aided diagnosis system of 3-D medical images. This method performs the anatomical labeling of the bronchial branch using the knowledge base of the bronchial branch name. The knowledge base holds information on the bronchial branch as a set of rules for its anatomical labeling. A bronchus region is automatically extracted from a given 3-D CT image. A tree structure representing the essential structure of the extracted bronchus is recognized from the bronchus region. Anatomical labeling is performed by comparing this tree structure of the bronchus with the knowledge base. As an application, we implemented the function to automatically present the anatomical names of the branches that are shown in the currently rendered image in real time on the VBS. The result showed that the method could segment about 57% of the branches from CT images and extracted a tree structure of about 91% in branches in the segmented bronchus. The anatomical labeling method could assign the correct branch name to about 93% of the branches in the extracted tree structure. Anatomical names were appropriately displayed in the endoscopic view.     

一种高效的面向虚拟桌面恶意代码检测机制简

 与传统的恶意代码检测方式相比,面向虚拟桌面的恶意代码检测方法面临着性能方面的挑战,同一物理服务器上多个虚拟桌面同时开展恶意代码检测使得磁盘等硬件成为严重的IO性能瓶颈.本文提出了一种高效的虚拟桌面恶意代码检测方案,基于母本克隆技术的虚拟桌面恶意代码检测机制（MCIDS）,MCIDS根据虚拟桌面系统的特点,通过系统映像网络存储克隆技术以及部署在网络存储系统中的恶意代码引擎减少虚拟桌面系统中的恶意代码检测范围,有效减少恶意代码检测所需的磁盘IO开销;同时MCIDS还克服了传统“Out-of-the-Box”安全检测机制存在的语义差别问题,改善了系统的安全性能.在原型系统上的实验显示该方法在技术上是可行的,与现有方法相比MCIDS具有较好的性能优势.