基于域名关联的恶意移动应用检测研究

为实现对恶意移动应用的准确检测以保障移动设备安全,提出一种基于域名关联的恶意移动应用检测方法。以DNS域名为检测分析对象识别网络流量中的恶意域名,利用DNS请求流量的时间特征寻找恶意域名的相关联域名,并将关联域名与文本分类样本库进行比对,确定恶意移动应用名称。实验结果表明,该方法可有效用于移动设备的安全防护,其在公开测试数据集中的检测率达到97.1%,在实际网络的部署运行中共检测出13款恶意移动应用,且误报数量为0。     

基于词法特征的恶意域名快速检测算法

针对互联网中恶意域名攻击事件频发，现有域名检测方法实时性不强的问题，提出一种基于词法特征的恶意域名快速检测算法。该算法根据恶意域名的特点，首先将所有待测域名按照长度进行正则化处理后赋予权值；然后利用聚类算法将待测域名划分成多个小组，并利用改进的堆排序算法按照组内权值总和计算各域名小组优先级，根据优先级降序依次计算各域名小组中每一域名与黑名单上域名之间的编辑距离；最后依据编辑距离值快速判定恶意域名。算法运行结果表明，基于词法特征的恶意域名快速检测算法与单一使用域名语义和单一使用域名词法的恶意域名检测算法相比，准确率分别提高1.7%与2.5%，检测速率分别提高13.9%与6.8%，具有更高的准确率和实时性。     

基于上下文语义的恶意域名语料提取模型研究

针对目前基于白名单过滤技术在海量文本中恶意域名提取的漏报、误报等问题,提出了一种基于上下文语义的恶意域名语料提取模型。该模型分别从恶意域名所在语句的上下文单词、短语进行语义分析,并利用自然语言处理技术自动生成描述恶意域名的语料。通过该模型对公开的APT（Advanced Persistent Threat）分析文档数据提取了大量恶意域名语料数据。利用安全博客文章数据并结合基于随机森林算法的机器分类模型对论文提取的恶意语料的有效性进行了验证。     

基于深度学习的恶意DGA域名检测

针对域名产生算法生成的恶意域名,提出基于动态卷积算法的检测方法.基于现有的深度学习检测模型,在检测模型的向量嵌入阶段采用基于字符嵌入的高级词嵌入方法,能够对生僻词语和训练集中不存在的新词进行有效表示,减小嵌入矩阵的规模,降低存储成本.设计动态卷积算法对恶意域名进行检测,动态调整网络参数,有利于在更大范围内提取深层的特征,压缩数据大小,提高运算的速度,能够更有效识别恶意域名.实现了整体检测模型,通过实验验证了该方案的可行性.     

基于AN和LSTM的恶意域名检测

目前,恶意域名被广泛应用于远控木马、钓鱼欺诈等网络攻击中,传统恶意域名检测方法存在长距离依赖性问题,容易忽略上下文信息并且数据维度过大,无法高效、准确地检测恶意域名。提出了一种自编码网络（Autoencoder Network,AN）降维和长短期记忆神经网络（Long Short-Term Memory network,LSTM）检测恶意域名的深度学习方法。利用实现包含语义的词向量表示,解决了传统方法导致的数据表示稀疏及维度灾难问题。由word2vec构建词向量作为LSTM的输入,利用Attention机制对LSTM输入与输出之间的相关性进行重要度排序,获取文本整体特征,最后将局部特征与整体特征进行特征融合,使用softmax分类器输出分类结果。实验结果表明,该方法在恶意域名检测上具有较好的表现,比传统检测恶意域名方法具有更高的检测率和实时性。     

一种基于被动DNS数据分析的DNS重绑定攻击检测技术

基于域名系统(DNS)的DNS重绑定攻击能够有效绕过同源策略、防火墙,窃取敏感信息,控制内网设备,危害巨大.DNS重绑定需要通过设置恶意域名才能实现.针对DNS重绑定相关恶意域名的检测问题,文章提出一种基于被动DNS数据分析的DNS重绑定攻击检测模型(DNS Rebinding Classifier,DRC).通过引入...     

基于SDN的恶意域名防护系统的研究与实现

基于SDN（软件定义网络）新型网络架构,研究并实现了恶意域名防护系统。分析了恶意域名防护系统的各功能模块及工作流程。使用Mininet虚拟平台搭建系统网络环境,基于Floodlight控制器开发系统的恶意域名防护模块,通过OpenFlow协议抽象底层网络资源,并开放REST API给上层的恶意域名防护管理器应用。设计了三个循序渐进的实验场景以验证系统的有效性。实验结果表明,基于SDN的恶意域名防护系统能有效防范用户访问恶意域名网站。     

恶意域名检测研究与应用综述

目前,网络安全问题层出不穷,特别是近年来以域名为依托的攻击,如勒索软件、垃圾邮件、DDos攻击等,成为网络安全威胁的重要表现形式。以域名攻击技术为主要攻击方式的网络威胁,经历了从传统的机器学习的检测方法到主流的深度学习检测方法的转变。发现神经网络能够很好地自学习恶意域名特征,并能提供更高的检测率。但随着检测技术的不断提高,攻击者提出了更智能的DGA域名来规避神经网络的检测,在后续的基于这些DGA变体的检测成为目前域名检测技术的主要研究方向。随着生成对抗网络在域名检测方面的应用,Anderson等提出利用GAN来生成对抗样本提高检测,为域名的检测发展提出新的发展方向。最后,总结域名检测的发展概况及其存在的问题,并对域名检测的可发展点做出展望。     

域名滥用行为检测技术综述

自2013年ICANN发起新通用顶级域名（new gTLD）的授权以来,域名系统（domain name system,DNS）中已增加了上千个new gTLD. 已有工作表明new gTLD在为域名注册者带来了灵活性的同时,由于注册成本低等原因也经常被用于恶意行为,识别恶意new gTLD域名具有重要的意义. 然而,由于new gTLD域名在域名长度等方面的独有特征,已有恶意域名识别方法应用于new gTLD恶意域名的识别时准确率低. 针对这一问题,首先基于海量域名解析数据,从顶级域名对应二级域名（SLD）数量、查询量、查询失败率、内容复制和承载基础设施共享5个方面刻画了new gTLD域名解析行为. 然后分析恶意域名的解析行为并发现其在内容承载基础设施集中性、SLD对应的完全限定域名（FQDN）数目、域名查询次数、请求用户网络空间分布、SLD长度分布等方面的特征. 最后根据这些特征设计了一种基于随机森林的new gTLD恶意域名检测方法. 实验结果表明,所提方法达到了94%的准确率,优于已有恶意域名检测方法.

     

一种基于域名请求伴随关系的恶意域名检测方法

恶意域名在网络非法攻击活动中承担重要的角色.恶意域名检测能够有效地减少攻击活动所带来的经济损失.提出CoDetector恶意域名检测模型,通过挖掘域名请求之间潜在的时空伴随关系进行恶意域名检测.研究发现域名请求之间存在彼此伴随关系,而并非相互独立.因此,彼此伴随的域名之间存在紧密关联,偏向于同时是正常域名或恶意域名.1)利用域名请求的先后时间顺序对域名数据进行粗粒度的聚类操作,将彼此伴随出现的域名划分到同一簇中;2)采用嵌入学习构建映射函数,在保留域名伴随关系的同时将每一个域名投影成低维空间的特性向量;3)结合有标记的数据,训练恶意域名检测分类器,用于检测更多未知恶意域名.实验结果表明,CoDetector能够有效地检测恶意域名,具有91.64%检测精度和96.04%召回率.     

基于词素特征的轻量级域名检测算法

对网络中DNS交互报文进行检测以发现恶意服务,是网络安全监测的一个重要手段,这种检测往往要求系统能够实时或准实时地发现监测域名中的可疑对象.面对庞大的域名集合,若对所有域名使用同样强度的监测通常开销过大.通过挖掘域名字面蕴含的词素（词根、词缀、拼音及缩写）特征,提出一种轻量级检测算法,能够快速锁定可疑域名,以便后续有针对性地进行DPI检测.实验结果表明：基于词素特征的检测算法比统计n元组频率分布的方法虽然略微增加了58.3%的内存开销,但却具备抗逃避能力以及更高的准确率（相对提高35.2%）;与基于单词特征的方法相比,极大地降低了计算复杂度（相对降低64.8%）,并减少了2.6%的内存开销,而准确率仅下降2.5%.     

基于机器学习分类器的DNS拒绝服务攻击的检测系统

阐述了拒绝服务（DoS）对DNS可能构成的威胁,提出了一种能对不同类型DNS的DoS攻击进行检测和分类的入侵检测系统（IDS）。该系统由统计预处理器和机器学习（ML）引擎组成。利用模拟网络对三种神经网络分类器和支持向量机进行了评估。结果表明,BP神经网络引擎以99%的准确率优于其他类型的分类器。     

基于联邦学习的入侵检测机制研究

大数据时代的到来使得数据成为社会发展的重要战略资源。然而随着网络环境日趋复杂化,隐私泄露和恶意攻击事件层出不穷。联邦学习作为一种新型数据共享模型,能够在保护数据隐私的前提下进行数据共享,有效解决了传统入侵检测模型的弊端。文章首先介绍了联邦学习及入侵检测模型的构成及特点,提出了基于联邦学习的入侵检测机制,并深入分析了该检测机制在检测准确率及效率上有效提升的可行性。通过对模型进行需求分析和设计,并以函数编程进行模拟仿真实验,实现原型系统开发。实验表明联邦学习机制能够在保证参与客户端数据隐私安全的前提下实现多方攻击行为日志的共享。多组控制变量的对照实验表明,基于联邦学习的入侵检测机制在检测准确率及效率上得到明显改善。     

基于双分支特征提取和自适应胶囊网络的DGA域名检测方法

面向域名生成算法(DGA,domain generation algorithm)的域名检测方法普遍具有特征提取能力弱、特征信息压缩比高等特点,这导致特征信息丢失、特征结构破坏以及域名检测效果较差等诸多不足.针对上述问题,提出一种基于双分支特征提取和自适应胶囊网络的DGA域名检测方法.首先,通过样本清洗和字典构建重构原始样本并生成重构样本集.其次,通过双分支特征提取网络处理重构样本,在其中利用切片金字塔网络提取域名局部特征,利用Transformer提取域名全局特征,并利用轻量级注意力融合不同层次的域名特征.然后,利用自适应胶囊网络计算域名特征图的重要度系数,将域名文本特征转换为向量域名特征,并通过特征转移计算基于文本特征的域名分类概率,同时利用多层感知机处理域名统计特征,以此计算基于统计特征的域名分类概率.最后,通过合并得到的两种不同视角的域名分类概率进行域名检测.大量的实验表明,本文所提方法在DGA域名检测以及DGA域名家族检测分类方面均取得了当前领先的检测效果,其中,在DGA域名检测中F1分数提升了0.76%~5.57%,在DGA域名家族检测分类中F1分数(宏平均)提升了1.79%~3.68%.     

一种基于域名错误的DNS重定向协议①

域名系统（DNS）重定向是为互联网服务提供商（ISP）和DNS应用服务提供商（ASP）的用户实现增值服务的有效功能。定义以不同于错误查询域名的按相关性排序的推荐域名列表作为错误描述。提出重定向服务器的两个转交过程,以利于正确及时地找到推荐域名。此外,提出使用延长资源记录的请求处理算法。定义重定向报文结构以在DNS协议内容纳重定向IP地址信息。     

基于域名信息的钓鱼URL探测

提出一种基于域名信息的钓鱼URL探测方法。使用编辑距离寻找与已知正常域名相似的域名,根据域名信息提取域名单词最大匹配特征、域名分割特征和URL分割特征,利用上述特征训练分类器,由此判断其他URL是否为钓鱼URL。在真实数据集上的实验结果表明,该方法钓鱼URL正确检测率达94%。     

域名滥用行为检测技术综述

域名系统(domain name system, DNS)是网络和信息时代互联网基础结构的重要组成部分,同时也被多种严重威胁网络安全的攻击活动滥用,例如僵尸网络命令和控制、垃圾邮件分发以及网络钓鱼.从典型检测场景的角度,全面回顾现有的域名滥用检测技术.首先,介绍域名滥用行为检测的背景知识,并通过调研现有域名滥用检测方案,提出域名滥用检测场景分类体系、总结典型检测特征及方法.其次,分别阐述了恶意软件、网络钓鱼、域名抢注、垃圾邮件,以及不限定滥用行为5种典型检测场景下,域名滥用攻防技术演进的过程.并从技术方案、典型特征、检测算法等多个维度进一步全面梳理域名滥用检测工作,对现有的域名滥用检测方法进行系统概述.最后,讨论域名滥用检测技术面临的挑战和未来研究方向,以期改善域名系统的生态环境.