共查询到19条相似文献,搜索用时 203 毫秒
1.
2.
基于词素特征的轻量级域名检测算法 总被引:1,自引:0,他引:1
对网络中DNS交互报文进行检测以发现恶意服务,是网络安全监测的一个重要手段,这种检测往往要求系统能够实时或准实时地发现监测域名中的可疑对象.面对庞大的域名集合,若对所有域名使用同样强度的监测通常开销过大.通过挖掘域名字面蕴含的词素(词根、词缀、拼音及缩写)特征,提出一种轻量级检测算法,能够快速锁定可疑域名,以便后续有针对性地进行DPI检测.实验结果表明:基于词素特征的检测算法比统计n元组频率分布的方法虽然略微增加了58.3%的内存开销,但却具备抗逃避能力以及更高的准确率(相对提高35.2%);与基于单词特征的方法相比,极大地降低了计算复杂度(相对降低64.8%),并减少了2.6%的内存开销,而准确率仅下降2.5%. 相似文献
3.
基于域名系统(DNS)的DNS重绑定攻击能够有效绕过同源策略、防火墙,窃取敏感信息,控制内网设备,危害巨大。DNS重绑定需要通过设置恶意域名才能实现。针对DNS重绑定相关恶意域名的检测问题,文章提出一种基于被动DNS数据分析的DNS重绑定攻击检测模型(DNS Rebinding Classifier,DRC)。通过引入被动DNS数据,从域名名称、时间、异常通信及恶意行为等4个测度集刻画DNS重绑定相关域名;基于C4.5决策树、KNN、SVM及朴素贝叶斯等分类方法对数据进行混合分类、组合训练及加权求值。交叉验证实验表明,DRC模型对相关恶意域名的识别能够达到95%以上的精确率;与恶意域名检测工具FluxBuster进行对比,DRC模型能够更准确地识别相关恶意域名。 相似文献
4.
5.
本文研究基于DNS日志分析的网络异常监测系统,通过对校园网DNS日志进行分析,能够得出用户进行域名访问的规律,提取用户行为特征,掌握网络运行状况,并通过定义DNS访问次数偏移度,即时发现并定位网络异常。 相似文献
6.
从DNS着手解决用户访问多服务器时的选择策略问题.如果一个域名拥有属于不同ISP的多个IP地址,在解析域名时,采用IP地址定向解析,根据客户端本身的IP地址类型优先提供同一个ISP网络的服务器IP地址,客户端访问服务器资源时就避免了跨越不同的ISP网络,从而加快访问速度,提高性能. 相似文献
7.
8.
在钓鱼网站、远控木马等网络攻击中常使用大量的非常规域名。面对海量域名,已有非常规域名检测方法准确性有待提高。基于对使用非常规域名的网络攻击特征,以及对已有非常规域名检测方法的研究,提出了域名伪装特征,分隔特征域名标签被数字分割的最大单元数,DNS查询特征:单次DNS查询返回的IP个数和DNS查询返回IP集合的平均杰卡德距离;改进了发音特征域名元音字母占比。此外,提出一种基于文本特征和DNS查询特征的非常规域名检测方法,其中选取了新定义的特征,以及若干其他域名基本特征、发音特征和分隔特征,并基于机器学习方法区分常规域名和非常规域名。实验结果表明,提出的非常规域名检测方法与部分已有方法相比准确率有较大提高,可用于检测使用了非常规域名的恶意网络攻击。 相似文献
9.
电力监控系统是电力行业最重要的生产管理系统. 作为电力监控系统的重要组成部分, 缺少电网约束力的用户站将会成为网络攻击的重要目标. 为及时感知用户站侧网络攻击事件, 提出了一种结合用户站侧随机域名实时检测和主动防御的方法. 使用胶囊网络(CapsNet)结合长短期记忆网络(LSTM)对流量数据中提取的域名进行二分类, 当检测到随机域名时, 通过远程终端协议(Telnet)对路由器和交换机下发指令更新其安全策略或关闭路由器和交换机的业务接口以阻断网络攻击. 实验结果表明, 使用CapsNet结合LSTM分类算法在随机域名检测中准确率达到99.16%, 召回率达到98%, 通过Telnet协议可以联动路由器和交换机在不中断业务的情况下做出主动防御. 相似文献
10.
结合校园网域名服务体系的现状,通过对微软目录服务项目的研究,把以目录服务项目DNS服务为基础的DNS体系推广到校园网,在局域网中建立一套统一的域名解析体系。将DNS变成一个活动资源的动态维护数据库,以实现DNS的集中整合,实现全校域名解析整合,方便管理。 相似文献
11.
域名资源记录被篡改的问题严重危害域名应用。由于该问题具有较强的隐蔽性,亟需一种快速且有效的发现域名危险变化的方法。为此,提出一种基于机器学习算法的域名数据监控方法。在一定数量的域名中选取出资源记录发生变化的域名,通过分析其相关信息生成一个由域名字面特征、正反匹配度等属性组成的元组。以变化是否危险为依据进行类标签人工标记,每个元组和其类标签组成训练集中的一个实例。由分析训练集决策树算法和支持向量机算法建立检测域名系统数据危险变化的分类器。通过十折交叉法验证2个分类器,发现其在域名危险变化判断上具有较强的能力,正确率的加权均值分别达到73.8%和82.4%。 相似文献
12.
13.
利用网络隧道进行攻击、窃密等成为近年来网络安全领域的热点问题。如何提高大规模网络隧道检测分析时带来的识别精度低的问题亟需解决。针对基于DNS、HTTP协议的主流隧道检测问题,提出一种基于自动特征工程与压缩感知相结合的网络隧道检测方法。通过自动特征工程挖掘出更深层次的网络隧道特征,同时通过压缩感知算法在不损失高维特征精度的基础上实现降维,提高计算效率。在大规模真实数据集上实验结果表明,DNS隧道检测的F-measure值能达到95%,HTTP隧道检测的F-measure值能达到82%以上。 相似文献
14.
设计了DNS解析统计向量和检测特征向量,提出了一种基于命名及解析行为特征的异常域名检测方法,通过应用真实DNS解析数据的实验验证了该方法的有效性和可行性。实验表明,该方法较现有方法能够发现更多的异常域名,且具有较低的误报率。该方法是对现有方法检测能力的补充和提高,为僵尸网络等安全事件的检测与控制提供有效的信息支持和技术手段。 相似文献
15.
16.
Direct numerical simulation (DNS) offers useful information about the understanding and modeling of turbulent flow. However, few DNSs of wall-bounded compressible turbulent flows have been performed. The objective of this paper is to construct a DNS algorithm which can simulate the compressible turbulent flow between the adiabatic and isothermal walls accurately and efficiently. Since this flow is the simplest turbulent flow with adiabatic and isothermal walls, it is ideal for the modeling of compressible turbulent flow near the adiabatic and isothermal walls. The present DNS algorithm for wall-bounded compressible turbulent flow is based on the B-spline collocation method in the wall-normal direction. In addition, the skew-symmetric form for convection term is used in the DNS algorithm to maintain numerical stability. The validity of the DNS algorithm is confirmed by comparing our results with those of an existing DNS of the compressible turbulent flow between isothermal walls [J. Fluid Mech. 305 (1995) 159]. The applicability and usefulness of the DNS algorithm are demonstrated by the stable computation of the DNS of compressible turbulent flow between adiabatic and isothermal walls. 相似文献
17.
18.
Aiming at improving the firmware performance of NAND flash based solid-state drives, this paper proposes a hot data identification algorithm by fusing bloom filter and temporal locality, briefly as B2L, whose main contribution of B2L is to use cascade structure to make it have both advantages. Specifically. Firstly, the bloom filter is used to filter the real cold data, so that the probability of the remaining data being hot data becomes higher. Secondly, a temporal locality based two-level least recently used (T-LRU) lists is used to identify the true hot data. That is to say, the data hit in the hot list of T-LRU are identified as the true hot data. B2L can avoid the high false positive ratio problem of the bloom filter and effectively reduce the false positive ratio of T-LRU and the false negative ratio caused by false positives. Hence, B2L can improve the accuracy of hot data identification. The experimental result shows that in the case of using the direct address method as the baseline, compared with the state-of-the- art identification algorithms, B2L improves the accuracy of hot data identification by 60.4% on average. 相似文献
19.
提出一种基于DNS查询行为的检测方法。根据Bot的自动运行特性,从DNS查询的角度对主机中的进程进行初步过滤,缩小检测范围;分析Bot与其他进程的DNS反应行为模式的异同,构建Bot-DNS检测模型,在此基础上判断可疑进程是否为Bot。实验结果表明,该方法能够检测出处于生命周期早期阶段的Bot,且检测过程与Bot采用的协议结构无关,具有较好的检测效果。 相似文献