面向主干网的DNS流量监测

面对ISP主干网,为了检测威胁其管理域内用户安全的僵尸网络、钓鱼网站以及垃圾邮件等恶意活动.本文实时监测流经主干网边界的DNS交互报文,并从域名的“依赖性”和“使用位置”两个方面刻画DNS活动行为模式,而后基于有监督的多分类器模型,提出一个面向ISP主干网的上层DNS活动监测算法DAOS（BinaryClassifier For DNS Activity Observation System）.其中“依赖性”从用户角度观察域名的外在使用情况,而“使用位置”则关注区域文件中记录的域名内部资源配置.实验结果表明,该算法在不依赖先验知识的前提下,经过两小时的DNS活动观测,可以达到90.5%的检测准确率,以及2.9%的假阳性和6.6%的假阴性.若持续观察一周,准确率可以上升到93.9%,假阳性和假阴性也可以下降到1.3%和4.8%.     

基于可编程协议无关报文处理的分布式拒绝服务攻击检测

传统软件定义网络（SDN）中的分布式拒绝服务（DDoS）攻击检测方法需要控制平面与数据平面进行频繁通信,这会导致显著的开销和延迟,而目前可编程数据平面由于语法无法实现复杂检测算法,难以保证较高检测效率。针对上述问题,提出了一种基于可编程协议无关报文处理（P4）可编程数据平面的DDoS攻击检测方法。首先,利用基于P4改进的信息熵进行初检,判断是否有可疑流量发生;然后再利用P4提取特征只需微秒级时长的优势,提取可疑流量的六元组特征导入数据标准化—深度神经网络（data standardization-deep neural network,DS-DNN）复检模块,判断其是否为DDoS攻击流量;最后,模拟真实环境对该方法的各项评估指标进行测试。实验结果表明,该方法能够较好地检测SDN环境下的DDoS攻击,在保证较高检测率与准确率的同时,有效降低了误报率,并将检测时长缩短至毫秒级别。     

基于词法特征的恶意域名快速检测算法

针对互联网中恶意域名攻击事件频发，现有域名检测方法实时性不强的问题，提出一种基于词法特征的恶意域名快速检测算法。该算法根据恶意域名的特点，首先将所有待测域名按照长度进行正则化处理后赋予权值；然后利用聚类算法将待测域名划分成多个小组，并利用改进的堆排序算法按照组内权值总和计算各域名小组优先级，根据优先级降序依次计算各域名小组中每一域名与黑名单上域名之间的编辑距离；最后依据编辑距离值快速判定恶意域名。算法运行结果表明，基于词法特征的恶意域名快速检测算法与单一使用域名语义和单一使用域名词法的恶意域名检测算法相比，准确率分别提高1.7%与2.5%，检测速率分别提高13.9%与6.8%，具有更高的准确率和实时性。     

基于可分离卷积的轻量级恶意域名检测模型

考虑到基于深度学习的恶意域名检测方法计算开销大,难以有效应用于真实网络场景域名检测实际,设计了一种基于可分离卷积的轻量级恶意域名检测算法。该模型使用可分离卷积结构,能够对卷积过程中的每一个输入通道进行深度卷积,然后对所有输出通道进行逐点卷积,在不减少卷积特征提取效果的情况下,有效减少卷积过程的参数量,实现更加快速的卷积过程并不降低模型的准确性。同时,为了减轻模型训练过程中正负样本数量不平衡与样本难易程度不平衡的情况对模型分类准确率的影响,引入了一种聚焦损失函数。所提算法在公开数据集上与 3 种典型的基于深度神经网络的检测模型进行对比,实验结果表明,算法能够达到与目前最优模型接近的检测准确率,同时能够显著提升在CPU上的模型推理速度。     

基于权威域名服务器的停靠域名识别机制

由于互联网中充斥着大量的停靠域名,给用户上网体验、上网环境带来严重影响,为识别停靠域名,提出一种基于权威域名服务器（DNS）的停靠域名检测方法。该方法从常用于域名停靠服务的错拼域名入手,提取出可能用于停靠服务的权威DNS集合,并通过半监督聚类方法对该集合进行分析,识别出用于停靠服务的权威DNS。在检测停靠域名时,通过判断域名的权威DNS是否用于停靠服务,并且该域名解析的IP地址是否属于停靠服务Web服务器的IP地址集合,来对停靠域名进行识别。借助现有基于页面特征的检测方法对所提方法进行分析,实验结果表明所提方法的准确率达92.8%以上,并且避免了页面信息的爬取,能够实时地检测域名是否为停靠域名。     

改进Relief-C5.0的恶意域名检测算法

针对目前恶意域名检测算法中分类模型计算复杂度较大、实时性不强以及准确率不高等问题,提出了Rf-C5（Relief-C5.0）恶意域名检测算法模型。提取待测域名的全局URL特征,根据提取的特征按照改进的Relief算法进行权重计算,并依据权重值进行优先级排序;选取权重值排名前20的关键特征作为C5.0分类器的输入端,进行合法域名与恶意域名的分类。实验结果表明,在大样本数据集下,Rf-C5模型与当前主流恶意域名检测算法相比,在提高平均检测速率的基础上,检测准确率提高了1.58~4.91个百分点。     

新的基于融合向量的DGA域名检测方法

由于词典类DGA域名的字符分布随机性低,单词组合随机性高,基于传统机器学习的恶意域名检测方法难以识别,虽然利用LSTM等深度学习的检测方法能捕捉域名字符序列特征,但缺乏局部词根组合特征,检测准确率低。针对以上问题,提出一种基于融合嵌入层的DGA域名检测方法。在域名词嵌入阶段,基于分词技术,进行字符和词根的融合嵌入向量表示,结合一维卷积神经网络（CNN）和双向门控循环单元（BiGRU）,构建混合的深度学习模型,实现DGA域名检测。实验表明,该方法与单一采用CNN或LSTM模型相比,在域名二分类任务中的准确率分别提高3.1%和4.3%,针对词典类DGA家族matsnu、suppobox、ngioweb的检测具有更高的精确率。     

基于URL语言特征的钓鱼网站检测算法

为了应对钓鱼网站的检测逃避策略,提出一种基于URL语言特征的钓鱼网站检测算法。通过分析钓鱼网站和合法网站的URL在不同检测域上的差异,定义基元和敏感度来描述其语言特征。先根据基元对主级域名进行相似性检测,当相似性低于预先设定的阈值时,选取有效的子域名特征,利用随机森林算法对子域名的语言特征进行学习和检测。实验结果表明,该算法的准确率达95.6%,系统运行时间相对较小,平均识别时间小于1 s。     

基于多BP神经网络的内存组合特征分类方法

针对内存数据在攻击行为发生后会发生改变,而传统完整性度量系统使用的基准值度量存在检测率低、灵活性不足等问题的现象,提出一种基于多反向传播（BP）神经网络的内存组合特征分类方法。首先,将内存数据通过度量对象提取算法（MOEA）提取特征值;然后,分别使用不同的BP神经网络进行模型训练;最后,再通过一个BP神经网络对所得数据进行汇总,并得出操作系统安全状况评分。实验结果表明该方法与传统的使用基准值度量的完整性度量方法相比,检测准确率与普适性有较大提升;所提方法的检测准确率为98.25%,大于卷积神经网络（CNN）、K最邻近（KNN）算法与单BP神经网络,表明该方法能更加准确地发现攻击行为;所提方法的模型训练时间约为传统单BP神经网络的1/3,并且模型训练速度相较同类模型也有一定提升。     

基于DSP的单车道车流量实时监测算法

针对传统的车流量检测系统采用感应器设备硬件安装繁杂及通用车流量检测算法无法判别车辆行驶方向的问题,提出一种基于数字信号处理器（DSP）的单车道车流量实时监测算法,并应用于停车场。首先,在虚拟检测带上使用背景差分法完成车辆检测,并对均值法背景建模进行改进;其次,提出一种邻帧二值归类算法对车辆行驶方向进行判别;最后,在虚拟检测带上进行车流量计数并将车位情况实时显示于LED显示屏上。通过模拟实验验证了所提算法的可行性,并在实际测试实验中,得到邻帧二值归类算法方向判别的准确率为96.5%,车位监控算法准确率为92.2%。实验结果表明,该单车道车流量实时监测算法准确率较高,节省了检测系统设备,可以应用于单车道停车场进行车流量实时监测。     

基于视觉特征的仿冒域名轻量级检测技术

近年来,僵尸网络、域名挟持、钓鱼网站等仿冒域名攻击越发频繁,严重威胁着社会和个人的安全,因此仿冒域名检测已经成为网络防护的重要组成部分。当前的仿冒域名检测主要面向公共域名,检测方法以编辑距离为主,难以充分体现域名的视觉特征;此外利用域名相关信息进行判定虽然有助于提高检测效率,却会引入较大的额外开销。为此,考虑采用仅基于域名字符串的轻量级检测策略,并综合考虑字符位置、字符相似度和操作类型对域名视觉的影响,提出基于视觉特征的编辑距离算法。该算法根据仿冒域名的特点,先对域名进行预处理,然后按照字符位置、字符相似度及操作类型对字符赋予不同的权重,最后通过计算编辑距离值进行仿冒域名判定。实验结果表明,基于视觉特征的仿冒域名轻量级检测方法与基于编辑距离的判定方法相比,在阈值取1和2时,F1值分别提高了5.98%和13.56%,验证了该方法具有良好的检测效果。     

基于多元属性特征的恶意域名检测

域名系统主要提供域名解析功能,完成域名到IP的转换,而恶意域名检测主要用来发现以域名系统为屏障的非法行为,来保障域名服务器的正常运行。总结了恶意域名检测的相关工作,并采用基于机器学习的方法,提出一种基于多元属性特征的恶意域名检测方法。在域名词法特征方面,提取更加细粒度的特征,比如数字字母的转换频率、连续字母的最大长度等;在网络属性特征方面,更加关注名称服务器,比如其个数、分散度等。实验结果表明,该方法的准确率、召回率、F1值均达到了99.8%,具有较好的检测效果。     

基于机器学习的僵尸网络DGA域名检测系统设计与实现

僵尸网络广泛采用域名生成算法（Domain Generation Algorithm,DGA）生成大量的随机域名来躲避检测。针对僵尸网络DGA域名问题,本文设计实现了一种DGA域名检测系统。首先使用基于随机森林算法的轻量级分类分析检测模块,通过分析域名字符特征区分正常域名与疑似恶意域名,满足现网实际应用中快速检测的要求;然后使用基于X-means算法的聚类分析检测模块,在分类分析检测的基础上,根据DGA域名的字符相似性和查询行为相似性,通过聚类和集合分析方法对疑似恶意域名进一步检测,降低系统误检率。通过部署基于Spark的检测系统对某运营商现网真实DNS日志数据进行连续20天的处理和分析,检测系统平均每天挖掘出约250万DGA域名,经过正则匹配分析,其中约55%属于5类已知的DGA;在前两个实验日,共发现13,000个已知DGA域名分属于3个DGA类别。实验结果表明检测系统可有效检测出多种DGA域名,此外,检测系统也可满足现网实际应用中快速检测的要求。     

基于Transformer的DGA域名检测方法

已有DGA检测方法已经获得了较高的检测精度,但在缩略域名上存在误报率高的问题。主要原因是缩略域名字符间随机性高,现有检测方法从随机性角度很难有效地区分缩略域名和DGA域名。在分析了缩略域名的字符特性后,基于自注意力机制实现了域名字符依赖性的检测;并采用LSTM改进了Transformer模型的编码方式,以更好地捕获域名中字符位置信息;基于Transformer模型构建了DGA域名检测方法(MHA)。实验结果表明,MHA可以有效地区分出DGA域名和缩略域名,得到了更高的精确率和更低的误报率。     

基于GRU型循环神经网络的随机域名检测

随机域名是指由随机域名算法生成的域名,被针对计算机网络系统的恶意软件广泛使用,随机域名的检测任务是域名系统过滤攻击流量的基础性工作.传统方法对随机域名的检测效果不理想,精确率与召回率较低,导致过滤攻击流量时会出现较多的误判.本文提出和实现了一种基于GRU型循环神经网络的随机域名检测模型,该模型首先将域名转换成向量,然后借助GRU自动学习域名向量的特征,最后通过神经网络计算分类.相比于传统方法,该模型不再需要人工提取特征的过程,减少了特征提取的时间.且经过算法生成数据与真实场景数据的实验验证,该方法在随机域名检测任务中相比传统模型表现更加出色.     

轻量化目标检测算法研究及应用

基于卷积神经网络的目标检测算法在追求较高精度的同时,忽略了检测速度,使得算法难以在有限算力的情况下实现实时检测。在YOLO目标检测算法的基础上,采用一系列轻量化的方法,运用Mobilenetv1网络替换Darknet53基础网络,将YOLO head部分3×3标准卷积替换为深度可分离卷积,根据灵敏度对卷积层滤波器进行排序和修剪,并在嵌入式GPU TX2平台上进行C++推理部署。在VOC数据集上的测试结果表明,改进算法在精度仅下降0.75个百分点的前提下实现了2.4倍加速,模型占用内存仅为原来的21.5%。     

基于文本和DNS查询的非常规域名检测研究

在钓鱼网站、远控木马等网络攻击中常使用大量的非常规域名。面对海量域名,已有非常规域名检测方法准确性有待提高。基于对使用非常规域名的网络攻击特征,以及对已有非常规域名检测方法的研究,提出了域名伪装特征,分隔特征域名标签被数字分割的最大单元数,DNS查询特征:单次DNS查询返回的IP个数和DNS查询返回IP集合的平均杰卡德距离;改进了发音特征域名元音字母占比。此外,提出一种基于文本特征和DNS查询特征的非常规域名检测方法,其中选取了新定义的特征,以及若干其他域名基本特征、发音特征和分隔特征,并基于机器学习方法区分常规域名和非常规域名。实验结果表明,提出的非常规域名检测方法与部分已有方法相比准确率有较大提高,可用于检测使用了非常规域名的恶意网络攻击。