基于组行为特征的恶意域名检测

目前,僵尸网络广泛采用域名变换技术,以避免域名黑名单的封堵,为此提出一种基于组行为特征的恶意域名检测方法。该方法对每个检测周期内网络中主机请求的新域名集合、失效域名集合进行聚类分析,并将请求同一组新域名的主机集合作为检测对象,通过分析集合内主机在请求失效域名、新域名行为上是否具有组特性,提取出网络中的感染主机集合、C&C服务器使用的IP地址集合。对一ISP域名服务器监测的结果表明,该方法可准确提取出感染主机、C&C服务器IP地址。     

基于词素特征的轻量级域名检测算法

对网络中DNS交互报文进行检测以发现恶意服务,是网络安全监测的一个重要手段,这种检测往往要求系统能够实时或准实时地发现监测域名中的可疑对象.面对庞大的域名集合,若对所有域名使用同样强度的监测通常开销过大.通过挖掘域名字面蕴含的词素（词根、词缀、拼音及缩写）特征,提出一种轻量级检测算法,能够快速锁定可疑域名,以便后续有针对性地进行DPI检测.实验结果表明：基于词素特征的检测算法比统计n元组频率分布的方法虽然略微增加了58.3%的内存开销,但却具备抗逃避能力以及更高的准确率（相对提高35.2%）;与基于单词特征的方法相比,极大地降低了计算复杂度（相对降低64.8%）,并减少了2.6%的内存开销,而准确率仅下降2.5%.     

基于模式挖掘的用户行为异常检测

行为模式通常反映了用户的身份和习惯，该文阐述了针对Telnet会话中用户执行的shell命令，利用数据挖掘中的关联分析和序列挖掘技术对用户行为进行模式挖掘的方法，分析了传统的相关函数法在应用于序列模式比较时的不足，提出了基于递归式相关函数的模式比较算法，根据用户历史行为模式和当前行模式的比较相似度来检测用户行为中的异常，最后给出了相应的实验结果。     

域名滥用行为检测技术综述

自2013年ICANN发起新通用顶级域名（new gTLD）的授权以来,域名系统（domain name system,DNS）中已增加了上千个new gTLD. 已有工作表明new gTLD在为域名注册者带来了灵活性的同时,由于注册成本低等原因也经常被用于恶意行为,识别恶意new gTLD域名具有重要的意义. 然而,由于new gTLD域名在域名长度等方面的独有特征,已有恶意域名识别方法应用于new gTLD恶意域名的识别时准确率低. 针对这一问题,首先基于海量域名解析数据,从顶级域名对应二级域名（SLD）数量、查询量、查询失败率、内容复制和承载基础设施共享5个方面刻画了new gTLD域名解析行为. 然后分析恶意域名的解析行为并发现其在内容承载基础设施集中性、SLD对应的完全限定域名（FQDN）数目、域名查询次数、请求用户网络空间分布、SLD长度分布等方面的特征. 最后根据这些特征设计了一种基于随机森林的new gTLD恶意域名检测方法. 实验结果表明,所提方法达到了94%的准确率,优于已有恶意域名检测方法.

     

基于kNN算法的异常行为检测方法研究

阐述了异常行为检测的相关概念,介绍了kNN算法,探讨了异常行为检测与分类技术的关系。结合kNN算法的优点以及异常行为检测与分类的相似性,提出了基于kNN算法的异常行为检测方法,给出了其计算方法,并确定了检测的过程,分析了该方法的特点和优势。基于kNN算法的异常行为检测方法通过不断的自学习,会成为信息安全的一道有效防线。     

基于行为模型的工控异常检测方法研究

目前,工业控制系统(Industrial Control Systems,ICS)网络安全已经成为信息安全领域的重点问题,而检测篡改行为数据及控制程序等攻击是ICS网络安全的难点问题,据此提出了基于行为模型的工控异常检测方法。该方法从工控网络流量中提取行为数据序列,根据ICS的控制和被控过程构建正常行为模型,通过比较分析实时提取的行为数据与模型预测的行为数据,判断是否出现异常。通过实验分析,验证了所提方法能有效实现对篡改行为数据及控制程序等攻击的异常检测。     

基于机器视觉的行人异常行为检测方法

常规的行人异常行为检测方法使用编码-解码器进行记忆寻址,易受到记忆大小和稀疏度的影响,导致帧级AUC偏低,因此基于机器视觉设计一种全新的行人异常行为检测方法。结合检测图像的初始状态处理噪声、增加平滑度,提高行人异常行为检测性能,再利用机器视觉技术量化动态参数,输出异常行为轨迹特征,实现行人异常行为检测。实验结果表明,在不同场景下,本文设计方法的检测帧级AUC始终较高,获取的检测结果较清晰,说明本文设计方法具有一定的应用价值。     

基于条件随机场的异常协议行为检测方法*

针对现有异常应用协议行为检测主要针对某种特定应用,缺乏通用性的问题,提出一种基于条件随机场的异常应用协议行为检测方法,从网络数据流中提取应用协议关键字及其时间间隔作为状态特征,同时考虑关键字的频率分布特征,应用条件随机场模型对协议行为进行建模,将偏离模型的协议行为判定为异常。相比于传统的基于隐马尔可夫模型建模方法,该方法不必对特征量作出严格的独立性假设,具有能够融合多特征的优势。实验结果表明,本文方法在检测协议异常时准确率高,误报率低。     

基于进程行为的异常检测研究综述

基于进程行为的异常检测技术具有较好的检测效果 ,有望成为异常检测实用化的突破口。从看待正常的角度以及建模方法两方面对该领域研究进展进行总结 ,对主要方法的误差特性和检测复杂性进行分析 ,对后续研究工作具有参考意义。     

基于深度学习的恶意DGA域名检测

针对域名产生算法生成的恶意域名,提出基于动态卷积算法的检测方法.基于现有的深度学习检测模型,在检测模型的向量嵌入阶段采用基于字符嵌入的高级词嵌入方法,能够对生僻词语和训练集中不存在的新词进行有效表示,减小嵌入矩阵的规模,降低存储成本.设计动态卷积算法对恶意域名进行检测,动态调整网络参数,有利于在更大范围内提取深层的特征,压缩数据大小,提高运算的速度,能够更有效识别恶意域名.实现了整体检测模型,通过实验验证了该方案的可行性.     

域名服务体系安全问题研究

域名服务是互联网的基础服务。域名服务体系不同于域名系统（DNS）,仅提高域名系统的安全并不能解决整个域名服务的安全问题。基于中国互联网络信息中心运行国家CN域名的经验,创新的提出域名服务体系的概念,并对域名服务体系的安全问题进行了论述分析。首先介绍了域名系统的基础知识及全球域名体系,然后研究分析了域名服务体系中的5个主要角色和7个主要数据流,结合数据流分析了其中主要的安全问题,并提出了安全防范措施。     

基于Counting Bloom Filter的DNS异常检测

鉴于失败的DNS查询（failed DNS query）能提供恶意网络活动的证据,以DNS查询失败的数据为切入口,提出一种轻量级的基于Counting Bloom Filter的DNS异常检测方法。该方法使用带语义特征的可逆哈希函数对被查询的域名及发起查询的IP进行快速的聚类和还原。实验结果证明该方法能以较少的空间占用和较快的计算速度有效识别出DNS流量中的异常,适用于僵尸网络、分布式拒绝服务（DDoS）攻击等异常检测的前期筛选和后期验证。     

基于多元属性特征的恶意域名检测

域名系统主要提供域名解析功能,完成域名到IP的转换,而恶意域名检测主要用来发现以域名系统为屏障的非法行为,来保障域名服务器的正常运行。总结了恶意域名检测的相关工作,并采用基于机器学习的方法,提出一种基于多元属性特征的恶意域名检测方法。在域名词法特征方面,提取更加细粒度的特征,比如数字字母的转换频率、连续字母的最大长度等;在网络属性特征方面,更加关注名称服务器,比如其个数、分散度等。实验结果表明,该方法的准确率、召回率、F1值均达到了99.8%,具有较好的检测效果。     

DNS隐私问题现状的研究

域名系统（DNS）作为互联网运行必不可少的基础设施,它能将易记的域名转换成互联网资源的IP地址。DNS由于天然的开放性,导致其备受安全问题困扰。而隐私问题则是近些年DNS安全上的热点问题。通过回顾DNS的查询操作,分析了DNS查询每个环节可能存在的隐私隐患,发现DNS受到的隐私攻击主要有链路上窃听和服务器上的隐私收集。结合近些年DNS隐私的相关的研究,分析了DNS上可能泄漏的隐私数据、影响范围以及可能带来的危害。整理了目前已知的解决方案,分析对比了各种方案在可靠性、匿名化程度、可部署性上的表现。最后从技术、部署难度和法律层面为后续研究提供了一些建议。     

基于Packet Tracer的域名解析系统教学实验设计

域名解析系统（DNS）是互联网上最实用的功能之一。使用Packet Tracer软件构建一个贴近真实环境的分层域名解析系统,配置简单,效果直接。实验时,只有每一位学生参与其中,通力协作,才能达成实验效果。通过实验,学生对域名解析系统有一个直观的了解,体验到网络技术带来的乐趣。     

基于权威域名服务器的停靠域名识别机制

由于互联网中充斥着大量的停靠域名,给用户上网体验、上网环境带来严重影响,为识别停靠域名,提出一种基于权威域名服务器（DNS）的停靠域名检测方法。该方法从常用于域名停靠服务的错拼域名入手,提取出可能用于停靠服务的权威DNS集合,并通过半监督聚类方法对该集合进行分析,识别出用于停靠服务的权威DNS。在检测停靠域名时,通过判断域名的权威DNS是否用于停靠服务,并且该域名解析的IP地址是否属于停靠服务Web服务器的IP地址集合,来对停靠域名进行识别。借助现有基于页面特征的检测方法对所提方法进行分析,实验结果表明所提方法的准确率达92.8%以上,并且避免了页面信息的爬取,能够实时地检测域名是否为停靠域名。     

基于机器学习的域名数据监控方法

域名资源记录被篡改的问题严重危害域名应用。由于该问题具有较强的隐蔽性,亟需一种快速且有效的发现域名危险变化的方法。为此,提出一种基于机器学习算法的域名数据监控方法。在一定数量的域名中选取出资源记录发生变化的域名,通过分析其相关信息生成一个由域名字面特征、正反匹配度等属性组成的元组。以变化是否危险为依据进行类标签人工标记,每个元组和其类标签组成训练集中的一个实例。由分析训练集决策树算法和支持向量机算法建立检测域名系统数据危险变化的分类器。通过十折交叉法验证2个分类器,发现其在域名危险变化判断上具有较强的能力,正确率的加权均值分别达到73.8%和82.4%。     

基于累积和算法的域名系统缓存攻击检测

针对域名系统(DNS)缓存攻击,提出一种简单有效的检测机制。为增强对攻击行为的敏感性并减小计算复杂度,通过无参数累积和检测模型改进DNS的协议行为,利用变点检测的相关算法实现对攻击行为的检测。仿真结果表明,该机制能够有效检测DNS缓存攻击,并实现检测准确率和误警率间的平衡。     

智能DNS系统的设计与实现

DNS(Domain Name System)域名解析系统是Internet上的一项基础服务,它为网络应用程序提供域名解析服务,作为网络一项中枢组件有许多功能需要提高和完善,通过优化DNS可以缩短查询时间,减少不必要的网络流量,提高网络的安全性能,对整个互联网的发展起到推动作用。文章主要介绍了一个符合工业标准并能应用于电信级需求的DNS系统的基本架构,系统由权威型DNS服务器、递归型DNS服务器和DNS管理系统组成,支持多种数据存储方式,通过模块化设计能做到各模块自由组合。系统具有领先于市场上同类产品的创新之处：主从数据库的热备份和用虚拟地址池实现绑定客户端IP的功能。这两个功能在不同方面改进了现存DNS系统,前者的数据备份分通用和专用两种,其中通用部分遵照RFC标准采用AXFR和NOTIFY的方式传输备份,而专用部分引进先进的数据库主从备份思想于DNS系统中并根据DNS数据库特点通过保存DML方式完成数据的持久化;后者引入虚拟地址池概念为客户端和域名的IP地址中间引入新的层次,从而可完成双方的配置,这样既可做到负载平衡也对DNS的安全问题提出了一种新的解决方案,因为用这种方法同样能达到硬件防火墙的功能,从而节约了成本并提升了性能。最后通过搭建模拟环境,用软件虚拟大流量访问数据测试系统性能,实验证明系统完全符合电信级需要。