基于深度学习的恶意DGA域名检测

针对域名产生算法生成的恶意域名,提出基于动态卷积算法的检测方法.基于现有的深度学习检测模型,在检测模型的向量嵌入阶段采用基于字符嵌入的高级词嵌入方法,能够对生僻词语和训练集中不存在的新词进行有效表示,减小嵌入矩阵的规模,降低存储成本.设计动态卷积算法对恶意域名进行检测,动态调整网络参数,有利于在更大范围内提取深层的特征,压缩数据大小,提高运算的速度,能够更有效识别恶意域名.实现了整体检测模型,通过实验验证了该方案的可行性.     

基于Transformer和多特征融合的DGA域名检测方法

针对域名生成算法生成的恶意域名隐蔽性高,现有方法在恶意域名检测上准确率不高的问题,提出一种基于Transformer和多特征融合的DGA域名检测方法。该方法使用Transformer编码器捕获域名字符的全局信息,通过并行深度卷积神经网络获取不同粒度的长距离上下文特征,同时引入双向长短期记忆网络BiLSTM和自注意力机制Self-Attention结合浅层CNN得到浅层时空特征,融合长距离上下文特征和浅层时空特征进行DGA域名检测。实验结果表明,所提方法在恶意域名检测方法上有更好的性能。相对于CNN、LSTM、L-PCAL和SW-DRN,所提方法在二分类实验中准确率分别提升了1.72%,1.10%,0.75%和0.34%;在多分类实验中准确率分别提升了1.75%,1.29%,0.88%和0.83%。     

基于迁移学习的小样本DGA恶意域名检测方法

域名生成算法(DGA)存在变化多、部分类别样本难获取的特点,使得采用传统机器学习的恶意域名检测模型准确性不高.提出一种基于迁移学习和多核CNN的小样本DGA恶意域名检测模型.该模型将目标域名映射到向量空间中,使用样本充足的DGA种类进行预训练,并迁移预训练得到的参数到小样本检测模型.采用多核CNN小样本分类模型根据发音...     

基于混合词向量深度学习模型的DGA域名检测方法

域名生成算法(domain generation algorithm, DGA)是域名检测中防范僵尸网络攻击的重要手段之一,对于生成威胁情报、阻断僵尸网络命令与控制流量、保障网络安全有重要的实际意义.近年来,DGA域名检测技术从依靠手工提取特征发展到自动提取特征的基于深度学习模型的方法,在DGA域名检测任务中取得了较大的进展.但对于不同僵尸网络家族的DGA域名的多分类任务,由于家族种类多,且各家族域名数据存在不平衡性,因此许多已有的深度学习模型在DGA域名的多分类任务上仍有提高空间.针对以上挑战,设计了基于字符和双字母组级别的混合词向量,以提高域名字符串的信息利用度,并设计了基于混合词向量方法的深度学习模型.最后设计了包含多种对比模型的实验,对混合词向量的有效性进行验证.实验结果表明基于混合词向量的深度学习模型在DGA域名检测与分类任务中相比只基于字符级词向量的模型有更好的分类性能,特别是在小样本的DGA域名类别上的分类性能更优,证明了该模型的有效性.     

基于迁移学习和威胁情报的DGA恶意域名检测方法研究北大核心CSCD

域名生成算法已被广泛运用在各类网络攻击中,其存在样本变化快、变种多、获取难等特点,导致现有传统模型检测精度不高,预警能力差。针对该情况,文章提出一种基于迁移学习和威胁情报的DGA恶意域名检测方法,通过构建双向长短时记忆神经网络和Transformer的组合模型,提取恶意域名上下文及语义关系特征,利用公开大样本恶意域名数据集进行预训练,迁移训练参数至新型未知小样本恶意域名进行模型检测性能测试。实验结果表明,该模型在多个APT组织使用的恶意域名小样本数据集中能达到96.14%的平均检测精度,检测性能表现良好。     

基于APCNN和BiGRU-Att的单词DGA域名检测方法

为了提高对基于单词的域名生成算法(domain generation algorithm, DGA)生成的恶意域名的检测准确率,提出了一种结合改进的并行卷积神经网络(APCNN)和融合简化注意力机制的双向门控循环单元(BiGRU-Att)的网络模型,该模型能充分学习单词特征、单词之间的组合关系和关键字符信息。实验结果表明,相比Bilbo和CL模型,APCNN-BiGRU-Att模型的分类准确率和F₁值更高,表明该模型具有更好的检测效果、多分类效果和稳定性。     

基于注意力特征融合网络的DGA恶意域名检测方法

僵尸网络借助DGA生成大量随机域名逃避安全防御系统监测。为解决已有DGA恶意域名检测方法准确性不高和泛化能力受限等问题,提出基于注意力特征融合网络。通过结合输入层、Embedding层、卷积神经网络层、注意力模块和长短时记忆网络层,实现层次化特征提取使模型性能得到极大的改善。实验结果显示,该方法在各项指标上都有明显的提升,表现出优秀的DGA恶意域名检测能力。     

基于BGRU池的卷积神经网络文本分类模型

针对深度学习在处理文本分类问题时存在的适应度小、精确度较低等问题,提出一种采用双向门控循环单元(BGRU)进行池化的改进卷积神经网络模型。在池化阶段,将BGRU产生的中间句子表示与由卷积层得到的局部表示进行对比,将相似度高的判定为重要信息,并通过增大其权重来保留此信息。该模型可以进行端到端的训练,对多种类型的文本进行训练,适应性较强。实验结果表明,相较于其他同类模型,提出的改进模型在学习能力上有较大优势,分类精度也有显著提高。     

基于BiGRU-Attention-CNN模型的垃圾邮件检测方法

电子邮件是一种重要的通信工具,但是垃圾邮件问题一直影响着人们日常的工作生活.不断改进垃圾邮件的检测技术、提高垃圾邮件的检测速度和准确率有着重要的研究意义和现实意义.双向门控循环单元(BiGRU)和卷积神经网络(CNN)广泛应用于文本分类领域,二者的结合可以充分发挥BiGRU上下文依赖关系提取能力以及CNN特征提取能力,...     

基于ON-LSTM与自注意力机制的单词DGA域名检测方法

针对单词DGA域名字符随机性低,字符结构和分布与良性域名相似,现有方法对其检测效果不佳的问题,提出一种单词DGA域名检测方法。首先,对域名进行BiGRAM字符编码,使模型的输入涵盖更多的域名特征;其次,构建ON-LSTM-SA特征提取模块,充分提取域名的层级语义特征并为其分配权重;最后,通过softmax函数输出分类结果。实验结果表明,相较于四种对比模型,该方法在检测性能和多分类性能方面均表现最佳,具有更高的鲁棒性和泛化能力。     

基于注意力机制的多通道CNN和BiGRU的文本情感倾向性分析

近年来,卷积神经网络(convolutional neural network, CNN)和循环神经网络(recurrent neural network, RNN)已在文本情感分析领域得到广泛应用,并取得了不错的效果.然而,文本之间存在上下文依赖问题,虽然CNN能提取到句子连续词间的局部信息,但是会忽略词语之间上下文语义信息;双向门控循环单元(bidirectional gated recurrent unit, BiGRU)网络不仅能够解决传统RNN模型存在的梯度消失或梯度爆炸问题,而且还能很好地弥补CNN不能有效提取长文本的上下文语义信息的缺陷,但却无法像CNN那样很好地提取句子局部特征.因此提出一种基于注意力机制的多通道CNN和双向门控循环单元(MC-AttCNN-AttBiGRU)的神经网络模型.该模型不仅能够通过注意力机制关注到句子中对情感极性分类重要的词语,而且结合了CNN提取文本局部特征和BiGRU网络提取长文本上下文语义信息的优势,提高了模型的文本特征提取能力.在谭松波酒店评论数据集和IMDB数据集上的实验结果表明：提出的模型相较于其他几种基线模型可以提取到更丰富的文本特征,可以取得比其他基线模型更好的分类效果.     

基于Transformer的DGA域名检测方法

已有DGA检测方法已经获得了较高的检测精度,但在缩略域名上存在误报率高的问题。主要原因是缩略域名字符间随机性高,现有检测方法从随机性角度很难有效地区分缩略域名和DGA域名。在分析了缩略域名的字符特性后,基于自注意力机制实现了域名字符依赖性的检测;并采用LSTM改进了Transformer模型的编码方式,以更好地捕获域名中字符位置信息;基于Transformer模型构建了DGA域名检测方法(MHA)。实验结果表明,MHA可以有效地区分出DGA域名和缩略域名,得到了更高的精确率和更低的误报率。     

域名滥用行为检测技术综述

自2013年ICANN发起新通用顶级域名（new gTLD）的授权以来,域名系统（domain name system,DNS）中已增加了上千个new gTLD. 已有工作表明new gTLD在为域名注册者带来了灵活性的同时,由于注册成本低等原因也经常被用于恶意行为,识别恶意new gTLD域名具有重要的意义. 然而,由于new gTLD域名在域名长度等方面的独有特征,已有恶意域名识别方法应用于new gTLD恶意域名的识别时准确率低. 针对这一问题,首先基于海量域名解析数据,从顶级域名对应二级域名（SLD）数量、查询量、查询失败率、内容复制和承载基础设施共享5个方面刻画了new gTLD域名解析行为. 然后分析恶意域名的解析行为并发现其在内容承载基础设施集中性、SLD对应的完全限定域名（FQDN）数目、域名查询次数、请求用户网络空间分布、SLD长度分布等方面的特征. 最后根据这些特征设计了一种基于随机森林的new gTLD恶意域名检测方法. 实验结果表明,所提方法达到了94%的准确率,优于已有恶意域名检测方法.

     

结合多头注意力机制的旅游问句分类研究

旅游问句具有长度较短,不严格按照语法规则的特点,导致该文本数据信息容量过少、口语化严重。充分理解问句表达的语义是提高旅游问句分类器性能面临的重要挑战,基于此,提出一个融合Bi-GRU、CNN与MultiHead-Attention的旅游问句分类模型。该模型将预先训练的词向量和经Bi-GRU处理得到的语义信息进行融合,进行问句依赖关系学习,通过CNN和Multi-Head-Attention进行特征提取,以加强局部特征的学习,通过Softmax完成分类。实验结果表明,该模型在文本信息少、表述不规范的旅游问句分类任务中F1值达到了92.11%,优于现有的主流分类模型。     

基于SDN的恶意域名防护系统的研究与实现

基于SDN（软件定义网络）新型网络架构,研究并实现了恶意域名防护系统。分析了恶意域名防护系统的各功能模块及工作流程。使用Mininet虚拟平台搭建系统网络环境,基于Floodlight控制器开发系统的恶意域名防护模块,通过OpenFlow协议抽象底层网络资源,并开放REST API给上层的恶意域名防护管理器应用。设计了三个循序渐进的实验场景以验证系统的有效性。实验结果表明,基于SDN的恶意域名防护系统能有效防范用户访问恶意域名网站。     

深度学习多聚焦图像融合方法综述

多聚焦图像融合是一种以软件方式有效扩展光学镜头景深的技术,该技术通过综合同一场景下多幅部分聚焦图像包含的互补信息,生成一幅更加适合人类观察或计算机处理的全聚焦融合图像,在数码摄影、显微成像等领域具有广泛的应用价值。传统的多聚焦图像融合方法往往需要人工设计图像的变换模型、活跃程度度量及融合规则,无法全面充分地提取和融合图像特征。深度学习由于强大的特征学习能力被引入多聚焦图像融合问题研究,并迅速发展为该问题的主流研究方向,多种多样的方法不断提出。鉴于国内鲜有多聚焦图像融合方面的研究综述,本文对基于深度学习的多聚焦图像融合方法进行系统综述,将现有方法分为基于深度分类模型和基于深度回归模型两大类,对每一类中的代表性方法进行介绍;然后基于3个多聚焦图像融合数据集和8个常用的客观质量评价指标,对25种代表性融合方法进行了性能评估和对比分析;最后总结了该研究方向存在的一些挑战性问题,并对后续研究进行展望。本文旨在帮助相关研究人员了解多聚焦图像融合领域的研究现状,促进该领域的进一步发展。     

基于深度学习的MOOC作弊行为检测研究

快速准确地检测出MOOC学习者的作弊行为,对维护MOOC平台的发展及学习者的正常学习具有重要意义。本文研究了一种深度学习混合模型用于MOOC作弊行为的检测。该模型通过融合了卷积神经网络、双向门控循环单元以及注意力机制,大大提升了单一模型的检测性能。本文选取某MOOC平台的学习行为数据进行了实验验证,实验结果显示该模型在验证集上的精确率、召回率、AUC和误报率分别达到98.51%、81.35%、91.07%和0.016%,具有良好的应用前景。另外,本文采用了数据扩增的方法以解决MOOC作弊行为检测中存在的数据不均衡问题,实验中通过该方法进行数据平衡后,该模型在相同的验证集上的AUC提升了1.78%。