基于Ngram+Bi-GRU的多家族恶意域名检测

针对现有恶意域名检测方法存在检测精度不高和检测范围局限等问题,提出一种基于Ngram+Bi-GRU的多家族恶意域名检测算法.首先,利用Ngram模型对去除顶级域名的剩余域名级进行分割,获取到包含上下文语义信息的多个域名字符片段序列,并将域名字符片段序列转换成向量;然后,利用双向门控循环型网络(Bi-Directiona...     

基于深度自编码和决策树的恶意域名检测

针对目前恶意域名检测方法特征提取过程复杂和检测准确率不高的问题,提出一种基于深度自编码和决策树(Deep Auto Encoder and Decision Tree, DAE-DT)的恶意域名检测算法.该算法首先将每一域名按照域名词法组成与结构等属性进行特征映射,并进行正则化处理;然后将正则化处理后的无标签域名数据随机置0作为模型的输入,域名字符统计特征作为输出,构造深度自编码网络模型.并通过计算模型输出值与未处理数据之间的重构误差,实现各层参数与权值的优化,以增强模型的鲁棒性;最后依据提取的域名字符统计特征构造恶意域名判定的决策树.通过在Alexa和Malware domain list等标准数据集上进行测试.实验结果表明,该模型的检测准确率、精确率、假阴性率和假阳性率值分别为95.21%、94.17%、2.41%和3.63%.     

基于机器学习的恶意URL识别

网络攻击成为日益重要的安全问题,而多种网络攻击手段多以恶意URL为途径。基于黑名单的恶意URL识别方法存在查全率低、时效性差等问题,而基于机器学习的恶意URL识别方法仍在发展中。对多种机器学习模型特别是集成学习模型在恶意URL识别问题上的效果进行研究,结果表明,集成学习方法在召回率、准确率、正确率、F1值、AUC值等多项指标上整体优于传统机器学习模型,其中随机森林算法表现最优。可见,集成学习模型在恶意URL识别问题上具有应用价值。     

一种密文全文检索系统的安全索引结构

文中提出了一种改进的安全全文索引结构.通过在倒排索引中对词条进行加密以抵抗语义分析攻击,屏蔽词条位置和频率信息以抵抗统计攻击,使用分块加密策略以抵抗已知明文攻击,使用两级索引结构保证了索引安全和检索效率的平衡.基于该安全全文索引结构设计了密文全文索引加密方案,并给出了一种多级密钥管理策略.     

一种基于倒排索引的音频检索方法

传统的基于实例的音频检索算法采用顺序索引,检索时需遍历数据库并导致难以忍受的等待时间。针对传统的顺序的索引方法,该文提出基于倒排索引的音频检索算法。该方法首先利用多种音频特征构成的超向量,通过多层音频分割方法将连续音频流分割为特征数值波动幅度小的短时音频段;然后利用事先训练好的音频字典,将短时音频段序列转换为可以表征音频内容的音频字序列,并建立倒排索引;检索时,将用户提交的查询转换为音频字后利用倒排索引无须遍历数据库即可直接定位候选段落,并根据候选段落与查询的内容相似度大小对候选段落进行排序,将排好序的列表作为检索结果。仿真实验以匹配项排名、同类检索结果比例、定位准确性和检索用时4个方面作为评价指标,实验结果显示,该算法能够在平均1.101 s时间内实现92.58%的检索准确率。     

基于无监督自适应模糊聚类的多家族恶意域名细粒度检测

针对现有恶意域名检测方法检测时间开销大、对新出现或新变种的恶意域名检测精度不高的问题,提出一种基于无监督自适应模糊聚类的多家族恶意域名细粒度检测方法。该方法首先利用词向量映射网络(Bidirectional Encoder Representation from Transformers, BERT)将域名字符串映射为词向量矩阵;然后,利用深度自编码网络的编解码模块实现域名字符串向量矩阵的特征提取;最后,引入一种自适应模糊聚类算法实现多家族恶意域名和合法域名在隐空间中的特征聚类。通过在多个家族恶意域名和常见域名数据集上进行测试,实验结果表明所提出算法可以在二分类任务中实现97.71%的准确率,在8个家族的细粒度多分类任务上可以实现96.25%的准确率。综合检测性能优于当前主流的恶意域名检测算法。同时,所提出域名具有较低的时间开销,这为实时过滤恶意域名、预防恶意域名的入侵攻击提供了一种新的手段。     

基于多原型指导的小样本家族域名入侵检测算法

恶意域名只有攻击后才被加入到域名黑名单数据库中,这使得传统模型对新变种或新出现的家族域名检测精度不高,极易导致新出现或新变种家族恶意域名的漏报。为此,提出一种基于多原型指导的小样本家族恶意域名入侵检测算法,该算法首先利用一组共享权重的Transformer网络将输入的支持与查询域名对映射到深度特征空间;其次,设计了一种任务关联注意力模块挖掘支持分支和查询分支输入域名对的共有语义;再次,在共有语义特征图上利用平均池化策略生成多个代表家族团聚特征的原型集;最后,利用原型集细粒度地指导未知家族域名和已知支持域名的标签,并根据真实标签与预测标签之间的损失端到端优化原型集,强化原型的表达能力。通过在多个恶意域名家族数据集上测试,所提出模型在传统二分类任务上可以实现0.983 9和0.987 6的识别准确率和识别精度,在细粒度的多分类任务上可以实现5个家族0.980 0以上的识别精准率,11个家族0.970 0以上的识别精准率,30个家族0.940 0以上的识别精准率。     

基于Stacking集成学习的恶意URL检测系统设计与实现

针对传统URL检测方法在恶意URL检测时存在的准确率不高、实时性差等问题，提出一种基于Stacking集成学习的算法模型。该模型采用机器学习单一方法中的岭分类、支持向量机、朴素贝叶斯作为初级学习器，采用逻辑回归作为次级学习器，通过初级学习器和次级学习器相结合的双层结构对URL进行检测。使用大量的URL数据集分别对单一方法中的模型和Stacking集成学习方法的模型进行训练，并对每种模型进行评估。评估结果表明，Stacking集成学习的算法模型对恶意URL检测的准确率可达98.75%，与其他模型相比提升0.75%以上。采用Flask作为开发框架，实现了恶意URL检测系统的功能，并对系统进行云端等部署，得到系统根据用户输入的URL链接可以输出URL的检测结果，具有较好的应用价值。     

基于域名的恶意行为检测技术

文章首先对域名恶意行为进行简述;然后从域名恶意行为生成机制、相似性、跳变性和互通性四个维度介绍现有的基于域名的恶意行为安全检测技术;之后从DNS流量检测系统和基于DNS数据挖据技术两个维度介绍现有的检测系统;最后展望了恶意域名检测的发展方向。     

基于分层语义认知的恶意代码检测方法研究

这里提出一种基于分层语义认知的恶意代码智能检测方法,该方法将待检测程序在虚拟捕获环境中获取的行为数据进行分层认知,逐层抽象为行为特征,最后使用贝叶斯分类器对其恶意性进行判定。在语义认知过程中采用分层和归一化的方式降低加密与混淆的干扰,采用动静结合方式提高检测效率,采用正负差集运算的方式降低误报率。经测试,该方法具有高检测率,抗混淆能力强,可以快速、有效地识别代码中的恶意行为。     

基于群卷积神经网络的恶意域名检验方法

针对恶意域名检测中存在的随机性大、现实样本少的缺陷,导致深度学习模型训练易出现过拟合的问题,提出了一种基于群卷积神经网络的恶意域名检测方法。首先将域名转换为嵌入词向量表示,然后通过随机维度组合生成随机数据集并构建卷积神经网络组,鉴于Inception结构优势将其加入到网络中,最后针对数据集易出现的类间样本失衡问题,引入了类间平衡系数以抑制模型训练过拟合,提高模型泛化能力。实验结果表明,在采集的域名检测数据集上,所构建的模型能够有效实现恶意域名检测;经过参数优化,相比于浅层模型组合分类器与典型深度神经网络模型LSTM-CNN,群卷积神经网络对所构建的域名检测集检测准确率分别提升了4%、1%,达到98.9%。     

基于知识图谱的恶意域名检测方法

人工智能在恶意域名检测领域的应用越来越广泛,而传统的恶意域名检测方法主要采用黑名单方式,存在时效性较差的问题。因此,提出了一种将知识图谱与恶意域名检测相结合的系统,完成了信息在知识图谱中的存储和表示。将系统的嵌入式模型作为输入,使用BiLSTM神经网络提取特征并完成最终的检测。实验表明,在通过真实数据构造的数据集上,该系统性能良好,对恶意域名的检测准确率高达99.31%。     

Bit.ly/practice: Uncovering content publishing and sharing through URL shortening services

It becomes the norm for people to share online content such as images, videos, and news over various channels including online social networks, news media, or online communities. One of the popular ways to publish and share online content is using a URL shortening service, which provides a short equivalent URL that is redirected to an original URL of content. This paper comprehensively analyze the practice of using short URLs from their creations to publishing to sharing, using a large scale dataset that contains 4.2 B requests for 80?M URLs created through Bit.ly, one of the most popular URL shortening services. We find that content URLs are mosunknown.     

Detecting malicious domain names based on AGD

A new malicious domain name detection algorithm was proposed.More specifically,the domain names in a cluster belonging to a DGA (domain generation algorithm) or its variants was identified firstly by using cluster correlation.Then,these AGD (algorithmically generated domain) names’ TTL,the distribution and attribution of their resolved IP addresses,their whois features and their historical information were extracted and further applied SVM algorithm to identify the malicious domain names.Experimental results demonstrate that it achieves an accuracy rate of 98.4% and the false positive of 0.9% without any client query records.     

Visualizing the structure of Web communities based on data acquired from a search engine

Discovery of Web communities, groups of Web pages sharing common interests, is important for assisting users' information retrieval from the Web. This paper describes a method for visualizing Web communities and their internal structures. visualization of Web communities in the form of graphs enables users to access related pages easily, and it often reflects the characteristics of the Web communities. Since related Web pages are often co-referred from the same Web page, the number of co-occurrences of references in a search engine is used for measuring the relation among pages. Two URLs are given to a search engine as keywords, and the value of the number of pages searched from both URLs divided by the number of pages searched from either URL, which is called the Jaccard coefficient, is calculated as the criteria for evaluating the relation between the two URLs. The value is used for determining the length of an edge in a graph so that vertices of related pages will be located close to each other. Our visualization system based on the method succeeds in clarifying various genres of Web communities, although the system does not interpret the contents of the pages. The method of calculating the Jaccard coefficient is easily processed by computer systems, and it is suitable for visualization using the data acquired from a search engine.     

基于社会信任的恶意网页协防机制

针对恶意网页的威胁,提出了一种基于社会信任的分布式恶意网页协作防御机制：结合第三方专业服务机构提供的恶意网址列表,并利用社会网络中好友间的直接信任和间接信任获取好友对网页的评价信息,集成好友的安全浏览经验形成网页综合评价;每个用户都与其好友进行协作,形成一个网状的防御体系。实验结果表明,该机制能够有效减少恶意网页的访问量,提高社会网络防御恶意网页的能力。     

基于CNN与LSTM相结合的恶意域名检测模型

为提高恶意域名检测准确率,该文提出一种基于卷积神经网络(CNN)与长短期记忆网络(LSTM)相结合的域名检测模型。该模型通过提取域名字符串中不同长度字符组合的序列特征进行恶意域名检测：首先,为避免N-Gram特征稀疏分布的问题,采用CNN提取域名字符串中字符组合特征并转化为维度固定的稠密向量;其次,为充分挖掘域名字符串上下文信息,采用LSTM提取字符组合前后关联的深层次序列特征,同时引入注意力机制为填充字符所处位置的输出特征分配较小权重,降低填充字符对特征提取的干扰,增强对长距离序列特征的提取能力;最后,将CNN提取局部特征与LSTM提取序列特征的优势相结合,获得不同长度字符组合的序列特征进行域名检测。实验表明：该模型较单一采用CNN或LSTM的模型具有更高的召回率和F1分数,尤其对matsnu和suppobox两类恶意域名的检测准确率较单一采用LSTM的模型提高了24.8%和3.77%。     

一种基于域名解析机制的算力网络实现方案

新型数字化技术和业务的兴起,以及信息数据的爆炸式增长,对云—边—端多级算力资源提出了巨大的应用需求,算力基础设施泛在化成为一大发展趋势。算力网络将算力等资源与网络协同统一,结合用户需求提供最优的资源配置策略,同时提高多级算力资源的协同工作效率,成为网络技术发展的新方向。分析了当前算力网络的技术路线,提出了一种基于域名解析机制的算力网络实现方案。该方案引入域名解析机制,使用URL语言对多种算力资源进行统一标识,由集中式的算力资源管理平台对算力资源进行统一的分配调度。用户在收到分配的算力资源标识时,通过域名解析系统解析出相应资源的网络位置信息,并通过算力网关与资源池建立网络连接。此方案满足灵活扩展算力资源标识的需求,具有很好的实用性和通用性。     

Malicious PDF document detection based on mixed feature

Aiming at the problem of poor robustness and easy to evade detection in the detection of malicious PDF document,a malicious PDF document detection method based on mixed features was proposed.It adopted dynamic and static analysis technology to extract the regular information,structure information and API calling information from the document,and then a feature extraction method based on K-means clustering algorithm was designed to filter and select the key mixed features that characterize the document security.Ultimately,it improved the robustness of features.On this basis,it used random forest algorithm to construct classifier and perform experiment to discuss the detection performance of the scheme and its ability to resist mimicry attacks.