Fast-flucos:基于DNS流量的Fast-flux恶意域名检测方法
发布时间:2024-04-23 23:49
现有的Fast-flux域名检测方法在稳定性、针对性和流量普适性方面存在一些不足,为此提出一种基于DNS流量的检测方法 Fast-flucos。首先,采用流量异常过滤和关联匹配算法,以提高检测的稳定性;然后,引入量化的地理广度、国家向量表和时间向量表特征,以加强对Fast-flux域名检测的针对性;最后,采用更合理的正负样本和包括深度学习在内的多种机器学习方法确定最佳分类器和最优特征组合,以尽量确保对真实DNS流量的普适性。基于真实DNS流量的实验表明,Fast-flucos的召回率、精确率和ROCAUC分别达到了0.998 6、0.976 7和0.992 9,均优于当前主流的EXPOSURE、GRADE和AAGD等检测方法。
【文章页数】:11 页
【部分图文】:
本文编号:3962933
【文章页数】:11 页
【部分图文】:
图8步骤3过程
?肮亓?ヅ洹彼惴ǖ牟街枞缦隆?步骤1将P中同时包含字母和数字字符的每个域名中的数字字符都变成0,成为集合P0;除顶级域名外的字母字符都变成z,成为集合P1。对字符串的这种操作称为“0-z”化,如图6所示。图6步骤1过程步骤2将C和S中所有同时带有字母和数字字符的域名连接成一个长字....
图1Single-flux原理示意
第5期韩春雨等:Fast-flucos:基于DNS流量的Fast-flux恶意域名检测方法·39·图1Single-flux原理示意图2Double-flux原理示意
图2Double-flux原理示意
第5期韩春雨等:Fast-flucos:基于DNS流量的Fast-flux恶意域名检测方法·39·图1Single-flux原理示意图2Double-flux原理示意
图3Fast-flucos结构
植继匦怨?顺龊芏嗖豢赡芪?Fast-flux域名的请求记录,从而得到有效的DNS流量。特征提取模块根据我国广东省一段时间内DNS流量的相应字段并结合已制作的国家或地区距离表计算出所有域名样本的7组特征。通过已知标签样本集和计算好的相关特征,分别使用各种可能的特征组合,并结合多种机....
本文编号:3962933
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3962933.html