【网络空间安全数据挖掘】DGA域名检测

最新推荐文章于 2024-04-24 09:33:37 发布
最新推荐文章于 2024-04-24 09:33:37 发布
阅读量182 收藏 2
点赞数
文章标签: 安全 数据挖掘 人工智能
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LLlanNN_/article/details/134103431
版权

0. 理论基础

推荐阅读:
DGA域名的今生前世:缘起、检测、与发展

基于机器学习的DGA域名检测

DGA域名检测的数据分析与深度学习分类

1. 数据集

dga域名:
第一列是家族,后面是时间
在这里插入图片描述

正常域名:
在这里插入图片描述

2. 代码实现

  • 导入相关包
import pandas as pd
import numpy as np
from random import sample
from sklearn.feature_extraction.text import CountVectorizer
from sklearn.model_selection import train_test_split
from sklearn.linear_model import LogisticRegression
from sklearn.metrics import accuracy_score, classification_report
from sklearn.feature_extraction.text import CountVectorizer, TfidfVectorizer
from gensim.models import Word2Vec
  • 数据读取(dga标签1,正常域名标签0)

为加速,每类各取n=10000样本

dga_file="./dga-domain.txt"
alexa_file="./umbrella-top-1m.csv"
n = 10000
max_features=10000
#加载alexa文件中的数据
def load_alexa():
    x=[]
    data = pd.read_csv(alexa_file, sep=",",header=None)
    x=[i[1] for i in data.values]
    x = sample(x, n)
    return x

#加载dga数据
def load_dga():
    x=[]
    data = pd.read_csv(dga_file, sep="\t", header=None,skiprows=18) #跳过前18行注释
    x=[i[1] for i in data.values]
    x = sample(x, n)
    return x

alexa=load_alexa()
dga=load_dga()
x=alexa+dga
y=[0]*len(alexa)+[1]*len(dga)
  • 特征提取(分别采用四种算法)
# N-gram
ngram_range = (2, 2)
vectorizer_ngram = CountVectorizer(analyzer='char', ngram_range=ngram_range)
X_ngram = vectorizer_ngram.fit_transform(x)

# Bag of Words
vectorizer_bow = CountVectorizer()
X_bow = vectorizer_bow.fit_transform(x)

# TF-IDF
vectorizer_tfidf = TfidfVectorizer()
X_tfidf = vectorizer_tfidf.fit_transform(x)

# Word2Vec
sentences = [domain.split('.') for domain in x]
model = Word2Vec(sentences, min_count=1)
X_word2vec = model.wv.vectors
# Adjust the sample size of Word2Vec feature
sample_size_word2vec = X_word2vec.shape[0]
indices = np.random.choice(sample_size_word2vec, len(y))
X_word2vec = X_word2vec[indices]
  • 划分训练/测试集,并确定训练模型
from sklearn.linear_model import LogisticRegression
from sklearn.ensemble import RandomForestClassifier
from sklearn.model_selection import train_test_split
from sklearn.metrics import accuracy_score, classification_report

# Split the data into training and testing sets
X_train_ngram, X_test_ngram, y_train, y_test = train_test_split(X_ngram, y, test_size=0.2, random_state=42)
X_train_bow, X_test_bow, _, _ = train_test_split(X_bow, y, test_size=0.2, random_state=42)
X_train_tfidf, X_test_tfidf, _, _ = train_test_split(X_tfidf, y, test_size=0.2, random_state=42)
X_train_word2vec, X_test_word2vec, _, _ = train_test_split(X_word2vec, y, test_size=0.2, random_state=42)

# Initialize models
models = {
    'Logistic Regression': LogisticRegression(),
    'Random Forest': RandomForestClassifier()
}
  • 各算法迭代训练,并存储结果:
# Fit and evaluate models for each feature
# Dictionary to store results
results = {}

# Fit and evaluate models for each feature
for feature, X_train, X_test in zip(['n-gram', 'Bag of Words', 'TF-IDF', 'Word2Vec'],
                                [X_train_ngram, X_train_bow, X_train_tfidf, X_train_word2vec],
                                [X_test_ngram, X_test_bow, X_test_tfidf, X_test_word2vec]):
    print(f"Evaluation for {feature}:")
    results[feature] = {}
    for model_name, model in models.items():
        model.fit(X_train, y_train)
        y_pred = model.predict(X_test)
        accuracy = accuracy_score(y_test, y_pred)
        report = classification_report(y_test, y_pred, output_dict=True)
        results[feature][model_name] = {'accuracy': accuracy, 'report': report}
        print(f"{model_name} Accuracy: {accuracy:.4f}")
        print(f"{model_name} Classification Report:")
        print(classification_report(y_test, y_pred))
        print("--------------------------")
  • 结果可视化
import matplotlib.pyplot as plt

# Create a bar chart for each feature and model
plt.figure(figsize=(12, 8))
for i, feature in enumerate(results.keys()):
    plt.subplot(2, 2, i+1)
    models = list(results[feature].keys())
    values = [results[feature][model]['accuracy'] for model in models]
    plt.bar(models, values, color=['b', 'r'])
    plt.title(f'Performance for {feature}')
    plt.xlabel('Models')
    plt.ylabel('Accuracy')
    plt.ylim(0, 1.0)  # Set the y-axis limit to 0-1
    plt.xticks(rotation=45)
plt.tight_layout()
plt.show()

在这里插入图片描述

3. 结果分析

  1. n-gram模型的表现: 使用n-gram特征提取方法的逻辑回归和随机森林模型均表现出较高的准确性(0.9625)。它们的精确率、召回率和F1分数也都很接近,表明模型在预测恶意域名和正常域名时具有很高的准确性和稳定性。

  2. Bag of Words模型的表现: 使用词袋模型的逻辑回归和随机森林模型的准确性较低(0.8320和0.7412)。由于收敛警告和精确率、召回率以及F1分数的差异较大,可能是由于数据特征的复杂性或模型参数配置不当导致的。

  3. TF-IDF模型的表现: TF-IDF特征提取方法与逻辑回归和随机森林模型相结合,获得了较高的准确性(0.8752和0.9140)。分类报告中的精确率、召回率和F1分数都相对较高,显示出模型对正常域名和恶意域名的识别能力较强。

  4. Word2Vec模型的表现: Word2Vec特征提取方法结合逻辑回归和随机森林模型的准确性相对较低(0.4945和0.5090)。精确率、召回率和F1分数也较低,可能是因为Word2Vec无法很好地捕捉到域名的特征,导致模型性能下降。

综合来看,不同特征提取方法对模型性能有着显著的影响。n-gram和TF-IDF方法在域名检测任务中表现较好,而词袋模型和Word2Vec方法则表现较差。这些结果提醒着我们在选择特征提取方法时需考虑数据特点和任务要求,以及在模型训练过程中需谨慎调整参数,以获得更好的性能。

Wxxkrain
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
基于深度学习的DGA域名检测.zip
07-04
DGA 域名则来自于 360 网络实验室和 osint 公开的 DGA 域名种子网站,它们都属于公开的数据源。其中,从 360 网络实验室收集了 34 类不同家族的 DGA 域名,总共 136 万个 DGA 域名。从 osint 网站上收集了 44 类...
DGA域名识别基线模型认识网络安全任务的机器学习建模过程
dzqxwzoe的博客
08-01 266
使用的Python模块:•Pandas: Python的数据分析库;•Scikit learn:Python中的机器学习算法库;•Matplotlib: Python的二维绘图库;•statsmodels:用于描述性统计、统计检验和绘图功能;•tldextract:用于二级域名提取;
毕业设计-基于DGA 恶意域名检测算法
Hai_Lang_IT的博客
03-17 1014
毕业设计-基于DGA 恶意域名检测算法:域名解析系统已经发展成为了国际互联网中一个完全不可能被忽视且重要的一个关键的基础网络设施和信息服务 , 难以避 免被域名利用者非法利用。在深入地分析研究了网络僵尸病毒网络与 DGA 等恶意域名的应用之后 , 对当前网络市场上各种主流恶意 域名安全检测解决技术特点进行了分析比较 , 并初步提出了一种基于字符特征来改善网络恶意域名检测技术的理论框架。域名解析系统 (DomainNameSystem,dns) 作为目前互联网 最重要的信息技术和核心信息基础服务设施之一 ,
深入探索DGA检测: Chauncy-lab的深度学习项目
最新发布
gitblog_00064的博客
04-24 413
深入探索DGA检测: Chauncy-lab的深度学习项目 项目地址:https://gitcode.com/Chauncy-lab/Deep-learning-of-DGA 在网络安全领域,恶意软件的动态域名生成算法(DGA)是一个棘手的问题。Chauncy-lab的Deep-learning-of-DGA项目正是为了解决这一挑战而设计的一个开源解决方案。本文将带你深入了解该项目的技术细节、应用...
流影之DGA域名检测,识别网络威胁行为
开源流影项目的博客
07-07 1194
流影基于神经网络深度学习技术,实现对DNS流量中DGA域名的实时监测和告警,并将可疑流量特征以可视化的方式呈现,能够帮助用户快速定性,有效缩短分析响应时间。
基于Python深度学习的DGA域名检测
毕业作品网站
07-04 2610
如今,互联网上的很多恶意攻击行为开始借助由域名生成算法生成的域名来抵抗安防软件的检测。这些域名生成算法通常会借助一组随机种子,持续不断的生成大量随机域名。使用这些 DGA 域名进行攻击的流程如图 1.1 所示。图 1.1 DGA 类攻击流程如图 1.1 ,当某台主机或者服务器被恶意行为攻击成功之后,攻击者就会在被攻击者内部嵌入一段恶意代码。这段恶意代码会使用某种域名生成算法不断的生成 DGA 域名,并且利用被攻击者的主机去访问这些域名
DGA域名检测
xifenglie123321的博客
04-03 1022
在互联网中,攻击者通过传播僵尸程序感染大量主机,这些被感染的主机通过一个信道被攻击者操控,进而形成僵尸网络。在这个过程中,攻击者常常会使用域名将恶意程序连接至C&C服务器,从而达到操控受害者机器的目的。其中攻击者通常采用DGA域名生成算法),通过输入种子随机生成大量的恶意域名,以此逃避域名黑名单检测的技术手段。僵尸网络的攻击者一般采用fast-flux和domain-flux两种DNS技术以隐藏其真实的C&C服务器,而僵尸网络通过域名生成算法与C&C服务器建立连接。
初识机器学习之DGA域名检测 - LSTM 决策树等
fured的博客
08-17 744
前路漫漫,继续加油!
朴素贝叶斯检测DGA域名.zip
02-15
【朴素贝叶斯检测DGA域名】是一个关于机器学习在网络安全领域的应用教程,特别是针对恶意软件生成的域名生成算法(DGA, Domain Generation Algorithm)的识别。DGA是一种常见的网络犯罪技术,用于创建难以追踪的通信...
DGA 恶意域名机器学习数据集
08-19
DGA域名检测中,LSTM可以学习域名字符串的长期依赖性,以区分正常与恶意域名。而“注意力机制”则是现代深度学习模型中的一种增强模型表现力的技术,允许模型在处理序列数据时更专注于关键部分,提高模型对重要...
采用深度学习的DGA域名检测模型比较.pdf
08-19
采用深度学习的DGA域名检测模型比较.pdf
DGA域名检测方法的分析与实践.docx
09-09
然而,虽然主流的检测方法在检测DGA域名已获得不错的成效,但是仍存在几大问题:模型检测能力仍有提升空间、缺乏演化性训练数据和检测模型的自身安全防御。本文在实验选出最优的特征提取和算法组合基础上,对该组合...
DGA域名检测的数据分析与深度学习分类
阿道夫的博客
03-31 1011
本文围绕DGA域名检测开展了一系列的工作,包括以下几点:1)对正常域名DGA域名进行了数据分析,大致展示了一些数学意义上的分布,例如长度、字符。通过该部分内容可以对DGA域名和正常域名的区别有简单的了解;但这部分也有一些欠缺,还有很多工作可以分析,例如DGA域名使用的后缀,域名的熵值分析等。2)利用自然语言处理的方式将域名转化为向量,并使用降维算法进行降维后在二维空间进行可视化。但这部分的效果不是很好,很多类别都散列在一起,只有极少数的家族能够形成簇,这一点比较失败。
毕业设计-基于机器学习的恶意域名检测系统
Hai_Lang_IT的博客
03-20 1340
毕业设计-基于机器学习的恶意域名检测系统:僵尸网络广泛采用DGA(Domain Generation Algorithm)技术来逃避网络安全检测, DGA恶意域名检测工作备受关注。域名系统(Domain Name System)为我国现代网络业务提供了方便,增加了用户的上网体验.与 此同时,域名系统解析也成为僵尸网络发动攻击的重要依托,为了逃避安全设施的检测,僵尸网络的攻 击也越来越复杂,其中一个常见的技术就是在僵尸网络中使用DGA域名生成算法,使攻击服务器域名 快速变化.在该方式下,控制服务器与受控机器
使用深度学习检测DGA(demo、初探)
墨痕诉清风的博客
01-29 3061
摘要:DGA(域名生成算法)是一种利用随机字符来生成C&C域名,从而逃避域名黑名单检测的技术手段。例如,一个由Cryptolocker创建的DGA生成域xeogrhxquuubt.com,如果我们的进程尝试其它建立连接,那么我们的机器就可能感染Cryptolocker勒索病毒。 DGA(域名生成算法)是一种利用随机字符来生成C&C域名,从而逃避域名黑名单检测的技术手段。例如,一个由Cryptolocker创建的DGA生成域xeogrhxquuubt.com,如果我们的进程尝试其它建立连接.
lstm实例:基于lstm的DGA域名检测
WangYouJin321的博客
03-03 1236
1. 模型建立步骤参考 lstm实例:构建lstm模型过程_WangYouJin321的博客-CSDN博客 2. 基于lstm的dga域名检测 2.1dga域名检测原理参考文档 深度学习检测DGA域名_WangYouJin321的博客-CSDN博客 DGA域名检测的数据分析与深度学习分类 - FreeBuf网络安全行业门户 2.2 测试数据 https://data.netlab.360.com/feeds/dga/dga.txt 2.3 完整模型代码 目前数据集使用上千万情况下,会存..
dga域名检测
alexpeace的博客
12-19 8745
1【参考资料】 https://github.com/phunterlau/dga_classifier 2【检测思路】 主要从语法分析的角度检测dga域名。包括使用n-gram和正常域名对比词频,使用hmm和正常域名对比域名字符组合的概率,分析域名的熵,辅音字母,数字等特征,作为dga域名检测特征,之后使用svm算法进行模型训练。 3【实现方法】 3.1【数据文件】 【输入】 t
域名生成算法(DGA)基础总结
热门推荐
三寸落木
10-29 1万+
课堂笔记系列,有任何问题请评论,求轻喷。 域名生成算法(DGA) 僵尸网络正在威胁着互联网网民的安全。僵尸网络中受到恶意软件感染的僵尸主机由僵尸控制者通过C&C主机进行控制。僵尸主机常常利用DNS授权服务器来解析域名,目的是为了跟C&C服务器创建通信通道,然后获取控制命令,从而进行网络恶意活动。 在早期,僵尸主机通产采用轮询的方法访问硬编码的C&C域名或IP来访问服务器获取...
什么是dga域名检测
08-08
DGA(Domain Generation Algorithm,域名生成算法)是一种用于恶意软件通信的域名生成技术。恶意程序利用DGA生成大量域名,然后与其控制服务端进行通信,以避免被安全防御机制检测和封锁。 DGA域名检测是指对使用DGA技术生成的恶意域名进行识别和防御的过程。传统的恶意软件通信往往会利用固定的C&C(Command and Control,命令与控制)服务器域名,容易被安全产品和网络防御系统识别和拦截。为了规避这种检测,恶意软件使用DGA生成大量看似随机的域名,并根据特定算法周期性地生成新的域名DGA域名检测的目标是识别出可能使用DGA技术生成的域名,从而及时发现和阻止恶意软件的通信。常见的检测方法包括通过分析域名字符集、长度、频率等特征来识别DGA域名。 对于普通用户来说,DGA域名检测是网络安全的一部分。网络安全产品和服务提供商会使用DGA域名检测技术来防止恶意软件的传播和攻击。用户在使用电脑或移动设备时,应随时保持软件和系统的更新,使用可信赖的安全产品,并注意不下载和打开来自不明来源的文件和链接,以降低恶意软件入侵的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值