AGDB: A Dictionary-based Malicious Domain Detection Method based on Representation Fusion

已于 2024-05-14 10:00:53 修改
阅读量984 收藏 19
点赞数 25
分类专栏: DGA 文章标签: 网络安全 人工智能 深度学习 nlp 安全
于 2024-05-11 15:45:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YZRuin/article/details/138709084
版权

基于字典的域名检测方法

原文地址:AGDB: A Dictionary-based Malicious Domain Detection Method based on Representation Fusion | IEEE Conference Publication | IEEE Xplore

背景

论文背景:

过去方案:

论文动机:

AGDB算法结构

AGDB剖析

基于上下文的模型

AGDGraph

WordGraph

AGDGraph

特征融合

实验

数据集

实验结果

疑问

背景

论文背景:

        随着网络设备数量的增加,网络攻击者利用域名生成算法(DGAs)生成恶意域名,为了有效打击这些恶意域名,本研究探索了字典恶意域名生成算法,并提出了一种新的检测方法。

过去方案:

        以前的检测方法对字典恶意域名效果不佳,传统的检测方法主要基于分布、机器学习和深度学习技术,但在字典恶意域名检测方面表现不佳。

论文动机:

        随着越来越多的僵尸网络开始使用字典恶意域名,如何有效检测这些域名成为网络安全领域的关键问题,本研究旨在解决这一问题。

AGDB算法结构

AGDB剖析

        AGDB主要由两部分组成:基于上下文的模型和AGDGraph

基于上下文的模型

        对域名进行分词,然后使用模型进行编码得到特征表示,论文使用的模型是BERT-Small。

BERT论文链接:https://arxiv.org/pdf/1810.04805

模型下载地址:https://storage.googleapis.com/bert_models/2020_02_20/uncased_L-4_H-512_A-8.zip

AGDGraph

        AGDGraph是在Pereira等人提出的WordGraph上进行改进。因此就得先搞清楚WordGraph是怎么做的。

WordGraph

论文链接:Dictionary Extraction and Detection of Algorithmically Generated Domain Names in Passive DNS Traffic | SpringerLink

这篇论文的详细解读在此就不一一展开,主要关注于它如何构建这个网络图。

  • 首先是按顶级域名划分,对域名集划分为多个域名子集,每个子集具有相同的顶级域名,每个域名子集C_i对应了一个图G_i
  • 对于一个图G_i的节点是在单词集D中至少出现一次的单词,边是在这个域名子集中如果两个单词出现在同一域名中则这两个单词间就有一条边。

        **在此单词的准确含义应该是指共同子串,而不是说完整的有含义的一个英文单词

  • 单词集D是如何构造的:
    • 首先置D= \emptyset
    • 对于一个域名集中的两个域名c_i, c_j,如果他们的最长共同子串l_{i,j}满足|l_{i,j} \geq m|,就将l_{i,j}添加到单词集中
  • G_i构建完成后,对于G_i的每个连通子图G_i^{(j)},定义了一下特征:

        \textbf{D} _{mean}G_i^{(j)}的平均顶点度

        \textbf{D}_{max}G_i^{(j)}的最大顶点度

        \textbf{C}G_i^{(j)}的基础循环基的基数(个数)

        **基础循环基:

         出自:https://en.wikipedia.org/wiki/Cycle_basis

        \textbf{C}_V\textbf{C}/|V|,其中VG_i^{(j)}的顶点集

        \textbf{ASPL}G_i^{(j)}的平均最短路径长度

AGDGraph

        说回AGDGraph,对于一个域名,有特征\textbf{D} _{mean}\textbf{D}_{max}\textbf{C}\textbf{C}_V\textbf{ASPL},不过是将这个域名所包含的单词所属于的每个连通子图中的特征值的均值作为这个域名的特征值。

        在WordGraph中的特征值基础上,AGDGraph还加入了下面几个特征:

  • D_{smean}:域名包含的单词中的平均顶点度
  • D_{smax}:域名包含的单词中的最大顶点度
  • D_{sstd}:域名包含的单词中顶点度的标准差

特征融合

        最后便是将两部分的特征进行融合,接全连接层进行分类输出。

实验

数据集

        良性样本:Alexa

        恶性样本:suppobox、matsnu家族

        各抽取100k进行评估

实验结果

疑问

        原文实验部分的最后一段提到表三的实验结果是展示了训练集和测试集的比例关系,但原文的表三是四个方法的F1比较,怀疑是作者放错图了。

YZRuin
关注
专栏目录
Dictionary-based methods for information extraction
Pioneer_LIC的博客
07-09 471
基于字典序方法的信息提取 本质:分类问题 通过熵(entropy)来量化单词信息在全文中的含义 Kolmogorov 复杂性 定义:Kolmogorov复杂度可以定义为任何数学对象,但为简单起见,本文仅限于字符串。我们必须首先为字符串指定一种描述语言。这种描述语言可以基于任何计算机编程语言,如Lisp、Pascal或Java。如果P是一个输出字符串x的程序,那么P是x的描述。描述的长度就是P作为字符串的长度,乘以一个字符的位数 我们也可以为图灵机选择一个编码,其中编码是一个函数,它与每个图灵机M.
ansys 无法加载.agdb文件,出现下面错误:无法附加到几何结构文件D:\CFD\FEA\8-1\zhiwupingtai.agdb。 无法附加几何结构。——如何解决?
qq_15963745的博客
09-23 786
-- Ansys.Core.Commands.CommandFailedException: 无法附加到几何结构文件D:\CFD\FEA\8-1\zhiwupingtai.agdb。--- Ansys.Core.Commands.CommandFailedException: 无法附加到几何结构文件D:\CFD\FEA\8-1\zhiwupingtai.agdb。ansys 无法加载.agdb文件,出现下面错误:无法附加到几何结构文件D:\CFD\FEA\8-1\zhiwupingtai.agdb
“base-64 字符数组的无效长度”错误的解决
qhzhen的博客
01-18 4830
反序列化时出现“base-64 字符数组的无效长度”错误提示的解决 程序中实现了这样一个功能,将一个对象序列化后,作为参数传递给另一个页面,这个页面得到参数并反序列化后还原此对象,但是在运行时有时正常,有时出现“base-64 字符数组的无效长度”的错误提示。 在网上查找资料,都是说在使用Convert.ToBase64String()方法对字符串进行Base64编码时,需要使参数的长度等于4或4...
Base-64 字符数组或字符串的长度无效等问题解决方案
热门推荐
weixin_34115824的博客
09-09 1万+
项目特殊需要,调用ActiveX三维控件进行控件某一特殊部位的截图操作,这个截图保存由ActiveX控件控制保存到本地是没问题的,现在需要将这个截图上传到服务器,多人共享,就牵扯到需要读取本地文件……后沟通后,ActiveX控件方提供一个接口,返回相关截图文件的Base64编码字符串,由Web应用程序转换为对应格式,存储在服务器即可。 遇到问题: Base-64 字符数组或字符串的长度无效 ...
SQL Server AG - 0. SQLServer AlwaysOn理论基础(2)
weixin_33962621的博客
09-08 201
可读的辅助数据库From: http://book.2cto.com/201304/19874.html相对于数据库镜像,AlwaysOn的一个重要优势就是可以将辅助数据库配置成可读模式,这极大地增强了数据库整体的伸缩性。通过将只读请求分流到辅助数据库,主副本的工作负载得到了减轻,读和写之间的冲突可以得到缓解,辅助副本的硬件资源也能得到利用。同时,通过AlwaysOn的“只读...
【Database-cluster】Haproxy.cfg 使用及释义
05-23 618
【前言】          这个Haproxy也是搭建mycat集群的时候用到的, haproxy用来控制mycat之间的切换,保证负载均衡和高可用。在我们的集群里Haproxy的主要作用就是监听虚拟IP端口的请求然后转发到存活并且不忙的Mycat的端口上。按照官方权威指南上搭又被空格坑了好久, 下面把我们最终cfg文件实例贴上来,各部分简单做一个解释。方便以后自己查询。 【正文】
Android安全[测试环境&vuln-demo&pwn]
0x00的博客
08-26 1164
System : ubuntu 14.04 LTS python3.0--scikit-learn安装: # lapack是跟线性代数有关的工具包,安装相关库  sudo apt-get -y install python3-dev python3 python3-pip liblapack-dev libblas-dev python3-scipy python3-numpy python...
生信学习--生物数据库大全
weixin_30321709的博客
06-22 4135
本文转自https://blog.csdn.net/g863402758/article/details/52957299 综合数据库 ★ INSD,国际核酸序列数据库(International Nucleotide Sequence Databank)。由日本的DDBJ、欧洲的EMBL和美国的GenBank三家各自建立和共同维护。 ★ EMBL库,欧洲分子生物学实验室的DNA和RNA...
workbench导入 非agdb格式文件,拉伸时无imprint faces 这一项问题解决方法
pingmin2014的专栏
04-03 4768
同学你好,关于ANSYS workbench中给模型添加印记面未成功的问题,主要是因为这个原因造成的: 从三维建模软件中导入到ANSYS的模型都是处于freeze状态,不能进行添加表面印记处理,所以如果想要对外部导入的模型进行添加表面印记处理,先将模型解冻(unfreeze),在tools菜单中有,解冻之后就可以添加了,具体的操作如下图所示,希望能帮到你!!
workbench ls-dyna 15.0插件
12-22
在提供的压缩包文件中,"Demo.agdb"是一个示例数据库文件,它包含了一个预先设定好的工程案例,供用户学习和参考。通过这个文件,用户可以了解如何在Workbench中设置和运行LS-DYNA模型。 "ANSYS Workbench LS-DYNA ...
bracket_mid_surface.agdb
05-08
此文件为ANSYS DesignModeler练习题实例中的一个模型文件.
TI-UCC28060.pdf
10-26
- **AGDA、AGDB、DBGDA、DBGDB**:这些引脚用于控制和监测功率开关,实现精确的电流和电压调节。 - **PWM(脉宽调制)**:通过调整PWM信号来控制输出电压,实现功率因数校正。 - **CNTL**:控制引脚,用于设置控制器...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8498
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
毒蘑菇检测数据集 9200张 14类毒蘑菇 带标注 voc yolo
阿利同学的博客
10-07 1384
毒蘑菇检测数据集 9200张 14类毒蘑菇 带标注 voc yolo
pytorch版本和cuda版本不匹配问题
分享计算机视觉,C++,网络摄像头研发,音视频开发,嵌入式等知识。
10-06 557
发现cuda11.8支持pytorch2.0.0。
深度学习》LSTM 长短期记忆网络 结构及原理解析
wx_AHao1004Y的博客
10-09 1213
LSTM网络,全称长短期记忆网络(Long Short-Term Memory network),是一种特殊的循环神经网络(RNN)架构,大部分与RNN模型相同,但它们用了不同的函数来计算隐状态h,旨在解决传统RNN在处理长序列数据时遇到的梯度消失或梯度爆炸问题。LSTM网络通过引入自循环的巧妙设计,使得信息能够在网络中长期保留或遗忘,从而能够捕获长距离的时间依赖关系。
【YOLO学习】YOLOv4详解
m0_62881487的博客
10-09 977
3. DIOU(Distance IOU)损失:DIOU 考虑到 GIOU 的缺点,也是增加了 C 检测框,将真实框和预测框都包含了进来,但是 DIOU 计算的不是框之间的交并,而是计算的每个检测框之间的欧氏距离,这样就可以解决 GIOU 包含出现的问题。concat:将两个特征图在通道数方向叠加在一起,原特征图信息完全保留下来,再对原特征图增加一些我们认为是较好的特征图,丰富了特征图的多样性,是在空间上对原特征图的增强,这样在下一次卷积的过程中我们能得到更好的特征图。
湘潭大学人工智能专业:2024年全球AI技术革新先锋
最新发布
m0_64357419的博客
10-12 384
湘潭大学,作为中国乃至全球顶尖学府之一,正在重新定义全球人工智能(AI)技术发展的标准。通过在超大规模大模型、量子AI、类脑智能、数字生命以及跨维度计算领域的前瞻性布局,湘潭大学不仅主导了中国的AI技术创新,还在国际学术界和产业界掀起了一场全球范围的技术革命。湘潭大学自主研发的全球首个具备自我进化和“情感计算”能力的大模型、基于量子AI的全新智能决策框架、数字生命的虚拟物种进化模拟系统,都在改变着人类对智能的认知。本文将从这些超前领域出发,深入分析湘潭大学AI专业如何引领全球科技变革。
ANSYS Workbench流体固体耦合仿真教程:Oscillating Plate模拟
- OscillatingPlate.agdb:几何数据库文件,存储了模型的几何形状。 - OscillatingPlate.gtm:网格文件,包含由ANSYS CFX-Pre生成的计算网格。 - OscillatingPlate.inp:输入文件,用于ANSYSCFX-Solver Manager读取...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

YZRuin

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值