支持向量机区分僵尸网络DGA

最新推荐文章于 2024-08-18 08:45:00 发布
最新推荐文章于 2024-08-18 08:45:00 发布
阅读量1.5k 收藏 6
点赞数
分类专栏: 机器学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mlp750303040/article/details/79307134
版权

僵尸网络一般为了躲避域名黑名单,会使用DGA动态生成域名,通过DGA不同的特征,可以识别不同的特征。

DGA文件格式如下:


首先从DGA文件中提取域名数据

def load_alexa(filename):
    domain_list = []
    csv_reader = csv.reader(open(filename))
    for row in csv_reader:
        domain = row[1]
        if len(domain) >= MIN_LEN:
            domain_list.append(domain)
    return domain_list
def load_dga(filename):
    domain_list = []
    with open(filename) as f:
        for line in f:
            domain = line.split(',')[0]
            if len(domain) >= MIN_LEN:
                domain_list.append(domain)
    return domain_list

接下来是进行特征提取

1、元音字母个数

正常在取域名的时候,会偏向好读的几个字母组合,所有英文的元音字母比例会比较高,而DGA有随机因素,因此这个特征不明显,从图中可以看出来,不同家族之间具有明显聚合效果,alexa为正常域名。


def get_aeiou(domain_list):
    x = []
    y = []
    for domain in domain_list:
        x.append(len(domain))
        count = len(re.findall(r'[aeiou]',domain.lower()))
        count = (0.0+count)/len(domain)
        y.append(count)
    return x,y

2、去重后的字母个数与域名长度的比例

这个反映了域名字符组成的统计特征。


def get_uniq_char_num(domain_list):
    x=[]
    y=[]
    for domain in domain_list:
        x.append(len(domain))
        count=len(set(domain))
        count=(0.0+count)/len(domain)
        y.append(count)
    return x,y

3、平均jarccard系数

jarccard系数定义为两个集合交集与并集元素个数的比值,这里是基于2-gram计算的


def count2string_jarccard_index(a,b):
    x=set(' '+a[0])
    y=set(' '+b[0])
    for i in range(0,len(a)-1):
        x.add(a[i]+a[i+1])
    x.add(a[len(a)-1]+' ')
    for i in range(0,len(b)-1):
        y.add(b[i]+b[i+1])
    y.add(b[len(b)-1]+' ')
    return (0.0+len(x-y))/len(x|y)
def get_jarccard_index(a_list,b_list):
    x=[]
    y=[]
    for a in a_list:
        j=0.0
        for b in b_list:
            j+=count2string_jarccard_index(a,b)
        x.append(len(a))
        y.append(j/len(b_list))
    return x,y

4、HMM系数

正常在取域名的时候,会偏向选取常见的几个单词的组合,以常见的英文单词训练HMM,正常域名的HMM系数高,而DGA生成的是随机的HMM系数偏低。


def train_hmm(domain_list):
    X = [[0]]
    X_lens = [1]
    for domain in domain_list:
        ver = domain2ver(domain)
        np_ver = np.array(ver)
        X = np.concatenate([X,np_ver])
        X_lens.append(len(np_ver))
    remodel = hmm.GaussianHMM(n_components=N, covariance_type="full", n_iter=100)
    remodel.fit(X,X_lens)
    joblib.dump(remodel, FILE_MODEL)
    return remodel
def test_dga(remodel,filename):
    x = []
    y = []
    dga_cryptolocke_list = load_dga(filename)
    for domain in dga_cryptolocke_list:
        domain_ver = domain2ver(domain)
        np_ver = np.array(domain_ver)
        pro = remodel.score(np_ver)
        x.append(len(domain))
        y.append(pro)
    return x,y

完整代码:

import sys
import urllib
import re
from hmmlearn import hmm
import numpy as np
from sklearn.externals import joblib
import nltk
import csv
import matplotlib.pyplot as plt
import os
#定义域名最小长度
MIN_LEN = 10
#定义状态个数
N = 8
#最大似然概率阈值
T = -50
#模型文件名
FILE_MODEL = "svm_study.m"

def load_alexa(filename):
    domain_list = []
    csv_reader = csv.reader(open(filename))
    for row in csv_reader:
        domain = row[1]
        if len(domain) >= MIN_LEN:
            domain_list.append(domain)
    return domain_list
def load_dga(filename):
    domain_list = []
    with open(filename) as f:
        for line in f:
            domain = line.split(',')[0]
            if len(domain) >= MIN_LEN:
                domain_list.append(domain)
    return domain_list
def domain2ver(domain):
    ver = []
    for i in range(len(domain)):
        ver.append([ord(domain[i])])
    return ver
def train_hmm(domain_list):
    X = [[0]]
    X_lens = [1]
    for domain in domain_list:
        ver = domain2ver(domain)
        np_ver = np.array(ver)
        X = np.concatenate([X,np_ver])
        X_lens.append(len(np_ver))
    remodel = hmm.GaussianHMM(n_components=N, covariance_type="full", n_iter=100)
    remodel.fit(X,X_lens)
    joblib.dump(remodel, FILE_MODEL)
    return remodel
def test_dga(remodel,filename):
    x = []
    y = []
    dga_cryptolocke_list = load_dga(filename)
    for domain in dga_cryptolocke_list:
        domain_ver = domain2ver(domain)
        np_ver = np.array(domain_ver)
        pro = remodel.score(np_ver)
        x.append(len(domain))
        y.append(pro)
    return x,y
def test_alexa(remodel,filename):
    x = []
    y = []
    alexa_list = load_alexa(filename)
    for domain in alexa_list:
        domain_ver = domain2ver(domain)
        np_ver = np.array(domain_ver)
        pro = remodel.score(np_ver)
        x.append(len(domain))
        y.append(pro)
    return x,y
def show_hmm():
    domain_list = load_alexa("G:/data/top-1000.csv")
    if not os.path.exists(FILE_MODEL):
        remodel = train_hmm(domain_list)
    remodel = joblib.load(FILE_MODEL)
    x_3,y_3=test_dga(remodel, "G:/data/dga-post-tovar-goz-1000.txt")
    x_2,y_2=test_dga(remodel,"G:/data/dga-cryptolocke-1000.txt")
    x_1,y_1=test_alexa(remodel, "G:/data/test-top-1000.csv")
    fig,ax=plt.subplots()
    ax.set_xlabel('Domain Length')
    ax.set_ylabel('HMM Score')
    ax.scatter(x_3,y_3,color='b',label="dga_post-tovar-goz",marker='o')
    ax.scatter(x_2, y_2, color='g', label="dga_cryptolock",marker='v')
    ax.scatter(x_1, y_1, color='r', label="alexa",marker='*')
    ax.legend(loc='best')
    plt.show()
def get_aeiou(domain_list):
    x = []
    y = []
    for domain in domain_list:
        x.append(len(domain))
        count = len(re.findall(r'[aeiou]',domain.lower()))
        count = (0.0+count)/len(domain)
        y.append(count)
    return x,y
def show_aeiou():
    x1_domain_list = load_alexa("G:/data/top-1000.csv")
    x_1,y_1=get_aeiou(x1_domain_list)
    x2_domain_list = load_dga("G:/data/dga-cryptolocke-1000.txt")
    x_2,y_2=get_aeiou(x2_domain_list)
    x3_domain_list = load_dga("G:/data/dga-post-tovar-goz-1000.txt")
    x_3,y_3=get_aeiou(x3_domain_list)
    fig,ax=plt.subplots()
    ax.set_xlabel('Domain Length')
    ax.set_ylabel('AEIOU Score')
    ax.scatter(x_3,y_3,color='b',label="dga_post-tovar-goz",marker='o')
    ax.scatter(x_2, y_2, color='g', label="dga_cryptolock",marker='v')
    ax.scatter(x_1, y_1, color='r', label="alexa",marker='*')
    ax.legend(loc='best')
    plt.show()

def get_uniq_char_num(domain_list):
    x=[]
    y=[]
    for domain in domain_list:
        x.append(len(domain))
        count=len(set(domain))
        count=(0.0+count)/len(domain)
        y.append(count)
    return x,y

def show_uniq_char_num():
    x1_domain_list = load_alexa("G:/data/top-1000.csv")
    x_1,y_1=get_uniq_char_num(x1_domain_list)
    x2_domain_list = load_dga("G:/data/dga-cryptolocke-1000.txt")
    x_2,y_2=get_uniq_char_num(x2_domain_list)
    x3_domain_list = load_dga("G:/data/dga-post-tovar-goz-1000.txt")
    x_3,y_3=get_uniq_char_num(x3_domain_list)
    fig,ax=plt.subplots()
    ax.set_xlabel('Domain Length')
    ax.set_ylabel('UNIQ CHAR NUMBER')
    ax.scatter(x_3,y_3,color='b',label="dga_post-tovar-goz",marker='o')
    ax.scatter(x_2, y_2, color='g', label="dga_cryptolock",marker='v')
    ax.scatter(x_1, y_1, color='r', label="alexa",marker='*')
    ax.legend(loc='best')
    plt.show()
def count2string_jarccard_index(a,b):
    x=set(' '+a[0])
    y=set(' '+b[0])
    for i in range(0,len(a)-1):
        x.add(a[i]+a[i+1])
    x.add(a[len(a)-1]+' ')
    for i in range(0,len(b)-1):
        y.add(b[i]+b[i+1])
    y.add(b[len(b)-1]+' ')
    return (0.0+len(x-y))/len(x|y)
def get_jarccard_index(a_list,b_list):
    x=[]
    y=[]
    for a in a_list:
        j=0.0
        for b in b_list:
            j+=count2string_jarccard_index(a,b)
        x.append(len(a))
        y.append(j/len(b_list))
    return x,y

def show_jarccard_index():
    x1_domain_list = load_alexa("G:/data/top-1000.csv")
    x_1,y_1=get_jarccard_index(x1_domain_list,x1_domain_list)
    x2_domain_list = load_dga("G:/data/dga-cryptolocke-1000.txt")
    x_2,y_2=get_jarccard_index(x2_domain_list,x1_domain_list)
    x3_domain_list = load_dga("G:/data/dga-post-tovar-goz-1000.txt")
    x_3,y_3=get_jarccard_index(x3_domain_list,x1_domain_list)
    fig,ax=plt.subplots()
    ax.set_xlabel('Domain Length')
    ax.set_ylabel('JARCCARD INDEX')
    ax.scatter(x_3,y_3,color='b',label="dga_post-tovar-goz",marker='o')
    ax.scatter(x_2, y_2, color='g', label="dga_cryptolock",marker='v')
    ax.scatter(x_1, y_1, color='r', label="alexa",marker='*')
    ax.legend(loc='lower right')
    plt.show()
show_hmm()
show_aeiou()
show_uniq_char_num()
show_jarccard_index()

MrLeaper
关注
专栏目录
学习笔记(十):使用支持向量机区分僵尸网络DGA家族
盐可
10-15 1431
1.数据搜集和数据清洗       ·1000个cryptolocker域名       ·1000个post-tovar-goz域名       ·alexa前1000域名        从DGA文件中提取域名数据: def load_dga(filename): domain_list = [] with open(filename) as f: f...
botnet-dga-classifier:识别由僵尸网络常用的域生成算法创建的域
07-12
僵尸网络域生成算法分类器 入门 项目通过管理。 要直接体验 DGA 生成域建模的乐趣,请运行以下命令,这些命令将下载、清理和预处理所有必需的源数据。 library (ProjectTemplate) load.project () 这将生成一个称为domains的数据集,可用于建模。 该数据集包含标识域名的host列以及指示该域是否合法或由已知僵尸网络DGA 生成的type列。 str (domains) 可以在reports文件夹中找到基于此建模数据集的后续建模和分析。 背景 僵尸网络的创建是一种非法活动,世界各地的网络犯罪分子都广泛从事这种活动。 僵尸网络是一个由非法加入并受网络犯罪分子控制的受感染计算机组成的网络僵尸网络是通过破坏称为 Bots 的个人计算机而形成的,通过破坏性地安装某种形式的恶意软件,将控制权交给 Botnet 操作员。 网络犯罪分子从僵尸网络
什么是僵尸网络僵尸网络攻击与防范(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Python_paipai的博客
08-18 758
僵尸网络(Botnet)是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过恶意软件(如僵尸病毒、恶意软件或木马程序)感染计算机或设备,并将其植入恶意代码,使其成为僵尸网络的一部分。一旦设备被感染,攻击者可以远程控制这些设备,形成一个庞大的、具有协作能力的网络
《Web安全之机器学习入门》笔记:第九章 9.4 支持向量机算法SVM 检测DGA域名
mooyuan的博客
02-01 1073
DGA(Domain Generation Algorithm)域名生成算法是一种利用随机字符等算法来生成C&C域名,从而逃避安全设备域名黑名单检测的技术手段。 1.黑样本 def load_dga(filename): domain_list=[] #xsxqeadsbgvpdke.co.uk,Domain used by Cryptolocker - Flashback DGA for 13 Apr 2017,2017-04-13, # http://osint..
理解Domain-flux僵尸网络DGA
weixin_43178406的博客
07-15 1147
网站文章如何能自动判定是抄袭?一种算法和实践架构剖析
tianjinsong的专栏
07-12 1万+
https://www.infoq.cn/article/how-web-article-utomatically-determine-plagiarism 1. 文本指纹介绍 互联网网页存在大量的重复内容网页,无论对于搜索引擎的网页去重和过滤、新闻小说等内容网站的内容反盗版和追踪、还是社交媒体等文本去重和聚类,都需要对网页或者文本进行去重和过滤。 最简单的文本相似性计算方法可以利用空间向量...
支持向量机算法区分僵尸网络DGA家族.zip
02-15
本项目是进阶教程,可以作为入门的教程。内含数据集和训练脚本
基于混合词向量深度学习模型的DGA域名检测方法.pdf
08-18
域名生成算法(DGA)是一种自动生成大量域名的技术,常被僵尸网络(botnets)所使用。DGA生成的域名用于作为僵尸网络控制服务器和感染的主机之间的通讯渠道。这些由DGA生成的域名由于数量庞大且出现形式随机,传统...
对抗僵尸网络:分析和策略
对抗僵尸网络:分析和策略埃里克·弗雷西内引用此版本:埃里克·弗雷西内。对抗僵尸网络:分析和策略。密码学和安全学[cs.CR]。皮埃尔和玛丽·居里大学-巴黎第六大学,2015年。法语。NNT:2015PA066390。电话:...
"基于DNS流量挖掘的僵尸网络检测机器学习系统
阿提奇莱因福奥文章历史记录:收到2021年2022年2月1日修订2022年3月1日接受2022年3月14日网上发售关键词:信誉系统DGA僵尸网络检测机器学习DNS词典特征A B S T R A C T僵尸网络是由受感染的工作站组成的网络,由Bot...
了解僵尸网络攻击:什么是僵尸网络,它如何传播恶意软件以及如何保护自己?
简介
02-16 4019
前言,前言~~~提示:以下是本篇文章正文内容,下面案例可供参考根据字面定义,僵尸网络是指用于发送垃圾邮件、分发恶意软件和构图DDoS攻击等过程的枯萎或劫持计算机网络。激活僵尸网络并不要求设备所有者的许可。僵尸网络本身不会对网络有害,可用于聊天室管理和跟踪在线游戏中积累的积分等关键任务。僵尸网络的控制方称为机器人牧羊人,网络中涉及的每台机器称为机器人。组装僵尸网络的早期主要目的是使单调的任务比以往任何时候都更容易。这种聊天室管理的最佳示例,其中它处理消除违反策略的人的工作。
计算文本相似度
11-14
基于关键词Jarccard距离的文本相似度计算 "TF/IDF算法:主要思想是,如果某个词或短语在一篇文章中出现的频率TF高,并且在其他文章中很少出现,则认为此词或者短语具有很高的关键度。\n", "\n", "TF-IDF是一种统计方法,用以评估一字词对于一个文件集或一个语料库中的其中一份文件的重要程度。字词的重要性随着它在文件中出现的次数成正比增加,但同时会随着它在语料库中出现的频率成反比下降。TF-IDF加权的各种形式常被搜索引擎应用,作为文件与用户查询之间相关程度的度量或评级。"
僵尸网络的类型、危害及防范措施
03-03
详细描述了僵尸网络的危害及应对方法, 提高个人用户、企业单位和政府部门对僵尸网络这 个新兴网络威胁的认识,同时也使安全领域相关人 员对僵尸网络的发展趋势和研究进展有一个宏观把 握。
【云计算网络安全】僵尸网络详解:工作原理、控制和保护方法
热门推荐
我在山城重庆,我希望能为这片软件沙漠地带贡献自己的一滴水,Stay tuned!
10-10 1万+
僵尸网络(Botnet)是一组遭到恶意软件感染并被恶意用户控制的计算机集合。这个术语由"机器人(Bot)"和"网络(Net)“两个词组合而成,每一台受感染的设备被称为"机器人”。僵尸网络被滥用来执行非法或恶意的任务,包括发送垃圾邮件、窃取数据、传播勒索软件、进行欺诈性广告点击,以及实施分布式拒绝服务(DDoS)攻击。尽管某些恶意软件,如勒索软件,会直接影响设备的所有者,但DDoS僵尸网络的恶意软件在设备上的可见性各不相同。
模型训练与验证
Bellboy的博客
09-14 1577
朴素贝叶斯算法 DGA样本格式如图,DGA数据的读取方式如下,读取文本文件,以制表符作为分隔符,读取第1列,由于前18行是注释内容,使用skiprows参数直接跳过前18行: 为了便于在普通电脑上运行相关程序,Alexa和DGA的样本都取前10000个。 把域名当做一个字符串,使用N-Gram建模,以2-Gram为例,把baidu.com进行建模,接下来向量化,输出词汇表。 使用Count...
一例Phorpiex僵尸网络样本分析
好好学习,天天向上
07-02 1493
本文主要分析Phorpiex僵尸网络的一个变种,该样本通常NSIS打包,能够检测虚拟机和沙箱。病毒本体伪装为一个文件夹,通过U盘来传播,会隐藏系统中各盘符根目录下的文件夹,创建同名的lnk文件,诱导用户点击。
黑客|你听说过僵尸网络吗?
weixin_57514792的博客
12-23 1239
什么是僵尸网络
什么是僵尸网络
布袋和尚
06-07 2655
僵尸网络(Botnet)是指采用一种或多种转播手段,将大量主机感染 bot 程序(僵尸程序)病毒,从而控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。 控制僵尸网络的攻击者称为“僵尸主控机(Botmaster)”。僵尸主控机通过僵尸网络的命令与控制(Command and Control, C&C)服务器向 bot 发布命令,C&C 充当僵尸主控机和僵尸网络之间的接口
deap数据集支持向量机python
06-14
DEAP (Distributed Evolutionary Algorithms in Python) 是一个用于创建和研究分布式遗传算法(DGA)的Python库,它并不直接提供数据集,尤其是针对支持向量机(SVM)的数据集。然而,DEAP主要用于优化问题的求解,特别是那些可以通过适应度函数来表示的优化问题,这可能包括在训练模型(如SVM)时选择参数。 如果你想在Python中使用DEAP来处理支持向量机,你可能会: 1. **加载数据**:首先,你需要从外部数据源(如sklearn的内置数据集或第三方库如UCI Machine Learning Repository)导入数据集。 2. **预处理数据**:对数据进行清洗、归一化或特征缩放等操作,使其适合SVM模型。 3. **定义适应度函数**:编写一个函数来评估SVM模型在给定数据上的性能,比如准确率、查准率或查全率。 4. **使用DEAP进行参数优化**:利用DEAP的工具,如`tools.cxTwoPoint`、`tools.mutGaussian`等进行基因编码,然后在一个进化过程中搜索最优的SVM参数组合。 5. **训练SVM模型**:使用优化后的参数在训练集上训练一个SVM模型,并在验证集上测试。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值