《Web安全之机器学习入门》笔记:第十二章 12.5 隐式马尔可夫算法识别DGA域名

最新推荐文章于 2023-07-07 21:04:06 发布
最新推荐文章于 2023-07-07 21:04:06 发布
阅读量358 收藏
点赞数
分类专栏: Web安全之机器学习入门 文章标签: web安全 机器学习 DGA域名识别 隐性马尔可夫 hmm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mooyuan/article/details/122771094
版权

在9.4节通过SVM算法识别DGA域名中,其中使用了HMM特征。本小节详细讲解隐式马尔可夫法识别DGA域名。

1、白名单

def load_alexa(filename):
    domain_list=[]
    csv_reader = csv.reader(open(filename))
    for row in csv_reader:
        domain=row[1]
        if len(domain) >= MIN_LEN:
            domain_list.append(domain)
    return domain_list

domain_list = load_alexa("../data/top-1000.csv")

2、训练hmm模型

首先通过正常的域名训练hmm,代码如下所示,为了节省训练,如果存在训练好的模型,则是直接load训练好的模型即可。

def train_hmm(domain_list):
    X = [[0]]
    X_lens = [1]
    for domain in domain_list:
        ver=domain2ver(domain)
        np_ver = np.array(ver)
        X=np.concatenate([X,np_ver])
        X_lens.append(len(np_ver))

    remodel = hmm.GaussianHMM(n_components=N, covariance_type="full", n_iter=100)
    remodel.fit(X,X_lens)
    joblib.dump(remodel, FILE_MODEL)

    return remodel

if not os.path.exists(FILE_MODEL):
    remodel=train_hmm(domain_list)
remodel=joblib.load(FILE_MODEL)

3、验证HMM模型

def test_dga(remodel,filename):
    x=[]
    y=[]
    dga_cryptolocke_list = load_dga(filename)
    for domain in dga_cryptolocke_list:
        domain_ver=domain2ver(domain)
        np_ver = np.array(domain_ver)
        pro = remodel.score(np_ver)
        #print  "SCORE:(%d) DOMAIN:(%s) " % (pro, domain)
        x.append(len(domain))
        y.append(pro)
    return x,y

def test_alexa(remodel,filename):
    x=[]
    y=[]
    alexa_list = load_alexa(filename)
    for domain in alexa_list:
        domain_ver=domain2ver(domain)
        np_ver = np.array(domain_ver)
        pro = remodel.score(np_ver)
        #print  "SCORE:(%d) DOMAIN:(%s) " % (pro, domain)
        x.append(len(domain))
        y.append(pro)
    return x, y

x_3,y_3=test_dga(remodel, "../data/dga-post-tovar-goz-1000.txt")
x_2,y_2=test_dga(remodel,"../data/dga-cryptolocke-1000.txt")
x_1,y_1=test_alexa(remodel, "../data/test-top-1000.csv")

4、可视化HMM

 计算两类僵尸网络(蓝色和绿色)的HMM, 以域名长度为横轴,HMM分数为纵轴作图,并图形展示的源码处理。

    fig,ax=plt.subplots()
    ax.set_xlabel('Domain Length')
    ax.set_ylabel('HMM Score')
    ax.scatter(x_3,y_3,color='b',label="dga_post-tovar-goz")
    ax.scatter(x_2, y_2, color='g', label="dga_cryptolock")
    #ax.scatter(x_1, y_1, color='r', label="alexa")
    ax.legend(loc='right')
    plt.show()

可视化运行结果如下:

mooyuan天天
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
使用机器学习DGA域名识别
不忘初心,护天下安全!
10-17 826
域名生成算法(Domain Generation Algorithm, DGA) 是一项古老但一直活跃的技术, 是心结构僵尸网络赖以生存的关键武器, 该技术给打击和关闭该类型僵尸网络造成了不小的麻烦。研究人员需要快速掌握域名生成算法和输入, 以便对生成的域名及时进行处置。DGA依赖时间、 字典和硬编码的常量动态生成域名
Web安全之深度学习实战》笔记:第十三章 DGA域名识别
mooyuan的博客
03-12 5632
本小节是讲解DGA域名识别,在《web安全机器学习入门,曾经通过多节来讲解DGA域名,相关笔记如下: 《Web安全机器学习入门笔记:第七章 7.6朴素贝叶斯检测DGA域名_mooyuan的博客-CSDN博客 《Web安全机器学习入门笔记:第九章 9.4 支持向量机算法SVM 检测DGA域名_mooyuan的博客-CSDN博客 《Web安全机器学习入门笔记:第十章 10.3 K-Means算法检测DGA域名_mooyuan的博客-CSDN博客 通过如上笔记,相信大概也能分析出《we
流影之DGA域名检测识别网络威胁行为
开源流影项目的博客
07-07 1189
流影基于神经网络深度学习技术,实现对DNS流量DGA域名的实时监测和告警,并将可疑流量特征以可视化的方式呈现,能够帮助用户快速定性,有效缩短分析响应时间。
隐式马尔可夫算法挖掘时序数据
不忘初心,护天下安全!
02-21 1276
隐式马尔可夫模型的基础假设是,一个连续的时间序列时间,它的状态由且仅由前面的N个事件决定,对应的时间序列可以成为N阶马尔可夫链。 1.使用隐式马尔可夫算法识别XSS攻击 在URL的参数,有字母大小写、数字和字符,经过范化为不同的标志后,这里研究的隐藏序列便是状态见的循环转化了,HMM就是通过学习样本生成转移概率矩阵和发射概率矩阵。 首先我们采用以白找黑的思路,通过学习正常来识别异常: ...
13W包含各大病毒家族的DGA 域名清单
08-31
13W的DGA域名样本可以用来训练一些DGA检测算法,包含了各大病毒样本
隐式马尔可夫算法识别DGA域名.zip
02-15
隐式马尔可夫模型(Hidden Markov Model, HMM)是一种统计建模方法,广泛应用于自然语言处理、语音识别、生物信息学等领域。在这个进阶教程,我们将重点探讨如何利用HMM识别生成器网络(Domain Generation ...
隐式马尔可夫算法识别XSS攻击.zip
02-15
在“隐式马尔可夫算法识别XSS攻击.zip”这个压缩包,我们期待找到以下内容: 1. 数据集:包含正常和含有XSS攻击的HTTP流量样本,用于训练和测试模型。 2. 训练脚本:用编程语言(如Python)编写的脚本,用于执行...
深度学习、机器学习方向计算机毕业设计题目大全(算法应用实践类)
最新发布
08-24
手动整理了1500多个及机器学习相关算法在实际应用的项目,完全可以作为本科生当前较新的毕业设计题目选择方向。讲道理有些题,比如“用户评分的隐式成分信息的研究”这种题目取的就比较广泛,有点科学研究的味道,...
基于隐式低秩表示的联合投影学习算法及图像识别
02-13
隐式低秩表示(LatLRR)作为经典的无监督特征提取算法已应用于模式识别领域。然而该算法得到的特征维数无法降低,且由于算法分别学习2个低秩矩阵,因此无法保证整体最优;另外,算法忽略了样本在学习过程存在的残差。为...
四大机器学习降维算法:PCA、LDA、LLE、LaplacianEigenmaps.pdf
10-05
四大机器学习降维算法:PCA、LDA、LLE、LaplacianEigenmaps 机器学习领域的降维算法是指采用某种映射方法,将原高维空间的数据点映射到低维度的空间。降维的本质是学习一个映射函数f : x->y,其x是原始数...
黑白名单&规则引擎与半监督主动式机器学习的区别图
06-14
风控&反欺诈行业技术对比阶段图,从差异化角度说明在不同阶段技术方案的不同。
基于字典生成算法域名检测方法
luojing0417的博客
05-02 749
文章目录前言一、基于字典的DGA域名检测生成原理二、检测基于字典DGA的CL网络模型1.CNN2.LSTM3.CL网络模型总结 前言 僵尸网络、勒索病毒等恶意软件往往将命令与控制服务僵尸网络勒索病毒等恶意软件往往将命令与控制服务器(Cd d Cl SC&C)的连接信息(如域名的情报或从事其他恶意活动,严重威胁着国家安全和社会稳定,这种方式实现简单,但很容易被黑名单封堵。为躲避黑名定这种方式实现简单但很容易被黑名单封堵为躲避黑名单封堵很多 恶 意软件采用域名生成算法生成。 但随着网络对抗力度的加大
lstm实例:基于lstm的DGA域名检测
WangYouJin321的博客
03-03 1235
1. 模型建立步骤参考 lstm实例:构建lstm模型过程_WangYouJin321的博客-CSDN博客 2. 基于lstm的dga域名检测 2.1dga域名检测原理参考文档 深度学习检测DGA域名_WangYouJin321的博客-CSDN博客 DGA域名检测的数据分析与深度学习分类 - FreeBuf网络安全行业门户 2.2 测试数据 https://data.netlab.360.com/feeds/dga/dga.txt 2.3 完整模型代码 目前数据集使用上千万情况下,会存..
基于Python深度学习的DGA域名检测
毕业作品网站
07-04 2596
如今,互联网上的很多恶意攻击行为开始借助由域名生成算法生成的域名来抵抗安防软件的检测。这些域名生成算法通常会借助一组随机种子,持续不断的生成大量随机域名。使用这些 DGA 域名进行攻击的流程如图 1.1 所示。图 1.1 DGA 类攻击流程如图 1.1 ,当某台主机或者服务器被恶意行为攻击成功之后,攻击者就会在被攻击者内部嵌入一段恶意代码。这段恶意代码会使用某种域名生成算法不断的生成 DGA 域名,并且利用被攻击者的主机去访问这些域名
Web安全机器学习入门笔记第十二章 12.3 隐式马尔可夫算法识别XSS攻击(一)
mooyuan的博客
02-03 960
本小节通过使用隐式马尔可夫识别XSS攻击,示例隐式马尔可夫在网络安全的使用。 1、参数建模 2、数据处理与特征提取 3、训练模型 4、模型验证 5、完整代码
使用无监督算法检测DGA域名(一)
不忘初心,护天下安全!
02-21 6217
1.K-means的基本使用 import numpy as np import matplotlib matplotlib.use('TkAgg') import matplotlib.pyplot as plt from sklearn.cluster import KMeans from sklearn.datasets import make_blobs def show_kmean...
一个简单的DGA(Domain Generate Algorithm)
热门推荐
CopyCat
11-28 1万+
黑产的规模和技术是越来越强了,想到一句话:任何人都被骗过,所以同样的任何人都被黑过。 针对大规模简单而粗暴的DDoS网络破坏是如何实现的呢,通常除了一些大规模有组织且政府允许的,还有各种各样的个人组织,目的都是为了利益,画了张图 通常在获取0-day漏洞后,马上编写针对该漏洞的代码,再把早就开发后的其它组件一起打包一下,取个霸气的英文名,就诞生了一个新的病毒,整个过程就像发明一种...
技术 | 使用深度学习检测DGA域名生成算法
weixin_33812433的博客
07-24 2047
DGA(域名生成算法)是一种利用随机字符来生成C&C域名,从而逃避域名黑名单检测的技术手段。例如,一个由Cryptolocker创建的DGA生成域xeogrhxquuubt.com,如果我们的进程尝试其它建立连接,那么我们的机器就可能感染Cryptolocker勒索病毒。域名黑名单通常用于检测和阻断这些域的连接,但对于不断更新的DGA算法并不奏效...
使用K-Means算法检测DGA域名
wuhuimin521的博客
08-24 3040
在学习机器学习算法的过程,我们经常需要数据来验证算法,调试参数。但是找到一组十分合适某种特定算法类型的数据样本却不那么容易。还好numpy, scikit-learn都提供了随机数据生成的功能,我们可以自己生成适合某一种模型的数据,用随机数据来做清洗,归一化,转换,然后选择模型与算法做拟合和预测。下面对scikit-learn和numpy生成数据样本的方法做一个总结。 1. numpy随机数据...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mooyuan天天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值