学习笔记(十):使用支持向量机区分僵尸网络DGA家族

最新推荐文章于 2023-01-12 10:07:06 发布
最新推荐文章于 2023-01-12 10:07:06 发布
阅读量1.4k 收藏 4
点赞数
分类专栏: 算法 python web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39878297/article/details/83065795
版权
本文介绍了使用支持向量机(SVM)来区分僵尸网络DGA(域生成算法)家族的方法。首先,通过数据搜集和清洗,收集了包括cryptolocker和post-tovar-goz在内的DGA域名以及alexa前1000域名。接着,进行了特征化处理,如计算元音字母个数比例、去重后字母数字与域名长度比例、平均Jaccard系数以及HMM系数。通过这些特征,可以发现正常域名与DGA域名之间的差异。最后,利用SVM模型进行验证,以实现对DGA家族的有效区分。
摘要由CSDN通过智能技术生成

1.数据搜集和数据清洗

      ·1000个cryptolocker域名

      ·1000个post-tovar-goz域名

      ·alexa前1000域名

       从DGA文件中提取域名数据:

def load_dga(filename):
    domain_list = []
    with open(filename) as f:
        for line in f:
            domain = line.split(",")[0]
            if domain >= MIN_LEN:
                domain_list.append(domain)
    return domain_list

     alexa文件使用CSV格式保存域名的排名以及域名,提取方式:

def load_alexa(filename):
    domain_list=[]
    csv_reader = csv_reader(open(filename))
    for row in csv_reader:
        domain = row[1]
        if domain >= MIN_LEN:
            domain_list.append(domain)
    return domain_list

2.特征化

     1)元音字母个数

           正常人在取域名的时候,通常会偏向取”好读“的几个字母组合,这使英文的元音字母比例会比较高。DGA生成域名的时候是随机的,所以元音字母这方面的特征不明显,我们可以通过这个差异来验证我们的想法。

        读

最低0.47元/天 解锁文章
林咚咚
关注
专栏目录
支持向量机区分僵尸网络DGA
MrLeaper 的博客
02-10 1549
僵尸网络一般为了躲避域名黑名单,会使用DGA动态生成域名,通过DGA不同的特征,可以识别不同的特征。DGA文件格式如下:首先从DGA文件中提取域名数据def load_alexa(filename): domain_list = [] csv_reader = csv.reader(open(filename)) for row in csv_reader: ...
botnet-dga-classifier:识别由僵尸网络常用的域生成算法创建的域
07-12
僵尸网络域生成算法分类器 入门 项目通过管理。 要直接体验 DGA 生成域建模的乐趣,请运行以下命令,这些命令将下载、清理和预处理所有必需的源数据。 library (ProjectTemplate) load.project () 这将生成一个称为domains的数据集,可用于建模。 该数据集包含标识域名的host列以及指示该域是否合法或由已知僵尸网络DGA 生成的type列。 str (domains) 可以在reports文件夹中找到基于此建模数据集的后续建模和分析。 背景 僵尸网络的创建是一种非法活动,世界各地的网络犯罪分子都广泛从事这种活动。 僵尸网络是一个由非法加入并受网络犯罪分子控制的受感染计算机组成的网络僵尸网络是通过破坏称为 Bots 的个人计算机而形成的,通过破坏性地安装某种形式的恶意软件,将控制权交给 Botnet 操作员。 网络犯罪分子从僵尸网络
理解Domain-flux僵尸网络DGA
weixin_43178406的博客
07-15 1147
Gafgyt C&C所在区域
m0_74079109的博客
10-14 352
例如,伏影实验室本年度检测到了大量被命名为 HybridMQ 的 Gafgyt 变种木马,其二进制文件中包含 Gafgyt 木马的基础通信框架,Mirai 木马的 C&C 信息保护逻辑,以及来自其他 Gafgyt/Mirai 变种的多种 DDoS 攻击代码。通用服务以及各类游戏服务为主,除固定的 21(FTP)、22(SSH)、 53(DNS)、80(HTTP)、443(HTTPS)、3074(XBOXLive) 以外,Gafgyt 瞄准的其他端口随着热门游戏服务 的变化而变化。
支持向量机算法区分僵尸网络DGA家族.zip
最新发布
02-15
本项目是进阶教程,可以作为入门的教程。内含数据集和训练脚本
基于机器学习僵尸网络DGA域名检测系统设计与实现.pdf
09-24
基于机器学习僵尸网络DGA域名检测系统设计与实现 在信息安全领域中,僵尸网络(Botnet)是一种常见的网络安全威胁。僵尸网络通常使用域名生成算法(Domain Generation Algorithm,DGA)来生成大量随机域名,以...
基于混合词向量深度学习模型的DGA域名检测方法.pdf
08-18
域名生成算法(DGA)是一种自动生成大量域名的技术,常被僵尸网络(botnets)所使用DGA生成的域名用于作为僵尸网络控制服务器和感染的主机之间的通讯渠道。这些由DGA生成的域名由于数量庞大且出现形式随机,传统...
基于DGA的DNS流量僵尸网络检测1
08-03
网络安全领域,基于DGA(Domain Generation Algorithm,域名生成算法)的僵尸网络已经成为一个日益严重的问题。DGA被恶意软件广泛采用,以绕过传统的安全系统检测,它能动态、频繁地生成大量随机的域名,使得这些...
13W包含各大病毒家族DGA 域名清单
08-31
13W的DGA域名样本可以用来训练一些DGA的检测算法,包含了各大病毒样本
高斯核训练svm分类_【首发推荐】计算机科学技术:基于SVM的DGA家族分类方法研究...
weixin_34321959的博客
12-10 174
点击上方蓝字关注“中国科技论文在线”不同家族域名字符特征基于SVM的DGA家族分类方法研究周琳娜,吕欣一作者单位北京邮电大学网络空间安全学院;国际关系学院信息科技学院摘要为了检测溯源僵尸网络,大量学者对检测区分使用动态域名算法生成的DGA恶意域名进行了研究,但在规则匹配上大多采用逆向分析的方法,这对使用者的技术要求较高,同时会耗费大量时间和人力资源。本文在对DGA恶意域名检测的基础上,对...
P2P僵尸网络-家族类别
m0_49025459的博客
01-12 597
Panchan 的挖矿设备是一个功能丰富的 Golang 僵尸网络和 cryptojacker。它的点对点协议很简单——TCP 上的明文,但它足以分散僵尸网络。又能坚忍不拔,能监视躲避。正在上传…重新上传取消植入恶意软件的是一个“godmode”——一个能够编辑挖矿配置的管理面板,然后将其分散到其他同行。为防止不必要的篡改,需要私钥才能访问 godmode,然后使用该私钥对挖矿配置进行签名。该恶意软件包含一个公钥,用于验证提供的私钥。管理面板是用日语写的,暗示了创建者的地理位置。
Dofloo 僵尸网络的攻击目标
m0_74079109的博客
10-14 401
本年度,Dofloo C&C下发的 DDoS 攻击指令以 CC、TCP Flood 和 UDP Flood 三类比较高效的攻击类型 为主,保持了一贯的攻击倾向。Dofloo 僵尸网络的控制者会对选定的攻击目标进行数分钟至数小时不等的 DDoS 攻击,每次攻击 活动中发送的 DDoS 攻击指令可以达到上千次。恶意邮件的主题往往与特定行业的业务以及当时的社会热点有关,其原因在于热点话题可以升邮 件的真实度、吸引更多关注度,同时被热点信息轰炸的邮箱用户也容易降低对恶意邮件的警觉性。
僵尸网络 Botnet
RedArvin的博客
10-30 3895
(最近学习人工智能有个识别DGA域名的小作业,就去了解了一下僵尸网络。) 1.什么是僵尸网络 僵尸网络 Botnet 是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。[FROM 百度百科] 僵尸主控机通过 ** 命令和控制信道(C&C) **与被感染主机通信,利用被感染主机进行挖矿、发送大量垃圾邮件、实施ddos攻击、部署中转服务器等。 2.几个重要概念 (1)命令控制信道 命令控制信道(Command & Contr
物联网僵尸网络Gafgyt家族与物联网设备后门漏洞利用
不忘初心,护天下安全!
06-30 1581
Gafgyt(又称BASHLITE,Qbot,Lizkebab,LizardStresser)是一款基于IRC协议的物联网僵尸网络程序,主要用于发起DDoS攻击。它可以利用内置的用户名、密码字典进行telnet爆破和对IOT设备RCE(远程命令执行)漏洞利用进行自我传播。于2015年泄露源码并被上传至github,此后衍生出多个变种,次年对互联网上的IOT设备的总感染数达到100W。Gafgyt家族曾发起过峰值400Gbps的DDoS攻击。截至2019年底,Gafgyt家族仍是除Mirai家族外的最大活跃物
《Web安全之机器学习入门》笔记:第章 10.3 K-Means算法检测DGA域名
mooyuan的博客
02-01 976
DGA域名指僵尸网络通过算法生成的随机性较高的域名,此类域名往往被攻击者用于构建自己的恶意软件基础设施,用于绕过安全产品的黑名单,从而规避安全设备的拦截以建立C2链接或DNS通道传输。 1.数据集: 本小节使用alexa前1000域名(679个样本:label标记为0)作为白样本,使用dga-cryptolocker(1000个样本:label标记为1)和dga-tovar-goz(1000个样本:label标记为2)做为黑样本. def load_alexa(filename): ...
基于DNS特征的僵尸网络攻击检测 论文翻译
qq_44465615的博客
11-04 1288
Botnets Detecting Attack based on DNS Features 2018 ACIT 摘要 僵尸网络被认为是一个威胁网络安全的严重问题。这是网络犯罪分子用来进行非法活动的一种手段。这些活动可能包括点击欺诈和DDoS攻击。本文旨在提出一种新的滤波方法“枪手系统”。上述方法涉及用于检测僵尸网络的基于规则的域名系统(DNS)特性。通过这种方法,研究人员期望提高基于DNS的僵尸网络检测的准确性。 关键词:Botnet, Domain Name System (DNS), Botnet
批量处理多DNS多域名的nslookup解析
feelingwild的博客
06-27 3066
利用EXCLE生成CSV文档,批量处理nslookup解析。并保存为CSV文档,方便进行查看: 输入文档格式: 最终输出文档情况: 代码: # coding=gbk import subprocess import csv def get_nslookup(domain, dns): res = subprocess.Popen("nslookup {0} {1}".format(domain, dns), stdin=subprocess.PIPE,
DNS流量挖掘与机器学习:一种僵尸网络检测系统
此研究强调了机器学习在应对网络安全挑战中的潜力,特别是在检测那些使用DGA的隐蔽僵尸网络方面。通过这种方式,可以更有效地识别和阻止恶意活动,提高网络安全保护能力。此外,该系统的设计和实施为未来的研究和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值