公开(公告)号：CN111628970A

公开(公告)日：2020-09-04

申请号：CN202010332176.2

申请日：2020-04-24

Applicant: 中国科学院计算技术研究所

Inventor： 熊威 ,  姜海洋

IPC: H04L29/06 ,  H04L29/12 ,  G06N3/08 ,  G06N3/04

Abstract: 本发明实施例提供了一种DGA型僵尸网络的检测方法、介质和电子设备，该检测方法包括：B1、对所有待检测网络中的域名进行预处理得到以数值向量表示的域名；B2、将进行预处理后的待检测网络的域名输入深度神经网络模型，提取每个域名的域名深度特征向量；B3、基于提取到的每个域名的域名深度特征向量，使用聚类算法根据域名之间的距离对每个待检测网络内的域名进行聚类，以确定所述待检测网络是否是DGA型僵尸网络。本发明通过构造深度神经网络以监督学习的方式自学习域名特征，不需要人工干预，实现了域名深度特征提取，保证了域名特征的全面性和有效性，提升了检测精度。

公开(公告)号：CN117319347A

公开(公告)日：2023-12-29

申请号：CN202310907061.5

申请日：2023-07-21

Applicant: 中国科学院计算技术研究所

Inventor： 熊威 ,  关洪涛

IPC: H04L61/4511 ,  H04L9/40 ,  G06N3/09 ,  G06V10/764

Abstract: 本发明提出一种基于图的Fast Flux域名检测方法，包括：获取待Fast Flux域名检测的目标域名及其相关主机所处的位置信息；根据各相关主机的位置信息，统计相关主机之间的距离；以每台该相关主机为一个节点，以节点之间的距离为带权重的边，构建该目标域名的位置分布图；将该位置分布图输入基于监督学习的图同构网络，根据图同构网络的输出值，得到该目标域名是否属于Fast Flux域名。本发明通过采用使用一个涵盖全部主机间分布信息的图结构来更全面地刻画域名的相关主机的位置分布特征，使得无需人工选择统计指标来刻画该特征。并使用基于监督学习的图同构网络实现图分类；最终提高了Fast Flux域名的检测准确率。

公开(公告)号：CN111628970B

公开(公告)日：2021-10-15

申请号：CN202010332176.2

申请日：2020-04-24

Applicant: 中国科学院计算技术研究所

Inventor： 熊威 ,  姜海洋

IPC: H04L29/06 ,  H04L29/12 ,  G06N3/08 ,  G06N3/04

Abstract: 本发明实施例提供了一种DGA型僵尸网络的检测方法、介质和电子设备，该检测方法包括：B1、对所有待检测网络中的域名进行预处理得到以数值向量表示的域名；B2、将进行预处理后的待检测网络的域名输入深度神经网络模型，提取每个域名的域名深度特征向量；B3、基于提取到的每个域名的域名深度特征向量，使用聚类算法根据域名之间的距离对每个待检测网络内的域名进行聚类，以确定所述待检测网络是否是DGA型僵尸网络。本发明通过构造深度神经网络以监督学习的方式自学习域名特征，不需要人工干预，实现了域名深度特征提取，保证了域名特征的全面性和有效性，提升了检测精度。