公开(公告)号：CN110336789A

公开(公告)日：2019-10-15

申请号：CN201910449046.4

申请日：2019-05-28

Applicant: 北京邮电大学 ,  杭州安恒信息技术股份有限公司

Inventor： 谷勇浩 ,  崔卓群 ,  范渊 ,  郭振洋 ,  李良训 ,  李凯悦 ,  林明峰 ,  刘博 ,  杨勃

IPC: H04L29/06 ,  H04L29/12 ,  G06K9/62

Abstract: 本发明涉及基于混合学习的Domain-flux僵尸网络检测方法，输入的DNS数据区分训练数据集和检测数据集，分别预处理并将预处理后的训练数据集输入模型，训练得到分类器，将预处理后的检测数据集输入分类器，输出聚类后的域名簇，计算域名簇分值并筛选属于Domain-flux僵尸网络域名的簇，获得受感染主机IP地址及C&C服务器IP地址。本发明为后续防御措施奠定基础，解析时使用和域名、时间、请求IP、解析IP等多方相关的特征，不容易被绕过；兼顾有监督和无监督学习优势，结合分类和聚类算法，可有效检测与训练集差异较大、表现形式不同的未知僵尸样本，相较其他聚类算法检测速度快。

公开(公告)号：CN110650157B

公开(公告)日：2021-01-15

申请号：CN201911013025.4

申请日：2019-10-23

Applicant: 北京邮电大学

Inventor： 谷勇浩 ,  郭振洋 ,  李良训 ,  王翼翡 ,  黄泽祺 ,  李凯悦

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明公开了基于集成学习的Fast‑flux域名检测方法，对DNS日志或DNS流量进行过滤，将非法记录删除，为后续特征提取减少数据处理量；对过滤后DNS日志或流量记录进行字段提取操作，进行特征提取，提取的特征包括：A记录数、国家数、ASN数、查询响应时间、查询响应包的大小；根据样本的类型，对正常域名和Fast‑flux域名进行标记；使用已标记的数据样本进行训练，通过集成思想生成最终强分类器；对检测数据进行预处理，得到最终的样本，并使用最终强分类器进行检测，生成分类结果。通过对DNS日志和流量进行分析，提取查询响应时间、响应包大小新特征，减低了对CDN域名的误报，提高了对Fast‑flux域名的检测效率。

公开(公告)号：CN110784462B

公开(公告)日：2020-11-03

申请号：CN201911013051.7

申请日：2019-10-23

Applicant: 北京邮电大学

Inventor： 谷勇浩 ,  高翊睿 ,  李良训 ,  黄泽祺 ,  王翼翡 ,  郭振洋

IPC: H04L29/06 ,  G06F16/953 ,  G06F16/955 ,  G06K9/62 ,  G06N3/04

Abstract: 本发明公开了基于混合方法的三层钓鱼网站检测系统，此检测系统由三层组成：第一层黑白名单、表单过滤层、第二层favicon检测层和第三层机器学习检测层；第一层黑白名单、表单过滤层可以及时发现已知钓鱼网站，降低检测的成本。第二层favicon检测层能够通过faviocn识别网站的真实身份从而检测钓鱼网站，速度较快且不需消耗太多资源。第三层机器学习检测层可以准确的地对第二层判定为可疑的网站进行识别，得到更精确的判定结果。三个级别的检测既保证识别结果的准确性，又能尽可能的降低检测的时间。

公开(公告)号：CN110784462A

公开(公告)日：2020-02-11

申请号：CN201911013051.7

申请日：2019-10-23

Applicant: 北京邮电大学

Inventor： 谷勇浩 ,  高翊睿 ,  李良训 ,  黄泽祺 ,  王翼翡 ,  郭振洋

IPC: H04L29/06 ,  G06F16/953 ,  G06F16/955 ,  G06K9/62 ,  G06N3/04

Abstract: 本发明公开了基于混合方法的三层钓鱼网站检测系统，此检测系统由三层组成：第一层黑白名单、表单过滤层、第二层favicon检测层和第三层机器学习检测层；第一层黑白名单、表单过滤层可以及时发现已知钓鱼网站，降低检测的成本。第二层favicon检测层能够通过faviocn识别网站的真实身份从而检测钓鱼网站，速度较快且不需消耗太多资源。第三层机器学习检测层可以准确的地对第二层判定为可疑的网站进行识别，得到更精确的判定结果。三个级别的检测既保证识别结果的准确性，又能尽可能的降低检测的时间。

公开(公告)号：CN110650157A

公开(公告)日：2020-01-03

申请号：CN201911013025.4

申请日：2019-10-23

Applicant: 北京邮电大学

Inventor： 谷勇浩 ,  郭振洋 ,  李良训 ,  王翼翡 ,  黄泽祺 ,  李凯悦

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明公开了基于集成学习的Fast-flux域名检测方法，对DNS日志或DNS流量进行过滤，将非法记录删除，为后续特征提取减少数据处理量；对过滤后DNS日志或流量记录进行字段提取操作，进行特征提取，提取的特征包括：A记录数、国家数、ASN数、查询响应时间、查询响应包的大小；根据样本的类型，对正常域名和Fast-flux域名进行标记；使用已标记的数据样本进行训练，通过集成思想生成最终强分类器；对检测数据进行预处理，得到最终的样本，并使用最终强分类器进行检测，生成分类结果。通过对DNS日志和流量进行分析，提取查询响应时间、响应包大小新特征，减低了对CDN域名的误报，提高了对Fast-flux域名的检测效率。