基于流量时空特征的fast-flux僵尸网络检测方法 被引量：12

1

作者 牛伟纳 蒋天宇 +3 位作者 张小松 谢娇 张俊哲 赵振扉 《电子与信息学报》 EI CSCD 北大核心 2020年第8期1872-1880,共9页

僵尸网络已成为网络空间安全的主要威胁之一,虽然目前可通过逆向工程等技术来对其进行检测,但是使用了诸如fast-flux等隐蔽技术的僵尸网络可以绕过现有的安全检测并继续存活。现有的fast-flux僵尸网络检测方法主要分为主动和被动两种,... 僵尸网络已成为网络空间安全的主要威胁之一,虽然目前可通过逆向工程等技术来对其进行检测,但是使用了诸如fast-flux等隐蔽技术的僵尸网络可以绕过现有的安全检测并继续存活。现有的fast-flux僵尸网络检测方法主要分为主动和被动两种,前者会造成较大的网络负载,后者存在特征值提取繁琐的问题。因此为了有效检测fast-flux僵尸网络并解决传统检测方法中存在的问题,该文结合卷积神经网络和循环神经网络,提出了基于流量时空特征的fast-flux僵尸网络检测方法。结合CTU-13和ISOT公开数据集的实验结果表明,该文所提检测方法和其他方法相比,准确率提升至98.3%,召回率提升至96.7%,精确度提升至97.5%。 展开更多

关键词 僵尸网络 fast-flux 卷积神经网络 循环神经网络

下载PDF 职称材料

Fast-flucos:基于DNS流量的Fast-flux恶意域名检测方法 被引量：11

2

作者 韩春雨 张永铮 张玉 《通信学报》 EI CSCD 北大核心 2020年第5期37-47,共11页

现有的Fast-flux域名检测方法在稳定性、针对性和流量普适性方面存在一些不足,为此提出一种基于DNS流量的检测方法Fast-flucos。首先,采用流量异常过滤和关联匹配算法,以提高检测的稳定性;然后,引入量化的地理广度、国家向量表和时间向... 现有的Fast-flux域名检测方法在稳定性、针对性和流量普适性方面存在一些不足,为此提出一种基于DNS流量的检测方法Fast-flucos。首先,采用流量异常过滤和关联匹配算法,以提高检测的稳定性;然后,引入量化的地理广度、国家向量表和时间向量表特征,以加强对Fast-flux域名检测的针对性;最后,采用更合理的正负样本和包括深度学习在内的多种机器学习方法确定最佳分类器和最优特征组合,以尽量确保对真实DNS流量的普适性。基于真实DNS流量的实验表明,Fast-flucos的召回率、精确率和ROC_AUC分别达到了0.9986、0.9767和0.9929,均优于当前主流的EXPOSURE、GRADE和AAGD等检测方法。 展开更多

关键词 fast-flux 域名系统 域名检测 机器学习 深度学习

下载PDF 职称材料

基于SVM的Fast—flux僵尸网络检测技术研究 被引量：7

3

作者 康乐 李东 余翔湛 《智能计算机与应用》 2011年第1X期24-27,共4页

近些年出现的采用Fast—flux技术的僵尸网络，给网络安全带来了极大的威胁。因此，有效检测Fast—flux僵尸网络就成为网络安全研究者关注的热点问题。目前的检测方法都存在误报率较高的问题。针对这个不足，通过对Fast—flux僵尸网络数... 近些年出现的采用Fast—flux技术的僵尸网络，给网络安全带来了极大的威胁。因此，有效检测Fast—flux僵尸网络就成为网络安全研究者关注的热点问题。目前的检测方法都存在误报率较高的问题。针对这个不足，通过对Fast—flux僵尸网络数据进行分析，选取Fast—flux僵尸网络的六个典型特征，提出了基于SVM的Fast—flux僵尸网络的检测方法。实验表明，基于SVM的Fast—flux僵尸网络检测方法明显地降低误报率。 展开更多

关键词 僵尸网络 支持向量机 fast—flux 域名系统

下载PDF 职称材料

基于域名的僵尸网络行为分析 被引量：4

4

作者 巫锡洪 刘宝旭 杨沛安 《信息网络安全》 2013年第9期10-13,共4页

域名系统作为互联网中最大的分布式系统,是连接用户和互联网的桥梁。但由于其自身协议的缺陷,不但出现了许多针对域名的恶意攻击行为,而且大量恶意行为还利用域名系统提高自身的生命力,如僵尸网络、网络钓鱼、垃圾邮件等。文章介绍了僵... 域名系统作为互联网中最大的分布式系统,是连接用户和互联网的桥梁。但由于其自身协议的缺陷,不但出现了许多针对域名的恶意攻击行为,而且大量恶意行为还利用域名系统提高自身的生命力,如僵尸网络、网络钓鱼、垃圾邮件等。文章介绍了僵尸网络的内涵和域名流量数据特征,分析了基于域名系统的Fast-Flux和Domain-Flux网络工作方式和基本特征,并总结了目前效率比较高的Flux僵尸网络的检测算法。 展开更多

关键词 域名系统 僵尸网络 fast—flux Domain—flux 流量特征

下载PDF 职称材料

基于网络流量的Fast-flux僵尸网络域名检测方法 被引量：1

5

作者 谷勇浩 郭振洋 《信息安全研究》 2020年第5期388-395,共8页

APT攻击危害着网络安全,对企业数据安全产生重大威胁,黑客和不法分子在APT攻击前可能会使用自己组建的僵尸网络为攻击做准备.同时为了提高僵尸网络的生成机会,攻击者常会使用Fast-flux技术隐藏主控机,因此要检测APT攻击需要先检测Fast-f... APT攻击危害着网络安全,对企业数据安全产生重大威胁,黑客和不法分子在APT攻击前可能会使用自己组建的僵尸网络为攻击做准备.同时为了提高僵尸网络的生成机会,攻击者常会使用Fast-flux技术隐藏主控机,因此要检测APT攻击需要先检测Fast-flux僵尸网络域名.本文调研了Fast-flux僵尸网络检测方法国内外研究现状,发现现有方法存在对CDN域名产生误报、准确率不高的问题.为此,本文提出两个新特征并且利用DNS流量设计了基于AdaBoosting算法的检测方法,然后对所提方法进行验证.实验表明,本文提出特征和方法在对Fast-flux域名检测时可以有效降低对CDN域名的误报率,大大提高整体检测性能. 展开更多

关键词 APT攻击 fast-flux 集成学习 DNS 僵尸网络

下载PDF 职称材料

浅谈企业网络安全预防与解决方案 被引量：1

6

作者 袁航 黄海标 《价值工程》 2020年第25期198-201,共4页

本文由一起发生在电力企业的网络安全事件为启发,系统地分析了事件产生的原因、背景以及导致事件情况恶化的因素。其中通过参考有关单位所进行的相关防护措施和事件处理方式,对此次发生在工业生产中的网络安全相关事件有了更加深刻的认... 本文由一起发生在电力企业的网络安全事件为启发,系统地分析了事件产生的原因、背景以及导致事件情况恶化的因素。其中通过参考有关单位所进行的相关防护措施和事件处理方式,对此次发生在工业生产中的网络安全相关事件有了更加深刻的认识,并从中对此类安全事件的预防和处理产生了一定的思考和想法,文末对如何防止此类事件的发生和如何处理此类事件提出了自己的想法和思路。 展开更多

关键词 网络安全 电力企业 僵尸网络 蠕虫 fast-flux

下载PDF 职称材料

Hybrid Detection and Tracking of Fast-Flux Botnet on Domain Name System Traffic 被引量：2

7

作者 邹福泰 章思宇 饶卫雄 《China Communications》 SCIE CSCD 2013年第11期81-94,共14页

Fast-flux is a Domain Name System(DNS)technique used by botnets to organise compromised hosts into a high-availability,loadbalancing network that is similar to Content Delivery Networks(CDNs).Fast-Flux Service Network... Fast-flux is a Domain Name System(DNS)technique used by botnets to organise compromised hosts into a high-availability,loadbalancing network that is similar to Content Delivery Networks(CDNs).Fast-Flux Service Networks(FFSNs)are usually used as proxies of phishing websites and malwares,and hide upstream servers that host actual content.In this paper,by analysing recursive DNS traffic,we develop a fast-flux domain detection method which combines both real-time detection and long-term monitoring.Experimental results demonstrate that our solution can achieve significantly higher detection accuracy values than previous flux-score based algorithms,and is light-weight in terms of resource consumption.We evaluate the performance of the proposed fast-flux detection and tracking solution during a 180-day period of deployment on our university’s DNS servers.Based on the tracking results,we successfully identify the changes in the distribution of FFSN and their roles in recent Internet attacks. 展开更多

关键词 domain name system BOTNET fast-flux

下载PDF 职称材料

DGA域名与APT攻击技术研究

8

作者 赵煜 尹川铭 向媛媛 《网络安全技术与应用》 2022年第9期2-4,共3页

速变Domain-flux与Fast-flux技术的诞生,解决了C2服务器的隐藏问题,成为APT攻击过程中的常用手段。本文研究了DGA域名生成算法,Domain-flux与Fast-flux技术,及APT攻击的常用攻击方式,并提出了一种基于DGA域名检测的APT攻击感知方法,用... 速变Domain-flux与Fast-flux技术的诞生,解决了C2服务器的隐藏问题,成为APT攻击过程中的常用手段。本文研究了DGA域名生成算法,Domain-flux与Fast-flux技术,及APT攻击的常用攻击方式,并提出了一种基于DGA域名检测的APT攻击感知方法,用于分析DGA域名与APT攻击间的关系,实现对机构内APT攻击的风险隐患的实时监测。 展开更多

关键词 DGA域名 Domain-flux fast-flux APT攻击

原文传递

基于Passive DNS的速变域名检测 被引量：16

9

作者 周昌令 陈恺 +2 位作者 公绪晓 陈萍 马皓 《北京大学学报（自然科学版）》 EI CAS CSCD 北大核心 2016年第3期396-402,共7页

利用Passive DNS采集校园网真实运行环境的域名访问记录,从域名的多样性、时间性、增长性和相关性等方面构建18个特征集,提出基于随机森林算法来识别速变域名的模型。交叉验证实验表明,所构建的模型对域名分类的准确率超过90%。在所采... 利用Passive DNS采集校园网真实运行环境的域名访问记录,从域名的多样性、时间性、增长性和相关性等方面构建18个特征集,提出基于随机森林算法来识别速变域名的模型。交叉验证实验表明,所构建的模型对域名分类的准确率超过90%。在所采集的数据集上,所构建的模型比Flux Buster能更有效地识别速变域名。 展开更多

关键词 PASSIVE DNS 速变域名 随机森林算法 DGA CDN

下载PDF 职称材料

基于多模态特征融合的Fast-Flux恶意域名检测方法 被引量：7

10

作者 郎波 谢冲 +1 位作者 陈少杰 刘宏宇 《信息网络安全》 CSCD 北大核心 2022年第4期20-29,共10页

Fast-Flux恶意域名是僵尸网络通信中的一种重要载体,通过快速变换域名解析的IP抵御检测。目前,恶意域名检测系统大多基于传统机器学习模型,需要对数据进行复杂处理和特征提取,并且需要借助大量第三方数据源,导致检测的实时性较差。域名... Fast-Flux恶意域名是僵尸网络通信中的一种重要载体,通过快速变换域名解析的IP抵御检测。目前,恶意域名检测系统大多基于传统机器学习模型,需要对数据进行复杂处理和特征提取,并且需要借助大量第三方数据源,导致检测的实时性较差。域名解析是一个复杂的过程,并且具有丰富的特征,文章设计了基于多模态特征融合的Fast-Flux恶意域名检测方法。首先利用GCN模块提取空间特征,采用BiLSTM模块提取域名文本特征,然后利用MLP模块提取侧信息特征,最后利用神经网络将这3种特征进行融合。在Fast-Flux-Attack-Datasets公开数据集上进行实验,实验结果表明,该方法的精确率达99.94%、召回率达99.76%、准确率达99.69%,总体效果优于当前同类方法。文章所提方法有效融合了域名解析的多模态特征,明显提升了检测效果,对于提高僵尸网络检测能力具有重要意义。 展开更多

关键词 fast-flux恶意域名检测 僵尸网络 GCN 多模态特征

下载PDF 职称材料

基于域名系统流量的Fast-Flux僵尸网络检测方法 被引量：6

11

作者 左晓军 董立勉 曲武 《计算机工程》 CAS CSCD 北大核心 2017年第9期185-193,共9页

在僵尸网络中,为保持服务器的可用性和隐蔽性,与域名关联的Flux-Agent的IP地址需要不停地变动,而黑名单策略对于阻止Fast-Flux僵尸网络攻击已经失效。为解决该问题,基于域名系统流量的分析和识别技术,提出一种新的Fast-Flux僵尸网络检... 在僵尸网络中,为保持服务器的可用性和隐蔽性,与域名关联的Flux-Agent的IP地址需要不停地变动,而黑名单策略对于阻止Fast-Flux僵尸网络攻击已经失效。为解决该问题,基于域名系统流量的分析和识别技术,提出一种新的Fast-Flux僵尸网络检测方法,用于检测互联网中使用Fast-Flux技术的僵尸网络,且对域名的分析不局限于来自垃圾邮件、点击欺诈或黑名单列表的可疑域名。实验结果表明,该方法能够以较高的准确率检测Fast-Flux僵尸网络,并且有利于完善黑名单列表。 展开更多

关键词 僵尸网络 fast-flux域名 域名系统流量 层次聚类 机器学习

下载PDF 职称材料

基于代理控制力的Fast-Flux僵尸网络检测方法 被引量：6

12

作者 刘资茂 李芝棠 +2 位作者 李战春 李冬 方平 《广西大学学报（自然科学版）》 CAS CSCD 北大核心 2011年第A01期105-109,共5页

本文基于Fast-Flux僵尸网络对僵尸代理机器控制能力的分析,提出了一种实时检测Fast-Flux僵尸网络的方法,该方法可以通过主动提交DNS查询或者被动分析DNS响应数据包以度量可疑域名相映射IP地址的均匀分布率和平均可服务率以鉴别该域名是... 本文基于Fast-Flux僵尸网络对僵尸代理机器控制能力的分析,提出了一种实时检测Fast-Flux僵尸网络的方法,该方法可以通过主动提交DNS查询或者被动分析DNS响应数据包以度量可疑域名相映射IP地址的均匀分布率和平均可服务率以鉴别该域名是否是Fast-Flux域名。通过利用支持向量机(SVM)的实验表明,该方法具有较高的检测率、较低的误判率。 展开更多

关键词 僵尸网络 fast—flux僵尸网络 DNS SVM

下载PDF 职称材料

微型堆辐照座内快中子通量谱的测定 被引量：5

13

作者 侯小琳 王珂 《核技术》 CAS CSCD 北大核心 1997年第7期385-390,共6页

用Ａｌ、Ｆｅ、Ｉｎ和Ｎｉ作探测片，用阈探测片活化法测定了中国原子能科学研究院微型堆内、外辐照孔道的快中子通量。用平均截面法求得内外辐照孔道的快中子与热中子通量比（Φｆ／Φｔｈ）分别为０．１９８和０．０７７。用有效阈能... 用Ａｌ、Ｆｅ、Ｉｎ和Ｎｉ作探测片，用阈探测片活化法测定了中国原子能科学研究院微型堆内、外辐照孔道的快中子通量。用平均截面法求得内外辐照孔道的快中子与热中子通量比（Φｆ／Φｔｈ）分别为０．１９８和０．０７７。用有效阈能法计算了不同能量区间的快中子通量。同时也对四个内辐照管之间及内、外辐照管内径向和轴向快中子通量的不均匀度进行了测定。 展开更多

关键词 微型反应堆 快中子通量 中子活化阈 中子探测

下载PDF 职称材料

速变服务网络行为特征分析 被引量：2

14

作者 褚燕琴 应凌云 +1 位作者 冯登国 苏璞睿 《计算机系统应用》 2013年第8期1-8,33,共9页

速变(Fast-Flux)服务网络通过返回不断变化的DNS解析结果,以大量被攻陷主机的IP地址作为服务地址,利用被攻陷主机进行重定向形成服务网络.长时间跟踪并记录了分布在全球6大洲的300个DNS服务器对23000多个域名的解析结果.根据DNS解析数据... 速变(Fast-Flux)服务网络通过返回不断变化的DNS解析结果,以大量被攻陷主机的IP地址作为服务地址,利用被攻陷主机进行重定向形成服务网络.长时间跟踪并记录了分布在全球6大洲的300个DNS服务器对23000多个域名的解析结果.根据DNS解析数据,文章对比其他研究成果从多个维度对Fast-Flux恶意域名和Fast-Flux服务网络的行为特征进行了全面讨论,并进一步开展特征辨识度分析.关于Fast-Flux服务网络行为特征的分析揭示了FFSN新的行为变化,为恶意域名检测、网络资源保护等提供了依据. 展开更多

关键词 fast-flux服务网络 fast-flux域名 行为特征 行为分析 DNS

下载PDF 职称材料

辐照监督管中子注量率精细化模型计算方法研究 被引量：5

15

作者 邓理邻 吕焕文 +2 位作者 谭怡 肖锋 魏述平 《核动力工程》 EI CAS CSCD 北大核心 2013年第S1期84-86,共3页

针对采用传统简化模型计算反应堆辐照监督管快中子注量率出现的计算结果与实测值误差较大问题,对计算模型进行改进,建立堆芯燃料组件内部结构的精细化计算模型,并将传统简化模型、改进的精细化模型的计算结果与实测值进行比较。结果表明... 针对采用传统简化模型计算反应堆辐照监督管快中子注量率出现的计算结果与实测值误差较大问题,对计算模型进行改进,建立堆芯燃料组件内部结构的精细化计算模型,并将传统简化模型、改进的精细化模型的计算结果与实测值进行比较。结果表明,辐照监督管改进的精细化计算模型的计算结果相对于实测值的误差大幅降低。 展开更多

关键词 辐照监督管 快中子注量率 精细化模型

下载PDF 职称材料

基于IP分布及请求响应时间的恶意fast-flux域名检测算法 被引量：3

16

作者 袁福祥 王琤 +1 位作者 刘粉林 巩道福 《信息工程大学学报》 2017年第5期601-606,共6页

提出了一种基于域名对应IP分布及IP对请求响应时间波动的恶意fast-flux域名检测算法。该算法基于合法域名与fast-flux僵尸网络域名在域名解析IP的分布特性与IP对请求响应时间波动特性方面的差异,将解析IP分布特性与IP对请求响应时间的... 提出了一种基于域名对应IP分布及IP对请求响应时间波动的恶意fast-flux域名检测算法。该算法基于合法域名与fast-flux僵尸网络域名在域名解析IP的分布特性与IP对请求响应时间波动特性方面的差异,将解析IP分布特性与IP对请求响应时间的波动性作为参量生成两维特征,给出具体的特征表示。通过SVM分类器进行实验验证了该两维特征的分类效果。特征分析及实验结果表明,相比于现有的检测方法,文章算法能够更准确地检测恶意fastflux域名,虚警率、漏报率较低。 展开更多

关键词 fast-flux域名 IP分布 响应时间 检测

下载PDF 职称材料

三维离散纵标方法在RPV快中子注量率计算中的初步应用 被引量：4

17

作者 杨寿海 陈义学 +2 位作者 王伟金 石生春 陆道纲 《核科学与工程》 CSCD 北大核心 2011年第4期294-298,共5页

离散纵标(又称SN)方法是反应堆压力容器快中子注量率计算中最常用的方法之一。计算机的飞速发展和三维离散纵标方法的不断完善,使得三维离散纵标法应用于工程设计成为可能。本文以某压水堆为研究对象,采用基于三维全堆芯中子学程序SCIE... 离散纵标(又称SN)方法是反应堆压力容器快中子注量率计算中最常用的方法之一。计算机的飞速发展和三维离散纵标方法的不断完善,使得三维离散纵标法应用于工程设计成为可能。本文以某压水堆为研究对象,采用基于三维全堆芯中子学程序SCIENCE的计算结果,使用三维离散纵标方法程序计算了压力容器内表面快中子注量率三维分布,并分别与采用传统的一维、二维方法合成三维方法及蒙特卡洛方法得到的计算结果进行了比较,从而对三维离散纵标法在压水堆RPV快中子注量率计算中的应用进行了初步验证。 展开更多

关键词 三维离散纵标法 快中子注量

下载PDF 职称材料

反应堆压力容器快中子注量计算模型简化方法研究 被引量：4

18

作者 刘巧凤 韩静茹 +1 位作者 陈海英 张春明 《核电子学与探测技术》 CAS 北大核心 2015年第12期1201-1204,共4页

反应堆压力容器快中子注量计算是反应堆工程设计和国家核安全监管部门关注的一项重要内容,在计算中不可避免地采用一些模型简化方法,这些简化方法将对计算结果产生一定的影响。利用MC方法计算程序MCNP对反应堆压力容器快中子注量计算过... 反应堆压力容器快中子注量计算是反应堆工程设计和国家核安全监管部门关注的一项重要内容,在计算中不可避免地采用一些模型简化方法,这些简化方法将对计算结果产生一定的影响。利用MC方法计算程序MCNP对反应堆压力容器快中子注量计算过程中的模型简化方法开展研究,评估这些简化方法的利弊,为压力容器快中子注量计算提供合理建议,保障计算的严谨性。 展开更多

关键词 压力容器 快中子注量 MC方法

下载PDF 职称材料

Application of global variance reduction method to calculate a high-resolution fast neutron flux distribution for TMSR-SF1 被引量：2

19

作者 Pu Yang Ye Dai +4 位作者 Yang Zou Rui Yan Bo Zhou Shi-He Yu Yu-Wen Ma 《Nuclear Science and Techniques》 SCIE CAS CSCD 2019年第8期66-76,共11页

The solid fuel thorium molten salt reactor(TMSR-SF1) is a 10-MWth fluoride-cooled pebble bed reactor. As a new reactor concept, one of the major limiting factors to reactor lifetime is radiation-induced material damag... The solid fuel thorium molten salt reactor(TMSR-SF1) is a 10-MWth fluoride-cooled pebble bed reactor. As a new reactor concept, one of the major limiting factors to reactor lifetime is radiation-induced material damage. The fast neutron flux(E > 0.1 MeV) can be used to assess possible radiation damage. Hence, a method for calculating high-resolution fast neutron flux distribution of the full-scale TMSR-SF1 reactor is required. In this study,a two-step subsection approach based on MCNP5 involving a global variance reduction method, referred to as forward-weighted consistent adjoint-driven importance sampling, was implemented to provide fast neutron flux distribution throughout the TMSR-SF1 facility. In addition,instead of using the general source specification cards, the user-provided SOURCE subroutine in MCNP5 source code was employed to implement a source biasing technique specialized for TMSR-SF1. In contrast to the one-step analog approach, the two-step subsection approach eliminates zero-scored mesh tally cells and obtains tally results with extremely uniform and low relative uncertainties.Furthermore, the maximum fast neutron fluxes of the main components in TMSR-SF1 are provided, which can be used for radiation damage assessment of the structural materials. 展开更多

关键词 TMSR-SF1 fast NEUTRON flux Globalvariance REDUCTION MCNP

下载PDF 职称材料

基于Fast-Flux的DNS异常行为分析 被引量：1

20

作者 李骜骋 王峥 《计算机工程》 CAS CSCD 北大核心 2018年第12期184-189,195,共7页

研究基于Fast-Flux域名系统(DNS)报文的异常行为,并分析僵尸网络的工作特点,依据大量DNS报文的数据,了解Fast-Flux的攻击特性,找到Fast-Flux攻击的具体特征,识别出DNS流量中的异常数据。通过对DNS数据的综合分析,区分Fast-Flux和频繁更... 研究基于Fast-Flux域名系统(DNS)报文的异常行为,并分析僵尸网络的工作特点,依据大量DNS报文的数据,了解Fast-Flux的攻击特性,找到Fast-Flux攻击的具体特征,识别出DNS流量中的异常数据。通过对DNS数据的综合分析,区分Fast-Flux和频繁更换IP的大型网站,给出Fast-Flux报文存活时间较短、时间差分布平均、请求频繁、IP池等特征,并提出一种报文筛选的算法。分析结果证明,与传统僵尸网络检测方法相比,在报文正确率相同的情况下,该算法实现更加简单,可以准确形容Fast-Flux的攻击行为。 展开更多

关键词 fast-flux攻击 僵尸网络 域名系统 负载躲避 载流均衡

下载PDF 职称材料