基于机器学习技术的DNS查询僵尸网络检测新方法

摘要

在当今的安全领域，随着攻击模式的扩展，高级威胁正变得越来越难以检测。严重依赖静态匹配的经典方法，如黑名单或正则表达式模式，在检测系统数据中的恶意数据时，可能在灵活性或不确定性方面受到限制。这就是机器学习技术可以展示其价值的地方，并提供新的见解和更高的检测率。本文研究了僵尸网络使用域流量技术隐藏命令和控制通道的行为。文中还介绍了用于分析网络DNS协议和识别僵尸网络的机器学习算法和文本挖掘。为此目的，使用了包含健康和受感染DGA僵尸网络数据的提取和标记的域名数据集。应用基于文本挖掘方法的数据预处理技术，通过n-gram分析和主成分分析来探索域名字符串。通过主成分分析提取统计特征，提高了算法的性能。使用不同的机器学习算法分类器，如决策树、支持向量机、随机森林和逻辑回归，对所提模型的性能进行了评估。实验结果表明，随机森林算法可以有效地用于僵尸网络检测，具有最佳的僵尸网络检测精度。

1.介绍

互联网的普及导致了一些网络攻击的危险，包括僵尸网络、DDoS攻击和垃圾邮件。目前，僵尸网络是网络攻击中最普遍、最严重的威胁。Bots是由一个被称为botmaster的攻击者控制的，在一个共享命令和控制(C&C)基础设施下，允许它们远程控制受感染的计算机系统。机器人不同于其他形式的恶意软件，因为它们是高度自主的，并具有使用通信渠道从控制系统接收命令和代码更新的能力。他们也可以定期通知他们的工作状态到他们的控制系统。僵尸网络控制系统，即命令和控制服务器，是僵尸主人向僵尸程序发送命令和代码更新的手段。僵尸网络经常被用来传播恶意软件、发送垃圾邮件、窃取敏感信息、欺骗、产生虚拟点击，更严重的是进行大规模的网络攻击，如DDoS攻击。根据一些安全报告，约80%的互联网流量与僵尸网络的活动有关，包括滥发垃圾邮件和网络攻击[1］.域名服务(DNS)是互联网上的一项重要服务，它允许将主机名或域名解析为互联网协议(IP)地址，反之亦然。例如，每当一个web客户端浏览器访问一个网页时，它首先向DNS系统发送一个请求，以找到web服务器的IP地址。接下来，它使用IP地址访问web服务器并加载所请求的网页。大多数合法应用程序在请求访问网络服务时都使用DNS服务。然而，DNS服务也被僵尸网络的僵尸作为合法应用程序使用。bot发送DNS查询，以找到C&C服务器的IP地址，当他们有IP地址;它们访问C&C服务器以接收命令，以及下载更新后的bot代码。为了逃避C&C服务器的扫描和检测，僵尸主人使用预定义的技术，如域生成算法(DGA)或快速流，不断更改C&C服务器的名称和IP地址[2那3.］.C&C服务器的名称和IP地址不断被推送到DNS系统。机器人也能够根据这些技术自动生成C&C服务器名称。因此，机器人仍然可以通过自动生成C&C服务器的主机名并使用这些主机名查询DNS服务来找到C&C服务器的IP地址。因此，通过对DNS查询数据的监控和分析，可以发现被监控网络中存在恶意行为，因为部分DNS查询数据可能是由僵尸网络产生的。对可疑DNS查询的深入分析可能会揭示有关C&C服务器和僵尸网络存在的有价值的信息。有效地处理僵尸网络需要仔细考虑控制它们的通道。这已经成为世界各地安全系统面临的主要挑战之一。

僵尸网络被广泛用于有组织犯罪，渗透政府、银行和公司的安全系统。近年来，人们对僵尸网络的检测和防御方法进行了大量的研究。据柳和杨所说[4.]， 2017年亚马逊作为控制和命令服务器创建的IP地址数量比2016年增加了6倍[4.］.攻击者使用各种方法，如加密和新的通信协议来加强发送命令的基础。基于[5.[Botnet的主要目标如下：（1）信息色散：发送垃圾邮件，分布式，拒绝服务，从非法来源分发错误信息，消除或减少带宽;（2）信息收获：获取个人身份，密码和财务信息;和（3）信息处理：要打击密码以访问其他主机的信息处理。

1993年，当EGGDROP僵尸网络被报道为第一个僵尸网络时，Necurs僵尸网络是2016年最活跃的恶意软件发布者之一。11月24日，僵尸网络Necurs每天以电子邮件附件的形式发送超过230万封垃圾邮件，其中包括JavaScript和Visual Basic下载程序。根据同一份报告，僵尸网络显示了2016年最大的DDoS攻击，由法国主机公司OVH记录。正如Gartner预测的那样，最高速度为1 TBps，目标是家庭路由器、IP摄像头等物联网(IoT)设备。到2022年，将有超过120亿台物联网设备，因此预防这些威胁的第一步是检测它们，这是近年来许多研究的主题[4.］.

提出了一种DGA检测框架——深度机器人检测(Deep Bot Detect, DBD)，用于对机器学习提取的DNS查询的统计特征进行分析和分类。该框架的结果证明了检测域通量僵尸网络的准确性和低假阳性率[6.］.

Bilbo是一种混合模型，由卷积神经网络(CNN)、长短期记忆(LSTM)和人工神经网络(ANN)组成，用于检测DGA僵尸网络[7.］.实验在gozi、matsnu和suppobox三种DGA字典上进行。从数据集中，80%用于训练，20%随机选择测试和坚持。对于测试分类、泛化和基于时间的弹性的结果，比尔博成功地对匹配预期网络模式的流量进行了分类。虽然从网络日志中识别出的域不是僵尸网络或蠕虫，但比尔博能够识别出广告网络和其他具有潜在恶意意图的应用程序使用的字典DGAs。现实世界的部署:系统的性能评估使用Alexa top100万DGArchive的数据。

僵尸网络检测算法存在各种挑战，可能影响结果[8.］.这些挑战与用于训练和测试基于机器学习的方法的数据集的质量和数量有关。另一个挑战是快速通量(Fast Flux)方法，僵尸网络可以隐藏自己的身份，网络罪犯可以逃避或检测到它。深度包检测(Deep Packet Inspection, DPI)对加密流量没有效果，而机器学习僵尸网络检测和基于主机的检测机制需要大量的处理和存储资源。这可能会导致主机的开销，因为它们必须一直运行以检查网络流量和收集数据。

基于流的功能，如源和目的IP、协议、发送和接收的数据包数量是bot检测领域最常用的功能。但是，这些函数不能完全捕获可能暴露恶意主机其他方面的通信模式。此外，流级模型产生了较高的计算开销，可以通过调整数据包的结构等行为特征来避免。为了克服这些局限性，探索这些方法的基于图的特征是未来研究最有希望的方式，其中图是从主机到主机的网络流通信模式[9.那10］.

一种基于分析类似定期时间间隔系列DNS查询来呈现的方法，以识别DGA-Bot受感染的机器[11］.为了度量DNS查询的相似周期性，计算了每对时间间隔序列之间的欧氏距离的平方。最后，采用分层聚类算法对高度相似的域名进行聚类。结果表明，由同一僵尸网络或DGA生成的域名将被归入同一个集群。

2.方法

如前所述，僵尸网络的主要特征是它们的C＆C基础设施。每个僵尸网络都是C＆C通道的协调机器组，并执行恶意活动。因此，所提出的方法的主要目的是检测僵尸网络以防止垃圾邮件和网络流量的扩散。如果发现僵尸网络，则可以防止数百万垃圾邮件。

该方法通过分析用户行为和记录主机间的流量来提取网络行为模式。采用术语频率反文档频率(TFIDF)模型对行为模式检测模块进行建模，并采用主成分分析(PCA)提高诊断评价结果的速度和准确性。行为模式可以从一组攻击包中提取，并以可理解的检测规则的形式用于检测在线入侵。自然，使用的数据越多、质量越高，所提方法的强度就越高。从而实现了如何利用机器学习检测恶意DGA域的过程。这有助于将现有的安全应用程序扩展到Splunk。

Splunk是一个搜索、分析和可视化从网站、应用程序、传感器和设备收集的机器生成数据的软件平台。为了实现所提出的方法，Splunk 7.0版本使用了16gb内存、Intel Core i7-7660U处理器和64位Windows 10操作系统的PC。以下插件可用于识别恶意域名:（一世）DGA分析应用．此应用程序显示如何使用MLTK运行机器学习以检测恶意域名。恶意软件如僵尸网络使用域生成算法来创建托管恶意网站或C＆C服务器的URL。静态匹配并不总是有帮助。因此，机器学习模型可以增加值并允许增加检测率[12］.(2)Splunk机器学习工具包．Splunk Machine Learning Toolkit App提供了新的SPL命令、自定义可视化、助手和示例来探索各种ML概念。它还包括对数据应用可视化和SPL命令的能力。您可以检查辅助面板和底层代码，以了解它是如何工作的[13］.（iii）科学计算Python．这个附加组件包含一个Python解释器，与以下科学和机器学习库绑定:numpy, scipy, pandas, scikit-learn和stats模型。有了这个插件，就可以在自定义搜索命令、自定义rest端点、模块化输入等等中导入这些强大的库[14］.(iv)平行坐标．自定义可视化为在搜索和调查期间提供新的交互式方式来可视化数据。它在仪表板和报告中提供更好的沟通结果。安装此应用后，并行坐标可视化已在搜索和仪表板中创立作为可视化选择器中的其他项目[15］.（v）3D散点图．这种可视化可以在三维中查看散点图[16］.

3.研究数据

为了评估使用机器学习算法进行域名分类的性能，使用了一个提取和标记的域名数据集，该数据集包含10万个域名。这包括从Spamhaus网站获取的无害域名的集合[17］.无风险域集位于Alexa排名的顶部。在Virustotal.com上检查安全域名以确保它们是安全的。近60％的域名是合法域，其余40％属于三个DGA子类别，对应于不同类型的僵尸网络。图中列出了一个锁定，中间和新收益箱和危险域名的集合1．第一个数据集从标记的域名开始，表示合法域或由DGA创建[18］.在图2，合法域字母在蓝色集群中，危险的域字母在单独的群集中（黄色，红色和紫色）​​。这表明一些DGA子类别如Newgoz（黄色）比其他DGA（黄色）更可分离（红色和紫色）​​。这意味着Newgez检测比储物柜，Zeus和Chinad探测器更准确。此方法的结果是从域名字符串计算的第一个数字属性。使用这些结果，可以确定域如何与DGA子类别的规范相关。

4.提出的模型

数字3.显示基于机器学习的僵尸网络检测系统的框架模型，使用DNS查询数据。根据此框架，僵尸网络定期向DNS系统发送查询，以使用生成的域名自动查找C＆C服务器的IP地址。它们以两次训练和检测执行。在训练阶段期间，收集DNS查询数据，然后提取DNS查询中的域名。接下来，预处理域名集以提取培训的属性。在训练阶段，使用机器学习算法来学习分类器。在评估过程之后，将选择机器学习算法以应用于具有最高整体分类精度的诊断模型。在该模型的检测阶段，监视DNS查询并通过该过程。此过程分别使用训练阶段中生成的分类是域名提取，预处理和分类。这是为了确定域名是否合法或属于僵尸网络。 The preprocessing step is the same for all domain letters in the training and the detection phase. However, for all domain names in the training phase dataset, this step is done in offline mode.

自动生成的僵尸网络域名通常具有与合法域名不同的域名规格和词法属性。通过n-gram分析和主成分分析，探讨了Shannon熵准则、字典中的已知词率、域名、长度、辅音和元音率以及域分析字符串等特征。采用TFIDF算法，将n-gram参数设置为可以通过矩阵得到的字符长度，维数可以有效地改进结果分析，提高诊断的准确性。这个矩阵包含域名字符串中最常见的组。这样就得到了高维结果。因此，通过使用主成分分析，降维。PCA提供了一个有用的表示，可以绘制成如图所示的三维点图4.．

机器学习应用于Splunk以查找异常，预测或估计系统的响应，或群集以检测行为。它经常处理一组字段，这些字段是由人类或国家代码为IP搜索或索引的搜索字段编写的异常信息。

4.1。预处理数据

要确定最有希望预测恶意域的功能，分析字段SPL命令。它适用于对所有属性进行排序并确定具有最高精度的排名属性，用于创建机器学习模型的最高精度。富有附加功能的域名如表所示1．

分布图见图5.显示了选择的两个特征(香农熵和语义比)如何适合于合法域和DGA子类别域。为了显示基于所选属性的分布类别和子类别，将根据平行坐标图生成依赖关系图。这允许在多维数据集中探索特征和识别模式之间的关系。在本研究中，采用PCA方法增加了优化过程，提高了机器学习算法的准确性。数字6.显示用于计算所考虑的属性的搜索处理语言（SPL）命令。

提出了一种虚线图以识别属性的组合。表示不同分布的功能可以快速识别。因此，更容易制造精确的预测。可以基于域名绘制URL工具箱结果的结果。用于计算不同域名属性的值的SPL代码如图所示6.．

在特征设计和选择阶段，可以利用机器学习算法对某些数据进行挖掘和添加特征，提高检测精度。此外，还可以通过添加Alexa排名、域名、年龄、常见的黑名单、白名单等获得更多功能。这将改进数据集并识别机器学习的特征。数字7.显示了用于添加PCA特性和n-gram分析的SPL命令，添加字段的输出如图所示8.．

4.2。分类标准

为了评估僵尸网络检测技术的性能，提出了定量测量的合适标准[19］.在僵尸网络检测方法中，将分析的网络数据分为正常组和可疑组。任何偏离正常交通模式的数据都被认为是可疑数据。因此，我们必须通过真阳性(TP)、真阴性(TN)、假阳性(FP)和假阴性(FN)来确定真阳性率(TPR)和假阳性率(FPR)。

4.2.1。真正的积极

正确的僵尸网络活动警报的数量，包括每次中断时的攻击模式和C&C，称为真阳性。

4.2.2。真正的负

每个当前中断的正常活动的正确诊断的数量称为正确的负数。

4.2.3。假阳性

僵尸网络活动的虚假警告数量，包括每次中断时的攻击和C&C模式，称为假阳性。

4.2.4。假阴性

僵尸网络活动的虚假警告数量，包括每次中断时的攻击和C&C模式，称为假阳性。

4.2.5。记起

它表明该算法能够正确地检测机器人流量的百分比。该参数是通过正确识别为机器人流量的机器人流量的比率从算法到总机器人流量的总数[5.，计算为

4.2.6。精确

它表示算法作为正常流量识别的流量的百分比是正常的。该参数是从算法检测到的正常流量的比率获得，以作为正常流量检测到算法检测到的总流量的总数[5.］.它是计算的

4.2.7。F_措施

该参数是精度和查全率两个参数的组合，由

4.2.8。准确性

该参数表示算法的总体准确率，是算法正确检测到的总流量与总流量的比值[5.]表示输出可以信任多少。它是计算的

4.2.9。紊乱矩阵

它被称为显示监督算法性能的矩阵。矩阵的每列显示预测值的样本。该矩阵用于确定评估指标的值，例如精度和准确性。

5.创建和评估机器学习模型

本文旨在根据所创建的特征将域名分为风险和合法两类。可以使用不同的算法和机器学习模型进行训练，以评估哪种算法最准确。在这个评估中，逻辑回归算法，支持向量机，随机森林和决策树被研究。另外，采用了分析域名的主要成分和属性的技术，提高了检测算法的准确性[1］.

首先，具有随机数据，现有数据集分为两个相等的培训和测试集。将提到的算法进行处理并与预期数据进行比较。在下一步中，基于在正确的预测和正负速率方面的算法行为的成功率，评估结果可以从偏差矩阵读取。分类字段的预测由Splunk机器学习应用提供。这些数据根据图进行处理9.-12随机森林、逻辑回归、支持向量机和决策树算法。使用添加的特征，这些算法被处理，并符合图中的SPL命令13．

如图所示14根据回归算法的说法，不正确的分类的组合误差率差不多为7％。精度，召回，精度和F1的值为93％。其他算法根据图评估15-17，并且在相同条件下评估性能。

如图所示18和表2，以最少的假阳性数获得最佳性能，以最低的预测错误率获得最佳组合结果，都与随机森林有关。然而，决策树有一个类似的功能。通过对两种算法的交叉验证，可以认为该算法适用于该数据集。在这种情况下，logistic回归算法的准确率最低，预测错误率最高。此外，通过添加PCA特征和比较表3.和4.，结果表明，DGA数据的预测可以增加99.2％。

在上述模型的训练步骤之后，应该计算在第一部分中创建的属性。对于数据，使用Splunk库中的工具，每分钟都会生成一组随机采样域字母，并在真实搜索范围内使用机器学习对随机森林算法、决策树、物流回归和SVM进行学习。正确和错误预测的过程在图中详细说明19-22结果如下所示。

通过考虑主要分析组件的数据集，实际基于时间的搜索随机林，决策树，逻辑回归和支持向量机来计算。根据表格5.，与其他算法相比，决策树和随机林的分析时间较低。

应用该研究中使用的数据集的主要目的是减少分析所需信息。结果列表仅显示预期的DGA并检查这些DGA算法是否具有安全风险。此外，通过编辑其代码，图形界面是自定义的，其中安全分析师能够为系统提供反馈。如果域名数据报告为合法，则可以白名单错误地分类为DGA。这将导致降低所识别的DGA域的进一步误报，如图所示23．

在这种机制中，生成的另一级分类可以以不同的方式使用。通过手动插入验证结果进入训练数据集，通过持续培训提高了所提出的模型的准确性。这有助于将模型保持最新，并且通过增加白名单中的合法域，培训数据集最后在白名单中增加了更大的时间，扩大了使用批准分类准确匹配的黑名单。结合所有这些方法都会导致我们可以根据我们的组织环境和规范存储和修改的实时威胁列表[18］.图中概括了所绘制的逻辑24．

6.评价参数

评价结果表明，算法的性能与不同的参数有关。

6．1.数据模拟与分析

为了评估使用机器学习算法的僵尸网络域名分类器的性能，我们使用包含健康和受感染的DTA僵尸网络数据的提取和标记的域名数据集。

6.2。属性的设计和选择

在数据集中，基于文本挖掘方法，我们浏览具有n-gram分析和PCA的域名字符串，并识别域名结构中存在的特定模式和功能。

6.3。用机器学习算法建模

我们基于所创建的特征，通过机器学习模型与逻辑回归算法、支持向量机、随机森林和决策树来分析域字母。

6.4。评价标准的评价与比较

在DGA僵尸网络数据集上的实验结果表明，大多数机器学习技术所使用的总体分类准确率都达到了95%以上，其中随机森林算法分类准确率较高，产生最好的结果，选择数据集特性可以对改善结果产生重大影响。

提供以下成就以解决本研究中的DGA僵尸问题。

6.5。最优特征的提取

在识别控制中心和DGA Botnet命令时使用文本挖掘与结构无关;提取的特征可以用高精度僵尸网络控制中心识别，与其结构（集中，对等和基础设施）无关。

6.6。提供检测方法

使用机器学习方法和算法提供智能识别僵尸网络。利用这些算法，在短时间学习时间模型之后，它将能够自动和智能地识别来自普通域的机器人感染域。

6.7。能力在线

所提出的方法在线，可以位于在线监控系统旁边，以执行DGA域检测。

7.结论

新一代的僵尸网络正在使用流动技术来远离黑名单。研究表明，网络罪犯越来越多地利用这些技术来逃避传统的侦查方法。DNS流量的特点之一是可以避开随机名称生成算法攻击。这是一个新的挑战，攻击者完善他们的DGA机器人。本文提出了一种基于机器学习的随机域生成算法的僵尸网络检测模型。该模型使用基于文本挖掘模型的域名查询数据。因此，对僵尸网络使用域流量技术隐藏命令控制通道的行为进行了研究。

文中还介绍了应用机器学习算法和文本挖掘技术分析DNS协议和识别僵尸网络的方法。为此目的，提取和标记的域名数据集包含干净和受感染的DGA僵尸网络数据。为了探索域名字符串，采用基于文本挖掘方法的n-gram分析和PCA对数据进行预处理。域名结构中存在一些特性。采用特征选择方法提高机器学习算法的准确性。

评价结果表明，算法的性能随参数的不同而不同。精度是指机器人流量与算法识别出的机器人流量的比率。召回参数还指定了算法检测机器人流量的速率。从测试结果可以看出，在决策树算法、支持向量机算法、随机森林算法和逻辑回归算法中，逻辑回归算法总体分类准确率最低。此外，随机森林算法具有最高的分类精度。然而，其他算法在分类准确率上的差异并不大。决策树算法和支持向量机算法具有几乎相同的总体分类准确率。随机森林算法的结果明显优于决策树算法。但是，由于训练所需的树木数量较多，因此随机森林的训练时间较长。然而，随机森林分类训练可以离线进行。 Hence, it does not affect the classification speed during the test period. The random forest machine learning algorithm has the highest overall classification accuracy. It is selected for implementing the proposed botnet detection model.

数据可用性

没有数据用于支持这项研究。

的利益冲突

作者声明不存在利益冲突。

参考文献

1. X. D. Hoang和Q. C. Nguyen，“基于DNS查询数据的机器学习技术的僵尸网络检测”，未来的互联网，卷。10，没有。5，p。43,2018。查看在：出版商的网站|谷歌学术
2. K.Alieyan，A.Almomani，A.Manasrah和M. M. Kadhum，“基于DNS的僵尸网络检测调查”神经计算与应用第28卷第2期7、pp. 1541-1558, 2017。查看在：出版商的网站|谷歌学术
3. X. Li，J. Wang和X. Zhang，“基于DNS的僵尸网络检测技术”未来的互联网，第9卷，第5期。4，第55页，2017。查看在：出版商的网站|谷歌学术
4. S. Ryu和B. Yang，“机器学习算法的比较研究及其对僵尸网络检测的合奏”，计算机与通讯杂志，第6卷，第2期5，页119-129,2018。查看在：出版商的网站|谷歌学术
5. J. B. Grizzard, V. Sharma, C. Nunnery, B. B. Kang，和D. Dagon，“点对点僵尸网络:概述和案例研究”，在在理解僵尸网络上的热门话题第一次研讨会会议的诉讼程序（Hotbots'07），剑桥，马，美国，2007年4月。查看在：谷歌学术
6. R. Vinayakumar、K. P. Soman、P. Poornachandran、M. Alazab和A. Jolfaei基于深度学习dga的僵尸网络检测，第127-149页，麦考瑞大学，悉尼，澳大利亚，2019年，英语。查看在：出版商的网站
7. K. Highnam, D. Puzio, S. Luo, N. R. Jennings，“基于深度学习的字典DGA网络流量实时检测”，SN计算机科学，第2卷，第2期2，第110页，2021。查看在：出版商的网站|谷歌学术
8. K. Shinan, K. Alsubhi, a . Alzahrani, M. U. Ashraf，“基于机器学习的软件定义网络中的僵尸网络检测:系统综述”，对称，卷。13，不。5，p。866,2021。查看在：出版商的网站|谷歌学术
9. A. A. Daya, M. A. Salahuddin, N. Limam, R. Boutaba，“一种用于机器人检测的基于图的机器学习方法”2019年IFIP / IEEE集成网络和服务管理研讨会（IM）的诉讼程序，pp.144-152，华盛顿特区，美国，​​2019年4月。查看在：谷歌学术
10. S. Chowdhury, M. Khanzadeh, R. Akula等，“使用基于图的特征聚类的僵尸网络检测”，大数据杂志，卷。4，pp。1-23,2017。查看在：出版商的网站|谷歌学术
11. “基于分析相似的周期性DNS查询来检测僵尸机器”，在2015年通信、管理和电信国际会议论文集，pp。35-40，岘港，越南，2015年12月。查看在：出版商的网站|谷歌学术
12. P. Drieger，“Splunk的DGA应用程序”，2018，https://splunkbase.splunk.com/app/3559/．查看在：谷歌学术
13. Splunk Inc.，“Splunk Machine Learning Toolkit”，2018，https://splunkbase.splunk.com/app/2890/．查看在：谷歌学术
14. Splunk Inc.，“科学计算Python”，2018，https://splunkbase.splunk.com/app/2881/．查看在：谷歌学术
15. Splunk Inc.，“平行坐标-自定义可视化”，2018，https://splunkbase.splunk.com/app/3137/．查看在：谷歌学术
16. X. Johnson，“3D散点图-自定义可视化”，2018，https://splunkbase.splunk.com/app/3138/．查看在：谷歌学术
17. Spamhaus Malware Labs，“2017年Spamhaus Botnet威胁报告”，2018年，https://www.spamhaus.org/news/article/772/spamhaus-botnet-threat-report-2017．查看在：谷歌学术
18. Splunk Inc.，“操作 - 机器 - 学习到侦测恶意域”，2018，https://www.splunk.com/en_us/form/operationalizing-machine-learning-to-detect-malious-domain.html.．查看在：谷歌学术
19. D. Acarali，M.Rajarajan，N.Komninos和I. Herwono，“关于识别基于HTTP的僵尸网络流量的方法和功能调查”网络与计算机应用学报，卷。76，pp。1-15,2016。查看在：出版商的网站|谷歌学术

版权

版权所有©2021 Ali Soleymani和Fatemeh Arabgol。这是一篇发布在创意公共归因许可证如果正确引用了原始工作，则允许在任何媒体中的不受限制使用，分发和再现。