CN109714335A - 一种信息检测方法及信息检测装置 - Google Patents
一种信息检测方法及信息检测装置 Download PDFInfo
- Publication number
- CN109714335A CN109714335A CN201811600102.1A CN201811600102A CN109714335A CN 109714335 A CN109714335 A CN 109714335A CN 201811600102 A CN201811600102 A CN 201811600102A CN 109714335 A CN109714335 A CN 109714335A
- Authority
- CN
- China
- Prior art keywords
- information
- characteristic
- classification
- parameter
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供了一种信息检测方法及信息检测装置,所述方法包括:获得域名系统中通信信息的特征信息,其中,所述特征信息用以表征用户的操作行为;对所述特征信息进行可检测化处理,得到所述特征信息对应的特征参数;以预设方式对所述特征参数进行检测,得到检测结果;根据所述检测结果,对所述通信信息进行相应的处理。通过主动地获得域名系统中通信信息的能够表征用户的操作行为的特征信息,并对所述通信信息进行相应的处理,使得在对域名系统中的流量信息进行检测时,所提取的特征信息更加有针对性且更加具有真实性,进而提高检测结果的准确性及实用性。
Description
技术领域
本申请涉及网络信息检测领域,特别是一种信息检测方法及信息检测装置。
背景技术
目前,域名系统作为当今互联网的重要基础设施,对整个网络提供关键性的基础服务,它将便于记忆的域名映射为互联网协议地址。在网络安全领域,域名系统是攻击者从事恶意行为和活动的重要依赖资源。
对于每一个单位和客户,在日常工作和生活中,使用网络过程中产生的流量具有依赖于个体的特殊性。域名系统本身提供域名和互联网协议地址的映射关系,因此产生的域名系统流量具有一定的范围和特殊性。
现有技术中,对异常域名系统流量检测的一种是针对特定的攻击或恶意行为进行,主要使用技术仅仅为基于阈值的动静态统计或是基于特定特征的机器学习算法,但是,此方法仅仅针对恶意行为进行检测,不具有通用性;另一种是通过被动的获取域名系统流量进行识别和解析,提取内容及不同维度的特征,同时,结合域名黑名单库进行过滤,最终使用聚类算法对流量进行建模,然后使用模型进行测试,最终结果偏离模型中已知类较远,则认为是异常流量,本方法中,仅依据被动获取的域名系统流量,提取的内容和行为特征有限,导致模型检测效果不佳。
发明内容
有鉴于现有技术中存在的上述问题,本申请提供了一种能够主动获取检测特征信息并且能够进行准确检测的信息检测方法及信息检测装置。
本申请实施例提供了一种信息检测方法,包括:
获得域名系统中通信信息的特征信息,其中,所述特征信息用以表征用户的操作行为;
对所述特征信息进行可检测化处理,得到所述特征信息对应的特征参数;
以预设方式对所述特征参数进行检测,得到检测结果;
根据所述检测结果,对所述通信信息进行相应的处理。
在本申请的一些实施例中,所述获得域名系统中通信信息的特征信息,包括:
获取域名系统的流量信息;
识别所述流量信息,并从所述流量信息中筛选出通信信息;
解析所述通信信息,获得所述通信信息的特征信息。
在本申请的一些实施例中,所述对所述特征信息进行可检测化处理,包括:
对所述特征信息进行数值化和归一化处理。
在本申请的一些实施例中,所述以预设方式对所述特征参数进行检测,包括:
通过预先训练的检测模型对所述特征参数进行检测,其中,所述检测模型通过以下步骤得到:选取各个类别中已确定类别信息的一个历史特征参数;以所述各个类别中已确定类别信息的一个历史特征参数为输入,以每个所述历史特征参数对应的类别信息为输出,生成所述检测模型的初始化模型;以所述各个类别中已确定类别信息的其它历史特征参数为输入,以每个所述其它历史特征参数对应的类别信息为输出,训练所述初始化模型生成所述检测模型,所述检测模型用以检测所述特征参数并确定检测结果。
在本申请的一些实施例中,用以训练所述检测模型的历史特征参数对应的类别的数量与训练后生成的所述检测模型确定的检测结果对应的类别的数量相同。
在本申请的一些实施例中,所述根据所述检测结果,对所述通信信息进行相应的处理,包括:
根据所述检测结果,对所述通信信息给出相应的提示信息,其中,所述提示信息以无线通信或是有线通信的方式传送。
本申请实施例还提供了一种信息检测装置,包括:
获得模块,其用于获得域名系统中通信信息的特征信息,其中,所述特征信息用以表征用户的操作行为;
第一处理模块,其用于对所述特征信息进行可检测化处理,得到所述特征信息对应的特征参数;
检测模块,其用于以预设方式对所述特征参数进行检测,得到检测结果;
第二处理模块,其用于根据所述检测结果,对所述通信信息进行相应的处理。
在本申请的一些实施例中,所述装置还包括:
获取模块,其用于获取域名系统的流量信息;
识别模块,其用于识别所述流量信息,并从所述流量信息中筛选出通信信息;
所述获得模块具体用于,解析所述通信信息,获得所述通信信息的特征信息。
在本申请的一些实施例中,所述第一处理模块具体用于:
对所述特征信息进行数值化和归一化处理。
在本申请的一些实施例中,所述检测模块具体用于:
通过预先训练的检测模型对所述特征参数进行检测,其中,所述检测模型通过以下步骤得到:选取各个类别中已确定类别信息的一个历史特征参数;以所述各个类别中已确定类别信息的一个历史特征参数为输入,以每个所述历史特征参数对应的类别信息为输出,生成所述检测模型的初始化模型;以所述各个类别中已确定类别信息的其它历史特征参数为输入,以每个所述其它历史特征参数对应的类别信息为输出,训练所述初始化模型生成所述检测模型,所述检测模型用以检测所述特征参数并确定检测结果。
与现有技术相比,本申请的有益效果在于:通过采用上述的方法,能够主动地获得域名系统中通信信息的能够表征用户的操作行为的特征信息,最大限度地保留了用户操作行为的原始特征,进而对所述特征信息进行可检测化处理,得到所述特征信息对应的特征参数,并在以预设方式对所述特征参数进行检测后,得到相应的检测结果,进而再根据检测结果,对所述通信信息进行相应的处理,使得在对域名系统中的流量信息进行检测时,所提取的特征信息更加有针对性且更加具有真实性,进而提高检测结果的准确性及实用性。
附图说明
图1为本申请实施例中的信息检测方法的流程图;
图2为本申请实施例中的信息检测装置的框图。
具体实施方式
为使本领域技术人员更好的理解本申请的技术方案,下面结合附图和具体实施方式对本申请作详细说明。
此处参考附图描述本申请的各种方案以及特征。
通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本申请的这些和其它特性将会变得显而易见。
还应当理解,尽管已经参照一些具体实例对本申请进行了描述,但本领域技术人员能够确定地实现本申请的很多其它等效形式,它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。
当结合附图时,鉴于以下详细说明,本申请的上述和其它方面、特征和优势将变得更为显而易见。
此后参照附图描述本申请的具体实施例;然而,应当理解,所发明的实施例仅仅是本申请的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以根据用户的历史的操作,判明真实的意图,避免不必要或多余的细节使得本申请模糊不清。因此,本文所发明的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本申请。
本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其它实施例中”,其均可指代根据本申请的相同或不同实施例中的一个或多个。
本申请实施例提供了一种信息检测方法,包括:
获得域名系统中通信信息的特征信息,其中,所述特征信息用以表征用户的操作行为;
对所述特征信息进行可检测化处理,得到所述特征信息对应的特征参数;
以预设方式对所述特征参数进行检测,得到检测结果;
根据所述检测结果,对所述通信信息进行相应的处理。
通过采用上述的方法,能够主动地获得域名系统中通信信息的能够表征用户的操作行为的特征信息,最大限度地保留了用户操作行为的原始特征,进而对所述特征信息进行可检测化处理,得到所述特征信息对应的特征参数,并在以预设方式对所述特征参数进行检测后,得到相应的检测结果,进而再根据检测结果,对所述通信信息进行相应的处理,使得在对域名系统中的流量信息进行检测时,所提取的特征信息更加有针对性且更加具有真实性,进而提高检测结果的准确性及实用性。
为了能够更加简单、详细的了解上述技术方案,下面结合实施例和附图对上述的信息检测方法进行详细阐述。
如图1所示,图1为本申请实施例中信息检测方法的流程图,所述信息检测方法包括如下步骤:
步骤101:获得域名系统中通信信息的特征信息,其中,所述特征信息用以表征用户的操作行为。
在本申请的一些实施例中,所述获得域名系统中通信信息的特征信息,包括:获取域名系统的流量信息;识别所述流量信息,并从所述流量信息中筛选出通信信息;解析所述通信信息,获得所述通信信息的特征信息。其中,获取域名系统的流量信息可以包括主动获取和被动获取两种方式,被动获取主要来源于域名系统服务器日志和流量、企业和内网网关流量以及互联网服务提供商(Internet Service Provider,简称ISP)流量,其中,域名系统服务器可以包括:根服务器(Root Server)、顶级服务器(top-level domain,简称:TLD)、权威服务器以及本地解析器等。同时,域名系统(DNS)流量根据传输层的不同可以分为区域传输和域名解析两种,在报文字段上的区别在于DNS报文首部的截断(TC)标志的状态不同;流量解析结果为域名系统(DNS)协议中Header、Question、Answer、Authority、Additional五部分的字段,覆盖QR请求应答标记、Opcode操作码、Flag标记(AA、TC、RD、RA)、域名/IP地址、Type类型、Class类别、生存时间TTL等主要的信息;日志的解析对象主要为域名系统(DNS)请求日志,解析器主要针对日志中的时间戳、协议号、报文字节数、IP/Port信息、响应标记位、查询域名地址、查询次数、查询类型、TTL时长、记录类型以及DNS结果IP等日志字段,通常情况下,能够根据异常查询请求与正常查询请求在字段上的差异,并结合恰当的分析算法发现差异。主动获取则是在被动获取到域名系统的流量信息后,对主动采集的DNS关联数据、第三方或者开放的数据库/数据集,从中筛选出有用的信息以供检测使用,具体地,可以运用深度报文检测(Deep Packet Inspection,简称:DPI)技术对流量信息进行过滤筛选,其中,流量信息包括地理位置信息(Geo地址位置信息)、域名信息(Whois信息)、互联网协议地址(IP)/地址范围(Domain)黑白名单、访问堆栈节点(ASN)号以及互联网协议地址(IP)/地址范围(Domain)附属应用或服务负载数据等,同时,对域名系统的域名对应的互联网协议地址进行应用层协议识别和服务过滤,进而得到域名系统的通信信息,通信信息可以包括日志信息和流量数据,通过解析所述通信信息,便能够获得所述通信信息中的特征信息,进而以通过对该特征信息进行检测查看是否存在异常情况,作为示例,可以是从地理位置信息中动态的获取到域名系统(DNS)的互联网协议地址(IP)的经纬度、区域信息,可以从域名(Whois)数据库中查询到域名的注册时间、有效期、变更记录等等。通过对上述方法获得的特征信息(如日志、数据流量等),能够客观、真实的反应出用户的日常行为及个人使用喜好,提高检测的准确性及客观性。
步骤102:对所述特征信息进行可检测化处理,得到所述特征信息对应的特征参数。在本实施例中,所述特征信息可以是域名系统(DNS)中的Authority、Additional字段信息、域名系统(DNS)查询类型、平均TTL时长、域名查询速率、互联网协议地址(IP)分布空间、域名查询最大次数、域名字符特征、字符长度、数字比例、字母比例、重复字母比例、字符熵、字符连续性与分散性、白名单(Alexa/dmoz/Web_spam_dataset,可通过这些网站获得)、黑名单(jwSpamSpy/abuse.ch/MDL/DNS-BH/cybercrime/PhishTank,可通过这些网站获得)、域名的IP地址所属的ASN的数量、ASN共享数量、域名绑定IP地址的数量、域名分布的国家域名数、WHOIS服务注册日期、WHOIS服务更新日期、网站注册的国家、网站注册的地点、HTTP响应头中的服务器、HTTP头内容长度、重定向方式、社会信誉特征(如微信分享总数、微博分享总数)等中的一种或几种。
在本申请的一些实施例中,所述对所述特征信息进行可检测化处理,包括:对所述特征信息进行数值化和/或归一化处理,进而提高所述特征信息的可检测性,同时,在得到所述特征信息对应的特征参数后,能够更加方便地对进行后续依据所述特征信息进行的相应检测,提高检测的准确性以及效率。
步骤103:以预设方式对所述特征参数进行检测,得到检测结果。
其中,以预设方式对所述特征参数进行检测可以是预先设定相应的检测方式,作为示例,可以是在获取到域名服务的注册时间后,依据预先设定的时间参数,对该域名服务进行检测,如,若该域名服务注册的时间距离当前日期仅为3个月(即仅注册了3个月),而预先设定的时间为1年,那么,则可以得知,该域名服务不能够通过检测。同时,也可以是根据对上述特征信息中其它相应信息进行设定相应的检测条件等,对特征信息进行相应的检测。此外,还可以直接依据互联网协议地址(IP)/地址范围(Domain)黑白名单作为快速匹配以完成检测。在本实施例中,检测结果可以是确定出特征参数是属于已划分的类别中的哪一个类别,进而依据其所属类别进行相应的处理,同时,所述特征参数在被划分到相应的类别后,便可以确定所述特征参数所对应的通信信息是否为异常。
在本申请的一些实施例中,所述以预定方式对所述特征参数进行检测还可以是以预先训练的检测模型对所述特征参数进行检测,其中,所述检测模型通过以下步骤得到:选取各个类别中已确定类别信息的一个历史特征参数;以所述各个类别中已确定类别信息的一个历史特征参数为输入,以每个所述历史特征参数对应的类别信息为输出,生成所述检测模型的初始化模型;以所述各个类别中已确定类别信息的其它历史特征参数为输入,以每个所述其它历史特征参数对应的类别信息为输出,训练所述初始化模型生成所述检测模型,所述检测模型用以检测所述特征参数并确定检测结果。在训练所述检测模型的时候,可以是将互联网协议地址(IP)/地址范围(Domain)黑白名单中的信息作为训练所述检测模型的训练数据,此外,也可以是以各个类别中已确定类别信息的历史特征参数为输入,以每个所述历史特征参数对应的类别信息为输出,训练所述检测模型,具体地,可以是随机从各个类别中选取一个已确定类别信息的历史特征参数,然后,以每个所述历史特征参数对应的类别信息为输出,生成所述检测模型的初始化模型,此时,通过剩余的已确定类别信息的历史特征参数训练所述初始化模型,通过这些已确定类别信息的历史特征参数对初始化模型输出的检测结果进行约束,不断提高所述初始化模型输出检测结果的精度,进而最终生成检测模型,使得所述检测模型能够输出最佳的检测结果。
在本实施例中,上述的检测模型可以通过以下算法实现:
输入:数据集D=Dl∪Du,其中已确定类别信息的历史特征参数集待检测的特征参数集类别个数c,迭代计时器num=0,迭代停止阈值ε;
输出:c个类别中心Zj及c个数据对象集合Cj;
初始化:利用已确定类别信息的历史特征参数集Dl生成初始化模型P(0),设置迭代计数器num=0;
步骤一:利用公式(4.1)计算或更新划分矩阵;
对于如果则有
如果使得则有且对于令
对于公式(4.1)中的m,实验证明取m=2比较合理。
步骤二:使用公式(4.2)更新初始化模型;
步骤三:终止条件判断:
若||P(num+1)-P(num)||<ε,算法结束并输出划分矩阵和各检测模型,否则num=num+1,转向步骤一,直至算法结束。
模糊C-均值算法的目标函数一般定义为:
上式中的距离dik一般定义为:
公式(4.3)中,m为加权指数,用于调节类别的模糊程度,根据经验m的取值范围为m∈[1.5,2.5],通常令m=2。v表示每个类别的中心,与类别中其它数据对象具有相同的维数p。
在本申请的一些实施例中,用以训练所述检测模型的历史特征参数对应的类别的数量与训练后生成的所述检测模型确定的检测结果对应的类别的数量相同。具体地,在选取各个类别中已确定类别信息的一个历史特征参数时,具体有多少个类别便是已经确定的,进而在生成所述检测模型后,便使得检测模型最终输出的检测结果对应的类别的数量与获取历史特征参数时对应的类别的数量相同。
步骤104:根据所述检测结果,对所述通信信息进行相应的处理。
在本申请的一些实施例中,所述根据所述检测结果,对所述通信信息进行相应的处理,包括:根据所述检测结果,对所述通信信息给出相应的提示信息,其中,所述提示信息以无线通信或是有线通信的方式传送。在本实施例中,该信息检测方法可以应用于一电子设备,该电子设备可以为笔记本电脑、台式电脑、平板电脑、手机等等,在此不做限定,具体地,在检测出相应的检测结果属于异常行为时,便可以生成相应的提示信息,如可以为禁止访问信息、提示访问有风险等等,同时,上述的禁止访问信息或提示访问有风险的信息可以通过日志、邮件、短信、即时通信(如微信、QQ等)对用户给与提示,此时,该电子设备可以与用户的手机、平板电脑、笔记本电脑等等建立有通信连接,如存储有用户的通信信息,如电话的电话号、微信号等等,进而依据存储的通信信息给出相应的提示。
本申请实施例还提供了一种信息检测装置,如图2所示,包括:
获得模块1,其用于获得域名系统中通信信息的特征信息,其中,所述特征信息用以表征用户的操作行为;
第一处理模块2,其用于对所述特征信息进行可检测化处理,得到所述特征信息对应的特征参数;
检测模块3,其用于以预设方式对所述特征参数进行检测,得到检测结果;
第二处理模块4,其用于根据所述检测结果,对所述通信信息进行相应的处理。
其中,所述第一处理模块2和所述第二处理模块4可以为同一处理模块也可以为不同的处理模块。
在本申请的一些实施例中,所述装置还包括:
获取模块,其用于获取域名系统的流量信息;
识别模块,其用于识别所述流量信息,并从所述流量信息中筛选出通信信息;
所述获得模块1具体用于,解析所述通信信息,获得所述通信信息的特征信息。
在本申请的一些实施例中,所述第一处理模块2具体用于:
对所述特征信息进行数值化和归一化处理。
在本申请的一些实施例中,所述检测模块3具体用于:
通过预先训练的检测模型对所述特征参数进行检测,其中,所述检测模型通过以下步骤得到:选取各个类别中已确定类别信息的一个历史特征参数;以所述各个类别中已确定类别信息的一个历史特征参数为输入,以每个所述历史特征参数对应的类别信息为输出,生成所述检测模型的初始化模型;以所述各个类别中已确定类别信息的其它历史特征参数为输入,以每个所述其它历史特征参数对应的类别信息为输出,训练所述初始化模型生成所述检测模型,所述检测模型用以检测所述特征参数并确定检测结果。
在本申请的一些实施例中,用以训练所述检测模型的历史特征参数对应的类别的数量与训练后生成的所述检测模型确定的检测结果对应的类别的数量相同。
在本申请的一些实施例中,所述第二处理模块4具体用于:
根据所述检测结果,对所述通信信息给出相应的提示信息,其中,所述提示信息以无线通信或是有线通信的方式传送。
由于本实施例所介绍的存储介质、电子设备为本申请实施例中指令处理的方法所对应的存储介质、电子设备,故而,基于本申请实施例中指令处理方法,本领域的技术人员能够了解本申请实施例中存储介质、电子设备的具体实施方式以及其各种变化形式,所以在此对于该存储介质、电子设备不再详细介绍。只要本领域所述技术人员实施本申请实施例中指令处理方法的存储介质、电子设备,都属于本申请所欲保护的范围。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理模块以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理模块执行的指令产生用于实现在流程图的一个流程或多个流程和/或方框图的一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图的一个流程或多个流程和/或方框图的一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图的一个流程或多个流程和/或方框图的一个方框或多个方框中指定的功能的步骤。
以上实施例仅为本申请的示例性实施例,不用于限制本申请,本申请的保护范围由权利要求书限定。本领域技术人员可以在本申请的实质和保护范围内,对本申请做出各种修改或等同替换,这种修改或等同替换也应视为落在本申请的保护范围内。
Claims (10)
1.一种信息检测方法,其特征在于,包括:
获得域名系统中通信信息的特征信息,其中,所述特征信息用以表征用户的操作行为;
对所述特征信息进行可检测化处理,得到所述特征信息对应的特征参数;
以预设方式对所述特征参数进行检测,得到检测结果;
根据所述检测结果,对所述通信信息进行相应的处理。
2.根据权利要求1所述的信息检测方法,其特征在于,所述获得域名系统中通信信息的特征信息,包括:
获取域名系统的流量信息;
识别所述流量信息,并从所述流量信息中筛选出通信信息;
解析所述通信信息,获得所述通信信息的特征信息。
3.根据权利要求1所述的信息检测方法,其特征在于,所述对所述特征信息进行可检测化处理,包括:
对所述特征信息进行数值化和归一化处理。
4.根据权利要求1所述的信息检测方法,其特征在于,所述以预设方式对所述特征参数进行检测,包括:
通过预先训练的检测模型对所述特征参数进行检测,其中,所述检测模型通过以下步骤得到:选取各个类别中已确定类别信息的一个历史特征参数;以所述各个类别中已确定类别信息的一个历史特征参数为输入,以每个所述历史特征参数对应的类别信息为输出,生成所述检测模型的初始化模型;以所述各个类别中已确定类别信息的其它历史特征参数为输入,以每个所述其它历史特征参数对应的类别信息为输出,训练所述初始化模型生成所述检测模型,所述检测模型用以检测所述特征参数并确定检测结果。
5.根据权利要求4所述的信息检测方法,其特征在于,用以训练所述检测模型的历史特征参数对应的类别的数量与训练后生成的所述检测模型确定的检测结果对应的类别的数量相同。
6.根据权利要求1所述的信息检测方法,其特征在于,所述根据所述检测结果,对所述通信信息进行相应的处理,包括:
根据所述检测结果,对所述通信信息给出相应的提示信息,其中,所述提示信息以无线通信或是有线通信的方式传送。
7.一种信息检测装置,其特征在于,包括:
获得模块,其用于获得域名系统中通信信息的特征信息,其中,所述特征信息用以表征用户的操作行为;
第一处理模块,其用于对所述特征信息进行可检测化处理,得到所述特征信息对应的特征参数;
检测模块,其用于以预设方式对所述特征参数进行检测,得到检测结果;
第二处理模块,其用于根据所述检测结果,对所述通信信息进行相应的处理。
8.根据权利要求7所述的信息检测装置,其特征在于,所述装置还包括:
获取模块,其用于获取域名系统的流量信息;
识别模块,其用于识别所述流量信息,并从所述流量信息中筛选出通信信息;
所述获得模块具体用于,解析所述通信信息,获得所述通信信息的特征信息。
9.根据权利要求7所述的信息检测装置,其特征在于,所述第一处理模块具体用于:
对所述特征信息进行数值化和归一化处理。
10.根据权利要求7所述的信息检测装置,其特征在于,所述检测模块具体用于:
通过预先训练的检测模型对所述特征参数进行检测,其中,所述检测模型通过以下步骤得到:选取各个类别中已确定类别信息的一个历史特征参数;以所述各个类别中已确定类别信息的一个历史特征参数为输入,以每个所述历史特征参数对应的类别信息为输出,生成所述检测模型的初始化模型;以所述各个类别中已确定类别信息的其它历史特征参数为输入,以每个所述其它历史特征参数对应的类别信息为输出,训练所述初始化模型生成所述检测模型,所述检测模型用以检测所述特征参数并确定检测结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811600102.1A CN109714335A (zh) | 2018-12-26 | 2018-12-26 | 一种信息检测方法及信息检测装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811600102.1A CN109714335A (zh) | 2018-12-26 | 2018-12-26 | 一种信息检测方法及信息检测装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109714335A true CN109714335A (zh) | 2019-05-03 |
Family
ID=66257693
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811600102.1A Pending CN109714335A (zh) | 2018-12-26 | 2018-12-26 | 一种信息检测方法及信息检测装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109714335A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112597491A (zh) * | 2020-12-23 | 2021-04-02 | 北京天融信网络安全技术有限公司 | 一种缓冲区溢出攻击的检测方法及电子设备 |
| CN112910925A (zh) * | 2021-03-08 | 2021-06-04 | 鹏城实验室 | 域名检测方法、模型训练方法及装置、设备、存储介质 |
| CN113395246A (zh) * | 2020-03-13 | 2021-09-14 | 中国互联网络信息中心 | 一种确定不良域名的方法及系统 |
| CN114006709A (zh) * | 2020-07-16 | 2022-02-01 | 四川大学 | 一种基于主动和被动探测的恶意域名服务器检测方法 |
| CN114362973A (zh) * | 2020-09-27 | 2022-04-15 | 中国科学院软件研究所 | 结合K-means和FCM聚类的流量检测方法及电子装置 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090098823A1 (en) * | 2007-10-10 | 2009-04-16 | Yoshinori Miyamoto | Communication system, relay device, and relay method |
| US20090147940A1 (en) * | 2007-12-05 | 2009-06-11 | Nortel Network Limited | Methods and systems for managing communication requests in an institutional setting such as a healthcare facility |
| CN102571486A (zh) * | 2011-12-14 | 2012-07-11 | 上海交通大学 | 一种基于BoW模型和统计特征的流量识别方法 |
| CN105703963A (zh) * | 2014-11-26 | 2016-06-22 | 中国科学院沈阳自动化研究所 | 基于pso-ocsvm的工业控制系统通信行为异常检测方法 |
| CN106781502A (zh) * | 2017-01-13 | 2017-05-31 | 合肥工业大学 | 一种基于向量量化训练模型的燃油汽车路况识别方法 |
| CN107592312A (zh) * | 2017-09-18 | 2018-01-16 | 济南互信软件有限公司 | 一种基于网络流量的恶意软件检测方法 |
| CN108200054A (zh) * | 2017-12-29 | 2018-06-22 | 北京奇安信科技有限公司 | 一种基于dns解析的恶意域名检测方法及装置 |
| CN108596229A (zh) * | 2018-04-13 | 2018-09-28 | 北京华电智慧科技产业有限公司 | 在线异常的监测诊断方法和系统 |
| CN108632227A (zh) * | 2017-03-23 | 2018-10-09 | 中国移动通信集团广东有限公司 | 一种恶意域名检测处理方法及装置 |
| CN108650195A (zh) * | 2018-04-17 | 2018-10-12 | 南京烽火天地通信科技有限公司 | 一种app流量自动识别模型构建方法 |
-
2018
- 2018-12-26 CN CN201811600102.1A patent/CN109714335A/zh active Pending
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090098823A1 (en) * | 2007-10-10 | 2009-04-16 | Yoshinori Miyamoto | Communication system, relay device, and relay method |
| US20090147940A1 (en) * | 2007-12-05 | 2009-06-11 | Nortel Network Limited | Methods and systems for managing communication requests in an institutional setting such as a healthcare facility |
| CN102571486A (zh) * | 2011-12-14 | 2012-07-11 | 上海交通大学 | 一种基于BoW模型和统计特征的流量识别方法 |
| CN105703963A (zh) * | 2014-11-26 | 2016-06-22 | 中国科学院沈阳自动化研究所 | 基于pso-ocsvm的工业控制系统通信行为异常检测方法 |
| CN106781502A (zh) * | 2017-01-13 | 2017-05-31 | 合肥工业大学 | 一种基于向量量化训练模型的燃油汽车路况识别方法 |
| CN108632227A (zh) * | 2017-03-23 | 2018-10-09 | 中国移动通信集团广东有限公司 | 一种恶意域名检测处理方法及装置 |
| CN107592312A (zh) * | 2017-09-18 | 2018-01-16 | 济南互信软件有限公司 | 一种基于网络流量的恶意软件检测方法 |
| CN108200054A (zh) * | 2017-12-29 | 2018-06-22 | 北京奇安信科技有限公司 | 一种基于dns解析的恶意域名检测方法及装置 |
| CN108596229A (zh) * | 2018-04-13 | 2018-09-28 | 北京华电智慧科技产业有限公司 | 在线异常的监测诊断方法和系统 |
| CN108650195A (zh) * | 2018-04-17 | 2018-10-12 | 南京烽火天地通信科技有限公司 | 一种app流量自动识别模型构建方法 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113395246A (zh) * | 2020-03-13 | 2021-09-14 | 中国互联网络信息中心 | 一种确定不良域名的方法及系统 |
| CN113395246B (zh) * | 2020-03-13 | 2022-04-26 | 中国互联网络信息中心 | 一种确定不良域名的方法及系统 |
| CN114006709A (zh) * | 2020-07-16 | 2022-02-01 | 四川大学 | 一种基于主动和被动探测的恶意域名服务器检测方法 |
| CN114006709B (zh) * | 2020-07-16 | 2022-12-16 | 四川大学 | 一种基于主动和被动探测的恶意域名服务器检测方法 |
| CN114362973A (zh) * | 2020-09-27 | 2022-04-15 | 中国科学院软件研究所 | 结合K-means和FCM聚类的流量检测方法及电子装置 |
| CN114362973B (zh) * | 2020-09-27 | 2023-02-28 | 中国科学院软件研究所 | 结合K-means和FCM聚类的流量检测方法及电子装置 |
| CN112597491A (zh) * | 2020-12-23 | 2021-04-02 | 北京天融信网络安全技术有限公司 | 一种缓冲区溢出攻击的检测方法及电子设备 |
| CN112597491B (zh) * | 2020-12-23 | 2024-01-26 | 北京天融信网络安全技术有限公司 | 一种缓冲区溢出攻击的检测方法及电子设备 |
| CN112910925A (zh) * | 2021-03-08 | 2021-06-04 | 鹏城实验室 | 域名检测方法、模型训练方法及装置、设备、存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109714335A (zh) | 一种信息检测方法及信息检测装置 | |
| Torabi et al. | Detecting Internet abuse by analyzing passive DNS traffic: A survey of implemented systems | |
| CN108200054B (zh) | 一种基于dns解析的恶意域名检测方法及装置 | |
| US9372994B1 (en) | Entity IP mapping | |
| US10078743B1 (en) | Cross identification of users in cyber space and physical world | |
| US9154516B1 (en) | Detecting risky network communications based on evaluation using normal and abnormal behavior profiles | |
| US8813228B2 (en) | Collective threat intelligence gathering system | |
| CN107579956B (zh) | 一种用户行为的检测方法和装置 | |
| Cova et al. | An analysis of rogue AV campaigns | |
| CN103179132B (zh) | 一种检测和防御cc攻击的方法及装置 | |
| CN102394885B (zh) | 基于数据流的信息分类防护自动化核查方法 | |
| US20100162350A1 (en) | Security system of managing irc and http botnets, and method therefor | |
| CN106131016A (zh) | 恶意url检测干预方法、系统及装置 | |
| CN107071084A (zh) | 一种dns的评价方法和装置 | |
| Berger et al. | Mining agile DNS traffic using graph analysis for cybercrime detection | |
| CN112929390B (zh) | 一种基于多策略融合的网络智能监控方法 | |
| Fukuda et al. | Detecting malicious activity with DNS backscatter over time | |
| CN103905372A (zh) | 一种钓鱼网站去误报的方法和装置 | |
| CN109428857B (zh) | 一种恶意探测行为的检测方法和装置 | |
| CN108540490A (zh) | 一种钓鱼网站的检测和域名备案存储方法 | |
| CN105530251A (zh) | 识别钓鱼网站的方法及装置 | |
| CN117478433B (zh) | 一种网络与信息安全动态预警系统 | |
| CN105262730A (zh) | 基于企业域名安全的监控方法及装置 | |
| CN110225009A (zh) | 一种基于通信行为画像的代理使用者检测方法 | |
| CN113746804A (zh) | Dns隐蔽信道检测方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190503 |
|
| RJ01 | Rejection of invention patent application after publication |