CN110392064B - 风险识别方法、装置、计算设备以及计算机可读存储介质 - Google Patents

风险识别方法、装置、计算设备以及计算机可读存储介质 Download PDF

Info

Publication number
CN110392064B
CN110392064B CN201910835642.6A CN201910835642A CN110392064B CN 110392064 B CN110392064 B CN 110392064B CN 201910835642 A CN201910835642 A CN 201910835642A CN 110392064 B CN110392064 B CN 110392064B
Authority
CN
China
Prior art keywords
domain name
target
characters
determining
character
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910835642.6A
Other languages
English (en)
Other versions
CN110392064A (zh
Inventor
马钰博
周明月
王敏
刘方毅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Industrial and Commercial Bank of China Ltd ICBC
Original Assignee
Industrial and Commercial Bank of China Ltd ICBC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Industrial and Commercial Bank of China Ltd ICBC filed Critical Industrial and Commercial Bank of China Ltd ICBC
Priority to CN201910835642.6A priority Critical patent/CN110392064B/zh
Publication of CN110392064A publication Critical patent/CN110392064A/zh
Application granted granted Critical
Publication of CN110392064B publication Critical patent/CN110392064B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Abstract

本公开提供了一种风险识别方法,包括:获取来自请求终端的解析请求,其中,解析请求包括目标域名,目标域名包括多个字符,解析请求用于请求与目标域名对应的目标地址数据;确定多个字符中的至少一个目标字符;确定至少一个目标字符在多个字符中出现的频率,得到至少一个目标频率;以及响应于至少一个目标频率满足预设条件,确定目标域名为风险域名。本公开还提供了一种风险识别装置、计算设备以及计算机可读存储介质。

Description

风险识别方法、装置、计算设备以及计算机可读存储介质
技术领域
本公开涉及计算机技术领域,特别是涉及一种风险识别方法、一种风险识别装置、一种计算设备以及一种计算机可读介质。
背景技术
随着互联网的普及,网络安全问题也日益突出,伴随着网络技术的发展,网络攻击手段也逐渐多样化。例如僵尸网络(Botnet)的出现给企业安全带来了严重的安全隐患,僵尸网络一般指采用一种或多种传播手段,将僵尸网络病毒传播至大量设备,使得大量设备被感染,从而在病毒控制者和大量被感染设备之间形成一对多的网络。由于僵尸网络频繁地更换域名,使得企业运维人员很难在短时间内准确地定位风险域名,导致无法及时发现风险。
在实现本公开构思的过程中,发明人发现相关技术中至少存在如下问题:在相关技术中,当僵尸网络发起攻击,造成网络瘫痪后,才采取诸如切断攻击源、停止攻击源域名解析等手段,但是这种方式不仅花费大量人力和物力,还不能从根本上解决问题。
发明内容
本公开的一个方面提供了一种风险识别方法,包括:获取来自请求终端的解析请求,其中,所述解析请求包括目标域名,所述目标域名包括多个字符,所述解析请求用于请求与所述目标域名对应的目标地址数据,确定所述多个字符中的至少一个目标字符,确定所述至少一个目标字符在所述多个字符中出现的频率,得到至少一个目标频率,响应于所述至少一个目标频率满足预设条件,确定所述目标域名为风险域名。
可选地,上述确定所述多个字符中的至少一个目标字符,包括以下至少一项:确定所述多个字符中的每一个字符作为一个目标字符,得到多个目标字符,确定多个字符中的任意两个字符作为所述至少一个目标字符,确定所述多个字符中的多个相邻字符作为所述至少一个目标字符。
可选地,上述目标域名包括目标域名类型字符。所述方法还包括:获取多个参考域名类型字符。
可选地,上述响应于所述至少一个目标频率满足预设条件,确定所述目标域名为风险域名,包括:响应于所述至少一个目标频率满足预设条件,确定所述目标域名类型字符是否为所述参考域名类型字符,响应于确定所述目标域名类型字符不是所述参考域名类型字符,确定所述目标域名为风险域名。
可选地,上述方法还包括:获取经训练的识别模型,利用所述识别模型,确定所述至少一个目标频率是否满足所述预设条件。
可选地,上述方法还包括:获取样本数据,所述样本数据包括历史风险域名和历史非风险域名,基于所述样本数据训练所述识别模型,验证所述识别模型。
可选地,上述方法还包括:响应于确定所述目标域名为风险域名,获取与所述目标域名对应的所述目标地址数据,修改所述目标地址数据得到测试地址数据,将所述测试地址数据发送至所述请求终端。
本公开的另一个方面提供了一种风险识别装置,包括:第一获取模块、第一确定模块、第二确定模块以及第三确定模块。其中,第一获取模块,获取来自请求终端的解析请求,其中,所述解析请求包括目标域名,所述目标域名包括多个字符,所述解析请求用于请求与所述目标域名对应的目标地址数据。第一确定模块,确定所述多个字符中的至少一个目标字符。第二确定模块,确定所述至少一个目标字符在所述多个字符中出现的频率,得到至少一个目标频率。第三确定模块,响应于所述至少一个目标频率满足预设条件,确定所述目标域名为风险域名。
可选地,上述确定所述多个字符中的至少一个目标字符,包括以下至少一项:确定所述多个字符中的每一个字符作为一个目标字符,得到多个目标字符,确定多个字符中的任意两个字符作为所述至少一个目标字符,确定所述多个字符中的多个相邻字符作为所述至少一个目标字符。
可选地,上述目标域名包括目标域名类型字符。所述装置还包括:第二获取模块,获取多个参考域名类型字符。
可选地,上述响应于所述至少一个目标频率满足预设条件,确定所述目标域名为风险域名,包括:响应于所述至少一个目标频率满足预设条件,确定所述目标域名类型字符是否为所述参考域名类型字符,响应于确定所述目标域名类型字符不是所述参考域名类型字符,确定所述目标域名为风险域名。
可选地,上述装置还包括:第三获取模块以及第四确定模块。其中,第三获取模块,获取经训练的识别模型。第四确定模块,利用所述识别模型,确定所述至少一个目标频率是否满足所述预设条件。
可选地,上述装置还包括:第四获取模块、训练模块以及验证模块。其中,第四获取模块,获取样本数据,所述样本数据包括历史风险域名和历史非风险域名。训练模块,基于所述样本数据训练所述识别模型。验证模块,验证所述识别模型。
可选地,上述装置还包括:响应模块、修改模块以及发送模块。其中,响应模块,响应于确定所述目标域名为风险域名,获取与所述目标域名对应的所述目标地址数据。修改模块,修改所述目标地址数据得到测试地址数据。发送模块,将所述测试地址数据发送至所述请求终端。
本公开的另一方面提供了一种计算设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如上所述的方法。
本公开的另一方面提供了一种非易失性可读存储介质,存储有计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
本公开的另一方面提供了一种计算机程序,所述计算机程序包括计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
附图说明
为了更完整地理解本公开及其优势,现在将参考结合附图的以下描述,其中:
图1示意性示出了根据本公开实施例的风险识别方法和风险识别装置的系统架构;
图2示意性示出了根据本公开第一实施例的风险识别方法的流程图;
图3示意性示出了根据本公开第二实施例的风险识别方法的流程图;
图4示意性示出了根据本公开第三实施例的风险识别方法的流程图;
图5示意性示出了根据本公开第四实施例的风险识别方法的流程图;
图6示意性示出了根据本公开第一实施例的风险识别装置的框图;
图7示意性示出了根据本公开第二实施例的风险识别装置的框图;
图8示意性示出了根据本公开第三实施例的风险识别装置的框图;
图9示意性示出了根据本公开第四实施例的风险识别装置的框图;以及
图10示意性示出了根据本公开实施例的用于实现风险识别的计算机系统的方框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。在使用类似于“A、B或C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B或C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
附图中示出了一些方框图和/或流程图。应理解,方框图和/或流程图中的一些方框或其组合可以由计算机程序指令来实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其他可编程控制装置的处理器,从而这些指令在由该处理器执行时可以创建用于实现这些方框图和/或流程图中所说明的功能/操作的装置。
因此,本公开的技术可以硬件和/或软件(包括固件、微代码等)的形式来实现。另外,本公开的技术可以采取存储有指令的计算机可读介质上的计算机程序产品的形式,该计算机程序产品可供指令执行系统使用或者结合指令执行系统使用。在本公开的上下文中,计算机可读介质可以是能够包含、存储、传送、传播或传输指令的任意介质。例如,计算机可读介质可以包括但不限于电、磁、光、电磁、红外或半导体系统、装置、器件或传播介质。计算机可读介质的具体示例包括:磁存储装置,如磁带或硬盘(HDD);光存储装置,如光盘(CD-ROM);存储器,如随机存取存储器(RAM)或闪存;和/或有线/无线通信链路。
本公开的实施例提供了一种风险识别方法,包括:获取来自请求终端的解析请求,其中,解析请求包括目标域名,目标域名包括多个字符,解析请求用于请求与目标域名对应的目标地址数据。然后,确定多个字符中的至少一个目标字符,确定至少一个目标字符在多个字符中出现的频率,得到至少一个目标频率。最后,响应于至少一个目标频率满足预设条件,确定目标域名为风险域名。
图1示意性示出了根据本公开实施例的风险识别方法和风险识别装置的系统架构。需要注意的是,图1所示仅为可以应用本公开实施例的系统架构的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。
如图1所示,根据该实施例的系统架构100可以包括终端设备101、102、103,网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102、103通过网络104与服务器105交互,以接收或发送消息等。终端设备101、102、103上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。
终端设备101、102、103可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器105可以是提供各种服务的服务器,例如对用户利用终端设备101、102、103所浏览的网站提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的用户请求等数据进行分析等处理,并将处理结果(例如根据用户请求获取或生成的网页、信息、或数据等)反馈给终端设备。
需要说明的是,本公开实施例所提供的风险识别方法一般可以由服务器105执行。相应地,本公开实施例所提供的风险识别装置一般可以设置于服务器105中。本公开实施例所提供的风险识别方法也可以由不同于服务器105且能够与终端设备101、102、103和/或服务器105通信的服务器或服务器集群执行。相应地,本公开实施例所提供的风险识别装置也可以设置于不同于服务器105且能够与终端设备101、102、103和/或服务器105通信的服务器或服务器集群中。
例如,本公开实施例的解析请求可以存储在终端设备101、102、103中,通过终端设备101、102、103将解析请求发送至服务器105中,服务器105可以确定解析请求中目标字符出现的频率,并确定解析请求中的目标域名是否为风险域名。另外,解析请求还可以由服务器105接收并直接存储在服务器105中,由服务器105直接确定解析请求中目标字符出现的频率,并确定解析请求中的目标域名是否为风险域名。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
下面结合图1的系统架构,参考图2~图5来描述根据本公开示例性实施方式的风险识别方法。需要注意的是,上述系统架构仅是为了便于理解本公开的精神和原理而示出,本公开的实施方式在此方面不受任何限制。相反,本公开的实施方式可以应用于适用的任何场景。
图2示意性示出了根据本公开第一实施例的风险识别方法的流程图。
如图2所示,该方法可以包括操作S210~S240。
在操作S210,获取来自请求终端的解析请求,其中,解析请求包括目标域名,目标域名包括多个字符,解析请求用于请求与目标域名对应的目标地址数据。
根据本公开实施例,解析请求例如包括DNS(Domain Name System)解析请求。其中,解析请求中例如包括目标域名,目标域名可以是网址,例如可以为AAA.com。
其中,目标域名与IP地址之间具有映射关系,例如与AAA.com对应的IP地址为1.1.1.1。当请求终端需要访问AAA.com时,需要将AAA.com发送至服务器,由服务器对AAA.com进行域名解析得到与之对应的IP地址1.1.1.1,并将IP地址1.1.1.1返回给请求终端,便于请求终端访问IP地址1.1.1.1。因此,当AAA.com为目标域名时,IP地址1.1.1.1例如可以作为与目标域名对应的目标地址数据。
在操作S220,确定多个字符中的至少一个目标字符。
根据本公开实施例,目标字符中例如包括多个字符。例如,以目标域名为qq.com举例,该目标字符例如包括多个字符“q”、“c”、“o、m”、“.”。其中,可以从多个字符中确定出至少一个字符,例如确定字符q作为目标字符。或者,以目标域名为tgnahfk.ru举例,该目标字符例如包括多个字符“t”、“g”、“n”、“a”、“h”、“f”、“k”、“r”、“u”、“.”。其中,可以从多个字符中确定出至少一个字符,例如确定字符t作为目标字符。
在操作S230,确定至少一个目标字符在多个字符中出现的频率,得到至少一个目标频率。
在本公开实施例中,当目标域名为qq.com时,目标字符q例如在多个字符“q”、“c”、“o”、“m”、“.”中出现的频率为0.333。当目标字符为tgnahfk.ru时,目标字符t例如在多个字符“t”、“g”、“n”、“a”、“h”、“f”、“k”、“r”、“u”、“.”中出现的频率为0.1。
在操作S240,响应于至少一个目标频率满足预设条件,确定目标域名为风险域名。
根据本公开实施例,目标频率满足预设条件例如可以是目标字符出现的目标频率较低。其中,目标字符出现的目标频率较低时可以表明目标域名为无规则域名,该目标域名为机器随机生成的域名的可能性较大,此时可以确定该目标域名为风险域名的概率较大,例如目标域名tgnahfk.ru为风险域名的概率较大。
在本公开实施例中,如果目标域名为风险域名,则表示请求终端为被感染设备的可能性较大,例如请求终端为僵尸网络(Botnet)中的被感染设备。其中,僵尸网络指采用一种或多种传播手段,将僵尸程序(病毒)传播至大量设备,使得大量设备被感染,从而在病毒控制者和大量被感染设备之间形成一对多的网络,病毒控制者可以通过大量被感染设备进行其他攻击行为。因此,本公开实施例通过判断风险域名,可以确定请求终端是否被感染,以便及时执行防御措施。
具体地,上述操作S220可以包括以下(1)~(3)中的至少一项。
(1)确定多个字符中的每一个字符作为一个目标字符,得到多个目标字符。
例如,可以结合信息熵的概念来计算目标域名中每一个字符的随机性,越是随机出现的字符其熵值越大,换言之,熵值越大的字符出现的频率越小。
例如,以目标域名为qq.com举例,多个字符“q”、“c”、“o、m”、“.”分别对应的概率为:0.333、0.167、0.167、0.167、0.167。得到每个字符对应的概率后,可以计算其字符串(目标域名)的熵值,其熵值为:
H(X)=-[(0.333log20.333)+(0.167log20.167)+(0.167log20.167)+(0.167log20.167)+(0.167log20.167)]=-[(-0.528)+(-0.431)+(-0.431)+(-0.431)+(-0.431)]=2.25163
同理,以目标域名为tgnahfk.ru举例,多个字符“t”、“g”、“n”、“a”、“h”、“f”、“k”、“r”、“u”、“.”对应的概率均为:0.1。得到每个字符对应的概率后,可以计算其字符串(目标域名)的熵值,其熵值为:
H(X)=-[(0.1log20.1)+(0.1log20.1)+(0.1log20.1)+(0.1log20.1)+(0.1log20.1)+(0.1log20.1)+(0.1log20.1)+(0.1log20.1)+(0.1log20.1)+(0.1log20.1)]=-[(-0.332)+(-0.332)+(-0.332)+(-0.332)+(-0.332)+(-0.332)+(-0.332)+(-0.332)+(-0.332)+(-0.332)]=3.32
其中,越是随机的字符串其熵值越高,即随机性或不确定性越大。因此,可以根据目标域名的熵值确定目标域名为风险域名的概率。例如,目标域名tgnahfk.ru的熵值大于目标域名qq.com的熵值,表征目标域名tgnahfk.ru为风险域名的概率较大。
(2)确定多个字符中的任意两个字符作为至少一个目标字符。
例如,可以通过马尔科夫链的概念来计算目标域名中每个字符彼此相邻的频率。
例如,马尔科夫链可以根据一个单词(例如域名中的单词)是否容易朗读(朗朗上口)判断该单词的随机性。一般随机生成的域名都不会出现大段连续的数字或连续出现相同的字母。例如,通过马尔科夫链判断单词随机性时,由于英文字母中辅音字母远多于元音字母,因此恶意域名(随机生成)更可能连续反复出现辅音字母(因为辅音字母概率大),而合法域名为了使用户容易朗读大多是元音辅音交替出现。
例如,以目标域名为google.com举例,任意两个字符例如包括go、gg、gl、ge、oo等等。其中,两个相同字符oo相邻可以表示域名的随机性小,即该目标域名google.com为风险域名的概率小。与此不同地,例如对于恶意域名tgnahfk.ru,两个相同字符相邻出现的概率较小,可知该域名tgnahfk.ru的随机性大,该域名tgnahfk.ru为风险域名的概率大。由此可知,合法域名为了方便用户的使用,通常会选择一些让用户容易朗读并容易记忆(有规律)的域名,例如google、yahoo、baidu等等有元音字母的域名;而恶意域名由于是随机生成的,导致不易朗读(无规律),比如tgnahfk.ru。换言之,恶意域名的随机性同样表现在其字母和数字的连续性上,大多数随机生成的域名其字符的排序是毫无规律的,而合法域名在词性上具有的元辅音结合的特征。
(3)确定多个字符中的多个相邻字符作为至少一个目标字符。
例如,可以通过N-gram模型来计算目标域名中相邻字符出现的频率,其中,N-gram模型是一种基于统计语音模型的算法。
例如,以目标域名为baidu.com举例,相邻字符例如包括“bai”、“du”等等,该“bai”、“du”为常见的组合字符,并且该常见的组合字符在baidu.com中出现的频率较大。以目标域名为tgnahfk.ru举例,其中相邻字符例如包括“tgn”、“ahf”等等,该相邻字符例如为不常见组合字符,换言之,常见的组合字符在tgnahfk.ru中出现的频率较小,因此,可以确定tgnahfk.ru为风险域名的概率较大。
其中,常见字符组合实际是通过机器学习得出的,即通过将合法域名作为训练数据(样本数据)提供给机器学习算法,机器学习算法能够计算得出合法域名中常见的字符组合。如果将合法域名和恶意域名进行比对,可知在合法域名中常见字符的组合比例较高,而恶意域名中常见词组的组合比例较低。
根据本公开实施例,可以通过多种方式计算目标字符出现的频率,以此提高风险域名的识别准确性。
图3示意性示出了根据本公开第二实施例的风险识别方法的流程图。
如图3所示,该方法可以包括操作S210~S240以及操作S310。其中,操作S210~S240与上参考图2描述的操作相同或类似,在此不再赘述。
在操作S310,获取多个参考域名类型字符。
根据本公开实施例,参考域名类型字符例如可以是“.com”、“.org”等等。一般来说,合法域名均应包括参考域名类型字符。
其中,上述操作S240例如具体包括:在至少一个目标频率满足预设条件的前提下,进一步确定目标域名类型字符是否为参考域名类型字符,如果目标域名类型字符不是参考域名类型字符,确定目标域名为风险域名的概率较大。
根据本公开实施例,目标域名例如包括目标域名类型字符。例如,目标域名qq.com的目标域名类型字符为“.com”,该目标域名类型字符为“.com”为参考域名类型字符,因此可以确定qq.com为合法域名的概率较大。
例如,假设目标域名tgnahfk.ru的至少一个目标频率满足预设条件时,可以进一步判断目标域名类型字符“.ru”是否为参考域名类型字符。很明显,目标域名类型字符.ru不是参考域名类型字符,此时可以确定目标域名tgnahfk.ru为风险域名的概率较大。
其中,域名后缀(例如“.com”)可以表述为域名的特征向量,可以通过预先标记多个合法域名后缀作为参考域名类型字符,便于在识别目标域名时,确定目标域名的后缀是否为参考域名类型字符,如果目标域名的后缀为参考域名类型字符,则表示目标域名为合法域名的概率较大。或者,也可以标记错误域名或者恶意域名的后缀,比如“.ru”(恶意域名后缀)或者“.ofs”(错误域名的后缀),当识别目标域名时,确定目标域名的后缀是否为错误域名或者恶意域名的后缀,如果目标域名的后缀为错误域名或者恶意域名的后缀,则表示目标域名为风险域名的概率较大。
图4示意性示出了根据本公开第三实施例的风险识别方法的流程图。
如图4所示,该方法可以包括操作S210~S240以及操作S410~S420。其中,操作S210~S240与上参考图2描述的操作相同或类似,在此不再赘述。
在操作S410,获取经训练的识别模型。
根据本公开实施例,识别模型例如可以用于识别目标域名是否为风险域名。其中,该识别模型例如可以通过信息熵概念、马尔科夫链概念、N-gram模型、判断目标域名类型字符是否为参考域名类型字符等等方式来确定目标域名为风险域名的概率。
在操作S420,利用识别模型,确定至少一个目标频率是否满足预设条件。例如,可以将目标域名输入至识别模型中,识别模型例如通过计算目标字符在目标域名中出现的频率,并判断目标频率是否满足预设条件。
其中,识别模型的训练过程例如包括:获取样本数据,该样本数据包括历史风险域名和历史非风险域名,并基于样本数据训练识别模型,最后可以验证识别模型。
根据本公开实施例,历史风险域名例如可以是机器随机生成的僵尸域名,历史非风险域名例如可以是正确的域名,可以将历史风险域名和历史非风险域名作为样本数据训练该识别模型。
在本公开实施例中,识别模型例如可以通过信息熵概念、马尔科夫链概念、N-gram模型、判断目标域名类型字符是否为参考域名类型字符等等方式来确定目标域名是否为风险域名。具体地,在通过识别模型确定目标域名是否为风险域名的过程中,例如可以依据信息熵概念、马尔科夫链概念、N-gram模型、判断目标域名类型字符是否为参考域名类型字符的判断顺序依次判断。其中,验证识别模型例如可以是调整判断顺序,例如可以将判断顺序调整为:判断目标域名类型字符是否为参考域名类型字符、马尔科夫链概念、N-gram模型、信息熵概念,并根据调整后的判断顺序验证识别模型的识别准确性。最后,可以将准确性较高的判断顺序作为识别模型识别风险域名的判断顺序。
图5示意性示出了根据本公开第四实施例的风险识别方法的流程图。
如图5所示,该方法可以包括操作S210~S240以及操作S510~S530。其中,操作S210~S240与上参考图2描述的操作相同或类似,在此不再赘述。
在操作S510,响应于确定目标域名为风险域名,获取与目标域名对应的目标地址数据。
根据本公开实施例,由于目标域名与IP地址之间具有映射关系,例如与目标域名AAA.com对应的目标地址数据为1.1.1.1。当请求终端需要访问AAA.com时,需要将目标域名AAA.com发送至服务器,由服务器对目标域名AAA.com进行域名解析得到与之对应的目标地址数据1.1.1.1,并将目标地址数据1.1.1.1返回给请求终端,便于请求终端访问IP地址1.1.1.1。
在操作S520,修改目标地址数据得到测试地址数据。
在操作S530,将测试地址数据发送至请求终端。
根据本公开实施例,为了防止被感染的请求终端对企业网络造成影响,企业内部可以构造网络蜜罐系统(Network Honeypot System)来监听被感染的请求终端的解析请求。网络蜜罐系统例如通过利用网络蜜罐技术来处理风险。其中,网络蜜罐技术是一种通过诱导技术与IPS(Intrusion Prevention System)设备结合的蜜罐技术方案,其中诱导技术作为网络蜜罐技术的核心,通过诱导技术将攻击者引入到蜜罐网络当中,攻击者在蜜罐网络当中的所有数据流量都可以在网络层进行捕获和分析,从而能够对攻击者的攻击流程进行朔源和检测追踪。
例如,蜜罐网络中包括测试地址数据,在网络蜜罐系统监控到解析请求中包括风险域名时,可以将目标地址数据修改成测试地址数据,例如将目标地址数据1.1.1.1修改成蜜罐网络中的测试地址数据2.2.2.2,并将测试地址数据2.2.2.2返给请求终端,便于通过网络蜜罐系统监控请求终端与测试地址数据2.2.2.2之间的通信,实现主动进行风险防御。
图6示意性示出了根据本公开第一实施例的风险识别装置的框图。
如图6所示,风险识别装置600可以包括第一获取模块610、第一确定模块620、第二确定模块630以及第三确定模块640。
第一获取模块610可以用于获取来自请求终端的解析请求,其中,解析请求包括目标域名,目标域名包括多个字符,解析请求用于请求与目标域名对应的目标地址数据。根据本公开实施例,第一获取模块610例如可以执行上文参考图2描述的操作S210,在此不再赘述。
第一确定模块620可以用于确定多个字符中的至少一个目标字符。根据本公开实施例,第一确定模块620例如可以执行上文参考图2描述的操作S220,在此不再赘述。
第二确定模块630可以用于确定至少一个目标字符在多个字符中出现的频率,得到至少一个目标频率。根据本公开实施例,第二确定模块630例如可以执行上文参考图2描述的操作S230,在此不再赘述。
第三确定模块640可以用于响应于至少一个目标频率满足预设条件,确定目标域名为风险域名。根据本公开实施例,第三确定模块640例如可以执行上文参考图2描述的操作S240,在此不再赘述。
根据本公开实施例,确定多个字符中的至少一个目标字符,包括以下至少一项:确定多个字符中的每一个字符作为一个目标字符,得到多个目标字符,确定多个字符中的任意两个字符作为至少一个目标字符,确定多个字符中的多个相邻字符作为至少一个目标字符。
图7示意性示出了根据本公开第二实施例的风险识别装置的框图。
如图7所示,风险识别装置700可以包括第一获取模块610、第一确定模块620、第二确定模块630、第三确定模块640以及第二获取模块710。其中,第一获取模块610、第一确定模块620、第二确定模块630以及第三确定模块640与上参考图6描述的模块相同或类似,在此不再赘述。
第二获取模块710可以用于获取多个参考域名类型字符。根据本公开实施例,第二获取模块710例如可以执行上文参考图3描述的操作S310,在此不再赘述。
根据本公开实施例,响应于至少一个目标频率满足预设条件,确定目标域名为风险域名,包括:响应于至少一个目标频率满足预设条件,确定目标域名类型字符是否为参考域名类型字符,响应于确定目标域名类型字符不是参考域名类型字符,确定目标域名为风险域名。
图8示意性示出了根据本公开第三实施例的风险识别装置的框图。
如图8所示,风险识别装置800可以包括第一获取模块610、第一确定模块620、第二确定模块630、第三确定模块640、第三获取模块810以及第四确定模块820。其中,第一获取模块610、第一确定模块620、第二确定模块630以及第三确定模块640与上参考图6描述的模块相同或类似,在此不再赘述。
第三获取模块810可以用于获取经训练的识别模型。根据本公开实施例,第三获取模块810例如可以执行上文参考图4描述的操作S410,在此不再赘述。
第四确定模块820可以用于利用识别模型,确定至少一个目标频率是否满足预设条件。根据本公开实施例,第四确定模块820例如可以执行上文参考图4描述的操作S420,在此不再赘述。
根据本公开实施例,装置800例如还包括:第四获取模块、训练模块以及验证模块。其中,第四获取模块,获取样本数据,样本数据包括历史风险域名和历史非风险域名。训练模块,基于样本数据训练识别模型。验证模块,验证识别模型。
图9示意性示出了根据本公开第四实施例的风险识别装置的框图。
如图9所示,风险识别装置900可以包括第一获取模块610、第一确定模块620、第二确定模块630、第三确定模块640、响应模块910、修改模块920以及发送模块930。其中,第一获取模块610、第一确定模块620、第二确定模块630以及第三确定模块640与上参考图6描述的模块相同或类似,在此不再赘述。
响应模块910可以用于响应于确定目标域名为风险域名,获取与目标域名对应的目标地址数据。根据本公开实施例,响应模块910例如可以执行上文参考图5描述的操作S510,在此不再赘述。
修改模块920可以用于修改目标地址数据得到测试地址数据。根据本公开实施例,修改模块920例如可以执行上文参考图5描述的操作S520,在此不再赘述。
发送模块930可以用于将测试地址数据发送至请求终端。根据本公开实施例,发送模块930例如可以执行上文参考图5描述的操作S530,在此不再赘述。
根据本公开的实施例的模块、子模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,根据本公开实施例的模块、子模块、单元、子单元中的一个或多个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
例如,第一获取模块610、第一确定模块620、第二确定模块630、第三确定模块640、第二获取模块710、第三获取模块810、第四确定模块820、响应模块910、修改模块920以及发送模块930中的任意多个可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,第一获取模块610、第一确定模块620、第二确定模块630、第三确定模块640、第二获取模块710、第三获取模块810、第四确定模块820、响应模块910、修改模块920以及发送模块930中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,第一获取模块610、第一确定模块620、第二确定模块630、第三确定模块640、第二获取模块710、第三获取模块810、第四确定模块820、响应模块910、修改模块920以及发送模块930中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图10示意性示出了根据本公开实施例的用于实现风险识别的计算机系统的方框图。图10示出的计算机系统仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图10所示,计算机系统1000包括处理器1001、计算机可读存储介质1002。该系统1000可以执行根据本公开实施例的方法。
具体地,处理器1001例如可以包括通用微处理器、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器1001还可以包括用于缓存用途的板载存储器。处理器1001可以是用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
计算机可读存储介质1002,例如可以是能够包含、存储、传送、传播或传输指令的任意介质。例如,可读存储介质可以包括但不限于电、磁、光、电磁、红外或半导体系统、装置、器件或传播介质。可读存储介质的具体示例包括:磁存储装置,如磁带或硬盘(HDD);光存储装置,如光盘(CD-ROM);存储器,如随机存取存储器(RAM)或闪存;和/或有线/无线通信链路。
计算机可读存储介质1002可以包括计算机程序1003,该计算机程序1003可以包括代码/计算机可执行指令,其在由处理器1001执行时使得处理器1001执行根据本公开实施例的方法或其任何变形。
计算机程序1003可被配置为具有例如包括计算机程序模块的计算机程序代码。例如,在示例实施例中,计算机程序1003中的代码可以包括一个或多个程序模块,例如包括1003A、模块1003B、……。应当注意,模块的划分方式和个数并不是固定的,本领域技术人员可以根据实际情况使用合适的程序模块或程序模块组合,当这些程序模块组合被处理器1001执行时,使得处理器1001可以执行根据本公开实施例的方法或其任何变形。
根据本公开的实施例,第一获取模块610、第一确定模块620、第二确定模块630、第三确定模块640、第二获取模块710、第三获取模块810、第四确定模块820、响应模块910、修改模块920以及发送模块930中的至少一个可以实现为参考图10描述的计算机程序模块,其在被处理器1001执行时,可以实现上面描述的相应操作。
本公开还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现上述方法。
根据本公开的实施例,计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、有线、光缆、射频信号等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合,即使这样的组合或结合没有明确记载于本公开中。特别地,在不脱离本公开精神和教导的情况下,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
尽管已经参照本公开的特定示例性实施例示出并描述了本公开,但是本领域技术人员应该理解,在不背离所附权利要求及其等同物限定的本公开的精神和范围的情况下,可以对本公开进行形式和细节上的多种改变。因此,本公开的范围不应该限于上述实施例,而是应该不仅由所附权利要求来进行确定,还由所附权利要求的等同物来进行限定。

Claims (8)

1.一种风险识别方法,包括:
获取来自请求终端的解析请求,其中,所述解析请求包括目标域名,所述目标域名包括多个字符,所述解析请求用于请求与所述目标域名对应的目标地址数据;
确定所述多个字符中的至少一个目标字符,其中,所述确定所述多个字符中的至少一个目标字符,包括以下至少一项:
确定所述多个字符中的每一个字符作为一个目标字符,得到多个目标字符;
确定多个字符中的任意两个字符作为所述至少一个目标字符;以及
确定所述多个字符中的多个相邻字符作为所述至少一个目标字符;
确定所述至少一个目标字符在所述多个字符中出现的频率,得到至少一个目标频率;
响应于所述至少一个目标频率满足预设条件,确定所述目标域名为风险域名;
所述方法还包括:
响应于确定所述目标域名为风险域名,获取与所述目标域名对应的所述目标地址数据;
修改所述目标地址数据得到测试地址数据;以及
将所述测试地址数据发送至所述请求终端。
2.根据权利要求1所述的方法,其中,所述目标域名包括目标域名类型字符;
所述方法还包括:获取多个参考域名类型字符。
3.根据权利要求2所述的方法,其中,所述响应于所述至少一个目标频率满足预设条件,确定所述目标域名为风险域名,包括:
响应于所述至少一个目标频率满足预设条件,确定所述目标域名类型字符是否为所述参考域名类型字符;以及
响应于确定所述目标域名类型字符不是所述参考域名类型字符,确定所述目标域名为风险域名。
4.根据权利要求1-3中任意一项所述的方法,还包括:
获取经训练的识别模型;以及
利用所述识别模型,确定所述至少一个目标频率是否满足所述预设条件。
5.根据权利要求4所述的方法,还包括:
获取样本数据,所述样本数据包括历史风险域名和历史非风险域名;
基于所述样本数据训练所述识别模型;以及
验证所述识别模型。
6.一种风险识别装置,包括:
第一获取模块,获取来自请求终端的解析请求,其中,所述解析请求包括目标域名,所述目标域名包括多个字符,所述解析请求用于请求与所述目标域名对应的目标地址数据;
第一确定模块,确定所述多个字符中的至少一个目标字符,其中,所述确定所述多个字符中的至少一个目标字符,包括以下至少一项:
确定所述多个字符中的每一个字符作为一个目标字符,得到多个目标字符;
确定多个字符中的任意两个字符作为所述至少一个目标字符;以及
确定所述多个字符中的多个相邻字符作为所述至少一个目标字符;
第二确定模块,确定所述至少一个目标字符在所述多个字符中出现的频率,得到至少一个目标频率;以及
第三确定模块,响应于所述至少一个目标频率满足预设条件,确定所述目标域名为风险域名;
所述风险识别装置还包括:
响应模块,用于响应于确定所述目标域名为风险域名,获取与所述目标域名对应的所述目标地址数据
修改模块,用于修改所述目标地址数据得到测试地址数据;
发送模块,用于将所述测试地址数据发送至所述请求终端。
7.一种计算设备,包括:
一个或多个处理器;
存储器,用于存储一个或多个程序,
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现权利要求1至5中任一项所述的方法。
8.一种计算机可读存储介质,存储有计算机可执行指令,所述指令在被执行时用于实现权利要求1至5中任一项所述的方法。
CN201910835642.6A 2019-09-04 2019-09-04 风险识别方法、装置、计算设备以及计算机可读存储介质 Active CN110392064B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910835642.6A CN110392064B (zh) 2019-09-04 2019-09-04 风险识别方法、装置、计算设备以及计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910835642.6A CN110392064B (zh) 2019-09-04 2019-09-04 风险识别方法、装置、计算设备以及计算机可读存储介质

Publications (2)

Publication Number Publication Date
CN110392064A CN110392064A (zh) 2019-10-29
CN110392064B true CN110392064B (zh) 2022-03-15

Family

ID=68289679

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910835642.6A Active CN110392064B (zh) 2019-09-04 2019-09-04 风险识别方法、装置、计算设备以及计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN110392064B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113381963B (zh) * 2020-02-25 2024-01-02 深信服科技股份有限公司 一种域名检测方法、装置和存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105426759A (zh) * 2015-10-30 2016-03-23 百度在线网络技术(北京)有限公司 Url的合法性识别方法及装置
CN106713312A (zh) * 2016-12-21 2017-05-24 深圳市深信服电子科技有限公司 检测非法域名的方法及装置
CN107666490A (zh) * 2017-10-18 2018-02-06 中国联合网络通信集团有限公司 一种可疑域名检测方法及装置
WO2018032936A1 (zh) * 2016-08-18 2018-02-22 中兴通讯股份有限公司 一种对算法生成域名进行检测的方法及装置
CN108632227A (zh) * 2017-03-23 2018-10-09 中国移动通信集团广东有限公司 一种恶意域名检测处理方法及装置
CN109714356A (zh) * 2019-01-08 2019-05-03 北京奇艺世纪科技有限公司 一种异常域名的识别方法、装置及电子设备

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101060639B1 (ko) * 2010-12-21 2011-08-31 한국인터넷진흥원 자바스크립트 난독화 강도 분석을 통한 악성 의심 웹사이트 탐지 시스템 및 그 탐지방법
CN103116723A (zh) * 2013-02-06 2013-05-22 北京奇虎科技有限公司 一种网址拦截处理的方法、装置和系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105426759A (zh) * 2015-10-30 2016-03-23 百度在线网络技术(北京)有限公司 Url的合法性识别方法及装置
WO2018032936A1 (zh) * 2016-08-18 2018-02-22 中兴通讯股份有限公司 一种对算法生成域名进行检测的方法及装置
CN106713312A (zh) * 2016-12-21 2017-05-24 深圳市深信服电子科技有限公司 检测非法域名的方法及装置
CN108632227A (zh) * 2017-03-23 2018-10-09 中国移动通信集团广东有限公司 一种恶意域名检测处理方法及装置
CN107666490A (zh) * 2017-10-18 2018-02-06 中国联合网络通信集团有限公司 一种可疑域名检测方法及装置
CN109714356A (zh) * 2019-01-08 2019-05-03 北京奇艺世纪科技有限公司 一种异常域名的识别方法、装置及电子设备

Also Published As

Publication number Publication date
CN110392064A (zh) 2019-10-29

Similar Documents

Publication Publication Date Title
US10192102B2 (en) Captcha image scramble
US9825978B2 (en) Lateral movement detection
US11729198B2 (en) Mapping a vulnerability to a stage of an attack chain taxonomy
US20160006760A1 (en) Detecting and preventing phishing attacks
US20220294797A1 (en) Website verification platform
CN108520470B (zh) 用于生成用户属性信息的方法和装置
US20210021624A1 (en) Method, electronic device and computer program product for detecting abnormal network request
CN108268635B (zh) 用于获取数据的方法和装置
US20230126692A1 (en) System and method for blocking phishing attempts in computer networks
WO2018085499A1 (en) Techniques for classifying a web page based upon functions used to render the web page
CN110545277B (zh) 应用于安全系统的风险处理方法、装置、计算设备、介质
US10244109B2 (en) Detection of a spear-phishing phone call
US20220086131A1 (en) Multi-factor authentication for non-internet applications
CN107634947A (zh) 限制恶意登录或注册的方法和装置
US11481554B2 (en) Systems and methods for training and evaluating machine learning models using generalized vocabulary tokens for document processing
US11023590B2 (en) Security testing tool using crowd-sourced data
US20230224325A1 (en) Distributed endpoint security architecture enabled by artificial intelligence
US10742642B2 (en) User authentication based on predictive applications
US20200394496A1 (en) Detecting Non-Anomalous and Anomalous Sequences of Computer-Executed Operations
CN110392064B (zh) 风险识别方法、装置、计算设备以及计算机可读存储介质
US20200067977A1 (en) Countering phishing attacks
US9398041B2 (en) Identifying stored vulnerabilities in a web service
CN115495740A (zh) 一种病毒检测方法和装置
US20160004853A1 (en) Preventing unauthorized access to computer software applications
US20200145448A1 (en) Predicting condition of a host for cybersecurity applications

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant