CN112929390B - 一种基于多策略融合的网络智能监控方法 - Google Patents
一种基于多策略融合的网络智能监控方法 Download PDFInfo
- Publication number
- CN112929390B CN112929390B CN202110269188.XA CN202110269188A CN112929390B CN 112929390 B CN112929390 B CN 112929390B CN 202110269188 A CN202110269188 A CN 202110269188A CN 112929390 B CN112929390 B CN 112929390B
- Authority
- CN
- China
- Prior art keywords
- domain name
- detection
- information
- website
- malicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 33
- 238000000034 method Methods 0.000 title claims abstract description 20
- 230000004927 fusion Effects 0.000 title claims description 12
- 238000001514 detection method Methods 0.000 claims abstract description 67
- 239000000523 sample Substances 0.000 claims abstract description 42
- 238000004458 analytical method Methods 0.000 claims abstract description 16
- 238000010801 machine learning Methods 0.000 claims abstract description 11
- 238000005516 engineering process Methods 0.000 claims abstract description 8
- 238000005259 measurement Methods 0.000 claims abstract description 6
- 230000004044 response Effects 0.000 claims description 16
- 230000000694 effects Effects 0.000 claims description 13
- 238000012360 testing method Methods 0.000 claims description 7
- 238000011156 evaluation Methods 0.000 claims description 6
- 238000012549 training Methods 0.000 claims description 6
- 238000004364 calculation method Methods 0.000 claims description 5
- 238000004422 calculation algorithm Methods 0.000 claims description 4
- 238000007635 classification algorithm Methods 0.000 claims description 3
- 238000001914 filtration Methods 0.000 claims description 3
- 238000007781 pre-processing Methods 0.000 claims description 3
- 238000005070 sampling Methods 0.000 claims description 3
- 230000009193 crawling Effects 0.000 claims description 2
- 238000012545 processing Methods 0.000 claims description 2
- 238000004088 simulation Methods 0.000 claims description 2
- 230000000750 progressive effect Effects 0.000 abstract 1
- 238000011160 research Methods 0.000 description 4
- 238000010276 construction Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 239000000284 extract Substances 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000007418 data mining Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000013515 script Methods 0.000 description 1
- 230000004083 survival effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/951—Indexing; Web crawling techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Data Mining & Analysis (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Databases & Information Systems (AREA)
- Signal Processing (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Computation (AREA)
- Computer Hardware Design (AREA)
- Medical Informatics (AREA)
- Mathematical Physics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Evolutionary Biology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明通过机器学习方法对域名是否为恶意域名进行初步判断;若输入域名有较大概率为恶意域名,则利用网络爬虫提取网页信息,并进行合规性判断;若前两个阶段都认定该网站为恶意网站,则利用网络探针对该网站进行危害性度量,并生成总体分析报告。上述三个阶段从各个角度对网络状态进行分析,使分析报告具有更高的可靠性,并提高了系统整体的鲁棒性。本发明基于机器学习、网络爬虫和网络探针技术,采用“域名——网页——网站”层次递进的检测策略,实现网络智能监控。
Description
技术领域
本发明涉及网络监控技术领域,特别是涉及一种基于多策略融合的网络智能监控方法。
背景技术
处于当今的信息时代,网络已覆盖了人们的日常生活。在享受外卖、快递等网络应用所带来的生活便利的同时,我们也要意识到:随着这些应用的不断普及,其同样对网络信息安全各方面提出了更高的要求。域名系统(Domain Name System,DNS)的主要职责是将易于人民记忆的域名转换为实际IP地址(IPV4或IPV6)。由于域名系统在Internet中的关键作用,域名已成为恶意攻击者运行各种网络犯罪所需的重要网络资源之一。一些不法分子专门趁机利用恶意软件窃取用户个人信息、索取用户财产,给用户造成巨大的经济损失和生活影响。例如,利用一组被称为“僵尸”的易受攻击的计算机组成僵尸网络,僵尸网络被黑客广泛用于执行命令与控制(Command and Control,C&C)通信;冒充域名(外观接近常用域名,如把O替换成0)制作钓鱼网站等。因此,如何有效地区分和阻止与恶意活动有关的域名始终是网络安全研究中的热门话题。
为了避免检测和混淆跟踪,入侵者常用Fast-Flux,Domain-Flux和Double-Flux等DNS技术来隐藏他们真正的C&C服务器。例如,使用Fast-Flux,攻击者可以通过不断更改域名到IP地址的映射规则来保护恶意服务的真实位置。Domain-Flux的基本思想是将其C&C服务器的恶意域名隐藏于域名生成算法(Domain name Generation Algorithm,DGA)生成的大量域名。DGA可以根据种子(比如当前的系统时钟、随机数等)生成包括字母和数字的随机组合并将其作为一个随机域名。Double-Flux则是通过循环更新DNS的A记录和NS记录规避检测。这些规避技术使得传统的安全策略无效,如域名黑名单、IP范围限制、或其他基于签名的方法。
恶意软件常采用DGA自动生成海量域名,规避常规安全软件的黑名单检测,并嵌入命令控制和病毒来控制攻击用户的计算机。面对现在大量的微信、抖音分享的域名链接,如何快速精准区别其是否包含恶意软件攻击程序成为一个越来越重要的难题。
发明内容
本发明基于域名的字符特征进行分析研究,提取字符特征,通过多种DGA检测模型进行域名检测,解决了DGA域名变种快,人工构造特征难的问题。
为实现上述目的,本发明提供了如下方案:
一种基于多策略融合的网络智能监控方法,包括以下步骤:
S1、通过机器学习的方法对待检测域名进行初步判断;
S2、若所述待检测域名网站为恶意域名网站,则利用网络爬虫提取网页信息,进行合规性判断;
S3、若所述步骤S1和所述步骤S2都判定所检测域名网站为恶意网站,则利用网络探针对所述网站进行危害性度量,生成总体分析报告。
优选地,所述步骤S1包括:
数据预处理:对所述待检测域名进行分析,使用随机采样和DBSCAN聚类算法处理黑白域名样本,所述黑白域名样本为真实域名样本,其中黑域名样本是标签为“恶意域名的样本”,白域名样本是标签为“正常域名”的样本;
域名样本特征提取:结合字符规律特征、词袋模型-ASCII和词袋模型-NGRAM技术,对所述域名的字符特征进行分析和提取,生成字符词汇表,得到所述域名的字符数据特征;
模型训练:使用基于机器学习的分类算法设计检测模型,经过模型训练和参数调整,得出不同的检测模型,使用测试样本集评估各个检测模型的检测精度,挑选出检测效果最优的检测模型,所述测试样本集是所述黑白域名样本的子集,包括恶意域名样本和正常域名样本;
域名检测:将域名输入到得到的检测模型中,经过运算判断出输入的域名是否为恶意域名。
优选地,所述字符规律特征包括元音字母比例、字符随机性和唯一字符数;
所述检测效果是检测的分类准确率,预测结果和样本标签相同的数量越多,检测效果越好,其计算公式为:
其中,TP是正确预测为恶意域名的数量、TN是正确预测为正常域名的数量、FP是错误预测为恶意域名的数量、FN是错误预测为正常域名的数量,每个检测模型通过所述式(1)计算得到其分类准确率Accuracy值,分类准确率Accuracy值最大时检测效果最优。
优选地,所述步骤S2包括:
输入所述待检测域名网站的初始URL;
网页获取:通过网络爬虫模拟客户端浏览器向服务器端发出HTTP请求,获取所述服务器端响应后,得到所述待检测域名网站的网页信息;
对所述网页信息进行网页去噪,对得到的网页信息的HTML结构进行解析,过滤掉无用的网页信息;
提取信息:采取正则表达,根据页面字符串结构提取网络爬虫信息,同时对所述页面字符串结构进行分析,判断所述页面字符串的结构是否变化;
合规性判断:将得到的域名信息作为基于网络爬虫的域名安全检测的评估指标,判断所述域名是否为恶意域名。
优选地,在进行网页去噪的同时,自动识别网页中所有的URL,并将其加入到爬虫队列,按照定义的搜索策略访问爬虫队列URL,采集对应的URL网页信息存储到数据库中,再根据新的URL爬取页面信息,直到完成系统设置的停止条件结束网络爬虫。
优选地,所述网络爬虫信息包括SEO信息、ALEXA信息、备案信息、索引和反链。
优选地,所述步骤S3基于网络探针的网站危害性度量检测包括:DNS实时监控,PING实时监控和HTTP实时监控,得到DNS、Ping和HTTP三个评价指标,度量恶意网站的危害性。
优选地,所述DNS实时监控为选择待检测区域的节点进行域名或IP地址的访问,得到访问情况、各节点的DIG解析结果、DNS解析时间、查询时间、记录值,根据DNS响应报文分析,得到DNS的检测指标。
优选地,所述PING实时监控为选择待检测区域的节点进行域名或IP地址的访问,得到访问情况、各节点的丢包率、延迟时间、数据包大小、TTL、发送包数量、接收包数量,根据响应信息获取域名的服务器解析IP地址,判断服务器是否正常工作。
优选地,所述HTTP实时监控为选择待检测区域的节点进行URL地址的访问,获取HTTP实时监控数据;状态码直接反应客户端和服务器端是否正常工作,首字节时间主要反映DNS的解析效率,总体请求时长反映服务器的分发请求效率。
本发明的有益效果为:
(1)本发明采用爬虫技术和网络运营商监控节点对疑似恶意域名进行检测,提高了域名检测的精确率,从多角度分析和识别DGA域名。
(2)本发明基于域名的字符特征进行分析研究,提取字符特征,通过多种DGA检测模型进行域名检测,解决了DGA域名变种快,人工构造特征难的问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明基于多策略融合的网络智能监控方法流程图;
图2为本发明基于机器学习的恶意域名检测的系统流程图;
图3为本发明网络爬虫过程和实现原理示意图;
图4为本发明基于网络探针的网站危害性度量示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
如图1所示,本发明提供一种基于多策略融合的网络智能监控方法,包括基于机器学习的恶意域名检测、基于网络爬虫的恶意网页检测和基于网络探针的网站危害性度量。
给定欲检测域名“www.923pay.com”。
S1、基于机器学习的恶意域名检测。
如图2所示为本发明基于机器学习的恶意域名检测流程图,包括:
S1.1、域名样本分析:在大量域名样本的基础上,使用随机采样和DBSCAN聚类算法处理黑白域名样本,即尽可能地平衡数据,以降低偏斜类所导致的分类精度差,提高域名样本质量。黑白域名样本来自于网络安全公司收集的真实域名样本。其中,黑域名样本是标签为“恶意域名”的样本,白域名样本是标签为“正常域名”的样本。
1.2:域名样本特征提取:在上一步数据预处理的基础上,结合字符规律特征(元音字母比例、字符随机性、唯一字符数)、词袋模型-ASCII和词袋模型-NGRAM技术,对域名的字符特征进行分析和提取,生成字符词汇表,得到数据的特征表示。
1.3:模型训练:使用基于机器学习的分类算法设计检测模型,经过模型训练和参数调整,得出不同的检测模型。使用测试样本集评估各个检测模型的检测精度,并挑选出检测效果最优的检测模型。
所述测试样本集是黑白域名样本总体的一个子集,占黑白域名样本总数的25%,包括恶意域名样本和正常域名样本。
所述检测效果指检测的分类准确率,预测结果和样本标签相同的数量越多,那么检测效果就越好,其计算公式如下:
其中,TP是正确预测为恶意域名的数量、TN是正确预测为正常域名的数量、FP是错误预测为恶意域名的数量、FN是错误预测为正常域名的数量。每个检测模型都可以通过上述计算得到其分类准确率Accuracy值,检测效果最优即分类准确率Accuracy值最大。
1.4:域名检测:将待检测域名输入到上一步得到的检测模型中,检测模型在经过一系列运算会判断输入域名是否为恶意域名,若为恶意域名则进行基于网络爬虫的网页检测。
S2、基于网络爬虫的网页检测。
网络爬虫可以自动化浏览网络中的信息,定向抓取相关网络资源的程序或者脚本。网络爬虫的主要作用是在海量的互联网信息中进行爬取,抓取有效信息并存储,用来数据分析和挖掘,本发明利用网络爬虫获取域名的备案信息、注册信息等,来识别恶意域名。图3为网络爬虫过程和实现原理示意图。
S2.1、输入初始URL。
S2.2、网页获取:网络爬虫从上一步给定的一个或者多个初始URL开始,模拟客户端浏览器向服务器端发出HTTP请求,获取服务器端响应后,获取网页信息。
S2.3、网页解析与过滤:一个网页以HTML为架构,承载网页各种报表资源信息,网页解析可以理解为网页去噪的过程,对上一步得到网页信息的HTML结构解析,过滤无用的网页信息。此外,自动识别网页中的所有URL,并将其加入到爬虫队列,按照定义的搜索策略访问爬虫队列URL,采集对应的URL的网页信息存储到数据库中,再根据新的URL爬取页面信息,直到完成系统设置的停止条件结束网络爬虫。
S2.4、提取信息:在上一步完成后,采取正则表达根据页面字符串结构提取符合爬虫主题关键信息,同时对页面字符串结构进行分析,判断页面字符串结构是否变化。
S2.5、合规性判断:将上一步得到的域名的SEO信息、ALEXA信息、备案信息、索引和反链作为基于网络爬虫的域名安全检测的评估指标,判断待检测域名是否为恶意域名。若判断待检测域名为恶意域名,则进行下一步骤。
S3、基于网络探针的网站危害性度量。
S3.1、DNS实时监控。
选择全国所有的省份及直辖市、6大运营商及大部分小型运营商的节点进行域名或IP地址的访问,到访问情况,各节点的DIG解析结果、DNS解析时间,查询时间、记录值等。根据DNS响应报文分析,通过会话标识可以区分DNS应答报文是哪个请求的响应;查询名是需要查询的域名,查询类型表明资源纪录的类型,包含CNAME(查询规范名称)、HINFO(主机信息)等;生存时间是资源记录的生命周期,表明该资源记录的稳定程度;资源数据按照查询段的要求返回的相关资源记录的数据。最终DNS的解析指标选取如表1:
表1
S3.2、PING实时监控。
选择全国所有的省份及直辖市、6大运营商及大部分小型运营商的节点进行域名或IP地址的访问,得到访问情况,各节点的丢包率、延迟时间、数据包大小、TTL、发送包数量、接收包数量等。PING命令响应原文,PING命令用64字节的数据包测试是否能连接域名为“www.923pay.com”的服务器主机。若连接成功后获得服务器IP地址、响应时间、TTL值、丢包率、延迟时间等。若连接失败,返回错误设置IP地址、DNS配置不正确、网卡驱动不正常、域名服务器有故障等信息。
从PING域名的结果响应信息中,我们可以获取域名的服务器解析IP地址,判断服务器是否正常工作;根据TTL值(DNS记录在DNS服务器上存在的时间)判断服务器端所使用的操作系统及数据包经过路由器数量;根据各省节点服务器访问目标域名的响应时间,反映服务器的响应请求效率。最终PING的检测指标选取如表2:
表2
S3.3、HTTP实时监控。
选择全国所有的省份及直辖市、6大运营商及大部分小型运营商的节点进行URL地址的访问,获取HTTP实时监控数据。根据HTTP响应内容的分析,状态码直接反应客户端和服务器端是否正常工作。首字节时间主要反映DNS的解析效率。总体请求时长反映服务器的分发请求效率。
对HTTP协议中描述IP地址特征进行分析统计网络流量的来源,识别服务IP的服务类型。对HTTP协议字段中的Host、Cookie、Url、User-Agent进行提取和分析,实现对服务器设备分析。对HTTP响应正文进行分析,分析其中的用户数据,是否直接上传账号密码。最终HTTP的检测指标选取如表3:
表3
如图4所示为网站危害性度量的三个组成成分,通过网络探针技术,可以得到DNS、Ping和HTTP共三个评价指标,用以度量恶意网站的危害性。
本发明采用爬虫技术和网络运营商监控节点对疑似恶意域名进行监测,提高了域名检测的精确率,从多角度分析和识别DGA域名;本发明基于域名的字符特征进行分析研究,提取字符特征,通过多种DGA检测模型进行域名检测,解决了DGA域名变种快,人工构造特征难的问题。
以上所述的实施例仅是对本发明优选方式进行的描述,并非对本发明的范围进行限定,在不脱离本发明设计精神的前提下,本领域普通技术人员对本发明的技术方案做出的各种变形和改进,均应落入本发明权利要求书确定的保护范围内。
Claims (7)
1.一种基于多策略融合的网络智能监控方法,其特征在于,包括以下步骤:
S1、通过机器学习的方法对待检测域名进行初步判断;
所述S1包括:
数据预处理:对所述待检测域名进行分析,使用随机采样和DBSCAN聚类算法处理黑白域名样本,所述黑白域名样本为真实域名样本,其中黑域名样本是标签为“恶意域名的样本”,白域名样本是标签为“正常域名”的样本;
域名样本特征提取:结合字符规律特征、词袋模型-ASCII和词袋模型-NGRAM技术,对所述域名的字符特征进行分析和提取,生成字符词汇表,得到所述域名的字符数据特征;
模型训练:使用基于机器学习的分类算法设计检测模型,经过模型训练和参数调整,得出不同的检测模型,使用测试样本集评估各个检测模型的检测精度,挑选出检测效果最优的检测模型,所述测试样本集是所述黑白域名样本的子集,包括恶意域名样本和正常域名样本;
域名检测:将域名输入到得到的检测模型中,经过运算判断出输入的域名是否为恶意域名;
S2、若所述待检测域名网站为恶意域名网站,则利用网络爬虫提取网页信息,进行合规性判断;
所述S2包括:
输入所述待检测域名网站的初始URL;
网页获取:通过网络爬虫模拟客户端浏览器向服务器端发出HTTP请求,获取所述服务器端响应后,得到所述待检测域名网站的网页信息;
对所述网页信息进行网页去噪,对得到的网页信息的HTML结构进行解析,过滤掉无用的网页信息;
提取信息:采取正则表达,根据页面字符串结构提取网络爬虫信息,同时对所述页面字符串结构进行分析,判断所述页面字符串的结构是否变化;
合规性判断:将得到的域名信息作为基于网络爬虫的域名安全检测的评估指标,判断所述域名是否为恶意域名;
S3、若所述S1和所述S2都判定所检测域名网站为恶意网站,则利用网络探针对所述网站进行危害性度量,生成总体分析报告;
所述S3基于网络探针的网站危害性度量检测包括:DNS实时监控,PING实时监控和HTTP实时监控,得到DNS、Ping和HTTP三个评价指标,度量恶意网站的危害性。
3.根据权利要求1所述的基于多策略融合的网络智能监控方法,其特征在于,在进行网页去噪的同时,自动识别网页中所有的URL,并将其加入到爬虫队列,按照定义的搜索策略访问爬虫队列URL,采集对应的URL网页信息存储到数据库中,再根据新的URL爬取页面信息,直到完成系统设置的停止条件结束网络爬虫。
4.根据权利要求1所述的基于多策略融合的网络智能监控方法,其特征在于,所述网络爬虫信息包括SEO信息、ALEXA信息、备案信息、索引和反链。
5.根据权利要求1所述的基于多策略融合的网络智能监控方法,其特征在于,所述DNS实时监控为选择待检测区域的节点进行域名或IP地址的访问,得到访问情况、各节点的DIG解析结果、DNS解析时间、查询时间、记录值,根据DNS响应报文分析,得到DNS的检测指标。
6.根据权利要求1所述的基于多策略融合的网络智能监控方法,其特征在于,所述PING实时监控为选择待检测区域的节点进行域名或IP地址的访问,得到访问情况、各节点的丢包率、延迟时间、数据包大小、TTL、发送包数量、接收包数量,根据响应信息获取域名的服务器解析IP地址,判断服务器是否正常工作。
7.根据权利要求1所述的基于多策略融合的网络智能监控方法,其特征在于,所述HTTP实时监控为选择待检测区域的节点进行URL地址的访问,获取HTTP实时监控数据;状态码直接反应客户端和服务器端是否正常工作,首字节时间主要反映DNS的解析效率,总体请求时长反映服务器的分发请求效率。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110269188.XA CN112929390B (zh) | 2021-03-12 | 2021-03-12 | 一种基于多策略融合的网络智能监控方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110269188.XA CN112929390B (zh) | 2021-03-12 | 2021-03-12 | 一种基于多策略融合的网络智能监控方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112929390A CN112929390A (zh) | 2021-06-08 |
CN112929390B true CN112929390B (zh) | 2023-03-24 |
Family
ID=76172840
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110269188.XA Active CN112929390B (zh) | 2021-03-12 | 2021-03-12 | 一种基于多策略融合的网络智能监控方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112929390B (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111581352B (zh) * | 2020-05-03 | 2022-05-27 | 南开大学 | 基于可信度的互联网恶意域名检测方法 |
CN113608946B (zh) * | 2021-08-10 | 2023-09-12 | 国家计算机网络与信息安全管理中心 | 基于特征工程和表示学习的机器行为识别方法 |
CN113821754B (zh) * | 2021-09-18 | 2024-08-16 | 上海观安信息技术股份有限公司 | 一种敏感数据接口爬虫识别方法及装置 |
CN114760086B (zh) * | 2022-01-24 | 2023-12-05 | 北京中交兴路信息科技有限公司 | 一种网站页面合规性检测方法、装置、存储介质及终端 |
CN116886414A (zh) * | 2023-08-09 | 2023-10-13 | 华能信息技术有限公司 | 一种dga域名检测方法、系统及存储介质 |
CN117395178B (zh) * | 2023-12-13 | 2024-03-08 | 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) | 一种基于网络划分的质量监控方法 |
CN117955917B (zh) * | 2023-12-25 | 2024-08-09 | 北京联广通网络科技有限公司 | 一种流量监控数据吞吐管控系统及方法 |
CN117633675B (zh) * | 2024-01-25 | 2024-04-30 | 成都无糖信息技术有限公司 | 一种基于模型级联的网络公害网站发现方法及系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104239582A (zh) * | 2014-10-14 | 2014-12-24 | 北京奇虎科技有限公司 | 基于特征向量模型识别钓鱼网页的方法及装置 |
CN107872452A (zh) * | 2017-10-25 | 2018-04-03 | 东软集团股份有限公司 | 一种恶意网站的识别方法、装置、存储介质及程序产品 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160308898A1 (en) * | 2015-04-20 | 2016-10-20 | Phirelight Security Solutions Inc. | Systems and methods for tracking, analyzing and mitigating security threats in networks via a network traffic analysis platform |
CN107016282B (zh) * | 2017-02-06 | 2020-01-31 | 阿里巴巴集团控股有限公司 | 一种信息处理方法及装置 |
CN107786575B (zh) * | 2017-11-11 | 2020-07-10 | 北京信息科技大学 | 一种基于dns流量的自适应恶意域名检测方法 |
CN110198230B (zh) * | 2018-04-20 | 2022-04-15 | 腾讯科技(深圳)有限公司 | 应用的监控方法、装置、存储介质和电子装置 |
CN110768945A (zh) * | 2018-12-24 | 2020-02-07 | 北京安天网络安全技术有限公司 | 一种网站安全运行情况的评估方法、装置及存储介质 |
CN110602045B (zh) * | 2019-08-13 | 2022-03-08 | 南京邮电大学 | 一种基于特征融合和机器学习的恶意网页识别方法 |
CN110798481A (zh) * | 2019-11-08 | 2020-02-14 | 杭州安恒信息技术股份有限公司 | 基于深度学习的恶意域名检测方法及装置 |
CN111245784A (zh) * | 2019-12-30 | 2020-06-05 | 杭州安恒信息技术股份有限公司 | 多维度检测恶意域名的方法 |
CN111967063B (zh) * | 2020-09-02 | 2021-04-09 | 开普云信息科技股份有限公司 | 一种基于多维度分析的数据篡改监测和识别方法、装置、电子设备及其存储介质 |
-
2021
- 2021-03-12 CN CN202110269188.XA patent/CN112929390B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104239582A (zh) * | 2014-10-14 | 2014-12-24 | 北京奇虎科技有限公司 | 基于特征向量模型识别钓鱼网页的方法及装置 |
CN107872452A (zh) * | 2017-10-25 | 2018-04-03 | 东软集团股份有限公司 | 一种恶意网站的识别方法、装置、存储介质及程序产品 |
Also Published As
Publication number | Publication date |
---|---|
CN112929390A (zh) | 2021-06-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112929390B (zh) | 一种基于多策略融合的网络智能监控方法 | |
Zhang et al. | Crawlphish: Large-scale analysis of client-side cloaking techniques in phishing | |
US10721245B2 (en) | Method and device for automatically verifying security event | |
KR101001132B1 (ko) | 웹 어플리케이션의 취약성 판단 방법 및 시스템 | |
Cui et al. | Malicious URL detection with feature extraction based on machine learning | |
Zhang et al. | A survey on latest botnet attack and defense | |
US20180219907A1 (en) | Method and apparatus for detecting website security | |
US8392963B2 (en) | Techniques for tracking actual users in web application security systems | |
CN103559235B (zh) | 一种在线社交网络恶意网页检测识别方法 | |
CN112866023B (zh) | 网络检测、模型训练方法、装置、设备及存储介质 | |
US20140047543A1 (en) | Apparatus and method for detecting http botnet based on densities of web transactions | |
CN108768921B (zh) | 一种基于特征检测的恶意网页发现方法及系统 | |
CN104954372A (zh) | 一种钓鱼网站的取证与验证方法及系统 | |
CN115134099B (zh) | 基于全流量的网络攻击行为分析方法及装置 | |
CN111756724A (zh) | 钓鱼网站的检测方法、装置、设备、计算机可读存储介质 | |
WO2013013475A1 (zh) | 网络钓鱼检测方法及装置 | |
CN113098887A (zh) | 一种基于网站联合特征的钓鱼网站检测方法 | |
CN107733699B (zh) | 互联网资产安全管理方法、系统、设备及可读存储介质 | |
WO2017063274A1 (zh) | 一种恶意跳转及恶意嵌套类不良网站的自动判定方法 | |
CN114244564B (zh) | 攻击防御方法、装置、设备及可读存储介质 | |
TWI677209B (zh) | 網名過濾方法 | |
Bao et al. | Using passive dns to detect malicious domain name | |
CN117354024A (zh) | 基于大数据的dns恶意域名检测系统及方法 | |
CN111125704B (zh) | 一种网页挂马识别方法及系统 | |
CN105653941A (zh) | 一种启发式检测钓鱼网站的方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |