CN117254983A - 涉诈网址检测方法、装置、设备及存储介质 - Google Patents
涉诈网址检测方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN117254983A CN117254983A CN202311540726.XA CN202311540726A CN117254983A CN 117254983 A CN117254983 A CN 117254983A CN 202311540726 A CN202311540726 A CN 202311540726A CN 117254983 A CN117254983 A CN 117254983A
- Authority
- CN
- China
- Prior art keywords
- fraud
- domain name
- log information
- website
- newly added
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 43
- 239000013598 vector Substances 0.000 claims abstract description 52
- 238000001514 detection method Methods 0.000 claims abstract description 46
- 238000011160 research Methods 0.000 claims description 57
- 238000012549 training Methods 0.000 claims description 39
- 238000004458 analytical method Methods 0.000 claims description 24
- 238000003064 k means clustering Methods 0.000 claims description 20
- 238000004422 calculation algorithm Methods 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 6
- 238000007621 cluster analysis Methods 0.000 claims description 2
- 230000008859 change Effects 0.000 abstract description 3
- 238000010586 diagram Methods 0.000 description 8
- 238000007405 data analysis Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 238000004891 communication Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000009877 rendering Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000012216 screening Methods 0.000 description 2
- 238000012706 support-vector machine Methods 0.000 description 2
- VYZAMTAEIAYCRO-UHFFFAOYSA-N Chromium Chemical compound [Cr] VYZAMTAEIAYCRO-UHFFFAOYSA-N 0.000 description 1
- BUGBHKTXTAQXES-UHFFFAOYSA-N Selenium Chemical compound [Se] BUGBHKTXTAQXES-UHFFFAOYSA-N 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000007635 classification algorithm Methods 0.000 description 1
- 230000009193 crawling Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000003449 preventive effect Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 229910052711 selenium Inorganic materials 0.000 description 1
- 239000011669 selenium Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000004083 survival effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种涉诈网址检测方法、装置、设备及存储介质,涉及网络安全技术领域,包括:获取预设检测时间内的若干个新增域名日志信息;基于任一新增域名日志信息,得到新增域名日志信息对应的相对链接特征向量;将相对链接特征向量输入至涉诈网址分类研判模型,得到涉诈网址分类研判模型输出的涉诈研判结果,以确定新增域名日志信息的涉诈情况。本发明通过提取每一个新增域名日志信息的相对链接特征向量,从而将相对链接特征向量输入至涉诈网址分类研判模型,得到模型输出的涉诈研判结果,进而实现对用户上网日志信息中的新增域名进行是否为涉诈网址的研判,从而能够准确有效地研判出网站内容出现变化,但网站模板保持不变等多种涉诈网址。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种涉诈网址检测方法、装置、设备及存储介质。
背景技术
在现有技术中,通过基于网站URL特征和网页页面内容特征的检测方法来检测涉诈网址,存在在URL比对方面依赖已知的黑名单URL地址库,无法适应涉诈域名快速更新场景的问题,而通过基于HTML页面渲染截图相似性以及内容特征比较的检测方法则通常依赖网页爬取,无法分析存活周期短的涉诈域名;通过基于域名注册信息的检测方法来检测涉诈网址,存在依赖域名注册商信息的问题,而目前诈骗嫌疑人通过购买第三方域名注册代理商提供的域名,导致分析准确性欠佳。
发明内容
本发明提供一种涉诈网址检测方法、装置、设备及存储介质,旨在实现对用户上网日志信息中的新增域名是否为涉诈网址的自动研判,从而能够准确有效地研判出网站首页内容出现变化但网站模板保持不变、网站已停服、网页文字内容频繁变更等多种情况的涉诈网址。
本发明提供一种涉诈网址检测方法,包括:
获取预设检测时间内的若干个新增域名日志信息;
基于任一所述新增域名日志信息,得到所述新增域名日志信息对应的相对链接特征向量;
将所述相对链接特征向量输入至涉诈网址分类研判模型,得到所述涉诈网址分类研判模型输出的涉诈研判结果,以确定所述新增域名日志信息的涉诈情况。
根据本发明提供的一种涉诈网址检测方法,所述将所述相对链接特征向量输入至涉诈网址分类研判模型,得到所述涉诈网址分类研判模型输出的涉诈研判结果,以确定所述新增域名日志信息的涉诈情况之后,还包括:
获取预设类群数、涉诈网址列表以及在预设回溯时间内的增量域名日志列表,其中,所述预设类群数是K均值聚类算法中的K值;
基于所述预设类群数、所述涉诈网址列表以及所述增量域名日志列表,进行K均值聚类分析,得到K个增量聚类结果以及K个涉诈聚类结果;
将各所述增量聚类结果以及各所述涉诈聚类结果推送至安全专家,以供所述安全专家对所述涉诈网址列表进行标签分类后,作为训练样本训练所述涉诈网址分类研判模型。
根据本发明提供的一种涉诈网址检测方法,所述基于所述预设类群数、所述涉诈网址列表以及所述增量域名日志列表,进行聚类分析,得到K个增量聚类结果以及K个涉诈聚类结果,包括:
基于所述涉诈网址列表以及所述增量域名日志列表,得到若干个增量相对链接以及若干个涉诈相对链接;
将各所述增量相对链接以及各所述涉诈相对链接与预设白名单相对链接集合进行匹配;
基于所述预设类群数,分别对匹配后的各所述增量相对链接以及匹配后的各所述涉诈相对链接进行K均值聚类分析,得到所述K个增量聚类结果以及所述K个涉诈聚类结果。
根据本发明提供的一种涉诈网址检测方法,所述基于任一所述新增域名日志信息,得到所述新增域名日志信息对应的相对链接特征向量,包括:
提取任一所述新增域名日志信息的若干个新增相对链接特征;
将各所述新增相对链接特征与预设涉诈相对链接特征集合进行对比匹配,生成所述相对链接特征向量。
根据本发明提供的一种涉诈网址检测方法,所述获取预设检测时间内的若干个新增域名日志信息,包括:
获取预设检测时间内的用户上网日志信息,并提取所述用户上网日志信息中的主机字段;
将所述主机字段与预设白名单网址库进行匹配,以过滤所述用户上网日志信息中的白名单域名日志信息;
将过滤后得到的主机字段与预设存量域名库进行对比匹配,以得到所述若干个新增域名日志信息。
根据本发明提供的一种涉诈网址检测方法,所述将所述相对链接特征向量输入至涉诈网址分类研判模型,得到所述涉诈网址分类研判模型输出的涉诈研判结果,以确定所述新增域名日志信息的涉诈情况之前,还包括:
获取若干组涉诈网址样本以及所述若干组涉诈网址样本对应的训练样本标签;
根据各所述涉诈网址样本以及各所述涉诈网址样本对应的训练样本标签,对初始涉诈网址分类研判模型进行迭代训练,得到所述涉诈网址分类研判模型。
根据本发明提供的一种涉诈网址检测方法,所述将所述相对链接特征向量输入至涉诈网址分类研判模型,得到所述涉诈网址分类研判模型输出的涉诈研判结果,以确定所述新增域名日志信息的涉诈情况之后,还包括:
若所述新增域名日志信息对应的涉诈研判结果为涉诈网址结果,则将所述新增域名日志信息与预设恶意网址库进行匹配;
若匹配失败,则基于所述新增域名日志信息,生成涉诈域名信息,并将所述涉诈域名信息添加至所述预设恶意网址库中;
将所述涉诈域名信息推送至管理人员,以供所述管理人员基于所述涉诈域名信息对所述新增域名日志信息进行管理。
本发明还提供一种涉诈网址检测装置,包括:
获取模块,用于获取预设检测时间内的若干个新增域名日志信息;
特征模块,用于基于任一所述新增域名日志信息,得到所述新增域名日志信息对应的相对链接特征向量;
研判模块,用于将所述相对链接特征向量输入至涉诈网址分类研判模型,得到所述涉诈网址分类研判模型输出的涉诈研判结果,以确定所述新增域名日志信息的涉诈情况。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述涉诈网址检测方法。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述涉诈网址检测方法。
本发明提供的涉诈网址检测方法、装置、设备及存储介质,通过获取预设检测时间内的若干个新增域名日志信息,进而基于任一所述新增域名日志信息,得到所述新增域名日志信息对应的相对链接特征向量,从而将所述相对链接特征向量输入至涉诈网址分类研判模型,得到所述涉诈网址分类研判模型输出的涉诈研判结果,进而确定所述新增域名日志信息的涉诈情况,从而实现对用户上网日志信息中的新增域名是否为涉诈网址的研判,并能够准确有效地研判出网站首页内容出现变化但网站模板保持不变、网站已停服、网页文字内容频繁变更等多种情况的涉诈网址,同时还实现了涉诈网址的回溯分析和涉诈网址预警等功能,有效保障网络安全。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图逐一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的涉诈网址检测方法的流程示意图;
图2是本发明提供的涉诈网址检测装置的结构示意图;
图3是本发明提供的电子设备的结构示意图;
图4是本发明提供的网络反诈大数据分析平台的系统模块图;
图5是本发明提供的网络反诈大数据分析平台的部分功能实现图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明一个或多个实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明一个或多个实施例。在本发明一个或多个实施例中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本发明一个或多个实施例中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本发明一个或多个实施例中可能采用术语第一、第二等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本发明一个或多个实施例范围的情况下,第一也可以被称为第二,类似地,第二也可以被称为第一。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”。
图1是本发明提供的涉诈网址检测方法的流程示意图。如图1所示,该涉诈网址检测方法包括:
步骤S11,获取预设检测时间内的若干个新增域名日志信息;
需要说明的是,所述预设检测时间是指预先设置的检测时间,例如,10分钟、24小时和一周等,可根据实际情况进行设置,在此不做设置。另外地,所述新增域名日志信息是指在预设检测时间内用户上网日志中新增的域名日志信息,包括域名、主机字段、用户信息、时间戳、请求方式(HTTP请求方法)以及请求路径(URL路径)等信息。另外地,还提供每次获取新增域名日志信息后的新增域名统计报表,包括增量域名、日期、访问用户数、访问日志条数、相对链接二级分布(相对连接、访问日志条数)等信息。
具体地,获取预设检测时间内的用户上网日志信息,并提取所述用户上网日志信息中的主机字段,进而将所述主机字段与预设白名单网址库进行匹配,以过滤所述用户上网日志信息中的白名单域名日志信息,从而将过滤后得到的主机字段与预设存量域名库进行对比匹配,以得到所述若干个新增域名日志信息。
步骤S12,基于任一所述新增域名日志信息,得到所述新增域名日志信息对应的相对链接特征向量;
需要说明的是,所述相对链接特征向量是指根据新增域名日志信息中提取出的相对链接特征与涉诈域名日志信息中提取出的相对链接特征之间得出的特征向量,其中,所述相对链接特征的形式可为“/client_aps”等,在此不做限制。
具体地,提取任一所述新增域名日志信息的若干个新增相对链接特征,进而将各所述新增相对链接特征与预设涉诈相对链接特征集合进行对比匹配,从而生成相对链接特征向量。
步骤S13,将所述相对链接特征向量输入至涉诈网址分类研判模型,得到所述涉诈网址分类研判模型输出的涉诈研判结果,以确定所述新增域名日志信息的涉诈情况。
需要说明的是,所述涉诈网址分类研判模型是根据若干组涉诈网址样本以及若干组涉诈网址样本对应的训练样本标签进行多次迭代训练得到的。所述涉诈研判结果包括正常网址结果以及涉诈网址结果等。另外地,还提供每次研判后得到的涉诈网址的涉诈域名统计报表,包括涉诈网址、涉诈网址类型、日期、访问用户数、访问日志条数等信息。
具体地,将所述相对链接特征向量输入至涉诈网址分类研判模型,得到所述涉诈网址分类研判模型输出的涉诈研判结果,从而可根据所述涉诈研判结果确定所述新增域名日志信息的涉诈情况。
本发明实施例通过获取预设检测时间内的若干个新增域名日志信息,进而基于任一所述新增域名日志信息,得到所述新增域名日志信息对应的相对链接特征向量,从而将所述相对链接特征向量输入至涉诈网址分类研判模型,得到所述涉诈网址分类研判模型输出的涉诈研判结果,进而确定所述新增域名日志信息的涉诈情况,从而实现对用户上网日志信息中的新增域名是否为涉诈网址的研判,并能够准确有效地研判出网站首页内容出现变化但网站模板保持不变、网站已停服、网页文字内容频繁变更等多种情况的涉诈网址,同时还实现了涉诈网址的回溯分析和涉诈网址预警等功能,有效保障网络安全。
在本发明的一个实施例中,所述将所述相对链接特征向量输入至涉诈网址分类研判模型,得到所述涉诈网址分类研判模型输出的涉诈研判结果,以确定所述新增域名日志信息的涉诈情况之后,还包括:
获取预设类群数、涉诈网址列表以及在预设回溯时间内的增量域名日志列表,其中,所述预设类群数是K均值聚类算法中的K值;基于所述预设类群数、所述涉诈网址列表以及所述增量域名日志列表,进行K均值聚类分析,得到K个增量聚类结果以及K个涉诈聚类结果;将各所述增量聚类结果以及各所述涉诈聚类结果推送至安全专家,以供所述安全专家对所述涉诈网址列表进行标签分类后,作为训练样本训练所述涉诈网址分类研判模型。
需要说明的是,所述预设类群数是K均值聚类算法中的K值,例如,使用K均值聚类算法对数据进行分类,K值代表要分成几类,也就是预设类群数。如果K设为5,那么所述的K均值聚类算法就会把所有数据分配到5个不同的类群里面。所述预设类群数可根据实际情况进行设置,在此不做限制。
进一步需要说明的是,所述预设回溯时间是指预先设置的回溯分析时间,包括回溯起始时间以及回溯截止时间,所述回溯起始时间以及所述回溯截止时间可根据实际情况进行设置,在此不做设置。所述增量域名日志列表是指在预设回溯时间内全部新增域名的域名日志信息列表,包括增量域名和增量相对链接等信息。所述涉诈网址列表是指需要进行回溯分析的各类涉诈网址的列表清单,包括诈骗类型、涉诈域名、日志记录数以及涉诈相对链接等信息。另外地,所述增量聚类结果包括分组标签、增量域名数、增量域名集合以及增量域名特征集合等,所述涉诈聚类结果包括分组标签、涉诈域名数、涉诈域名集合以及涉诈域名特征集合等。
具体地,获取预设类群数以及涉诈网址列表,并获取在预设回溯时间内的增量域名日志列表,进而基于所述涉诈网址列表以及所述增量域名日志列表,得到若干个增量相对链接以及若干个涉诈相对链接,从而将各所述增量相对链接以及各所述涉诈相对链接与预设白名单相对链接集合进行匹配,进而基于所述预设类群数,分别对匹配后的各所述增量相对链接以及匹配后的各所述涉诈相对链接进行K均值聚类分析,以得到K个增量聚类结果以及K个涉诈聚类结果。
进一步地,将各所述增量聚类结果以及各所述涉诈聚类结果推送至安全专家,以供所述安全专家在对所述增量聚类结果以及所述涉诈聚类结果进行分析后,对所述每一类涉诈聚类结果中的涉诈网址进行人工标签分类后进行合并,得到所述涉诈网址列表中全部涉诈网址的涉诈相对链接特征集合,进而将所述涉诈相对链接特征集合作为训练样本,训练所述涉诈网址分类研判模型。
例如,若其中一类增量聚类结果中的增量域名合集为“qlwunef.cn、okcti.com.cn”,增量域名特征集合为“/favicon.ico、/”;其中一类为仿冒钓鱼(游戏道具购买)的涉诈聚类结果中的涉诈域名集合为“www3.lbeuhis0wa.space、m1mmlmm.y6q2egm.buzz”,涉诈域名特征集合为“/51sale.asp、/ajax_server3.asp、/getcode.asp、/favicon.ico、/reg_ok.asp”。可以看出两个结果均包含有相对链接特征“/favicon.ico”,但所述相对链接特征明显为网站常见特征,则所述安全专家可以将所述相对链接特征从涉诈相对链接特征集合中剔除,得到此类涉诈聚类结果对应的涉诈网址列表为“www3.lbeuhis0wa.space、m1mmlmm.y6 q2egm.buzz”,涉诈相对链接特征集合为“/51sale.asp、/ajax_server3.asp、/getcode.asp、/reg_ok.asp”,进而基于所述涉诈相对链接特征集合和涉诈网址列表对此类涉诈聚类结果对应的涉诈网站进行人工标注分类标签为“fraudURL.fishing.modelA”。
本发明实施例通过获取预设类群数、涉诈网址列表以及在预设回溯时间内的增量域名日志列表,进而基于所述预设类群数、所述涉诈网址列表以及所述增量域名日志列表,进行K均值聚类分析,得到K个增量聚类结果以及K个涉诈聚类结果,从而将各所述增量聚类结果以及各所述涉诈聚类结果推送至安全专家,以供所述安全专家对所述涉诈网址列表进行标签分类,进而能够为涉诈网址分类研判模型训练提供涉诈网址分类标签和涉诈相对链接特征集合等训练样本,从而有效降低模型训练的分类标记与特征选择工作量,并有效提高模型的鲁棒性以及模型输出结果的准确性。
在本发明的一个实施例中,所述基于所述预设类群数、所述涉诈网址列表以及所述增量域名日志列表,进行聚类分析,得到K个增量聚类结果以及K个涉诈聚类结果,包括:
基于所述涉诈网址列表以及所述增量域名日志列表,得到若干个增量相对链接以及若干个涉诈相对链接;将各所述增量相对链接以及各所述涉诈相对链接与预设白名单相对链接集合进行匹配;基于所述预设类群数,分别对匹配后的各所述增量相对链接以及匹配后的各所述涉诈相对链接进行K均值聚类分析,得到所述K个增量聚类结果以及所述K个涉诈聚类结果。
需要说明的是,所述增量相对链接是指增量域名日志列表中的一个增量域名对应的相对链接,所述涉诈相对链接是指涉诈网址列表中的一个涉诈域名对应的相对链接,所述相对链接是一种在超文本标记语言(HTML)或其他标记语言中使用的链接方式,如“/about.html”、“/another-page.html”等。
进一步需要说明的是,所述预设白名单相对链接集合是指大部分网址都具有的相对链接的集合,如首页的相对链接“/index.html”等。
具体地,在所述增量域名日志列表中提取所述涉诈网址列表中的每一个涉诈网址对应的涉诈域名日志信息,进而分别提取涉诈域名日志信息中的涉诈相对链接以及所述增量域名日志列表中的增量相对链接。为了避免部分网址都有的通用相对链接特征干扰涉诈网址分类研判模型的准确性,并准确筛选出每一个网址对应的相对链接特征,将各所述增量相对链接以及各所述涉诈相对链接与预设白名单相对链接集合进行匹配。例如,可参考表1与表2,表1是本发明一实施例中对涉诈域名日志信息进行提取涉诈相对链接后的涉诈域名相对链接列表。表2是本发明一实施例中对增量域名日志列表进行提取增量相对链接后的增量域名相对链接列表。
进一步地,根据所述预设类群数,分别对匹配后的增量相对链接以及涉诈相对链接进行K均值聚类分析,得到K个增量聚类结果以及K个涉诈聚类结果,可参考表3与表4,表3是本发明一实施例中针对表2得出的增量聚类结果。
表4是本发明一实施例中针对表1得出的涉诈聚类结果。
本发明实施例通过基于所述涉诈网址列表以及所述增量域名日志列表,得到若干个增量相对链接以及若干个涉诈相对链接,进而将各所述增量相对链接以及各所述涉诈相对链接与预设白名单相对链接集合进行匹配,并基于所述预设类群数,分别对匹配后的各所述增量相对链接以及匹配后的各所述涉诈相对链接进行K均值聚类分析,得到所述K个增量聚类结果以及所述K个涉诈聚类结果,从而有效提高回溯分析的效率和准确率,并可通过K均值聚类分析算法将涉诈网站进行分组,方便后续分类和分析工作,同时,在多次对诈骗网址回溯分析后还可以发现网络诈骗活动的变化规律,有利于防范新型诈骗手段。
在本发明的一个实施例中,所述基于任一所述新增域名日志信息,得到所述新增域名日志信息对应的相对链接特征向量,包括:
提取任一所述新增域名日志信息的若干个新增相对链接特征;将各所述新增相对链接特征与预设涉诈相对链接特征集合进行对比匹配,生成所述相对链接特征向量。
需要说明的是,所述新增相对链接特征是指所述新增域名日志信息中的域名对应的相对链接特征。所述预设涉诈相对链接特征集合为已知涉诈网址的相对链接特征集合,并且所述预设涉诈相对链接特征集合会自动持续更新,以扩大匹配范围,从而提高新增相对链接特征的精确性。
具体地,提取任一所述新增域名日志信息的若干个新增相对链接特征,进而将各所述新增相对链接特征与预设涉诈相对链接特征集合进行对比匹配,生成相对链接特征向量。例如,在一实施例中,将各所述新增相对链接特征与预设涉诈相对链接特征集合进行对比匹配,若新增相对链接特征与预设涉诈相对链接特征集合匹配成功时,则对应的特征向量为1;若新增相对链接特征与预设涉诈相对链接特征集合匹配失败时,则对应的特征向量为0,进而将所有特征向量进行合并,生成相对链接特征向量。具体可参考表5,表5是本发明一实施例中部分新增域名的相对链接特征向量的匹配表格。
本发明实施例通过提取任一所述新增域名日志信息的若干个新增相对链接特征,进而将各所述新增相对链接特征与预设涉诈相对链接特征集合进行对比匹配,生成相对链接特征向量,从而通过提取新增域名的相对链接特征生成相对链接特征向量,进而针对诈骗嫌疑人通常适用网站模板快速搭建涉诈网站而网站模板(对应的是相对链接地址)变更相对较慢的特点来准确识别涉诈网址,从而有利于及时发现和处置各类涉诈网址,保障网络安全。
在本发明的一个实施例中,所述获取预设检测时间内的若干个新增域名日志信息,包括:
获取预设检测时间内的用户上网日志信息,并提取所述用户上网日志信息中的主机字段;将所述主机字段与预设白名单网址库进行匹配,以过滤所述用户上网日志信息中的白名单域名日志信息;将过滤后得到的主机字段与预设存量域名库进行对比匹配,以得到所述若干个新增域名日志信息。
需要说明的是,所述用户上网日志信息包括用户信息、主机字段以及目标URL等,其中,所述主机字段是HTTP请求头部中的一个字段,用来表示请求目标服务器的域名或IP地址。例如,用户上网日志信息样例如下:
{MSISDN:138xxxx7890,【手机号码】
HOST:iflow.uczzd.cn,【主机字段】
URL: http://iflow.uczzd.cn/iflow/api/v1/client_aps,【目标URL】
IP: 106.11.14.4,【目标IP地址】
PORT:80,【目标IP端口】
Context-Type: application/json,【内容类型】
Context-Length:31243,【内容长度】
RAT:2,【网络类型,2代表2G,5代表3G,6代表4G,10代表5G】
Message_Status:200【HTTP应答码】
Start_time:1638943363475652,【访问开始时间】
End_time:1638943491311540,【访问截止时间】}
进一步需要说明的是,所述预设白名单网址库记录常见各类可信的HOST域名或IP地址,用来快速筛查现网大部分可信域名产生的上网日志,以提高分析匹配性能。另外地,所述预设存量域名库记录基于历史用户上网日志信息和新增域名信息汇总而成的存量新增域名,并持续自动更新,以用来筛选用户上网日志中的新增域名日志信息,包括存量域名、IP地址、端口、入库时间等。此外,所述预设存量域名库还提供域名查询等功能。
具体地,获取预设检测时间内的用户上网日志信息,并提取所述用户上网日志信息中的主机字段,进而将所述主机字段与预设白名单网址库进行匹配,当匹配成功时,过滤掉所述用户上网日志信息中的白名单域名日志信息。当匹配失败时,将过滤后得到的主机字段与预设存量域名库进行对比匹配,若匹配成功,则过滤掉所述用户上网日志信息中已存在的域名日志信息,进而得到所述若干个新增域名日志信息。
另外地,将各所述新增域名日志信息保存到新增域名临时表,在下一次执行所述获取预设检测时间内的用户上网日志信息的步骤之前,将所述新增域名临时表合并到预设存量域名库中,同时清空所述新增域名临时表,以实现新增域名的自动更新。
本发明实施例通过获取预设检测时间内的用户上网日志信息,并提取所述用户上网日志信息中的主机字段,进而将所述主机字段与预设白名单网址库进行匹配,以过滤所述用户上网日志信息中的白名单域名日志信息,并将过滤后得到的主机字段与预设存量域名库进行对比匹配,以得到所述若干个新增域名日志信息,从而可实现准实时日志流技术,进而通过准实时日志流技术,实现新增域名日志信息的数据实时采集和低延迟传输,从而为对用户刚刚访问过的新增网站的快速研判打下基础。
在本发明的一个实施例中,所述将所述相对链接特征向量输入至涉诈网址分类研判模型,得到所述涉诈网址分类研判模型输出的涉诈研判结果,以确定所述新增域名日志信息的涉诈情况之前,还包括:
获取若干组涉诈网址样本以及所述若干组涉诈网址样本对应的训练样本标签;根据各所述涉诈网址样本以及各所述涉诈网址样本对应的训练样本标签,对初始涉诈网址分类研判模型进行迭代训练,得到所述涉诈网址分类研判模型。
需要说明的是,各所述涉诈网址样本包括已知涉诈网址样本以及在回溯分析过程后得到的涉诈相对链接特征集合和涉诈网址列表等训练样本,以保证模型的鲁棒性。
具体地,获取若干组涉诈网址样本以及所述若干组涉诈网址样本对应的训练样本标签,进而将各所述涉诈网址样本输入至初始涉诈网址分类研判模型,得到初始涉诈网址分类研判模型输出的预测值,其中,可使用支持向量机(Support Vector Machine,SVM)分类算法,进而基于预测值和各所述涉诈网址样本对应的训练样本标签,利用损失函数计算得到模型损失值,在本实施例中,损失函数可以根据实际需求进行设置,此处不做具体限定。在计算获得模型损失值之后,本次训练过程结束,再利用误差反向传播算法等更新初始涉诈网址分类研判模型中的模型参数,之后再进行下一次训练。在训练的过程中,判断更新后的初始涉诈网址分类研判模型是否满足预设训练结束条件,若满足,则将更新后的初始涉诈网址分类研判模型作为涉诈网址分类研判模型,若不满足,则继续训练模型,其中,预设训练结束条件包括损失收敛和达到最大迭代次数阈值等。
本发明实施例通过获取若干组涉诈网址样本以及所述若干组涉诈网址样本对应的训练样本标签,进而根据各所述涉诈网址样本以及各所述涉诈网址样本对应的训练样本标签,对初始涉诈网址分类研判模型进行迭代训练,得到所述涉诈网址分类研判模型,从而增加模型的鲁棒性,并有效提高模型输出结果的准确性。
在本发明的一个实施例中,所述将所述相对链接特征向量输入至涉诈网址分类研判模型,得到所述涉诈网址分类研判模型输出的涉诈研判结果,以确定所述新增域名日志信息的涉诈情况之后,还包括:
若所述新增域名日志信息对应的涉诈研判结果为涉诈网址结果,则将所述新增域名日志信息与预设恶意网址库进行匹配;若匹配失败,则基于所述新增域名日志信息,生成涉诈域名信息,并将所述涉诈域名信息添加至预设恶意网址库中;将所述涉诈域名信息推送至管理人员,以供所述管理人员基于所述涉诈域名信息对所述新增域名日志信息进行管理。
需要说明的是,所述预设恶意网址库是指已知涉诈网址的日志信息库,包括涉诈网址、IP地址、端口、域名来源、涉诈网址类别、涉诈网址模板类别以及匹配类型等。另外地,所述涉诈网址结果包括研判类别、涉诈网址类别以及涉诈网址模板类别等,例如,在一实施例中,所述涉诈网址分类研判模型输出的涉诈研判结果可参考表6,表6是本发明一实施例中涉诈网址分类研判模型输出的涉诈研判结果。
进一步需要说明的是,所述涉诈域名信息包括涉诈域名、端口、IP、涉诈网页和浏览器渲染效果截图等,可选地,所述涉诈域名信息可通过“Python+Selenium+WebDriver+Chrome+Xvfb”爬虫框架生成,模拟手机浏览器对涉诈域名进行访问以及数据爬取,并保存该涉诈域名对应的HTML网页和浏览器渲染效果截图,以作为涉诈研判结果的补充证据,方便安全专家进行二次人工复核,以提高涉诈研判结果的准确性,其中,为了有效保存HTML网页的中文内容,爬虫框架将读取HTML网页的charset字符集属性,作为保存网页的字符编码,包括<meta charset="UTF-8">、<meta http-equiv="content-type" content ="text/html;charset=UTF-8 ">等,所述涉诈域名信息还可根据其他情况生成,在此不做限制。
具体地,若所述新增域名日志信息对应的涉诈研判结果为涉诈网址结果,则将所述新增域名日志信息与预设恶意网址库进行匹配,其中,可以采用涉诈网址的主机字段或者涉诈网址的URL字段进行匹配,以提高匹配速度。进一步地,若匹配失败,即,所述新增域名日志信息不存在于预设恶意网址库中,则根据所述新增域名日志信息中的新增域名,生成涉诈域名信息,并将所述涉诈域名信息添加至预设恶意网址库中,进而将所述涉诈域名信息推送至管理人员,以供所述管理人员根据所述涉诈域名信息对所述新增域名日志信息进行预警管理,其中,可以通过发送邮件、APP通知以及小程序通知等方式进行推送,在此不做限制。
本发明实施例通过若所述新增域名日志信息对应的涉诈研判结果为涉诈网址结果,则将所述新增域名日志信息与预设恶意网址库进行匹配,进而当匹配失败时,基于所述新增域名日志信息,生成涉诈域名信息,并将所述涉诈域名信息添加至预设恶意网址库中,从而将所述涉诈域名信息推送至管理人员,进而使所述管理人员基于所述涉诈域名信息对所述新增域名日志信息进行预警管理,从而可以更快速和有针对性地采取预防响应措施,降低被攻击的风险,控制损失,同时有利于网络安全知识库的完善。
本实施例提供的涉诈网址检测方法,可应用在网络反诈大数据分析平台中,其中,所述网络反诈大数据分析平台包括集中管理、数据分析以及数据采集等功能,具体可参考图4与图5,图4是本发明提供的网络反诈大数据分析平台的系统模块图,图5是本发明提供的网络反诈大数据分析平台的部分功能实现图。
下面对本发明提供的涉诈网址检测装置进行描述,下文描述的涉诈网址检测装置与上文描述的涉诈网址检测方法可相互对应参照。
图2是本发明提供的涉诈网址检测装置的结构示意图,如图2所示,本发明实施例的一种涉诈网址检测装置,该装置包括:
获取模块21,用于获取预设检测时间内的若干个新增域名日志信息;
特征模块22,用于基于任一所述新增域名日志信息,得到所述新增域名日志信息对应的相对链接特征向量;
研判模块23,用于将所述相对链接特征向量输入至涉诈网址分类研判模型,得到所述涉诈网址分类研判模型输出的涉诈研判结果,以确定所述新增域名日志信息的涉诈情况。
所述涉诈网址检测装置还用于:
获取预设类群数、涉诈网址列表以及在预设回溯时间内的增量域名日志列表,其中,所述预设类群数是K均值聚类算法中的K值;
基于所述预设类群数、所述涉诈网址列表以及所述增量域名日志列表,进行K均值聚类分析,得到K个增量聚类结果以及K个涉诈聚类结果;
将各所述增量聚类结果以及各所述涉诈聚类结果推送至安全专家,以供所述安全专家对所述涉诈网址列表进行标签分类后,作为训练样本训练所述涉诈网址分类研判模型。
所述涉诈网址检测装置还用于:
基于所述涉诈网址列表以及所述增量域名日志列表,得到若干个增量相对链接以及若干个涉诈相对链接;
将各所述增量相对链接以及各所述涉诈相对链接与预设白名单相对链接集合进行匹配;
基于所述预设类群数,分别对匹配后的各所述增量相对链接以及匹配后的各所述涉诈相对链接进行K均值聚类分析,得到所述K个增量聚类结果以及所述K个涉诈聚类结果。
所述涉诈网址检测装置还用于:
提取任一所述新增域名日志信息的若干个新增相对链接特征;
将各所述新增相对链接特征与预设涉诈相对链接特征集合进行对比匹配,生成所述相对链接特征向量。
所述涉诈网址检测装置还用于:
获取预设检测时间内的用户上网日志信息,并提取所述用户上网日志信息中的主机字段;
将所述主机字段与预设白名单网址库进行匹配,以过滤所述用户上网日志信息中的白名单域名日志信息;
将过滤后得到的主机字段与预设存量域名库进行对比匹配,以得到所述若干个新增域名日志信息。
所述涉诈网址检测装置还用于:
获取若干组涉诈网址样本以及所述若干组涉诈网址样本对应的训练样本标签;
根据各所述涉诈网址样本以及各所述涉诈网址样本对应的训练样本标签,对初始涉诈网址分类研判模型进行迭代训练,得到所述涉诈网址分类研判模型。
所述涉诈网址检测装置还用于:
若所述新增域名日志信息对应的涉诈研判结果为涉诈网址结果,则将所述新增域名日志信息与预设恶意网址库进行匹配;
若匹配失败,则基于所述新增域名日志信息,生成涉诈域名信息,并将所述涉诈域名信息添加至预设恶意网址库中;
将所述涉诈域名信息推送至管理人员,以供所述管理人员基于所述涉诈域名信息对所述新增域名日志信息进行管理。
在此需要说明的是,本发明实施例提供的上述装置,能够实现上述方法实施例所实现的所有方法步骤,且能够达到相同技术效果,在此不再对本实施例中与方法实施例相同部分及有益效果进行具体赘述。
图3是本发明提供的电子设备的结构示意图,如图3所示,该电子设备可以包括:处理器(processor)310、存储器(memory)320、通信接口(Communications Interface)330和通信总线340,其中,处理器310,存储器320,通信接口330通过通信总线340完成相互间的通信。处理器310可以调用存储器320中的逻辑指令,以执行涉诈网址检测方法,该方法包括:获取预设检测时间内的若干个新增域名日志信息;基于任一所述新增域名日志信息,得到所述新增域名日志信息对应的相对链接特征向量;将所述相对链接特征向量输入至涉诈网址分类研判模型,得到所述涉诈网址分类研判模型输出的涉诈研判结果,以确定所述新增域名日志信息的涉诈情况。
此外,上述的存储器320中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的涉诈网址检测方法,该方法包括:获取预设检测时间内的若干个新增域名日志信息;基于任一所述新增域名日志信息,得到所述新增域名日志信息对应的相对链接特征向量;将所述相对链接特征向量输入至涉诈网址分类研判模型,得到所述涉诈网址分类研判模型输出的涉诈研判结果,以确定所述新增域名日志信息的涉诈情况。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种涉诈网址检测方法,其特征在于,包括:
获取预设检测时间内的若干个新增域名日志信息;
基于任一所述新增域名日志信息,得到所述新增域名日志信息对应的相对链接特征向量;
将所述相对链接特征向量输入至涉诈网址分类研判模型,得到所述涉诈网址分类研判模型输出的涉诈研判结果,以确定所述新增域名日志信息的涉诈情况。
2.根据权利要求1所述的涉诈网址检测方法,其特征在于,所述将所述相对链接特征向量输入至涉诈网址分类研判模型,得到所述涉诈网址分类研判模型输出的涉诈研判结果,以确定所述新增域名日志信息的涉诈情况之后,还包括:
获取预设类群数、涉诈网址列表以及在预设回溯时间内的增量域名日志列表,其中,所述预设类群数是K均值聚类算法中的K值;
基于所述预设类群数、所述涉诈网址列表以及所述增量域名日志列表,进行K均值聚类分析,得到K个增量聚类结果以及K个涉诈聚类结果;
将各所述增量聚类结果以及各所述涉诈聚类结果推送至安全专家,以供所述安全专家对所述涉诈网址列表进行标签分类后,作为训练样本训练所述涉诈网址分类研判模型。
3.根据权利要求2所述的涉诈网址检测方法,其特征在于,所述基于所述预设类群数、所述涉诈网址列表以及所述增量域名日志列表,进行聚类分析,得到K个增量聚类结果以及K个涉诈聚类结果,包括:
基于所述涉诈网址列表以及所述增量域名日志列表,得到若干个增量相对链接以及若干个涉诈相对链接;
将各所述增量相对链接以及各所述涉诈相对链接与预设白名单相对链接集合进行匹配;
基于所述预设类群数,分别对匹配后的各所述增量相对链接以及匹配后的各所述涉诈相对链接进行K均值聚类分析,得到所述K个增量聚类结果以及所述K个涉诈聚类结果。
4.根据权利要求1所述的涉诈网址检测方法,其特征在于,所述基于任一所述新增域名日志信息,得到所述新增域名日志信息对应的相对链接特征向量,包括:
提取任一所述新增域名日志信息的若干个新增相对链接特征;
将各所述新增相对链接特征与预设涉诈相对链接特征集合进行对比匹配,生成所述相对链接特征向量。
5.根据权利要求1所述的涉诈网址检测方法,其特征在于,所述获取预设检测时间内的若干个新增域名日志信息,包括:
获取预设检测时间内的用户上网日志信息,并提取所述用户上网日志信息中的主机字段;
将所述主机字段与预设白名单网址库进行匹配,以过滤所述用户上网日志信息中的白名单域名日志信息;
将过滤后得到的主机字段与预设存量域名库进行对比匹配,以得到所述若干个新增域名日志信息。
6.根据权利要求1所述的涉诈网址检测方法,其特征在于,所述将所述相对链接特征向量输入至涉诈网址分类研判模型,得到所述涉诈网址分类研判模型输出的涉诈研判结果,以确定所述新增域名日志信息的涉诈情况之前,还包括:
获取若干组涉诈网址样本以及所述若干组涉诈网址样本对应的训练样本标签;
根据各所述涉诈网址样本以及各所述涉诈网址样本对应的训练样本标签,对初始涉诈网址分类研判模型进行迭代训练,得到所述涉诈网址分类研判模型。
7.根据权利要求1所述的涉诈网址检测方法,其特征在于,所述将所述相对链接特征向量输入至涉诈网址分类研判模型,得到所述涉诈网址分类研判模型输出的涉诈研判结果,以确定所述新增域名日志信息的涉诈情况之后,还包括:
若所述新增域名日志信息对应的涉诈研判结果为涉诈网址结果,则将所述新增域名日志信息与预设恶意网址库进行匹配;
若匹配失败,则基于所述新增域名日志信息,生成涉诈域名信息,并将所述涉诈域名信息添加至所述预设恶意网址库中;
将所述涉诈域名信息推送至管理人员,以供所述管理人员基于所述涉诈域名信息对所述新增域名日志信息进行管理。
8.一种涉诈网址检测装置,其特征在于,包括:
获取模块,用于获取预设检测时间内的若干个新增域名日志信息;
特征模块,用于基于任一所述新增域名日志信息,得到所述新增域名日志信息对应的相对链接特征向量;
研判模块,用于将所述相对链接特征向量输入至涉诈网址分类研判模型,得到所述涉诈网址分类研判模型输出的涉诈研判结果,以确定所述新增域名日志信息的涉诈情况。
9.一种电子设备,包括存储器、处理器及存储在所述存储器上并在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任一项所述涉诈网址检测方法。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述涉诈网址检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311540726.XA CN117254983A (zh) | 2023-11-20 | 2023-11-20 | 涉诈网址检测方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311540726.XA CN117254983A (zh) | 2023-11-20 | 2023-11-20 | 涉诈网址检测方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117254983A true CN117254983A (zh) | 2023-12-19 |
Family
ID=89126863
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311540726.XA Pending CN117254983A (zh) | 2023-11-20 | 2023-11-20 | 涉诈网址检测方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117254983A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117811835A (zh) * | 2024-02-28 | 2024-04-02 | 环球数科集团有限公司 | 一种基于人工智能的涉诈网址检测系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112491864A (zh) * | 2020-11-23 | 2021-03-12 | 恒安嘉新(北京)科技股份公司 | 检测网络诈骗的深度受害用户的方法、装置、设备及介质 |
| CN112866279A (zh) * | 2021-02-03 | 2021-05-28 | 恒安嘉新(北京)科技股份公司 | 网页安全检测方法、装置、设备及介质 |
| CN113779481A (zh) * | 2021-09-26 | 2021-12-10 | 恒安嘉新(北京)科技股份公司 | 诈骗网站的识别方法、装置、设备及存储介质 |
| CN114049508A (zh) * | 2022-01-12 | 2022-02-15 | 成都无糖信息技术有限公司 | 一种基于图片聚类和人工研判的诈骗网站识别方法及系统 |
| CN115795207A (zh) * | 2022-09-28 | 2023-03-14 | 广州天晴信息科技有限公司 | 涉诈网站自动识别方法及系统 |
-
2023
- 2023-11-20 CN CN202311540726.XA patent/CN117254983A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112491864A (zh) * | 2020-11-23 | 2021-03-12 | 恒安嘉新(北京)科技股份公司 | 检测网络诈骗的深度受害用户的方法、装置、设备及介质 |
| CN112866279A (zh) * | 2021-02-03 | 2021-05-28 | 恒安嘉新(北京)科技股份公司 | 网页安全检测方法、装置、设备及介质 |
| CN113779481A (zh) * | 2021-09-26 | 2021-12-10 | 恒安嘉新(北京)科技股份公司 | 诈骗网站的识别方法、装置、设备及存储介质 |
| CN114049508A (zh) * | 2022-01-12 | 2022-02-15 | 成都无糖信息技术有限公司 | 一种基于图片聚类和人工研判的诈骗网站识别方法及系统 |
| CN115795207A (zh) * | 2022-09-28 | 2023-03-14 | 广州天晴信息科技有限公司 | 涉诈网站自动识别方法及系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117811835A (zh) * | 2024-02-28 | 2024-04-02 | 环球数科集团有限公司 | 一种基于人工智能的涉诈网址检测系统 |
| CN117811835B (zh) * | 2024-02-28 | 2024-05-03 | 环球数科集团有限公司 | 一种基于人工智能的涉诈网址检测系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108092962B (zh) | 一种恶意url检测方法及装置 | |
| CN107888571B (zh) | 一种基于HTTP日志的多维度webshell入侵检测方法及检测系统 | |
| US20180219907A1 (en) | Method and apparatus for detecting website security | |
| CN103559235B (zh) | 一种在线社交网络恶意网页检测识别方法 | |
| CN108449342A (zh) | 恶意请求检测方法及装置 | |
| CN109831459B (zh) | 安全访问的方法、装置、存储介质和终端设备 | |
| CN111104579A (zh) | 一种公网资产的识别方法、装置及存储介质 | |
| CN115134099B (zh) | 基于全流量的网络攻击行为分析方法及装置 | |
| CN111866016A (zh) | 日志的分析方法及系统 | |
| CN117254983A (zh) | 涉诈网址检测方法、装置、设备及存储介质 | |
| CN111107423A (zh) | 一种视频业务播放卡顿的识别方法和装置 | |
| WO2017063274A1 (zh) | 一种恶意跳转及恶意嵌套类不良网站的自动判定方法 | |
| CN114244564B (zh) | 攻击防御方法、装置、设备及可读存储介质 | |
| CN112131507A (zh) | 网站内容处理方法、装置、服务器和计算机可读存储介质 | |
| CN108600270A (zh) | 一种基于网络日志的异常用户检测方法及系统 | |
| CN110020161B (zh) | 数据处理方法、日志处理方法和终端 | |
| US20140129490A1 (en) | Image url-based junk detection | |
| CN115333966A (zh) | 一种基于拓扑的Nginx日志分析方法、系统及设备 | |
| CN108804501B (zh) | 一种检测有效信息的方法及装置 | |
| CN115174205A (zh) | 一种网络空间安全实时监测方法、系统及计算机存储介质 | |
| CN111131236A (zh) | 一种web指纹检测装置、方法、设备及介质 | |
| CN114461864A (zh) | 一种告警溯源方法和装置 | |
| CN117539739A (zh) | 基于双特征的用户连续行为异常监测方法 | |
| CN117609992A (zh) | 一种数据泄密检测方法、装置及存储介质 | |
| CN114422168A (zh) | 一种恶意机器流量识别方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |