【技术实现步骤摘要】
阴影域检测模型、检测模型建立方法、检测方法及系统
本专利技术涉及阴影域检测
,特别提供了一种阴影域检测模型、检测模型建立方法、检测方法及系统。
技术介绍
域名就是上网单位的名称,是一个通过计算机登上网络的单位在该网中的地址。一个公司如果希望在网络上建立自己的主页,就必须取得一个域名,域名也是由若干部分组成,包括数字和字母。通过该地址,人们可以在网络上找到所需的详细资料。域名是上网单位和个人在网络上的重要标识,起着识别作用,便于他人识别和检索某一企业、组织或个人的信息资源,从而更好地实现网络上的资源共享。除了识别功能外,在虚拟环境下,域名还可以起到引导、宣传、代表等作用。域名如今经常被人们在非法活动中利用,但是传统的非法活动是通过创建新的域名来实施非法行为,但是,创建的新的域名在实施非法行为时很容易就被识别到,为了逃避检测系统的识别,不法分子改变策略,不是创建新的域名,而是通过在合法域名下建立非法的子域名,即阴影域,来实施非法活动,阴影域将帐户流量从消费者流量中转移到现有的、注册的以及其他可信任的Web域中。一旦获得访问权限,不法分子便会注册大量未经授权的子域,这些子域与众所周知的域相关联并且通常不遵循任何可识别的模式,因此难以检测。不仅如此,阴影域不会影响父域或该域上托管的任何内容,从而使其操作更加隐蔽。犯罪者使用这些欺诈性子域进行恶意活动,包括分发恶意软件,注入漏洞利用工具包或将用户静默重定向到承载恶意元素的其他网站。因为非法的子域名继承了合法域名的信任,所以目前的检测系统不能很好的检测出非法 ...
【技术保护点】
1.一种阴影域检测模型建立方法,其特征在于,包括如下步骤:/n1)搜集阴影域数据样本和合法域数据样本,提取阴影域特征;/n2)对提取的阴影域特征进行Logistic回归建模,选择输出P值小于0.05的特征,构建为F特征集合;/n3)对阴影域数据样本提取F特征集合,之后对阴影域数据样本和合法域数据样本分别加标签后合并,再随机划分为两个数据集,即数据集A和数据集B;/n4)对数据集A进行三次随机打乱,得到数据集A-1、数据集A-2和数据集A-3,分别对数据集A-1、数据集A-2和数据集A-3通过rbf-svm分类器进行训练,得到三个模型,即modelA-1、modelA-2和modelA-3,对modelA-1、modelA-2和modelA-3采用平均法,得到M1模型;/n5)采用stacking模型构建M2,即对数据集B分别采用随机森林、期望最大化算法、梯度提升迭代决策树和XGB模型作为第一层进行预测,分别得到四个预测结果,将四个预测结果作为第二层逻辑回归模型的输入,对四个预测结果进行训练预测,输出结果为M2模型;/n6)根据公式M
【技术特征摘要】
1.一种阴影域检测模型建立方法,其特征在于,包括如下步骤:
1)搜集阴影域数据样本和合法域数据样本,提取阴影域特征;
2)对提取的阴影域特征进行Logistic回归建模,选择输出P值小于0.05的特征,构建为F特征集合;
3)对阴影域数据样本提取F特征集合,之后对阴影域数据样本和合法域数据样本分别加标签后合并,再随机划分为两个数据集,即数据集A和数据集B;
4)对数据集A进行三次随机打乱,得到数据集A-1、数据集A-2和数据集A-3,分别对数据集A-1、数据集A-2和数据集A-3通过rbf-svm分类器进行训练,得到三个模型,即modelA-1、modelA-2和modelA-3,对modelA-1、modelA-2和modelA-3采用平均法,得到M1模型;
5)采用stacking模型构建M2,即对数据集B分别采用随机森林、期望最大化算法、梯度提升迭代决策树和XGB模型作为第一层进行预测,分别得到四个预测结果,将四个预测结果作为第二层逻辑回归模型的输入,对四个预测结果进行训练预测,输出结果为M2模型;
6)根据公式Mfinal=0.5*M1+0.5*M2,即根据平均法,得到Mfinal,即得到阴影域检测的模型。
2.按照权利要求1所述的阴影域检测模型建立方法,其特征在于,步骤1)中,利用人为网上搜索的方式,搜集阴影域数据样本,合法域数据样本包括热门流行域名和分非热门流行域名。
3.按照权利要求1所述的阴影域检测模型建立方法,其特征在于,提取的阴影域特征分为四类,即子域名用途特征、子域名托管特征、子域名活动特征和子域名名称特征,其中子域名用途特征包括顶点域与第一个非www子域名之间建立的间隔、同一个顶点域下热门子域名的比例、同一IP下共同托管的热门子域名的比例、子域名的网络连通性、同一顶点域下子域名的连通性、同一IP下共同托管的子域名的网络连通性;子域名托管特征包括子域名托管IP的偏...
【专利技术属性】
技术研发人员:曲武,
申请(专利权)人:北京金睛云华科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。