非法外联检测方法及设备技术

本申请提供一种非法外联检测方法及设备，该方法包括：通过获取外联网络的历史数据，所述历史数据包括多条记录信息，其中，记录信息包括外联网络的网络地址

【技术实现步骤摘要】
非法外联检测方法及设备


[0001]本申请涉及通信
，尤其涉及一种非法外联检测方法及设备
。

技术介绍

[0002]一些与互联网隔离的特殊网络，安全措施并没有互联网完善，防范意识比较薄弱，如果将内部主机与互联网进行相连，无疑增加了内部网络的安全隐患
。
[0003]现有的非法外联系统大多采用黑白名单的模式进行检测，即将用户的外联网络地址或
IP
与已知的恶意网络地址
/IP
数据库进行比对，如果命中则判断为非法外联
。
[0004]但由于恶意网络地址
/IP
增加速度快，容易出现黑白名单更新不及时导致出现防护漏洞
。

技术实现思路

[0005]本申请提供一种非法外联检测方法及设备，根据实际的记录信息生成检测模型，提高了识别外联网络是否非法的准确度和实时性
。
[0006]第一方面，本申请提供一种非法外联检测方法，包括：
[0007]获取外联网络的历史数据，所述历史数据包括多条记录信息，其中，所述记录信息包括外联网络的网络地址
、IP
地址和非法标签，所述非法标签用于指示所述记录信息是否非法；
[0008]对所述多个记录信息进行聚类处理，得到多个聚类簇，其中，每个聚类簇中的记录信息的非法标签一致；待检测记录信息的非法标签与所述待检测记录信息所处的聚类簇的非法标签一致
。
[0009]在一种可能的设计中，所述对所述多条记录信息进行聚类处理，得到多个聚类簇，包括：
[0010]针对每个记录信息，对所述记录信息中的网络地址进行分词处理，得到多个地址分词；
[0011]通过
GloVe
算法对所述多个地址分词和所述
IP
地址进行向量转换处理，得到多个词向量；
[0012]根据所述词向量和所述词向量对应的特征权重，得到记录向量；
[0013]对所述多个记录向量进行聚类处理，得到多个聚类簇
。
[0014]在一种可能的设计中，所述根据所述词向量和所述词向量对应的特征权重，得到记录向量，包括：
[0015]获取每个记录信息中每个地址分词的特征权重以及所述
IP
地址的特征权重；其中，所述特征权重用于指示重要程度；
[0016]对每个词向量的第
i
个元素与各自对应的权重特征进行加权求和，得到所述记录向量中的第
i
个元素，所述
i
为正整数
。
[0017]在一种可能的设计中，所述对所述多个记录向量进行聚类处理，得到多个聚类簇，
包括：
[0018]随机选择
X
个记录向量作为初始聚类中心；
[0019]遍历每个记录向量，获取各个记录向量到所述聚类中心的最短欧氏距离；
[0020]根据所述最短欧氏距离将所述多个记录向量分为
X
个候选聚类簇，将各所述候选聚类簇中各记录向量的均值向量作为新聚类中心，重复迭代过程，直至得到多个聚类簇，且多个聚类簇中的记录信息的非法标签一致
。
[0021]在一种可能的设计中，所述重复迭代过程，直至得到多个聚类簇，包括：
[0022]重复迭代过程，直至聚类中心的记录向量不变，得到
X
个候选聚类簇；
[0023]判断所述各候选聚类簇中的每个记录向量对应的非法标签是否一致；
[0024]若一致，则结束聚类过程，将所述
X
个候选聚类簇作为所述多个聚类簇；
[0025]若不一致，则随机选择
M
个记录向量作为新的初始聚类中心，重新进行聚类过程，直至得到多个聚类簇，且多个聚类簇中的记录信息的非法标签一致
。
[0026]在一种可能的设计中，所述重新进行聚类过程，直至得到多个聚类簇，包括：
[0027]根据所述记录向量到新的初始聚类中心的最短欧氏距离，获取所述记录向量的被选中概率；
[0028]根据每个记录向量的被选中概率，得到新的聚类中心，重复迭代过程直至得到多个聚类簇，其中，所述各记录向量的被选中概率越大，被选为聚类中心的概率越大
。
[0029]在一种可能的设计中，所述根据所述记录向量到新的初始聚类中心的最短欧氏距离，获取所述记录向量的被选中概率，包括：
[0030]获取所有记录向量到新的初始聚类中心的最短欧氏距离的和值；
[0031]根据各记录向量到所述新的聚类中心的最短欧氏距离和所述和值的比值，得到所述各记录向量的被选中概率
。
[0032]在一种可能的设计中，所述根据每个记录向量的被选中概率，得到新的聚类中心，包括：
[0033]根据各记录向量的被选中概率，在轮盘上划分多个概率区间，其中，所述各记录向量的被选中概率越大，则对应的概率区间在轮盘上的面积越大；
[0034]通过转动轮盘获取被选中的目标概率区间，在所述目标概率区间中随机选择一个记录向量，作为新的聚类中心
。
[0035]第二方面，本申请提供了另一种非法外联检测方法，包括：
[0036]获取待检测记录信息的待检测记录向量；
[0037]根据多个聚类簇中每个聚类簇的覆盖范围，获取所述待检测记录向量所属的目标聚类簇；其中，所述多个聚类簇是第一方面中得到的多个聚类簇；
[0038]根据所述目标聚类簇的非法标签，判断所述待检测记录向量是否非法；其中，待检测记录向量的非法标签与所述目标聚类簇的非法标签一致
。
[0039]第三方面，本申请提供了一种非法外联检测设备，包括：
[0040]获取模块，用于获取外联网络的历史数据，所述历史数据包括多条记录信息，其中，所述记录信息包括外联网络的网络地址
、IP
地址和非法标签，所述非法标签用于指示所述记录信息是否非法；
[0041]聚类模块，用于对所述多个记录信息进行聚类处理，得到多个聚类簇，其中，每个
聚类簇中的记录信息的非法标签一致；待检测记录信息的非法标签与所述待检测记录信息所处的聚类簇的非法标签一致
。
[0042]在一种可能的设计中，所述聚类模块具体用于：
[0043]针对每个记录信息，对所述记录信息中的网络地址进行分词处理，得到多个地址分词；
[0044]通过
GloVe
算法对所述多个地址分词和所述
IP
地址进行向量转换处理，得到多个词向量；
[0045]根据所述词向量和所述词向量对应的特征权重，得到记录向量；
[0046]对所述多个记录向量进行聚类处理，得到多个聚类簇
。
[0047]在一种可能的设计中，所述聚类模块还具体用于：
[0048]获取每个记录信息中每个地址分词的特征权重以及所述
IP
地址的特征权重本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种非法外联检测方法，其特征在于，包括：获取外联网络的历史数据，所述历史数据包括多条记录信息，其中，所述记录信息包括外联网络的网络地址
、IP
地址和非法标签，所述非法标签用于指示所述记录信息是否非法；对所述多个记录信息进行聚类处理，得到多个聚类簇，其中，每个聚类簇中的记录信息的非法标签一致；待检测记录信息的非法标签与所述待检测记录信息所处的聚类簇的非法标签一致
。2.
根据权利要求1所述的方法，其特征在于，所述对所述多条记录信息进行聚类处理，得到多个聚类簇，包括：针对每个记录信息，对所述记录信息中的网络地址进行分词处理，得到多个地址分词；通过
GloVe
算法对所述多个地址分词和所述
IP
地址进行向量转换处理，得到多个词向量；根据所述词向量和所述词向量对应的特征权重，得到记录向量；对所述多个记录向量进行聚类处理，得到多个聚类簇
。3.
根据权利要求2所述的方法，其特征在于，所述根据所述词向量和所述词向量对应的特征权重，得到记录向量，包括：获取每个记录信息中每个地址分词的特征权重以及所述
IP
地址的特征权重；其中，所述特征权重用于指示重要程度；对每个词向量的第
i
个元素与各自对应的权重特征进行加权求和，得到所述记录向量中的第
i
个元素，所述
i
为正整数
。4.
根据权利要求2所述的方法，其特征在于，所述对所述多个记录向量进行聚类处理，得到多个聚类簇，包括：随机选择
X
个记录向量作为初始聚类中心；遍历每个记录向量，获取各个记录向量到所述聚类中心的最短欧氏距离；根据所述最短欧氏距离将所述多个记录向量分为
X
个候选聚类簇，将各所述候选聚类簇中各记录向量的均值向量作为新聚类中心，重复迭代过程，直至得到多个聚类簇，且多个聚类簇中的记录信息的非法标签一致
。5.
根据权利要求4所述的方法，其特征在于，所述重复迭代过程，直至得到多个聚类簇，包括：重复迭代过程，直至聚类中心的记录向量不变，得到
X
个候选聚类簇；判断所述各候选聚类簇中的每个记录向量对应的非法标签是否一致；若一致，则结束聚类过程，将所述
X
个候选聚类簇作为所述多个聚类簇；若不一致，则随机选择
M
个记录向量作为新的初始聚类中心，重新进行聚类过程，直至得到多个聚类簇，且多个聚类簇中的记录信息的非法标签一致
。6.
根据权利要求5所述的方法，其特征在于，所述重新进行聚类过程，直至得到多个聚类簇，包括：根据所述记录向量到新的初始聚类中心的最短欧氏距离，获取所述记录向量的被选中概率；根据每个记录向量的被选中概率，得...

【专利技术属性】
技术研发人员：程筱彪，徐雷，张曼君，
申请(专利权)人：中国联合网络通信集团有限公司，
类型：发明
国别省市：