一种基于不确定性推理的恶意虚假网站溯源分析方法技术

本发明专利技术公开了一种基于不确定性推理的恶意虚假网站溯源分析方法

【技术实现步骤摘要】
一种基于不确定性推理的恶意虚假网站溯源分析方法、装置和电子设备


[0001]本专利技术涉及信息安全
，尤其涉及一种基于不确定性推理的恶意虚假网站溯源分析方法
、
装置和电子设备
。

技术介绍

[0002]恶意虚假网站分析技术是一种基于大数据分析和机器学习技术的网络安全解决方案，旨在帮助安全专家识别和追踪恶意虚假网站背后的管理者
。
该技术利用海量的网络数据，包括网页内容
、IP
地址和域名注册信息等，通过数据挖掘和机器学习算法，对恶意虚假网站进行自动化分类和识别
。
具体来说，该技术通过对恶意虚假网站的网页内容进行文本分析，提取出关键词
、
主题和情感等特征，然后将这些特征与已有的恶意虚假网站特征库进行比对和匹配，从而确定恶意虚假网站的类别和风险等级
。
同时，该技术还可以自动更新恶意虚假网站的特征库，及时获取最新的恶意虚假网站信息，并提供准确的威胁评估和建议，帮助安全专家更好地应对网络威胁
。
除了恶意虚假网站分类和识别外，该技术还可以自动分析恶意虚假网站背后的管理者的行为模式和网络结构，例如管理者的组织架构
、
通信方式和攻击路径等
。
这些信息可以帮助安全专家更好地了解管理者的活动规律和攻击方式，进而采取更有针对性的防御措施
。
所以，恶意虚假网站分析技术具有高效
、
准确和智能等特点，能够帮助安全专家快速识别和追踪恶意虚假网站背后的管理者，提高网络安全防御能力，降低网络安全风险
。
因此，恶意虚假网站分析技术已经成为许多企业和组织不可或缺的安全工具之一
。
[0003]但是，随着攻防对抗的升级，恶意虚假网站为了逃避检测会快速更换恶意虚假网站的部署服务器，导致在进行恶意虚假网站的溯源分析时，自动拓线的关系会出现随时间变化的特点，进而无法准确的确定恶意虚假网站的类别和风险等级
、
识别和追踪恶意虚假网站背后的管理者，从而降低了网络安全防御能力，增加了网络安全风险
。

技术实现思路

[0004]为了解决现有技术中存在的问题，本专利技术提供了如下技术方案
。
[0005]本专利技术第一方面提供了一种基于不确定性推理的恶意虚假网站溯源分析方法，包括：根据待溯源的恶意虚假网站的域名进行信息扩展，将扩展出的信息进行图形化关联得到恶意虚假网站拓线图；根据时序特点，基于所述恶意虚假网站拓线图构建有向分层图，即按照不同时间段将所述恶意虚假网站拓线图上的信息划分在不同层级中；确定所述有向分层图的核心节点，并根据所述核心节点确定在预设时间段内的拓扑路径；将所有的所述拓扑路径放入一个集合中并去重后得到边表，该边表即为恶意虚假
网站组织的拓扑结构
。
[0006]优选地，所述核心节点包括预定义节点
、
聚合点和割点；其中，所述预定义节点为与社交媒体和个人信息相关的节点；所述聚合点包括重要度大于阈值且具有唯一性的关联性特征节点和所述恶意虚假网站拓线图的聚合子图的缩点
。
[0007]优选地，所述重要度大于阈值且具有唯一性的关联性特征节点，按照如下方法确定：去掉关联性特征节点的最高关联度和最低关联度，取其余关联度的平均值作为关联性特征节点的重要度；确定重要度大于阈值，且具有唯一性的所述关联性特征节点
。
[0008]优选地，所述恶意虚假网站拓线图的聚合子图的缩点，按照如下方法确定：对所述恶意虚假网站拓线图进行子图聚合，得到多个聚合子图，从多个聚合子图中，识别出
CDN
子图和部署在相同服务器上的网站关联子图；将
CDN
子图缩点为
CDN
节点，将部署在相同服务器上的网站关联子图缩点为
Host
节点；将所述
CDN
节点和所述
Host
节点分别确定为
CDN
子图和部署在相同服务器上的网站关联子图的缩点
。
[0009]优选地，所述割点为基于
Tarjan
算法对缩点后的恶意虚假网站拓线图进行计算得到的
。
[0010]优选地，所述根据所述核心节点确定在预设时间段内的拓扑路径包括：基于
Dijkstra
算法计算所述恶意虚假网站拓线图中，每个恶意虚假网站域名节点到每个核心节点之间符合所述预设时间段约束的最短路径，并将该最短路径作为拓扑路径
。
[0011]优选地，所述方法还包括：输出边表并进行可视化展示，并对缩点后的
CDN
节点和
Host
节点进行下级信息展开，还原为缩点前的关联情况
。
[0012]优选地，所述根据待溯源的恶意虚假网站的域名进行信息扩展包括：基于
PDNS
信息获取恶意虚假网站的历史信息，基于
Whois
信息获取恶意虚假网站的同族信息，基于威胁情报信息获取恶意虚假网站的历史攻击事件信息，以及基于关键特征字符串获取恶意虚假网站的同族信息；将所述历史信息
、
所述同族信息和所述历史攻击事件信息作为扩展出的信息
。
[0013]本专利技术第二方面提供了一种基于不确定性推理的恶意虚假网站溯源分析装置，包括：恶意虚假网站拓线模块，用于根据待溯源的恶意虚假网站的域名进行信息扩展，将扩展出的信息进行图形化关联得到恶意虚假网站拓线图；有向分层图构建模块，用于根据时序特点，基于所述恶意虚假网站拓线图构建有向分层图，即按照不同时间段将所述恶意虚假网站拓线图上的信息划分在不同层级中；核心节点和拓扑路径确定模块，用于确定所述有向分层图的核心节点，并根据所述核心节点确定在预设时间段内的拓扑路径；恶意虚假网站组织获取模块，用于将所有的所述拓扑路径放入一个集合中并去重后得到边表，该边表即为恶意虚假网站组织的拓扑结构
。
[0014]本专利技术还提供了一种电子设备，包括处理器和与所述处理器连接的存储器，所述存储器存储有多条指令，所述指令可被所述处理器加载并执行，以使所述处理器能够执行如第一方面所述的方法
。
[0015]本专利技术的有益效果是：本专利技术构建的基于不确定性推理的恶意虚假网站溯源分析方法
、
装置和电子设备，基于确定性关联和不确定性关联，综合考虑时空变化，根据待溯源
的恶意虚假网站的域名进行自动化的信息扩展，并通过一系列的拓扑路径的关联计算得到恶意虚假网站组织的拓扑结构，可作为该组织的画像
。
采用本专利技术提供的技术方案，可实现对恶意虚假网站背后的管理者的识别和追踪，增强网络安全防御能力，降低网络安全风险
。
附图说明
[0016]图1为本专利技术所述基于不确定性推理的恶意虚假网站溯源分析方法的流程示意图；图2为本专利技术所述基于不确定性推理的恶意虚假网站溯源分析本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种基于不确定性推理的恶意虚假网站溯源分析方法，其特征在于，包括：根据待溯源的恶意虚假网站的域名进行信息扩展，将扩展出的信息进行图形化关联得到恶意虚假网站拓线图；根据时序特点，基于所述恶意虚假网站拓线图构建有向分层图，即按照不同时间段将所述恶意虚假网站拓线图上的信息划分在不同层级中；确定所述有向分层图的核心节点，并根据所述核心节点确定在预设时间段内的拓扑路径；将所有的所述拓扑路径放入一个集合中并去重后得到边表，该边表即为恶意虚假网站组织的拓扑结构
。2.
如权利要求1所述的基于不确定性推理的恶意虚假网站溯源分析方法，其特征在于，所述核心节点包括预定义节点
、
聚合点和割点；其中，所述预定义节点为与社交媒体和个人信息相关的节点；所述聚合点包括重要度大于阈值且具有唯一性的关联性特征节点和所述恶意虚假网站拓线图的聚合子图的缩点
。3.
如权利要求2所述的基于不确定性推理的恶意虚假网站溯源分析方法，其特征在于，所述重要度大于阈值且具有唯一性的关联性特征节点，按照如下方法确定：去掉关联性特征节点的最高关联度和最低关联度，取其余关联度的平均值作为关联性特征节点的重要度；确定重要度大于阈值，且具有唯一性的所述关联性特征节点
。4.
如权利要求2所述的基于不确定性推理的恶意虚假网站溯源分析方法，其特征在于，所述恶意虚假网站拓线图的聚合子图的缩点，按照如下方法确定：对所述恶意虚假网站拓线图进行子图聚合，得到多个聚合子图，从多个聚合子图中识别出
CDN
子图和部署在相同服务器上的网站关联子图；将
CDN
子图缩点为
CDN
节点，将部署在相同服务器上的网站关联子图缩点为
Host
节点；将所述
CDN
节点和所述
Host
节点分别确定为
CDN
子图和部署在相同服务器上的网站关联子图的缩点
。5.
如权利要求4所述的基于不确定性推理的恶意虚假网站溯源分析方法，其特征在于，所述割点为基于
Tarjan
算法对缩点后的恶意虚假网站拓线图进行计算得到...

【专利技术属性】
技术研发人员：翟湛鹏，杨大路，董龙飞，刘广坤，
申请(专利权)人：天际友盟珠海科技有限公司，
类型：发明
国别省市：