本发明专利技术公开了一种具有风险的主机检测方法,其包括:提取不同主机中的域名请求名单和域名对应的行为集合;分别对所有的域名请求名单中的域名和行为集合中的域名对应的行为进行检测,分别检测出域名请求名单中的恶意域名和行为集合中的恶意行为;根据恶意域名和恶意行为进行分析和综合计算,确定出主机的风险度值,并根据主机的风险度值对主机的风险情况进行排名统计
【技术实现步骤摘要】
一种具有风险的主机检测方法
[0001]本专利技术涉及网络安全
,特别是涉及一种具有风险的主机检测方法
。
技术介绍
[0002]目前,随着网络技术的飞速发展和网络时代的到来,互联网规模的不断扩大,互联网应用已经深入到人们生活的方方面面,互联网成为了推动社会进步和经济发展的巨大动力
。
但是随着互联网的迅速发展,具有风险的主机导致的网络钓鱼
、
网络不良内容传播
、
恶意软件分发等各种恶意行为活动也愈演愈烈,因此,具有风险的主机会给全球网络空间治理
、
企业品牌保护
、
网民财产安全,以及青少年心理健康防护等各方面都带来了极大的困扰和伤害
。
所以,当前如何提前检测和识别出具有风险的主机是一个重要的议题
。
技术实现思路
[0003]本专利技术要解决的技术问题是:现有技术难以检测出具有风险的主机的问题
。
[0004]为了解决上述技术问题,本专利技术提供了一种具有风险的主机检测方法,包括:提取不同主机中的域名请求名单和域名对应的行为集合;分别对所有的所述域名请求名单中的域名和行为集合中的域名对应的行为进行检测,分别检测出所述域名请求名单中的恶意域名和行为集合中的恶意行为;根据所述恶意域名和恶意行为进行分析和综合计算,确定出主机的风险度值,并根据所述主机的风险度值对所述主机的风险情况进行排名统计
。
[0005]进一步的,所述提取不同主机中的域名请求名单和域名对应的行为集合,具体包括:采集所有主机中的网络数据,并以镜像的方式保存至内部储存中;对所述网络数据进行筛选,分离出所述网络数据中到的域名请求和域名所对应的行为;集合所述域名请求和域名所对应的行为,生成所述域名请求名单和行为集合
。
[0006]进一步的,所述对所述网络数据进行筛选,分离出所述网络数据中到的域名请求和域名所对应的行为,具体包括:对所述网络数据进行数据清洗,将所述网络数据中没有影响的字段去掉,保留有影响的字段;从有影响统的字段内提取域名和域名对应的行为,并对域名和域名对应的行为进行分类集中
。
[0007]进一步的,所述分别对所有的所述域名请求名单中的域名和行为集合中的域名对应的行为进行检测,分别检测出所述域名请求名单中的恶意域名和行为集合中的恶意行为,具体包括:将所述域名请求名单中的域名和行为集合中的域名对应的行为形成待检测样本;构建预设检测模型,通过所述预设检测模型对所述待检测样本进行检测,检测出
所述待检测样本中的恶意域名和恶意行为
。
[0008]进一步的,所述构建预设检测模型,通过所述预设检测模型对所述待检测样本进行检测,检测出所述待检测样本中的恶意域名和恶意行为,具体包括:将现有的恶意域名和恶意行为转换为多维数值向量,输入到基于数据集预训练好的深度学习模型中,生成恶意域名和恶意行为的特征;基于恶意域名和恶意行为的特征来构建预设检测模型,通过所述预设检测模型来检测所述待检测样本中的恶意域名和恶意行为
。
[0009]进一步的,所述基于恶意域名和恶意行为的特征来构建预设检测模型,通过所述预设检测模型来检测所述待检测样本中的恶意域名和恶意行为,具体包括:通过现有的恶意域名数据库和恶意行为数据库对所述待检测样本中的每个域名和域名对应的行为进行匹配;根据匹配结果得到各个恶意域名和恶意行为,并将恶意域名和恶意行为更新到现有的恶意域名数据库和恶意行为数据库中
。
[0010]进一步的,所述根据所述恶意域名和恶意行为进行分析和综合计算,确定出主机的风险度值,并根据所述主机的风险度值对所述主机的风险情况进行排名统计,具体包括:提取所述恶意域名和恶意行为的特征信息,根据特征信息对每个所述恶意域名和恶意行为进行分类;根据所述恶意域名和恶意行为的类别,通过算法对每个所述恶意域名和恶意行为进行评估,确定每个所述恶意域名的置信度和恶意行为;构建数学计算模型,所述数学计算模型根据所述恶意域名的置信度和恶意行为的恶意度综合计算出对应的所述主机的风险度值;统计所述主机的风险度值,并根据所述主机的风险度值对所述主机的风险情况进行排名
。
[0011]进一步的,所述构建数学计算模型,所述数学计算模型根据所述恶意域名的置信度和恶意行为的恶意度综合计算出对应的所述主机的风险度值,具体包括:所述数学计算模型根据所述恶意域名的置信度和恶意行为的恶意度的损害程度对所述恶意域名的置信度和恶意行为的恶意度进行评分并赋值,得到所述恶意域名的置信度值和恶意行为的恶意度值;所述数学计算模型将所述恶意域名的置信度值和恶意行为的恶意度值进行综合计算,得到对应的所述主机的风险度值
。
[0012]本专利技术的一种具有风险的主机检测方法与现有技术相比,其有益效果在于:本专利技术根据主机中的域名和域名对应的行为来检测主机是否具有风险,综合多维度检测主机的风险情况,精确的检测出主机的风险情况,并且还能根据主机的风险度值对主机的风险情况进行统计,实现主机风险度值的排名,风险越高的排名靠前,从而帮助客户集中精力去防范具有高风险主机
。
附图说明
[0013]图1是本专利技术实施例中一种具有风险的主机检测方法的总流程示意图;图2是本专利技术实施例中一种具有风险的主机检测方法的第一流程示意图;
图3是本专利技术实施例中一种具有风险的主机检测方法的第二流程示意图;图4是本专利技术实施例中一种具有风险的主机检测方法的第三流程示意图
。
具体实施方式
[0014]下面结合附图和实施例,对本专利技术的具体实施方式作进一步详细描述
。
以下实施例用于说明本专利技术,但不用来限制本专利技术的范围
。
[0015]在本申请的描述中,需要理解的是,术语“中心”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本申请和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位
、
以特定的方位构造和操作,因此不能理解为对本申请的限制
。
[0016]术语
“”
、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量
。
由此,限定有
“”
、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征
。
在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上
。
[0017]在本申请的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通
。
对于本领域的普通技术人本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.
一种具有风险的主机检测方法,其特征在于,包括:提取不同主机中的域名请求名单和域名对应的行为集合;分别对所有的所述域名请求名单中的域名和行为集合中的域名对应的行为进行检测,分别检测出所述域名请求名单中的恶意域名和行为集合中的恶意行为;根据所述恶意域名和恶意行为进行分析和综合计算,确定出主机的风险度值,并根据所述主机的风险度值对所述主机的风险情况进行排名统计
。2.
根据权利要求1所述的一种具有风险的主机检测方法,其特征在于,所述提取不同主机中的域名请求名单和域名对应的行为集合,具体包括:采集所有主机中的网络数据,并以镜像的方式保存至内部储存中;对所述网络数据进行筛选,分离出所述网络数据中到的域名请求和域名所对应的行为;集合所述域名请求和域名所对应的行为,生成所述域名请求名单和行为集合
。3.
根据权利要求2所述的一种具有风险的主机检测方法,其特征在于,所述对所述网络数据进行筛选,分离出所述网络数据中到的域名请求和域名所对应的行为,具体包括:对所述网络数据进行数据清洗,将所述网络数据中没有影响的字段去掉,保留有影响的字段;从有影响统的字段内提取域名和域名对应的行为,并对域名和域名对应的行为进行分类集中
。4.
根据权利要求1所述的一种具有风险的主机检测方法,其特征在于,所述分别对所有的所述域名请求名单中的域名和行为集合中的域名对应的行为进行检测,分别检测出所述域名请求名单中的恶意域名和行为集合中的恶意行为,具体包括:将所述域名请求名单中的域名和行为集合中的域名对应的行为形成待检测样本;构建预设检测模型,通过所述预设检测模型对所述待检测样本进行检测,检测出所述待检测样本中的恶意域名和恶意行为
。5.
根据权利要求4所述的一种具有风险的主机检测方法,其特征在于,所述构建预设检测模型,通过所述预设检测模型对所述待检测样本进行检测,检测出所述待检测样本中的恶意域名和恶意行为,具体包括:将现有的恶意域名和恶意行为转换为多维数值向量,输入...
【专利技术属性】
技术研发人员:王宇飞,戚红建,韩硕,潘中英,张涛,胡静,罗贤锋,陈躬仁,轩晓荷,郭涛,
申请(专利权)人:中国华能集团有限公司北京招标分公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。