【技术实现步骤摘要】
本专利技术涉及一种恶意网址的检测方法,具体涉及一种恶意网址的检测方法、装置、计算设备及计算机存储介质。
技术介绍
1、在目前的网络中存在许多安全威胁,近些年除了传统的网络威胁外,需要更加关注如网页篡改、网站后门、垃圾邮件、网络钓鱼、sql(结构化查询语言structured querylanguage)注入攻击、c&c(计算机和通信)、点击欺诈、分布式拒绝服务等网络安全问题。
2、由于网络攻击的多样性及现有网络环境存在大量潜在且难以预期的新攻击类型,给网络安全带来了严峻的挑战。it技术的快速发展在给信息生成和传递带来了显著提升的同时也导致了新的安全威胁不断涌现,其中针对恶意网站的研究主要借助与url(统一资源定位符,uniform resource locator)进行实现,目前用来检测恶意url的方法主要有以下三种:1)使用传统方法检测恶意url,例如使用黑名单的方法检测恶意url,由于黑名单方法几乎不可能维护详尽的恶意url列表,尤其是每天都会生成新的url,攻击者利用创造性的混淆技术将url修改为“合法”来逃避黑名单或混淆用户,因此,黑名单方法具有严重的局限性,并且似乎可以轻而易举地绕过黑名单,黑名单也无法预测新的url;2)使用机器学习检测恶意url,对于繁殖迅速且变化多样的恶意url,为提高恶意url检测的通用性,运用机器学习技术来识别检测恶意url,由于恶意网址或网上诱骗网页具有区别于良性网站的某些特征,机器学习可以有效地进行处理,尽管机器学习方法具有泛化能力,但用于恶意url检测的一个潜在缺陷是
技术实现思路
1、鉴于上述问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的恶意网址的检测方法、装置、计算设备及计算机存储介质。
2、根据本专利技术的一个方面,提供了一种恶意网址的检测方法,包括:
3、获取目标网址的网址关联数据;
4、基于网址关联数据,提取目标网址的各个检测特征;
5、对各个检测特征进行预处理以得到各个有序标准化特征;
6、针对每个有序标准化特征,通过衰减因子自适应地调控特征注意力,得到该有序标准化特征的注意力权重系数;根据各个有序标准化特征的注意力权重系数进行特征选取以得到用于检测的关键特征;以及
7、基于关键特征,通过多通道神经网络模型检测所述目标网址是否为恶意网址。
8、在一种可选的实施方式中,对每个有序标准化特征,通过衰减因子自适应地调控特征注意力,得到该有序标准化特征的注意力权重系数进一步包括:
9、针对每个有序标准化特征,构建偏差矩阵;
10、通过衰减因子和偏差矩阵自适应地调控特征注意力,得到该有序标准化特征的注意力权重系数;其中,衰减因子用于表征有序标准化特征之间的距离对相关性的影响程度,偏差矩阵用于修正偏差矩阵的数据分布。
11、在一种可选的实施方式中,基于关键特征,通过多通道神经网络模型检测目标网址是否为恶意网址进一步包括:
12、将关键特征分别输入至卷积神经网络和长短期神经网络中,将卷积神经网络和长短期神经网络的输出进行融合,检测目标网址是否为恶意网址。
13、在一种可选的实施方式中,对各个检测特征进行预处理,得到各个有序标准化特征具体为:利用min-max标准化方法,对各个检测特征进行预处理,得到各个有序标准化特征。
14、在一种可选的实施方式中,目标网址的各个检测特征包括词汇特征、主机特征和/或网址排名特征。
15、在一种可选的实施方式中,词汇特征是基于目标网址的字符串的属性获取的特征,主机特征是whois信息。
16、在一种可选的实施方式中,网址关联数据包括下列中的至少一个:业务深度数据包检测数据、网络安全技术对抗赛数据、网址排名数据、网址同源扩展数据和网络搜索数据。
17、根据本专利技术的另一方面,提供一种恶意网址的检测装置,该恶意网址的检测装置包括:
18、数据获取模块,适于获取目标网址的网址关联数据;
19、特征提取模块,适于基于网址关联数据,提取目标网址的各个检测特征;
20、预处理模块,适于对各个检测特征进行预处理以得到各个有序标准化特征;
21、特征选取模块,适于针对每个有序标准化特征,通过衰减因子自适应地调控特征注意力,得到该有序标准化特征的注意力权重系数;根据各个有序标准化特征的注意力权重系数进行特征选取以得到用于检测的关键特征;以及
22、检测模块,适于基于关键特征,通过多通道神经网络模型检测目标网址是否为恶意网址。
23、在一种可选的实施方式中,特征选取模块进一步适于:
24、针对每个有序标准化特征,构建偏差矩阵;
25、通过衰减因子和偏差矩阵自适应地调控特征注意力,得到该有序标准化特征的注意力权重系数;其中,衰减因子用于表征有序标准化特征之间的距离对相关性的影响程度,偏差矩阵用于修正偏差矩阵的数据分布。
26、在一种可选的实施方式中,检测模块进一步适于:
27、将关键特征分别输入至卷积神经网络和长短期神经网络中,将卷积神经网络和长短期神经网络的输出进行融合,检测目标网址是否为恶意网址。
28、在一种可选的实施方式中,预处理模块进一步适于:利用min-max标准化方法,对各个检测特征进行预处理,得到各个有序标准化特征。
29、在一种可选的实施方式中,目标网址的各个检测特征包括词汇特征、主机特征和/或网址排名特征。
30、在一种可选的实施方式中,词汇特征是基于目标网址的字符串的属性获取的特征,主机特征是whois信息。
31、在一种可选的实施方式中,网址关联数据包括下列中的至少一个:业务深度数据包检测数据、网络安全技术对抗赛数据、网址排名数据、网址同源扩展数据和网络搜索数据。
32、根据本专利技术的又一方面,提供了一种计算设备,包括:处理器、存储器、通信接口和通信总线,处理器、存储器和通信接口通过通信总线完成相互间的通信;
33、存储器用于存放至少一可执行指令,可执行指令使处理器执行上述恶意网址检测方法对应的操作。
34、根据本专利技术的再一方面,提供了一种计算机存储介质,存储介质本文档来自技高网...
【技术保护点】
1.一种恶意网址的检测方法,其特征在于,包括:
2.根据权利要求1所述的检测方法,其特征在于,所述针对每个有序标准化特征,通过衰减因子自适应地调控特征注意力,得到该有序标准化特征的注意力权重系数进一步包括:
3.根据权利要求1或2所述的检测方法,其特征在于,所述基于所述关键特征,通过多通道神经网络模型检测所述目标网址是否为恶意网址进一步包括:
4.根据权利要求1或2所述的检测方法,其特征在于,所述对所述各个检测特征进行预处理,得到各个有序标准化特征具体为:利用Min-Max标准化方法,对所述各个检测特征进行预处理,得到各个有序标准化特征。
5.根据权利要求1或2所述的检测方法,其特征在于,所述目标网址的各个检测特征包括词汇特征、主机特征和/或网址排名特征。
6.根据权利要求5所述的检测方法,其特征在于,所述词汇特征是基于目标网址的字符串的属性获取的特征,所述主机特征是WHOIS信息。
7.根据权利要求1或2所述的检测方法,其特征在于,所述网址关联数据包括下列中的至少一个:业务深度数据包检测数据、网络安全技术对
8.一种恶意网址的检测装置,其特征在于,所述装置包括:
9.一种计算设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
10.一种计算机存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行如权利要求1-7中任一项所述的恶意网址的检测方法对应的操作。
...【技术特征摘要】
1.一种恶意网址的检测方法,其特征在于,包括:
2.根据权利要求1所述的检测方法,其特征在于,所述针对每个有序标准化特征,通过衰减因子自适应地调控特征注意力,得到该有序标准化特征的注意力权重系数进一步包括:
3.根据权利要求1或2所述的检测方法,其特征在于,所述基于所述关键特征,通过多通道神经网络模型检测所述目标网址是否为恶意网址进一步包括:
4.根据权利要求1或2所述的检测方法,其特征在于,所述对所述各个检测特征进行预处理,得到各个有序标准化特征具体为:利用min-max标准化方法,对所述各个检测特征进行预处理,得到各个有序标准化特征。
5.根据权利要求1或2所述的检测方法,其特征在于,所述目标网址的各个检测特征包括词汇特征、主机特征和/或网址排名特征。<...
【专利技术属性】
技术研发人员:胡泽远,蒋健,李海传,罗琼,
申请(专利权)人:中国移动通信集团浙江有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。