[发明专利]一种基于多策略融合的网络智能监控方法

权利要求书

1.一种基于多策略融合的网络智能监控方法，其特征在于，包括以下步骤：

S1、通过机器学习的方法对待检测域名进行初步判断；

所述S1包括：

数据预处理：对所述待检测域名进行分析，使用随机采样和DBSCAN聚类算法处理黑白域名样本,所述黑白域名样本为真实域名样本，其中黑域名样本是标签为“恶意域名的样本”，白域名样本是标签为“正常域名”的样本；

域名样本特征提取：结合字符规律特征、词袋模型-ASCII和词袋模型-NGRAM技术，对所述域名的字符特征进行分析和提取，生成字符词汇表，得到所述域名的字符数据特征；

模型训练：使用基于机器学习的分类算法设计检测模型，经过模型训练和参数调整，得出不同的检测模型，使用测试样本集评估各个检测模型的检测精度，挑选出检测效果最优的检测模型，所述测试样本集是所述黑白域名样本的子集，包括恶意域名样本和正常域名样本；

域名检测：将域名输入到得到的检测模型中，经过运算判断出输入的域名是否为恶意域名；

S2、若所述待检测域名网站为恶意域名网站，则利用网络爬虫提取网页信息，进行合规性判断；

所述S2包括：

输入所述待检测域名网站的初始URL；

网页获取：通过网络爬虫模拟客户端浏览器向服务器端发出HTTP请求，获取所述服务器端响应后，得到所述待检测域名网站的网页信息；

对所述网页信息进行网页去噪，对得到的网页信息的HTML结构进行解析，过滤掉无用的网页信息；

提取信息：采取正则表达,根据页面字符串结构提取网络爬虫信息，同时对所述页面字符串结构进行分析，判断所述页面字符串的结构是否变化；

合规性判断：将得到的域名信息作为基于网络爬虫的域名安全检测的评估指标，判断所述域名是否为恶意域名；

S3、若所述S1和所述S2都判定所检测域名网站为恶意网站，则利用网络探针对所述网站进行危害性度量，生成总体分析报告；

所述S3基于网络探针的网站危害性度量检测包括：DNS实时监控，PING实时监控和HTTP实时监控，得到DNS、Ping和HTTP三个评价指标，度量恶意网站的危害性。

2.根据权利要求1所述的基于多策略融合的网络智能监控方法，其特征在于，所述字符规律特征包括元音字母比例、字符随机性和唯一字符数；

所述检测效果是检测的分类准确率，预测结果和样本标签相同的数量越多，检测效果越好，其计算公式为：

其中，TP是正确预测为恶意域名的数量、TN是正确预测为正常域名的数量、FP是错误预测为恶意域名的数量、FN是错误预测为正常域名的数量，每个检测模型通过所述(1)计算得到其分类准确率Accuracy值，分类准确率Accuracy值最大时检测效果最优。

3.根据权利要求1所述的基于多策略融合的网络智能监控方法，其特征在于，在进行网页去噪的同时，自动识别网页中所有的URL，并将其加入到爬虫队列，按照定义的搜索策略访问爬虫队列URL，采集对应的URL网页信息存储到数据库中，再根据新的URL爬取页面信息，直到完成系统设置的停止条件结束网络爬虫。

4.根据权利要求1所述的基于多策略融合的网络智能监控方法，其特征在于，所述网络爬虫信息包括SEO信息、ALEXA信息、备案信息、索引和反链。

5.根据权利要求1所述的基于多策略融合的网络智能监控方法，其特征在于，所述DNS实时监控为选择待检测区域的节点进行域名或IP地址的访问，得到访问情况、各节点的DIG解析结果、DNS解析时间、查询时间、记录值，根据DNS响应报文分析，得到DNS的检测指标。

6.根据权利要求1所述的基于多策略融合的网络智能监控方法，其特征在于，所述PING实时监控为选择待检测区域的节点进行域名或IP地址的访问，得到访问情况、各节点的丢包率、延迟时间、数据包大小、TTL、发送包数量、接收包数量，根据响应信息获取域名的服务器解析IP地址，判断服务器是否正常工作。

7.根据权利要求1所述的基于多策略融合的网络智能监控方法，其特征在于，所述HTTP实时监控为选择待检测区域的节点进行URL地址的访问，获取HTTP实时监控数据；状态码直接反应客户端和服务器端是否正常工作，首字节时间主要反映DNS的解析效率，总体请求时长反映服务器的分发请求效率。