[发明专利]一种基于多策略融合的网络智能监控方法

说明书

本发明通过机器学习方法对域名是否为恶意域名进行初步判断；若输入域名有较大概率为恶意域名，则利用网络爬虫提取网页信息，并进行合规性判断；若前两个阶段都认定该网站为恶意网站，则利用网络探针对该网站进行危害性度量，并生成总体分析报告。上述三个阶段从各个角度对网络状态进行分析，使分析报告具有更高的可靠性，并提高了系统整体的鲁棒性。本发明基于机器学习、网络爬虫和网络探针技术，采用“域名——网页——网站”层次递进的检测策略，实现网络智能监控。

技术领域

本发明涉及网络监控技术领域，特别是涉及一种基于多策略融合的网络智能监控方法。

背景技术

处于当今的信息时代，网络已覆盖了人们的日常生活。在享受外卖、快递等网络应用所带来的生活便利的同时，我们也要意识到：随着这些应用的不断普及，其同样对网络信息安全各方面提出了更高的要求。域名系统(Domain Name System,DNS)的主要职责是将易于人民记忆的域名转换为实际IP地址(IPV4或IPV6)。由于域名系统在Internet中的关键作用，域名已成为恶意攻击者运行各种网络犯罪所需的重要网络资源之一。一些不法分子专门趁机利用恶意软件窃取用户个人信息、索取用户财产，给用户造成巨大的经济损失和生活影响。例如，利用一组被称为“僵尸”的易受攻击的计算机组成僵尸网络，僵尸网络被黑客广泛用于执行命令与控制(Command and Control,CC)通信；冒充域名(外观接近常用域名，如把O替换成0)制作钓鱼网站等。因此，如何有效地区分和阻止与恶意活动有关的域名始终是网络安全研究中的热门话题。

为了避免检测和混淆跟踪，入侵者常用Fast-Flux，Domain-Flux和Double-Flux等DNS技术来隐藏他们真正的CC服务器。例如，使用Fast-Flux，攻击者可以通过不断更改域名到IP地址的映射规则来保护恶意服务的真实位置。Domain-Flux的基本思想是将其CC服务器的恶意域名隐藏于域名生成算法(Domain name Generation Algorithm,DGA)生成的大量域名。DGA可以根据种子(比如当前的系统时钟、随机数等)生成包括字母和数字的随机组合并将其作为一个随机域名。Double-Flux则是通过循环更新DNS的A记录和NS记录规避检测。这些规避技术使得传统的安全策略无效，如域名黑名单、IP范围限制、或其他基于签名的方法。

恶意软件常采用DGA自动生成海量域名，规避常规安全软件的黑名单检测，并嵌入命令控制和病毒来控制攻击用户的计算机。面对现在大量的微信、抖音分享的域名链接，如何快速精准区别其是否包含恶意软件攻击程序成为一个越来越重要的难题。

发明内容

本发明基于域名的字符特征进行分析研究，提取字符特征，通过多种DGA检测模型进行域名检测，解决了DGA域名变种快，人工构造特征难的问题。

为实现上述目的，本发明提供了如下方案：

一种基于多策略融合的网络智能监控方法，包括以下步骤：

S1、通过机器学习的方法对待检测域名进行初步判断；

S2、若所述待检测域名网站为恶意域名网站，则利用网络爬虫提取网页信息，进行合规性判断；

S3、若所述步骤S1和所述步骤S2都判定所检测域名网站为恶意网站，则利用网络探针对所述网站进行危害性度量，生成总体分析报告。

优选地，所述步骤S1包括：

数据预处理：对所述待检测域名进行分析，使用随机采样和DBSCAN聚类算法处理黑白域名样本,所述黑白域名样本为真实域名样本，其中黑域名样本是标签为“恶意域名的样本”，白域名样本是标签为“正常域名”的样本；

域名样本特征提取：结合字符规律特征、词袋模型-ASCII和词袋模型-NGRAM技术，对所述域名的字符特征进行分析和提取，生成字符词汇表，得到所述域名的字符数据特征；