【技术实现步骤摘要】
本申请涉及网络安全,更具体地,涉及一种基于ip地址特征分析的恶意网址识别方法及系统。
技术介绍
1、互联网的普及为人们生活带来便利的同时,也为网络诈骗提供了滋生的土壤。近年来,网络诈骗案件频发,诈骗手段不断翻新,给社会带来了巨大的经济损失。恶意网址作为网络诈骗的重要载体,通过伪装成正规网址,诱导用户访问并实施诈骗行为。随着网络欺诈技术的不断演进,攻击者通过动态ip池轮换、跨域通信伪装等手段实现涉诈网址的快速裂变与隐蔽传播,传统检测方法在应对此类动态化、组织化的威胁时面临显著技术瓶颈。现有技术主要存在以下局限性:
2、1、动态关联分析能力不足:传统方法依赖静态ip信誉库或孤立节点分析,难以捕捉ip地址间实时演化的协同行为模式,导致对分布式代理池攻击的识别效率低下;
3、2、时空特征融合缺失:基于规则引擎或单维度统计模型的方法无法有效融合ip地址的空间拓扑关系与时间序列行为特征,对攻击者设计的昼夜模式切换、跨自治系统迁移等规避策略缺乏检测能力;
4、3、自适应检测机制欠缺:固定阈值策略易受网络环境波动影响,无法动态平衡检测准确率与误报率,尤其在应对突发性大规模ip裂变攻击时响应滞后。
5、现有技术如公开号为“cn113779481a”的中国专利申请公开了诈骗网站的识别方法,该方法包括:获取待识别网站的网页源码,并根据网页源码,获取目标特征向量;判断预设诈骗网站特征库中是否存在与目标特征向量匹配的目标标准特征向量;若是,则将待识别网站确定为诈骗网站,并根据目标标准特征向量对应标准特征向量
6、上述现有技术存在的问题是,该方法基于网页源码获取特征向量与预设特征库匹配识别诈骗网站,难以捕捉ip地址间实时演化的协同行为模式,对分布式代理池攻击等依赖ip地址动态关联的攻击识别能力较弱,以及攻击者利用时间和空间变换的规避策略时检测能力不足。缺乏根据网络环境动态调整的机制,在网络环境变化时,难以平衡检测准确率与误报率,对新型或变化的诈骗网站响应滞后。
技术实现思路
1、为解决上述技术问题,本专利技术提出了一种基于ip地址特征分析的恶意网址识别方法及系统。
2、本专利技术技术方案如下:
3、本专利技术提出一种基于ip地址特征分析的恶意网址识别方法,包括以下步骤:
4、步骤s1,通过网络流量日志、防火墙日志和dns查询记录采集ip地址的网络流量数据,并对采集的网络流量数据进行预处理;
5、步骤s2,依据预处理后的网络流量数据,将ip地址作为节点,ip地址之间的通信关系作为边,构建ip动态图结构;
6、步骤s3,通过图注意力网络对ip动态图结构进行编码,捕捉节点之间的复杂关系,并结合长短期记忆网络捕捉ip地址行为的时间序列特征,构建节点的行为模式;
7、步骤s4,根据节点的行为模式计算节点的重构误差和局部离群因子lof,并计算ip地址的异常评分,当ip地址的异常评分高于动态异常检测阈值,判定ip地址存在异常,并对存在异常的ip地址结合网址的域名特征、网页内容特征以及网络访问行为特征进行深度分析,识别出恶意网址。
8、作为优选实施方式,所述网络流量数据包括请求频率、通信对象、流量大小、协议类型、端口号、地理位置信息。
9、作为优选实施方式,所述ip动态图结构根据实时采集的网络流量数据进行更新。
10、作为优选实施方式,所述通过图注意力网络对ip动态图结构进行编码,捕捉节点之间的复杂关系的步骤包括:
11、计算节点间的关联度,计算公式为:
12、;
13、基于节点与邻居节点间的关联度进行归一化,得到节点的注意力系数:
14、;
15、根据注意力系数聚合邻居节点特征,作为节点之间的复杂关系:
16、;
17、式中:为节点i与邻居节点j的关联度;为修正线性单元激活函数;为注意力机制参数向量的转置;w为图注意力网络权重矩阵;为节点i的特征向量;为节点j的特征向量;为拼接操作;为时间衰减因子;为节点i与节点j最后通信时间间隔;为多样性因子,通过节点i与j的通信对象数量确定;为协议风险系数,根据协议类型赋予不同风险系数;为注意力系数;为节点i的邻居节点集合;为节点i与邻居节点q的关联度;为经过图注意力网络处理后节点i的特征向量;为激活函数。
18、作为优选实施方式,在所述构建节点的行为模式过程中,通过门控注意力融合机制生成节点的行为模式,其中:
19、门控信号的计算公式为:
20、
21、式中:g为门控信号;为可学习参数;为sigmoid函数;为拼接操作;
22、;
23、式中:为节点i最终的行为模式表示;为图注意力网络处理后输出的节点i的特征向量;为长短期记忆网络输出的节点i的时间序列特征。
24、作为优选实施方式,所述根据节点的行为模式计算节点的重构误差和局部离群因子lof得到ip地址的异常评分,异常评分的具体计算过程为:
25、基于图注意力网络的自编码器进行重构误差计算,具体公式为:
26、;
27、式中:为重构误差;为节点i原始特征向量;为自编码器对重构后的节点i特征向量;
28、局部离群因子lof,具体计算公式为:
29、;
30、式中:为节点i的局部离群因子;、分别为节点m和节点i的k-局部可达密度;为节点i的k-临近集合;
31、异常评分的具体计算公式为:
32、;
33、其中:为节点i的异常评分;为归一化操作;为权重系数,基于历史异常评分动态调整,具体计算公式为:
34、;
35、式中:为历史异常评分的方差;为调节参数。
36、作为优选实施方式,所述动态异常检测阈值,具体计算公式为:
37、;
38、式中:为t时刻的动态异常检测阈值;为历史时间窗口内的异常评分均值;为同期标准差;、为动态权重系数,基于历史评分方差动态调整;为历史异常评分的指数移动平均值。
39、另一方面,本专利技术还提供一种基于ip地址特征分析的恶意网址识别系统,包括:
40、数据采集及预处理模块,通过网络流量日志、防火墙日志和dns查询记录采集ip地址的网络流量数据,并对采集的网络流量数据进行预处理;
41、动态图结构构建模块,依据预处理后的网络流量数据,将ip地址作为节点,ip地址之间的通信关系作为边,构建ip动态图结构;
42、特征提取及融合模块,通过图注意力网络对ip动态图结构进行编码,捕捉节点之间的复杂关系,并结合长短期记忆网络捕捉ip地址行为的时间序列特征,构建节点的行为模式;
43、恶意网址识别模块,根据节点的行为模式计算节点的重构误差和局部离群因子lof得到ip地本文档来自技高网...
【技术保护点】
1.一种基于IP地址特征分析的恶意网址识别方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种基于IP地址特征分析的恶意网址识别方法,其特征在于,所述网络流量数据包括:请求频率、通信对象、流量大小、协议类型、端口号、地理位置信息。
3.根据权利要求1所述的一种基于IP地址特征分析的恶意网址识别方法,其特征在于,所述IP动态图结构根据实时采集的网络流量数据进行更新。
4.根据权利要求1所述的一种基于IP地址特征分析的恶意网址识别方法,其特征在于,所述通过图注意力网络对IP动态图结构进行编码,捕捉节点之间的复杂关系的步骤包括:
5.根据权利要求1所述的一种基于IP地址特征分析的恶意网址识别方法,其特征在于,在所述构建节点的行为模式过程中,通过门控注意力融合机制生成节点的行为模式,其中:
6.根据权利要求1所述的一种基于IP地址特征分析的恶意网址识别方法,其特征在于,所述根据节点的行为模式计算节点的重构误差和局部离群因子LOF得到IP地址的异常评分,异常评分的具体计算过程为:
7.根据权利要求1所述的一种
8.一种基于IP地址特征分析的恶意网址识别系统,其特征在于,包括:
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任一项所述的一种基于IP地址特征分析的恶意网址识别方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的一种基于IP地址特征分析的恶意网址识别方法。
...【技术特征摘要】
1.一种基于ip地址特征分析的恶意网址识别方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种基于ip地址特征分析的恶意网址识别方法,其特征在于,所述网络流量数据包括:请求频率、通信对象、流量大小、协议类型、端口号、地理位置信息。
3.根据权利要求1所述的一种基于ip地址特征分析的恶意网址识别方法,其特征在于,所述ip动态图结构根据实时采集的网络流量数据进行更新。
4.根据权利要求1所述的一种基于ip地址特征分析的恶意网址识别方法,其特征在于,所述通过图注意力网络对ip动态图结构进行编码,捕捉节点之间的复杂关系的步骤包括:
5.根据权利要求1所述的一种基于ip地址特征分析的恶意网址识别方法,其特征在于,在所述构建节点的行为模式过程中,通过门控注意力融合机制生成节点的行为模式,其中:
6.根据权利要求...
【专利技术属性】
技术研发人员:林铭炜,王锡章,林董希,王强,陈明俤,李竑,刘洋,许力,
申请(专利权)人:福州市公安局,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。