技术特征:
1.一种基于多策略融合的网络智能监控方法,其特征在于,包括以下步骤:s1、通过机器学习的方法对待检测域名进行初步判断;s2、若所述待检测域名网站为恶意域名网站,则利用网络爬虫提取网页信息,进行合规性判断;s3、若所述步骤s1和所述步骤s2都判定所检测域名网站为恶意网站,则利用网络探针对所述网站进行危害性度量,生成总体分析报告。2.根据权利要求1所述的基于多策略融合的网络智能监控方法,其特征在于,所述步骤s1包括:数据预处理:对所述待检测域名进行分析,使用随机采样和dbscan聚类算法处理黑白域名样本,所述黑白域名样本为真实域名样本,其中黑域名样本是标签为“恶意域名的样本”,白域名样本是标签为“正常域名”的样本;域名样本特征提取:结合字符规律特征、词袋模型
‑
ascii和词袋模型
‑
ngram技术,对所述域名的字符特征进行分析和提取,生成字符词汇表,得到所述域名的字符数据特征;模型训练:使用基于机器学习的分类算法设计检测模型,经过模型训练和参数调整,得出不同的检测模型,使用测试样本集评估各个检测模型的检测精度,挑选出检测效果最优的检测模型,所述测试样本集是所述黑白域名样本的子集,包括恶意域名样本和正常域名样本;域名检测:将域名输入到得到的检测模型中,经过运算判断出输入的域名是否为恶意域名。3.根据权利要求2所述的基于多策略融合的网络智能监控方法,其特征在于,所述字符规律特征包括元音字母比例、字符随机性和唯一字符数;所述检测效果是检测的分类准确率,预测结果和样本标签相同的数量越多,检测效果越好,其计算公式为:其中,tp是正确预测为恶意域名的数量、tn是正确预测为正常域名的数量、fp是错误预测为恶意域名的数量、fn是错误预测为正常域名的数量,每个检测模型通过所述式(1)计算得到其分类准确率accuracy值,分类准确率accuracy值最大时检测效果最优。4.根据权利要求1所述的基于多策略融合的网络智能监控方法,其特征在于,所述步骤s2包括:输入所述待检测域名网站的初始url;网页获取:通过网络爬虫模拟客户端浏览器向服务器端发出http请求,获取所述服务器端响应后,得到所述待检测域名网站的网页信息;对所述网页信息进行网页去噪,对得到的网页信息的html结构进行解析,过滤掉无用的网页信息;提取信息:采取正则表达,根据页面字符串结构提取网络爬虫信息,同时对所述页面字符串结构进行分析,判断所述页面字符串的结构是否变化;合规性判断:将得到的域名信息作为基于网络爬虫的域名安全检测的评估指标,判断所述域名是否为恶意域名。
5.根据权利要求4所述的基于多策略融合的网络智能监控方法,其特征在于,在进行网页去噪的同时,自动识别网页中所有的url,并将其加入到爬虫队列,按照定义的搜索策略访问爬虫队列url,采集对应的url网页信息存储到数据库中,再根据新的url爬取页面信息,直到完成系统设置的停止条件结束网络爬虫。6.根据权利要求4所述的基于多策略融合的网络智能监控方法,其特征在于,所述网络爬虫信息包括seo信息、alexa信息、备案信息、索引和反链。7.根据权利要求1所述的基于多策略融合的网络智能监控方法,其特征在于,所述步骤s3基于网络探针的网站危害性度量检测包括:dns实时监控,ping实时监控和http实时监控,得到dns、ping和http三个评价指标,度量恶意网站的危害性。8.根据权利要求7所述的基于多策略融合的网络智能监控方法,其特征在于,所述dns实时监控为选择待检测区域的节点进行域名或ip地址的访问,得到访问情况、各节点的dig解析结果、dns解析时间、查询时间、记录值,根据dns响应报文分析,得到dns的检测指标。9.根据权利要求7所述的基于多策略融合的网络智能监控方法,其特征在于,所述ping实时监控为选择待检测区域的节点进行域名或ip地址的访问,得到访问情况、各节点的丢包率、延迟时间、数据包大小、ttl、发送包数量、接收包数量,根据响应信息获取域名的服务器解析ip地址,判断服务器是否正常工作。10.根据权利要求7所述的基于多策略融合的网络智能监控方法,其特征在于,所述http实时监控为选择待检测区域的节点进行url地址的访问,获取http实时监控数据;状态码直接反应客户端和服务器端是否正常工作,首字节时间主要反映dns的解析效率,总体请求时长反映服务器的分发请求效率。