买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：中国太平洋保险(集团)股份有限公司

摘要：本发明提供一种了僵尸网络风险评估方法，包括如下步骤：a.将客户数据进行数据清理后分别代入CC模型、深度学习DGA模型以及关系图谱fastflux模型中，并得出输出结果关联域名风险可疑度Pc，域名威胁概率Pd，威胁度概率Pf；b.至少将所述关联域名风险可疑度Pc，所述域名威胁概率Pd，所述威胁度概率Pf以及标记样本y值输入至传统机器学习模型LR中，确定综合威胁评分，所述标记样本y至少通过公开数据样本和企业内部基础安全数据的黑样本确定，在将客户数据代入CC模型之前，至少将所述客户数据进行特征工程处理确定多个衍生变量，所述特征工程处理至少包括beaconingscore，横向和纵向UApopularity度的计算。本发明流程简单，使用方便，具有极高的商业价值。

主权项：1.一种僵尸网络风险评估方法，基于企业内部基础安全数据和公开数据样本建立融合多场景多维度模型，结合大数据安全平台进行安全风险实时有效评估，其特征在于，包括如下步骤：a.将客户数据进行数据清理后分别代入CC模型、深度学习DGA模型以及关系图谱fastflux模型中，并得出输出结果关联域名风险可疑度Pc，域名威胁概率Pd，威胁度概率Pf；b.至少将所述关联域名风险可疑度Pc，所述域名威胁概率Pd，所述威胁度概率Pf以及标记样本y值输入至传统机器学习模型LR中确定综合威胁评分；其中，所述标记样本y至少通过公开数据样本和企业内部基础安全数据的黑样本确定，其中，在将客户数据代入CC模型之前，至少将所述客户数据进行特征工程处理确定多个衍生变量，所述特征工程处理至少包括beaconingscore，横向和纵向UApopularity度的计算；在所述步骤a中，所述CC模型的建立包括如下步骤：i：确定企业内部的黑白HTTP代理数据样本和外部情报数据；ii：基于正则表达式提取出基于主机和域名之间通信交互数据作为原始数据，并将所述原始数据进行特征工程后衍生出多个复杂变量；iii：通过randomforest对所述企业内部基础安全数据的黑白样本、所述公开数据样本以及所述多个复杂变量进行变量挑选，提取出18个关联度分值最高的变量，将所述18个关联度分值最高的变量以及所述标记样本y带入catboost模型进行训练，运用8折交叉验证进行模型调优后确定所述CC模型；在所述步骤a的深度学习DGA模型中，通过如下方式确定域名威胁概率Pd：基于企业内部DNS数据提取每条DNS访问数据的FQDN，通过对每条FQDN进行文本预处理，基于字典进行向量映射，生成一个1*78的矩阵，输入预训练语义模型bert-base-uncased，基于NLLLoss损失函数和AdamW_HF优化器进行10个epoch的训练调优，通过earlystopping选取最优模型参数，通过优化模型输出所述域名威胁概率Pd；在所述步骤a的关系图谱fastflux模型中，通过提取每一条网络流量IP和域名对，构建动态知识图谱的方法建立IP和域名的有向图，通过计算联通子图和对一度关联的排序计算，筛选出高排名的域名，再通过logit函数确定所述威胁度概率Pf；所述beaconingscore通过如下公式确定：BSCORE＝100*1-1-math.exp-diff*diff2sigma*1-math.exp-diff*diff2sigma，其中，所述BSCORE为所述beaconingscore，所述math.exp-diff*diff2sigma为异常偏移量，所述sigma为正态偏移量，所述diff为interval- 所述interval为Source和Destination对之间连续通信的TimeDelta；所述UApopularity度通过如下公式确定：UApopularity＝TFuij*IDFuij；其中，所述TFuij为UA在特定HOST中出现的频率，所述IDFuij为逆向UA频率，IDFuij值越大表示UA在所有HOST中出现越稀少。

全文数据：

权利要求：

百度查询： 中国太平洋保险(集团)股份有限公司 一种僵尸网络风险评估方法及装置