(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111592272.1 (22)申请日 2021.12.23 (71)申请人 中国太平洋保险 （集团） 股份有限公 司 地址 200010 上海市黄浦区中山 南路1号 (72)发明人 李佚蝶　 (74)专利代理 机构 上海宝鼎专利代理有限公司 31222 代理人 张宝让 (51)Int.Cl. H04L 9/40(2022.01) G06N 20/00(2019.01) (54)发明名称 一种僵尸网络风险评估方法及装置 (57)摘要 本发明提供一种了僵尸网络风险评估 方法， 包括如下步骤： a.将客户数据进行数据清理后分 别代入C&C模型、 深度学习DGA模型以及关系图谱 fastflux模型中， 并得出输 出结果关联域名风险 可疑度Pc， 域名威胁概率Pd， 威胁度概率Pf； b.至 少将所述 关联域名风险可疑度Pc， 所述域名威胁 概率Pd， 所述威胁度概率Pf以及标记样本y值输 入至传统机器学习模型LR中， 确定综合威胁评 分， 所述标记样本y至少通过公开数据样本和企 业内部基础安全 数据的黑样本确定， 在将客户数 据代入C&C模型之前， 至少将所述客户数据进行 特征工程处理确定多个衍生变量， 所述特征工程 处理至少包括beaconing  score， 横向和纵向UA   popularity度的计算。 本发明流程简单， 使用方 便， 具有极高的商业 价值。 权利要求书2页 说明书8页 附图3页 CN 114422193 A 2022.04.29 CN 114422193 A 1.一种僵尸网络风险评估方法， 基于企业内部基础安全数据和公开数据样本建立融合 多场景多维度模型， 结合大数据安全平台进 行安全风险实时有效评估， 其特征在于， 包括如 下步骤： a.将客户数据进行数据清理后分别代入C&C模型、 深度学习D GA模型以及关系图谱fast   flux模型中， 并得 出输出结果关联域名风险可疑度Pc， 域名威胁概 率Pd， 威胁度概 率Pf； b.至少将所述关联域名风险可疑度Pc， 所述域名威胁概率Pd， 所述威胁度概率Pf以及 标记样本y值输入至传统机器学习模型LR中确定综合 威胁评分。 其中， 所述标记样本y至少通过公开数据样本和企业内部基础安全数据的黑样本确定， 其中， 在将客户数据代入C&C模型之前， 至少将所述客户数据进行特征工程处理确定多个衍 生变量， 所述特征工程处理至少包括beaconing  score， 横向和纵向UA  popularity度的计 算。 2.根据权利要求1所述的风险评估方法， 其特征在于， 在所述步骤a中， 所述C&C模型的 建立包括如下步骤： i： 确定企业内部的黑白HT TP代理数据样本和外 部情报数据； ii： 基于正则表达式提取出基于主机和域名之间通信交互数据作为原始数据， 并将所 述原始数据进行 特征工程后衍 生出多个复杂变量； iii： 通过random  forest对所述企业内部基础安全数据的黑白样本、 所述公开数据样 本以及所述多个复杂变量进行变量挑选， 提取出18个关联度分值最高的变量， 将所述18个 关联度分值最高的变量以及所述标记样本 y带入catboost模 型进行训练， 运用8折交叉验证 进行模型调优后确定所述C &C模型。 3.根据权利要求1所述的风险评估方法， 其特征在于， 在所述步骤a的深度学习DGA模型 中， 通过如下方式确定域名威胁概率Pd： 基于企业内部DNS数据提取每条DNS访问数据的 FQDN， 通过对每条FQDN进行文本预处理， 基于字典进行向量映射， 生成一个1*78的矩阵， 输 入预训练语义模型bert ‑base‑uncased， 基于NLLLo ss损失函数和AdamW_H F优化器进行10个 epoch的训练调优， 通过early  stopping选取最优模型参数， 通过优化模型输出所述域名威 胁概率Pd。 4.根据权利要求1所述的风险评估方法， 其特征在于， 在所述步骤a的关系图谱fast   flux模型中， 通过提取每一条网络流量IP和域名对， 构建动态知识图谱的方法建立IP和域 名的有向图， 通过计算联通子图和对一度关联的排序计算， 筛选出高排名的域名， 再通过 logit函数确定所述 威胁度概 率Pf。 5.根据权利要求1所述的风险评估方法， 其特征在于， 在所述步骤b之后， 还包括： 通过 VirtusTotal对域名进行查询的结果对所述综合 威胁评分进行 校验和反馈 。 6.根据权利要求1所述的风险评估方法， 其特征在于， 所述beaconing  score通过如下 公式确定： BSCORE＝100*(1 ‑(1‑math.exp( ‑diff*diff/2sigma))*(1 ‑math.exp( ‑diff*diff/ 2sigma)))， 其中， 所述BSCORE为所述beaconing  score， 所述math.exp( ‑diff*diff/2sigma)为异常权　利　要　求　书 1/2 页 2 CN 114422193 A 2偏移量， 所述sigma为正态偏移量， 所述diff为 所述interval为 Source和Desti nation对之间连续 通信的Time  Delta。 7.根据权利要求1所述的风险评估方法， 其特征在于， 所述UA  popularity度通过如下 公式确定： UA popularity＝TFuij*IDFuij； 其中， 所述TFuij为UA在特定HOST中出现的频率， 所述IDFuij为逆向UA频率， IDFuij值 越大表示UA在所有HOST中出现越 稀少。 8.一种僵尸网络风险评估装置， 其采用如权利要求1 ‑7中任一项所述的风险评估方法， 其特征在于， 包括： 第一处理装置(1)： 将客户数据进行数据清理后分别代入C&C模型、 深度学习D GA模型以 及关系图谱 fast flux模型中， 并得出输出结果关联域名风险可疑度Pc， 域名威胁概率Pd， 威胁度概 率Pf； 第二处理装置(2)： 至少将所述关联域名风险可疑度Pc， 所述域名威胁概率Pd， 所述威 胁度概率Pf以及标记样本y值输入至传统机器学习模型LR中确定综合 威胁评分。 9.根据权利要求8所述的风险评估 装置， 其特 征在于， 还 包括： 第一确定装置(3)： 确定企业内部的黑白HT TP代理数据样本和外 部情报数据； 第三处理装置(4)： 基于正则表达式提取出基于主机和域名之间通信交互数据作为原 始数据， 并将所述原 始数据进行 特征工程后衍 生出多个复杂变量； 第四处理装置(5)： 通过random  forest对所述企业内部基础安全数据的黑白样本、 所 述公开数据样本以及所述多个复杂变量进行变量挑选， 提取出18个关联度分值最高的变 量， 将所述 18个关联度分值最高的变量以及所述标记样 本y带入catboost模 型进行训练， 运 用8折交叉验证进行模型调优后确定所述C &C模型。权　利　要　求　书 2/2 页 3 CN 114422193 A 3