CN105656886A - 一种基于机器学习的网站攻击行为的检测方法及装置 - Google Patents
一种基于机器学习的网站攻击行为的检测方法及装置 Download PDFInfo
- Publication number
- CN105656886A CN105656886A CN201511017343.XA CN201511017343A CN105656886A CN 105656886 A CN105656886 A CN 105656886A CN 201511017343 A CN201511017343 A CN 201511017343A CN 105656886 A CN105656886 A CN 105656886A
- Authority
- CN
- China
- Prior art keywords
- network flow
- parameter
- detection model
- attack signature
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
本发明实施例公开了一种基于机器学习的网站攻击行为的检测方法及装置,应用于服务器,该方法包括:获得当前网络流量的特征参数,以所获得的特征参数为预设的检测模型的输入信息,获得当前网络流量的检测值,其中,检测值用于表示当前网络流量为网站攻击行为的特征值,检测模型为针对特征参数的检测模型,该检测模型在满足预设的更新条件的情况下,根据所获得的特征参数进行更新,基于机器学习的分类算法,分析所述检测值,判断所述当前网络流量为网站攻击行为,若为是,则生成针对当前网络流量的攻击检测结果。应用本发明实施例,能够适应快速发展的网络环境,提高网站攻击行为的检出率。
Description
技术领域
本发明涉及互联网技术领域,特别涉及一种基于机器学习的网站攻击行为的检测方法及装置。
背景技术
网站攻击行为的检测实际为对网络流量攻击(即web流量攻击)的检测。目前,网站攻击行为的检测方法有两种:
第一种,恶意关键字匹配法。这种方法是网站攻击行为的检测方法中最简单的方法。该方法为:建立恶意关键字库或攻击类型的正则表达式库,通过与网络流量中的字符串进行匹配的方式对网站攻击行为进行检测。具体地,若一待检测的网络流量中的字符串与恶意关键字库中的字符串匹配成功,则确定该条网络流量为网站攻击行为。恶意关键字匹配法只对包含恶意关键字或具有明显攻击特征的网站攻击行为具有很高的检出率,但完全检测不出攻击特征模糊或新的攻击类型的网站攻击行为。
第二种,规则统计法。该方法为:利用数学中的统计学,通过统计的方式建立正常网络流量的模型,并根据经验积累确立一定的网络流量阀值,若待检测的网络流量超过了网络流量阀值的界限,则确定该条网络流量为网站攻击行为。规则统计法只对特定的攻击类型的网络流量有效,并不具有全面性。另一方面,网络流量阀值是确定网络流量是否为网站攻击行为的唯一因素,这使得该方法对网站攻击行为的检出率不高。
现有技术中网站攻击行为的检测方法不能适应快速发展的网络环境,对网站攻击行为的检出率都不高,易造成服务器的信息丢失,安全性差。
发明内容
本发明实施例的目的在于提供一种基于机器学习的网站攻击行为的检测方法及装置,以提高网站攻击行为的检出率。
为达到上述目的,本发明实施例公开了一种基于机器学习的网站攻击行为的检测方法,应用于服务器,所述方法包括步骤:
获得当前网络流量的特征参数;
以所获得的特征参数为预设的检测模型的输入信息,获得所述当前网络流量的检测值,其中,所述检测值用于表示所述当前网络流量为网站攻击行为的特征值,所述检测模型为针对特征参数的检测模型,该检测模型在满足预设的更新条件的情况下,根据所获得的特征参数进行更新;
基于机器学习的分类算法分析所述检测值,判断所述当前网络流量是否为网站攻击行为;
若为是,则生成针对所述当前网络流量的攻击检测结果。
在本发明的一种具体实现方式中,通过以下方式构建所述检测模型:
从已存储的网络流量中,获得非静态文件对应的网络流量;
统一所获得的网络流量的格式,并根据统一格式后的网络流量,获得所述服务器可用的攻击网络流量和所述服务器可用的非攻击网络流量;
根据所获得的可用的攻击网络流量和所获得的可用的非攻击网络流量,解析获得每条攻击网络流量的攻击特征参数,其中,所述攻击特征参数为攻击网络流量的特征参数;
将攻击特征参数完全相同的网络流量合并为一条网络流量;
对合并后的每一条网络流量的攻击特征参数进行量化处理;
根据预设的基于机器学习的分类算法,构建针对特征参数的所述检测模型。
在本发明的一种具体实现方式中,所述根据所获得的可用的攻击网络流量和所获得的可用的非攻击网络流量,解析获得每条攻击网络流量的攻击特征参数,包括:
对比所获得的可用的攻击网络流量和所获得的可用的非攻击网络流量中的各个字段,获得攻击网络流量的攻击特征;
确定所述攻击特征的危险等级;
根据所述危险等级、各个字段的长度特征、各个字段的数量特征和各个网络流量的类型特征,确定所述攻击特征的特征库,其中,所述特征库,用于存储攻击特征的攻击特征参数;
根据所述特征库中包含的攻击特征参数,获得每条网络流量的攻击特征参数。
在本发明的一种具体实现方式中,所述根据分析得到的攻击权值,构建针对特征参数的所述检测模型之后,还包括:
获得待测试网络流量的特征参数;
根据所述检测模型和所获得的待测试网络流量的特征参数,检测每条待测试网络流量,并生成针对待测试网络流量的检测结果;
根据所生成的各个检测结果,获得所述服务器根据所述检测模型检测网络流量的正确率;
判断所述正确率是否大于预设阈值;
若为是,则判定构建所述检测模型成功;
若为否,则统计所述检测模型中每个攻击特征参数的贡献度,根据所统计的贡献度,重新获得每条攻击网络流量的攻击特征参数,继续执行所述将攻击特征参数完全相同的网络流量合并为一条网络流量的步骤。
在本发明的一种具体实现方式中,所述特征参数包括:所述当前网络流量的类型;
在所述以所获得的特征参数为预设的检测模型的输入信息,获得所述当前网络流量的检测值之前,还包括:
判断所述当前网络流量的类型是否为未知类型;
若为是,则根据所述当前网络流量的类型更新所述检测模型。
为达到上述目的,本发明实施例还公开了一种基于机器学习的网站攻击行为的检测装置,应用于服务器,所述装置包括:第一特征参数获得单元、检测值获得单元、检测值分析单元和第一检测结果生成单元;
其中,所述第一特征参数获得单元,用于获得当前网络流量的特征参数;
所述检测值获得单元,用于以所获得的特征参数为预设的检测模型的输入信息,获得所述当前网络流量的检测值,其中,所述检测值用于表示所述当前网络流量为网站攻击行为的特征值,所述检测模型为针对特征参数的检测模型,该检测模型在满足预设的更新条件的情况下,根据所获得的特征参数进行更新;
所述检测值分析单元,用于基于机器学习的分类算法分析所述检测值,判断所述当前网络流量为网站攻击行为,若为是,则触发所述第一检测结果生成单元;
所述第一检测结果生成单元,用于生成针对所述当前网络流量的攻击检测结果。
在本发明的一种具体实现方式中,所述装置还包括:第一网络流量获得单元、第二网络流量获得单元、攻击特征参数获得单元、网络流量合并单元、攻击特征参数量化单元和检测模型构建单元;
其中,所述第一网络流量获得单元,用于从已存储的网络流量中,获得非静态文件对应的网络流量;
所述第二网络流量获得单元,用于统一所获得的网络流量的格式,并根据统一格式后的网络流量,获得所述服务器可用的攻击网络流量和所述服务器可用的非攻击网络流量;
所述攻击特征参数获得单元,用于根据所获得的可用的攻击网络流量和所获得的可用的非攻击网络流量,解析获得每条攻击网络流量的攻击特征参数,其中,所述攻击特征参数为攻击网络流量的特征参数;
所述网络流量合并单元,用于将攻击特征参数完全相同的网络流量合并为一条网络流量;
所述攻击特征参数量化单元,用于对合并后的每一条网络流量的攻击特征参数进行量化处理;
所述检测模型构建单元,用于根据预设的基于机器学习的分类算法,构建针对特征参数的所述检测模型。
在本发明的一种具体实现方式中,所述攻击特征参数获得单元,包括:攻击特征获得子单元、危险等级确定子单元、特征库确定子单元、攻击特征参数获得子单元;
其中,所述攻击特征获得子单元,用于对比所获得的可用的攻击网络流量和所获得的可用的非攻击网络流量中的各个字段,获得攻击网络流量的攻击特征;
所述危险等级确定子单元,用于确定所述攻击特征的危险等级;
所述特征库确定子单元,用于根据所述危险等级、各个字段的长度特征、各个字段的数量特征和各个网络流量的类型特征,确定所述攻击特征的特征库,其中,所述特征库,用于存储攻击特征的攻击特征参数;
所述攻击特征参数获得子单元,用于根据所述特征库中包含的攻击特征参数,获得每条网络流量的攻击特征参数。
在本发明的一种具体实现方式中,所述装置还包括:第二特征参数获得单元、第二检测结果生成单元、正确率获得单元、正确率判断单元、成功判断单元和贡献度统计单元;
其中,所述第二特征参数获得单元,用于获得待测试网络流量的特征参数;
所述第二检测结果生成单元,用于根据所述检测模型和所获得的待测试网络流量的特征参数,检测每条待测试网络流量,并生成针对待测试网络流量的检测结果;
所述正确率获得单元,用于根据所生成的各个检测结果,获得所述服务器根据所述检测模型检测网络流量的正确率;
所述正确率判断单元,用于判断所述正确率是否大于预设阈值,若为是,则触发所述成功判断单元,若为否,则触发所述贡献度统计单元;
所述成功判断单元,用于判定构建所述检测模型成功;
所述贡献度统计单元,用于统计所述检测模型中每个攻击特征参数的贡献度,并根据所统计的贡献度,重新获得每条攻击网络流量的攻击特征参数,触发所述网络流量合并单元将攻击特征参数完全相同的网络流量合并为一条网络流量。
在本发明的一种具体实现方式中,所述特征参数包括:所述当前网络流量的类型;
所述装置还包括:类型判断单元和检测模型更新单元;
其中,所述类型判断单元,用于判断所述当前网络流量的类型是否为未知类型,若为是,则触发所述检测模型更新单元;
所述检测模型更新单元,用于根据所述当前网络流量的类型更新所述检测模型。
由上可见,本发明实施例中,在获取当前网络流量的特征参数后,将特征参数作为预设的检测模型的输入信息,获得该当前网络流量的检测值,基于机器学习的分类算法,分析获得的各个检测值,其分析的结果即可判断该当前网络流量是否为网站攻击行为,在该方法中,检测模型为针对特征参数的检测模型,其可以根据所获得的特征参数不断更新,因此在网站攻击行为检测中,该方法能够适应快速发展的网络环境,提高网站攻击行为的检出率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于机器学习的网站攻击行为的检测方法的流程示意图;
图2为本发明实施例提供的检测模型的构建方法的流程示意图;
图3为本发明实施例提供的一种基于机器学习的网站攻击行为的检测装置的结构示意图;
图4为本发明实施例提供的检测模型的构建装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例公开了一种基于机器学习的网站攻击行为的检测方法及装置,应用于服务器,该方法包括:获得当前网络流量的特征参数,以所获得的特征参数为预设的检测模型的输入信息,获得当前网络流量的检测值,其中,检测值用于表示当前网络流量为网站攻击行为的特征值,检测模型为针对特征参数的检测模型,该检测模型在满足预设的更新条件的情况下,根据所获得的特征参数进行更新,基于机器学习的分类算法,分析所述检测值,判断所述当前网络流量是否为网站攻击行为,若为是,则生成针对当前网络流量的攻击检测结果。
下面通过具体实施例,对本发明进行详细说明。
参考图1,为本发明实施例提供的一种基于机器学习的网站攻击行为的检测方法的流程示意图,应用于服务器,该方法可以包括如下步骤:
S101:获得当前网络流量的特征参数;
这里,网络流量又称为网络日志,网络流量中最基本的要包括URL、参数、cookies等字段,特征参数为每个字段的特征的参数。
现有技术中,恶意关键字匹配法选取的为恶意关键字,规则统计法选取的特征参数为网络流量阀值,这两种方法中,选取的特征参数单一,网站攻击行为的检出率不高。然而,网络流量中,URL是网络流量中最关键的字段,一条URL可以用“?”将其分割为URI字段和参数字段,参数字段用=将其分为键值对:NAME和VALUE,在本发明实施例中,根据网络流量的这一特点,选取了21个特征参数,分别为:
1、长度特征:包括整体长度,最大长度和平均长度三种。uri_length、parameter_length:URI长度和参数长度;uri_maxlen、name_maxlen、value_maxlen:URI、NAME和VALUE中最长的那条的长度;uri_average_len、parameter_average_len:URI的平均长度和参数的平均长度。
2、数量特征:uri_number、parameter_number:URI的个数和参数的个数。URI的个数为URI段用“/”分割后的个数,参数个数为参数段用“&”分割后的键值对的个数。
3、类型特征:根据是否为空,是否含有可疑字符,是否是纯数字或纯字母或混合等分为9种类型。它们分别是uri_type、name_type和value_type。
4、危险等级:匹配高中低恶意关键字个数,并与权重结合计算出该条日志的危险等级,具体参照上述恶意关键字解释部分。危险等级特征为:uri_risk_level、name_risk_level和value_risk_level。
5、其他特征:
digit_percentage、alpha_percentage统计了VALUE部分纯数字类型所占的比例和纯字母类型所占的比例;
url_unknow_amount统计了整个URL可疑字符的个数;
if_contain_keywords为该条日志是否含有高级的恶意关键字,若有则该特征值为1,若无为0;
nginx_test,由于nginx攻击特征很难与正常日志区分,所以专门定义正则表达式判断了是否为nginx攻击;
value_contain_ip匹配了VALUE部分是否含有有效IP地址这一特征。
具体的特征参数可参考表1,表1给出了本发明实施例中可以选取的21个特征参数。
表1
| uri_length | uri_number | uri_maxlen |
| uri_averagelen | uri_type | uri_risk_level |
| parameter_length | parameter_number | parameter_average_len |
| name_type | name_maxlen | name_risk_level |
| value_type | value_maxlen | value_risk_level |
| digit_percentage | alpha_percentage | url_unknow_amount |
| if_contain_keywords | nginx_test | value_contain_ip |
根据上述21个特征参数,检测网络流量是否为网站攻击行为,检测结果更为准确。
S102:以所获得的特征参数为预设的检测模型的输入信息,获得所述当前网络流量的检测值;
其中,检测值用于表示当前网络流量为网站攻击行为的特征值,检测模型为针对特征参数的检测模型,该检测模型在满足预设的更新条件的情况下,根据所获得的特征参数进行更新。
S103:基于机器学习的分类算法分析所述检测值,判断所述当前网络流量是否为网站攻击行为,若为是,则执行步骤S104,否则,结束处理;
当然,在本发明其他实施例中,如果判断当前网络流量不是网站攻击行为,则该次检测过程结束,可以进行下一网络流量的检测。
这里,基于机器学习的分类算法可以为决策树或随机森林算法或其他分类算法,具体为哪一种算法,可以由用户根据测试网络流量的正确率确定在检测网站攻击行为时使用哪一种分类算法。
S104:生成针对所述当前网络流量的攻击检测结果。
实际应用中,基于机器学习的分类算法分析检测值的分析结果中,包含当前网络流量是否为网站攻击行为,若为是,则生成针对该当前网络流量的攻击检测结果,在满足预设的输出条件的情况下,输出给用户。
一种具体实现方式中,特征参数可以包括:当前网络流量的类型。
这种情况下,在上述以所获得的特征参数为预设的检测模型的输入信息,获得当前网络流量的检测值之前,还可以包括:
判断当前网络流量的类型是否为未知类型;
若为是,则根据所述当前网络流量的类型更新所述检测模型。
假设,当前网络流量的类型为A,类型A的网络流量从未出现过,则判断该当前网络流量的类型为未知类型,从该当前网络流量中提取特征参数,根据提取的特征参数更新检测模型。这样,在遇到未知类型的网络流量时就更新检测模型,保证了该网站攻击行为的检测方法能够适应快速发展的网络环境,提高网站攻击行为的检出率。
在本发明中,采用检测模型检测网络流量是否为网站攻击行为,该检测模型的构建方法可参考图2,图2为本发明实施例提供的检测模型的构建方法的流程示意图,应用于服务器,该方法可以包括如下步骤:
S201:从已存储的网络流量中,获得非静态文件对应的网络流量;
在上述服务器中存储有大量的网络流量,可用通过wireshark等抓包软件获得上述服务器中已存储的网络流量,此为现有技术,这里不再赘述。
在获得的已存储的网络流量中存在着静态文件对应的网络流量,这些网络流量对网站攻击行为的检测并无实质意义,因此过滤掉这些网络流量,仅余下非静态文件对应的网络流量,这样可以减少上述服务器处理的数据量,提高上述服务器处理数据的速度。
需要说明的是,服务器中存储的网络流量均已知其是否为攻击网络流量。
S202:统一所获得的网络流量的格式,并根据统一格式后的网络流量,获得所述服务器可用的攻击网络流量和所述服务器可用的非攻击网络流量;
统一所获得的网络流量的格式,并根据统一格式后的网络流量,获得服务器可用的攻击网络流量和服务器可用的非攻击网络流量,可以为:
将网络流量中的大写字母转换为小写字母,将网络流量的格式统一为编码格式,获得上述服务器中机器学习及机器学习算法可用的网络流量,该可用的网络流量包括:可用的攻击网络流量和可用的非攻击网络流量。
S203:根据所获得的可用的攻击网络流量和所获得的可用的非攻击网络流量,解析获得每条攻击网络流量的攻击特征参数;
这里,攻击特征参数为攻击网络流量的特征参数,当然,在攻击网络流量中还可以包含非攻击特征参数,攻击特征参数和非攻击特征参数均为特征参数。
一种具体实现方式中,上述根据所获得的可用的攻击网络流量和所获得的可用的非攻击网络流量,解析获得每条攻击网络流量的攻击特征参数,可以包括:
A、对比所获得的可用的攻击网络流量和所获得的可用的非攻击网络流量中的各个字段,获得攻击网络流量的攻击特征;
B、确定攻击特征的危险等级;
在本发明实施例中,可以运用统计学和社会工程学的知识对预处理后的网络流量进行统计分析,形成恶意关键字库。
恶意关键字是指注入在网络流量中的可执行片段或恶意文件代码块,通过匹配恶意关键字可以识别出该条流量是否是攻击。根据其出现的位置和恶意等级列出了表2-5中的几类恶意关键字。表2给出了在URI字段的后缀中的高危的恶意关键字,这些恶意关键字是文件名的后缀,攻击是通过URI获得表2中的非法文件,表3给出了在关键字段的高危的恶意关键字,表4给出了在关键字段的中危的恶意关键字,表5给出了在关键字段的低危的恶意关键字。
表2
| .bashrc | .mdb | response.write( | ofc_upload_image | .inc |
| .bak | .htaccess | .swp | .tmp | “.backup |
| .err | .php~ | .asp~ | .aspx~ | “.jsp~ |
| .cvs | .svn” | .git | .ini | “.bash_history |
| .sql | .myd | .myi | .frm | .asax |
表3
| java.lang | ascii( | sleep( | exec( | eval( |
| length( | hex( | prompt( | alert( | version |
| /etc/ | base64 | md5( | data://text/plain | /web-inf/ |
| utility/convert | ../ | xp_ | updatexml( | redirect: |
| information_schema | sysobject | substr | benchmark | waitfor |
| shutdown | <scrip | <iframe | phpinfo | php://filter |
| php://input | wget | utl_ | Extractvalue( | updatexml( |
表4
| select | if( | union | regexp | group by |
| count( | /**/ | char( | drop | delete |
| chr( | onclick= |
表5
| and | or | like | from | insert |
| update | create | else | exist | table |
| database | master | echo | where | |
| ping | exec | system | eval | sleep |
| href | [] | () |
根据恶意关键字的危险程度将其划分为三个等级并标明权重。表2与表3为高危等级,权重为5,一旦出现必定判断为攻击。表4为中危等级,表示基本可以判断为异常,经常与低危关键字组合出现,通过与低危组合进一步判断其危险性,其权重为2。表5为低危等级,攻击中经常出现的词,但由于其误报率较大而放在低危中,其权重为1。对于没有高危关键字出现的情况下,网络流量的综合危险等级为Num(低危)*1+Num(中危)*2,如:一网络流量中低危关键字个数为3,中危关键字个数为2,则该条网络流量的综合危险等级为3*1+2*2=7。
C、根据危险等级、各个字段的长度特征、各个字段的数量特征和各个网络流量的类型特征,确定攻击特征的特征库;
其中,特征库,用于存储攻击特征的攻击特征参数。
本发明实施例中,根据确定的恶意关键字危险等级及各个字段的长度特征、各个字段的数量特征和各个网络流量的类型特征等特征的21个攻击特征参数确定特征库,如上述表1所示。
D、根据特征库中包含的攻击特征参数,获得每条网络流量的攻击特征参数。
本发明实施例中,根据21个攻击特征参数确定网络流量是否为网站攻击行为,能够提高网站攻击行为的检出率,且检测结果更为准确。
S204:将攻击特征参数完全相同的网络流量合并为一条网络流量;
在本发明实施例中,每一特征参数可以作为网络流量的一个维度,此时,获得每条网络流量的攻击特征参数后就形成了多维的向量数据,将向量数据完全相同的网络流量合并为一条网络流量,这样可以减少上述服务器对网络流量进行数据分析的时间复杂度和空间复杂度。
S205:对合并后的每一条网络流量的攻击特征参数进行量化处理;
本发明中提取了多种与长度和数量有关的特征参数,这种数据的值分布广泛,为了使结果更集中并保证不影响整体特征,对与长度和数量有关的值用log2进行量化。量化后的数据能保证不影响该特征的整体表现下提高处理效率。
S206:根据预设的基于机器学习的分类算法,构建针对特征参数的所述检测模型。
这里,基于机器学习的分类算法可以为决策树或随机森林算法或其他分类算法,具体为哪一种算法,可以由用户根据测试网络流量的正确率确定在检测网站攻击行为时使用哪一种分类算法。
本发明中,利用机器学习中的分类算法对网络流量中的特征参数进行数据挖掘,抽取特征参数中的知识和信息,根据获得的知识和信息,构建对特征参数的所述检测模型。
在构建完成检测模型后,该检测模型的检测网络流量的正确率并不确定,因此需要测试该检测模型是否可以用于实际检测中。
一种具体实现方式中,测试上述检测模型的方法可以包括:
E、获得待测试网络流量的特征参数;
F、根据检测模型和所获得的待测试网络流量的特征参数,检测每条待测试网络流量,并生成针对待测试网络流量的检测结果;
具体的,生成针对待测试网络流量的检测结果,可以包括如下步骤:
获得待测试网络流量的特征参数;
以所获得的特征参数为预设的检测模型的输入信息,获得上述待测试网络流量的检测值;
基于机器学习的分类算法分析检测值,判断上述待测试网络流量是否为网站攻击行为;
若为是,则生成针对上述待测试网络流量的攻击检测结果。
G、根据所生成的各个检测结果,获得服务器根据检测模型检测网络流量的正确率;
H、判断正确率是否大于预设阈值,若为是,则执行步骤I,若为否,则执行步骤J;
I、判定构建检测模型成功;
J、统计检测模型中每个攻击特征参数的贡献度,根据所统计的贡献度,重新获得每条攻击网络流量的攻击特征参数,继续执行步骤S204。
实际应用中,已知待测试网络流量是否为网站攻击行为,因此,可以根据所生成的各个检测结果获得检测模型检测网络流量的正确率,假设预设阈值为0.9,若获得的检测模型检测网络流量的正确率为0.95,0.95>0.9,则可以判定构建检测模型成功,该检测模型可以用于实际的网络流量检测中;若获得的检测模型检测网络流量的正确率为0.85,0.85<0.9,可以判定构建检测模型失败,统计统计检测模型中每个攻击特征参数的贡献度,根据所统计的贡献度,重新获得每条攻击网络流量的攻击特征参数,本次获得的攻击特征参数与上一次获得的攻击特征参数不完全相同,获得每条攻击网络流量的攻击特征参数后,再次执行步骤S204,以重新构建检测模型。
应用上述各个实施例,在获取当前网络流量的特征参数后,将特征参数作为预设的检测模型的输入信息,获得该当前网络流量的检测值,基于机器学习的分类算法,分析获得的各个检测值,其分析的结果即可判断该当前网络流量是否为网站攻击行为,在该方法中,检测模型为针对特征参数的检测模型,其可以根据所获得的特征参数不断更新,因此在网站攻击行为检测中,该方法能够适应快速发展的网络环境,提高网站攻击行为的检出率。
图3为本发明实施例提供的一种基于机器学习的网站攻击行为的检测装置的结构示意图,应用于服务器,该装置可以包括:第一特征参数获得单元301、检测值获得单元302、检测值分析单元303和第一检测结果生成单元304;
其中,第一特征参数获得单元301,用于获得当前网络流量的特征参数;
检测值获得单元302,用于以所获得的特征参数为预设的检测模型的输入信息,获得当前网络流量的检测值,其中,检测值用于表示当前网络流量为网站攻击行为的特征值,检测模型为针对特征参数的检测模型,该检测模型在满足预设的更新条件的情况下,根据所获得的特征参数进行更新;
检测值分析单元303,用于基于机器学习的分类算法分析所述检测值,判断所述当前网络流量为网站攻击行为,若为是,则触发第一检测结果生成单元304;
第一检测结果生成单元304,用于生成针对当前网络流量的攻击检测结果。
一种具体实现方式中,上述特征参数可以包括:当前网络流量的类型。
这种情况下,该装置还可以包括:类型判断单元和检测模型更新单元(图3中未示出);
其中,类型判断单元,用于判断当前网络流量的类型是否为未知类型,若为是,则触发检测模型更新单元;
检测模型更新单元,用于根据当前网络流量的类型更新检测模型。
在本发明中,采用检测模型检测网络流量是否为网站攻击行为,该检测模型的构建装置可参考图4,图4为本发明实施例提供的检测模型的构建装置的结构示意图,应用于服务器,该装置可以包括:第一网络流量获得单元401、第二网络流量获得单元402、攻击特征参数获得单元403、网络流量合并单元404、攻击特征参数量化单元405和检测模型构建单元406;
其中,第一网络流量获得单元401,用于从已存储的网络流量中,获得非静态文件对应的网络流量;
第二网络流量获得单元402,用于统一所获得的网络流量的格式,并根据统一格式后的网络流量,获得服务器可用的攻击网络流量和服务器可用的非攻击网络流量;
攻击特征参数获得单元403,用于根据所获得的可用的攻击网络流量和所获得的可用的非攻击网络流量,解析获得每条攻击网络流量的攻击特征参数,其中,攻击特征参数为攻击网络流量的特征参数;
网络流量合并单元404,用于将攻击特征参数完全相同的网络流量合并为一条网络流量;
攻击特征参数量化单元405,用于对合并后的每一条网络流量的攻击特征参数进行量化处理;
检测模型构建单元406,用于根据预设的基于机器学习的分类算法,构建针对特征参数的检测模型。
一种具体实现方式中,上述攻击特征参数获得单元403,包括:攻击特征获得子单元、危险等级确定子单元、特征库确定子单元、攻击特征参数获得子单元(图4中未示出);
其中,攻击特征获得子单元,用于对比所获得的可用的攻击网络流量和所获得的可用的非攻击网络流量中的各个字段,获得攻击网络流量的攻击特征;
危险等级确定子单元,用于确定攻击特征的危险等级;
特征库确定子单元,用于根据危险等级、各个字段的长度特征、各个字段的数量特征和各个网络流量的类型特征,确定攻击特征的特征库,其中,特征库,用于存储攻击特征的攻击特征参数;
攻击特征参数获得子单元,用于根据特征库中包含的攻击特征参数,获得每条网络流量的攻击特征参数。
一种具体实现方法中,上述网站攻击行为的检测装置还可以包括:第二特征参数获得单元、第二检测结果生成单元、正确率获得单元、正确率判断单元、成功判断单元和贡献度统计单元(图3中未示出);
其中,第二特征参数获得单元,用于获得待测试网络流量的特征参数;
第二检测结果生成单元,用于根据检测模型和所获得的待测试网络流量的特征参数,检测每条待测试网络流量,并生成针对待测试网络流量的检测结果;
正确率获得单元,用于根据所生成的各个检测结果,获得服务器根据检测模型检测网络流量的正确率;
正确率判断单元,用于判断正确率是否大于预设阈值,若为是,则触发成功判断单元,若为否,则触发贡献度统计单元;
成功判断单元,用于判定构建检测模型成功;
贡献度统计单元,用于统计检测模型中每个攻击特征参数的贡献度,并根据所统计的贡献度,重新获得每条攻击网络流量的攻击特征参数,触发网络流量合并单元404将攻击特征参数完全相同的网络流量合并为一条网络流量。
应用上述各个实施例,在获取当前网络流量的特征参数后,将特征参数作为预设的检测模型的输入信息,获得该当前网络流量的检测值,基于机器学习的分类算法,分析获得的各个检测值,其分析的结果即可判断该当前网络流量是否为网站攻击行为,在该方法中,检测模型为针对特征参数的检测模型,其可以根据所获得的特征参数不断更新,因此在网站攻击行为检测中,该方法能够适应快速发展的网络环境,提高网站攻击行为的检出率。
对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本领域普通技术人员可以理解实现上述方法实施方式中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于计算机可读取存储介质中,这里所称得的存储介质,如:ROM/RAM、磁碟、光盘等。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (10)
1.一种基于机器学习的网站攻击行为的检测方法,应用于服务器,其特征在于,所述方法包括步骤:
获得当前网络流量的特征参数;
以所获得的特征参数为预设的检测模型的输入信息,获得所述当前网络流量的检测值,其中,所述检测值用于表示所述当前网络流量为网站攻击行为的特征值,所述检测模型为针对特征参数的检测模型,该检测模型在满足预设的更新条件的情况下,根据所获得的特征参数进行更新;
基于机器学习的分类算法分析所述检测值,判断所述当前网络流量是否为网站攻击行为;
若为是,则生成针对所述当前网络流量的攻击检测结果。
2.根据权利要求1所述的方法,其特征在于,通过以下方式构建所述检测模型:
从已存储的网络流量中,获得非静态文件对应的网络流量;
统一所获得的网络流量的格式,并根据统一格式后的网络流量,获得所述服务器可用的攻击网络流量和所述服务器可用的非攻击网络流量;
根据所获得的可用的攻击网络流量和所获得的可用的非攻击网络流量,解析获得每条攻击网络流量的攻击特征参数,其中,所述攻击特征参数为攻击网络流量的特征参数;
将攻击特征参数完全相同的网络流量合并为一条网络流量;
对合并后的每一条网络流量的攻击特征参数进行量化处理;
根据预设的基于机器学习的分类算法,构建针对特征参数的所述检测模型。
3.根据权利要求2所述的方法,其特征在于,所述根据所获得的可用的攻击网络流量和所获得的可用的非攻击网络流量,解析获得每条攻击网络流量的攻击特征参数,包括:
对比所获得的可用的攻击网络流量和所获得的可用的非攻击网络流量中的各个字段,获得攻击网络流量的攻击特征;
确定所述攻击特征的危险等级;
根据所述危险等级、各个字段的长度特征、各个字段的数量特征和各个网络流量的类型特征,确定所述攻击特征的特征库,其中,所述特征库,用于存储攻击特征的攻击特征参数;
根据所述特征库中包含的攻击特征参数,获得每条网络流量的攻击特征参数。
4.根据权利要求2所述的方法,其特征在于,所述根据分析得到的攻击权值,构建针对特征参数的所述检测模型之后,还包括:
获得待测试网络流量的特征参数;
根据所述检测模型和所获得的待测试网络流量的特征参数,检测每条待测试网络流量,并生成针对待测试网络流量的检测结果;
根据所生成的各个检测结果,获得所述服务器根据所述检测模型检测网络流量的正确率;
判断所述正确率是否大于预设阈值;
若为是,则判定构建所述检测模型成功;
若为否,则统计所述检测模型中每个攻击特征参数的贡献度,根据所统计的贡献度,重新获得每条攻击网络流量的攻击特征参数,继续执行所述将攻击特征参数完全相同的网络流量合并为一条网络流量的步骤。
5.根据权利要求1所述的方法,其特征在于,所述特征参数包括:所述当前网络流量的类型;
在所述以所获得的特征参数为预设的检测模型的输入信息,获得所述当前网络流量的检测值之前,还包括:
判断所述当前网络流量的类型是否为未知类型;
若为是,则根据所述当前网络流量的类型更新所述检测模型。
6.一种基于机器学习的网站攻击行为的检测装置,应用于服务器,其特征在于,所述装置包括:第一特征参数获得单元、检测值获得单元、检测值分析单元和第一检测结果生成单元;
其中,所述第一特征参数获得单元,用于获得当前网络流量的特征参数;
所述检测值获得单元,用于以所获得的特征参数为预设的检测模型的输入信息,获得所述当前网络流量的检测值,其中,所述检测值用于表示所述当前网络流量为网站攻击行为的特征值,所述检测模型为针对特征参数的检测模型,该检测模型在满足预设的更新条件的情况下,根据所获得的特征参数进行更新;
所述检测值分析单元,用于基于机器学习的分类算法分析所述检测值,判断所述当前网络流量为网站攻击行为,若为是,则触发所述第一检测结果生成单元;
所述第一检测结果生成单元,用于生成针对所述当前网络流量的攻击检测结果。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:第一网络流量获得单元、第二网络流量获得单元、攻击特征参数获得单元、网络流量合并单元、攻击特征参数量化单元和检测模型构建单元;
其中,所述第一网络流量获得单元,用于从已存储的网络流量中,获得非静态文件对应的网络流量;
所述第二网络流量获得单元,用于统一所获得的网络流量的格式,并根据统一格式后的网络流量,获得所述服务器可用的攻击网络流量和所述服务器可用的非攻击网络流量;
所述攻击特征参数获得单元,用于根据所获得的可用的攻击网络流量和所获得的可用的非攻击网络流量,解析获得每条攻击网络流量的攻击特征参数,其中,所述攻击特征参数为攻击网络流量的特征参数;
所述网络流量合并单元,用于将攻击特征参数完全相同的网络流量合并为一条网络流量;
所述攻击特征参数量化单元,用于对合并后的每一条网络流量的攻击特征参数进行量化处理;
所述检测模型构建单元,用于根据预设的基于机器学习的分类算法,构建针对特征参数的所述检测模型。
8.根据权利要求7所述的装置,其特征在于,所述攻击特征参数获得单元,包括:攻击特征获得子单元、危险等级确定子单元、特征库确定子单元、攻击特征参数获得子单元;
其中,所述攻击特征获得子单元,用于对比所获得的可用的攻击网络流量和所获得的可用的非攻击网络流量中的各个字段,获得攻击网络流量的攻击特征;
所述危险等级确定子单元,用于确定所述攻击特征的危险等级;
所述特征库确定子单元,用于根据所述危险等级、各个字段的长度特征、各个字段的数量特征和各个网络流量的类型特征,确定所述攻击特征的特征库,其中,所述特征库,用于存储攻击特征的攻击特征参数;
所述攻击特征参数获得子单元,用于根据所述特征库中包含的攻击特征参数,获得每条网络流量的攻击特征参数。
9.根据权利要求7所述的装置,其特征在于,所述装置还包括:第二特征参数获得单元、第二检测结果生成单元、正确率获得单元、正确率判断单元、成功判断单元和贡献度统计单元;
其中,所述第二特征参数获得单元,用于获得待测试网络流量的特征参数;
所述第二检测结果生成单元,用于根据所述检测模型和所获得的待测试网络流量的特征参数,检测每条待测试网络流量,并生成针对待测试网络流量的检测结果;
所述正确率获得单元,用于根据所生成的各个检测结果,获得所述服务器根据所述检测模型检测网络流量的正确率;
所述正确率判断单元,用于判断所述正确率是否大于预设阈值,若为是,则触发所述成功判断单元,若为否,则触发所述贡献度统计单元;
所述成功判断单元,用于判定构建所述检测模型成功;
所述贡献度统计单元,用于统计所述检测模型中每个攻击特征参数的贡献度,并根据所统计的贡献度,重新获得每条攻击网络流量的攻击特征参数,触发所述网络流量合并单元将攻击特征参数完全相同的网络流量合并为一条网络流量。
10.根据权利要求6所述的装置,其特征在于,所述特征参数包括:所述当前网络流量的类型;
所述装置还包括:类型判断单元和检测模型更新单元;
其中,所述类型判断单元,用于判断所述当前网络流量的类型是否为未知类型,若为是,则触发所述检测模型更新单元;
所述检测模型更新单元,用于根据所述当前网络流量的类型更新所述检测模型。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201511017343.XA CN105656886A (zh) | 2015-12-29 | 2015-12-29 | 一种基于机器学习的网站攻击行为的检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201511017343.XA CN105656886A (zh) | 2015-12-29 | 2015-12-29 | 一种基于机器学习的网站攻击行为的检测方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105656886A true CN105656886A (zh) | 2016-06-08 |
Family
ID=56477353
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201511017343.XA Pending CN105656886A (zh) | 2015-12-29 | 2015-12-29 | 一种基于机器学习的网站攻击行为的检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105656886A (zh) |
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107302547A (zh) * | 2017-08-21 | 2017-10-27 | 深信服科技股份有限公司 | 一种web业务异常检测方法及装置 |
| CN108040076A (zh) * | 2018-02-06 | 2018-05-15 | 中国互联网络信息中心 | 基于Spark Streaming的DNS水刑攻击处理方法及系统 |
| CN108234341A (zh) * | 2018-01-25 | 2018-06-29 | 北京搜狐新媒体信息技术有限公司 | 基于设备指纹的Nginx动态被动限流方法及系统 |
| CN108234342A (zh) * | 2018-01-25 | 2018-06-29 | 北京搜狐新媒体信息技术有限公司 | 基于设备指纹的Nginx动态主动限流方法及系统 |
| CN108289084A (zh) * | 2017-01-10 | 2018-07-17 | 阿里巴巴集团控股有限公司 | 访问流量的阻断方法和装置及非暂态计算机可读存储介质 |
| CN108616498A (zh) * | 2018-02-24 | 2018-10-02 | 国家计算机网络与信息安全管理中心 | 一种web访问异常检测方法和装置 |
| CN108809948A (zh) * | 2018-05-21 | 2018-11-13 | 中国科学院信息工程研究所 | 一种基于深度学习的异常网络连接检测方法 |
| CN109391624A (zh) * | 2018-11-14 | 2019-02-26 | 国家电网有限公司 | 一种基于机器学习的终端接入数据异常检测方法及装置 |
| CN109525577A (zh) * | 2018-11-09 | 2019-03-26 | 四川大学 | 基于http行为图的恶意软件检测方法 |
| CN109981596A (zh) * | 2019-03-05 | 2019-07-05 | 腾讯科技(深圳)有限公司 | 一种主机外联检测方法及装置 |
| CN110138766A (zh) * | 2019-05-10 | 2019-08-16 | 福州大学 | 天牛须结合随机森林的网络入侵检测方法 |
| CN110245491A (zh) * | 2019-06-11 | 2019-09-17 | 合肥宜拾惠网络科技有限公司 | 网络攻击类型的确定方法、装置以及存储器和处理器 |
| CN110290155A (zh) * | 2019-07-23 | 2019-09-27 | 北京邮电大学 | 社会工程学攻击的防御方法及装置 |
| CN110572364A (zh) * | 2019-08-06 | 2019-12-13 | 苏州浪潮智能科技有限公司 | 一种虚拟化环境中威胁告警的实现方法 |
| CN110602030A (zh) * | 2019-05-16 | 2019-12-20 | 上海云盾信息技术有限公司 | 网络入侵阻断方法、服务器及计算机可读介质 |
| CN111049819A (zh) * | 2019-12-07 | 2020-04-21 | 上海镕天信息科技有限公司 | 一种基于威胁建模的威胁情报发现方法及计算机设备 |
| CN111431849A (zh) * | 2020-02-18 | 2020-07-17 | 北京邮电大学 | 一种网络入侵检测方法及装置 |
| CN112906001A (zh) * | 2021-03-15 | 2021-06-04 | 上海交通大学 | 一种Linux勒索病毒防范方法及系统 |
| CN113194058A (zh) * | 2020-01-14 | 2021-07-30 | 深信服科技股份有限公司 | Web攻击检测方法、设备、网站应用层防火墙及介质 |
| CN113259303A (zh) * | 2020-02-12 | 2021-08-13 | 网宿科技股份有限公司 | 一种基于机器学习技术的白名单自学习方法和装置 |
| WO2021196691A1 (zh) * | 2020-03-31 | 2021-10-07 | 华为技术有限公司 | 一种网络攻击检测方法及装置 |
| CN113486343A (zh) * | 2021-07-13 | 2021-10-08 | 深信服科技股份有限公司 | 一种攻击行为的检测方法、装置、设备和介质 |
| CN113691562A (zh) * | 2021-09-15 | 2021-11-23 | 神州网云(北京)信息技术有限公司 | 一种精确识别恶意网络通讯的规则引擎实现方法 |
| CN114760106A (zh) * | 2022-03-22 | 2022-07-15 | 恒安嘉新(北京)科技股份公司 | 网络攻击的确定方法、系统、电子设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103179105A (zh) * | 2012-10-25 | 2013-06-26 | 四川省电力公司信息通信公司 | 一种基于网络流量中行为特征的智能木马检测装置及其方法 |
| CN104794192A (zh) * | 2015-04-17 | 2015-07-22 | 南京大学 | 基于指数平滑、集成学习模型的多级异常检测方法 |
| CN104850780A (zh) * | 2015-04-27 | 2015-08-19 | 北京北信源软件股份有限公司 | 一种高级持续性威胁攻击的判别方法 |
-
2015
- 2015-12-29 CN CN201511017343.XA patent/CN105656886A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103179105A (zh) * | 2012-10-25 | 2013-06-26 | 四川省电力公司信息通信公司 | 一种基于网络流量中行为特征的智能木马检测装置及其方法 |
| CN104794192A (zh) * | 2015-04-17 | 2015-07-22 | 南京大学 | 基于指数平滑、集成学习模型的多级异常检测方法 |
| CN104850780A (zh) * | 2015-04-27 | 2015-08-19 | 北京北信源软件股份有限公司 | 一种高级持续性威胁攻击的判别方法 |
Non-Patent Citations (2)
| Title |
|---|
| 何炎祥; 曹强; 刘陶; 韩奕; 熊琦: "一种基于小波特征提取的低速率DoS检测方法", 《软件学报》 * |
| 周泽寻: "基于入侵检测的数据流挖掘研究", 《中国优秀硕士论文电子期刊网》 * |
Cited By (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108289084A (zh) * | 2017-01-10 | 2018-07-17 | 阿里巴巴集团控股有限公司 | 访问流量的阻断方法和装置及非暂态计算机可读存储介质 |
| CN107302547A (zh) * | 2017-08-21 | 2017-10-27 | 深信服科技股份有限公司 | 一种web业务异常检测方法及装置 |
| CN108234341A (zh) * | 2018-01-25 | 2018-06-29 | 北京搜狐新媒体信息技术有限公司 | 基于设备指纹的Nginx动态被动限流方法及系统 |
| CN108234342A (zh) * | 2018-01-25 | 2018-06-29 | 北京搜狐新媒体信息技术有限公司 | 基于设备指纹的Nginx动态主动限流方法及系统 |
| CN108234342B (zh) * | 2018-01-25 | 2021-08-13 | 北京搜狐新媒体信息技术有限公司 | 基于设备指纹的Nginx动态主动限流方法及系统 |
| CN108234341B (zh) * | 2018-01-25 | 2021-06-11 | 北京搜狐新媒体信息技术有限公司 | 基于设备指纹的Nginx动态被动限流方法及系统 |
| CN108040076A (zh) * | 2018-02-06 | 2018-05-15 | 中国互联网络信息中心 | 基于Spark Streaming的DNS水刑攻击处理方法及系统 |
| CN108616498A (zh) * | 2018-02-24 | 2018-10-02 | 国家计算机网络与信息安全管理中心 | 一种web访问异常检测方法和装置 |
| CN108809948B (zh) * | 2018-05-21 | 2020-07-10 | 中国科学院信息工程研究所 | 一种基于深度学习的异常网络连接检测方法 |
| CN108809948A (zh) * | 2018-05-21 | 2018-11-13 | 中国科学院信息工程研究所 | 一种基于深度学习的异常网络连接检测方法 |
| CN109525577A (zh) * | 2018-11-09 | 2019-03-26 | 四川大学 | 基于http行为图的恶意软件检测方法 |
| CN109525577B (zh) * | 2018-11-09 | 2021-08-20 | 四川大学 | 基于http行为图的恶意软件检测方法 |
| CN109391624A (zh) * | 2018-11-14 | 2019-02-26 | 国家电网有限公司 | 一种基于机器学习的终端接入数据异常检测方法及装置 |
| CN109981596A (zh) * | 2019-03-05 | 2019-07-05 | 腾讯科技(深圳)有限公司 | 一种主机外联检测方法及装置 |
| CN109981596B (zh) * | 2019-03-05 | 2020-09-04 | 腾讯科技(深圳)有限公司 | 一种主机外联检测方法及装置 |
| CN110138766A (zh) * | 2019-05-10 | 2019-08-16 | 福州大学 | 天牛须结合随机森林的网络入侵检测方法 |
| CN110602030A (zh) * | 2019-05-16 | 2019-12-20 | 上海云盾信息技术有限公司 | 网络入侵阻断方法、服务器及计算机可读介质 |
| CN110245491B (zh) * | 2019-06-11 | 2021-01-08 | 国网安徽省电力有限公司 | 网络攻击类型的确定方法、装置以及存储器和处理器 |
| CN110245491A (zh) * | 2019-06-11 | 2019-09-17 | 合肥宜拾惠网络科技有限公司 | 网络攻击类型的确定方法、装置以及存储器和处理器 |
| CN110290155A (zh) * | 2019-07-23 | 2019-09-27 | 北京邮电大学 | 社会工程学攻击的防御方法及装置 |
| CN110572364A (zh) * | 2019-08-06 | 2019-12-13 | 苏州浪潮智能科技有限公司 | 一种虚拟化环境中威胁告警的实现方法 |
| CN111049819A (zh) * | 2019-12-07 | 2020-04-21 | 上海镕天信息科技有限公司 | 一种基于威胁建模的威胁情报发现方法及计算机设备 |
| CN113194058A (zh) * | 2020-01-14 | 2021-07-30 | 深信服科技股份有限公司 | Web攻击检测方法、设备、网站应用层防火墙及介质 |
| CN113194058B (zh) * | 2020-01-14 | 2023-03-21 | 深信服科技股份有限公司 | Web攻击检测方法、设备、网站应用层防火墙及介质 |
| CN113259303A (zh) * | 2020-02-12 | 2021-08-13 | 网宿科技股份有限公司 | 一种基于机器学习技术的白名单自学习方法和装置 |
| WO2021159575A1 (zh) * | 2020-02-12 | 2021-08-19 | 网宿科技股份有限公司 | 一种基于机器学习技术的白名单自学习方法和装置 |
| CN111431849A (zh) * | 2020-02-18 | 2020-07-17 | 北京邮电大学 | 一种网络入侵检测方法及装置 |
| WO2021196691A1 (zh) * | 2020-03-31 | 2021-10-07 | 华为技术有限公司 | 一种网络攻击检测方法及装置 |
| CN112906001A (zh) * | 2021-03-15 | 2021-06-04 | 上海交通大学 | 一种Linux勒索病毒防范方法及系统 |
| CN113486343A (zh) * | 2021-07-13 | 2021-10-08 | 深信服科技股份有限公司 | 一种攻击行为的检测方法、装置、设备和介质 |
| CN113691562A (zh) * | 2021-09-15 | 2021-11-23 | 神州网云(北京)信息技术有限公司 | 一种精确识别恶意网络通讯的规则引擎实现方法 |
| CN113691562B (zh) * | 2021-09-15 | 2024-04-23 | 神州网云(北京)信息技术有限公司 | 一种精确识别恶意网络通讯的规则引擎实现方法 |
| CN114760106A (zh) * | 2022-03-22 | 2022-07-15 | 恒安嘉新(北京)科技股份公司 | 网络攻击的确定方法、系统、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105656886A (zh) | 一种基于机器学习的网站攻击行为的检测方法及装置 | |
| Nagappan et al. | Abstracting log lines to log event types for mining software system logs | |
| CN108200054B (zh) | 一种基于dns解析的恶意域名检测方法及装置 | |
| He et al. | Towards automated log parsing for large-scale log data analysis | |
| CN106796585B (zh) | 条件验证规则 | |
| CN105337985A (zh) | 一种攻击检测方法及系统 | |
| CN103748853B (zh) | 用于对数据通信网络中的协议消息进行分类的方法和系统 | |
| CN105915555A (zh) | 网络异常行为的检测方法及系统 | |
| US20120036577A1 (en) | Method and system for alert classification in a computer network | |
| CN111835777B (zh) | 一种异常流量检测方法、装置、设备及介质 | |
| CN102647421A (zh) | 基于行为特征的web后门检测方法和装置 | |
| CN111309539A (zh) | 一种异常监测方法、装置和电子设备 | |
| CN105072214A (zh) | 基于域名特征的c&c域名识别方法 | |
| CN104462985A (zh) | bat漏洞的检测方法以及装置 | |
| WO2017021290A1 (en) | Network operation | |
| Chen et al. | Invariants based failure diagnosis in distributed computing systems | |
| WO2017197942A1 (zh) | 病毒库的获取方法及装置、设备、服务器、系统 | |
| CN108804501B (zh) | 一种检测有效信息的方法及装置 | |
| CN109413108A (zh) | 一种基于安全的waf检测方法和系统 | |
| CN117312825A (zh) | 一种目标行为检测方法、装置、电子设备及存储介质 | |
| CN109145609B (zh) | 一种数据处理方法和装置 | |
| CN108509796B (zh) | 一种风险性的检测方法及服务器 | |
| CN107085544B (zh) | 一种系统错误定位方法及装置 | |
| CN111324890B (zh) | 可移植的执行体文件的处理方法、检测方法及装置 | |
| CN113330716B (zh) | 确定应用服务的依赖关系的方法及装置、处理器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20191022 |
|
| AD01 | Patent right deemed abandoned |