CN107070852A - 网络攻击检测方法和装置 - Google Patents

Abstract

本发明提出一种网络攻击检测方法和装置，通过特征模块依据预先设定的关键字集合，对网络会话样本进行关键词匹配，以得到网络会话样本的特征之后，标注模块利用预先训练的隐马尔可夫模型，采用隐状态对网络会话样本的特征进行词性标注，从而起到解析的作用，处理模块将进行词性标注后的网络会话样本输入预先训练的分类模型，进行分类处理，以判定该网络会话样本是否存在网络攻击，由于无需人工进行协议解析，解决了现有技术中从样本数据中提取特征时，需要依赖于人工经验，且解析效率较低的技术问题。

Description

网络攻击检测方法和装置

技术领域

本发明涉及信息安全技术领域，尤其涉及一种网络攻击检测方法和装置。

背景技术

在互联网技术的发展过程中，网络攻击是影响互联网安全性的一个主要问题。传统的入侵检测系统通常采用手动编码生成判定规则的方式，这种传统方式误报率比较低，但是在网络攻击越来越复杂的情况下，则无法完成检测这种新型攻击的检测任务。

因此，现有技术中开始利用机器学习辨别是否为攻击，甚至可以利用机器学习进行攻击类型的多分类。但在进行机器学习的过程中，需要执行从样本数据中提取特征，也就是解析的步骤，进而才能够根据特征进行机器学习的分类步骤，实现网络攻击的检测。解析的步骤在现有技术中，通常是通过人工经验编写协议解析逻辑，据此进行特征提取。显然，这种方式不仅依赖于人工经验，而且费时费力，效率较低。

发明内容

本发明旨在至少在一定程度上解决相关技术中的技术问题之一。

为此，本发明的第一个目的在于提出一种网络攻击检测方法，以实现解决现有技术中从样本数据中提取特征时，不仅需要依赖于人工经验，而且费时费力，解析效率较低的技术问题。

本发明的第二个目的在于提出一种网络攻击检测装置。

本发明的第三个目的在于提出另一种网络攻击检测装置。

为达上述目的，本发明第一方面实施例提出了一种网络攻击检测方法，包括：

依据预先设定的关键字集合，对网络会话样本进行关键词匹配，以得到所述网络会话样本的特征；

利用预先训练的隐马尔可夫模型，采用隐状态对所述网络会话样本的特征进行词性标注；

将进行词性标注后的网络会话样本输入预先训练的分类模型，进行分类处理，以判定所述网络会话样本是否存在网络攻击。

作为本发明第一方面的第一种可能的实现方式，所述依据预先设定的关键字集合，对网络会话样本进行关键词匹配，包括：

根据预先设定的关键字集合中用于描述基本协议特征的协议关键字，以及用于描述攻击特征的攻击关键字，对所述网络会话样本进行关键字匹配。

作为本发明第一方面的第二种可能的实现方式，所述对所述网络会话样本进行关键字匹配之后，还包括：

采用关键字的序号标识所述网络会话样本中匹配中的特征，以及采用字符的取值标识所述网络会话样本中未匹配中的字符，得到数字序列形式的网络会话样本。

作为本发明第一方面的第三种可能的实现方式，所述利用预先训练的隐马尔可夫模型，采用隐状态对所述网络会话样本的特征进行词性标注之前，还包括：

构建所述隐马尔可夫模型；所述隐马尔可夫模型的参数包括扩展参数，所述扩展参数为用于指示各关键字与各分类处理结果之间互信息的信息分布矩阵。

作为本发明第一方面的第四种可能的实现方式，所述信息分布矩阵C＝{c_j(k)}，其中，c_j(k)表示第k个特征在j个隐状态下获得的分类信息量比例；

c_j(k)满足1≤j≤N，k∈W’，c_j(k)＝1,1≤j≤N，W’表示所述关键字集合中的攻击关键字子集，N为隐状态q的总个数。

作为本发明第一方面的第五种可能的实现方式，所述构建所述隐马尔可夫模型之后，还包括：

采用随机赋值方式确定隐马尔可夫模型M_mold＝{V,Q,{A,B,C,π}}中参数λ＝{A,B,C,π}取值；其中，V表示依据预先设定的关键字集合对网络会话样本进行关键词匹配过程中所获得的返回值集合，Q＝{q₁,q₂,……q_N}为隐状态集合，A为隐状态转移概率矩阵，B为观测状态转移概率矩阵，π为初始状态概率分布矩阵；

将数字序列形式的经过关键词匹配的网络会话样本作为观察序列O_T＝{o₁,o₂,…o_t…o_T}；其中，观察序列O_T中属于所述关键字集合中的攻击关键字子集W’的元素数量为M，观察序列O_T中属于W’的元素集合为T'＝{t₁,t₂,……t_M},t_i∈{1,2,……,T},i＝1,2,……,M；时刻t为观察序列中元素的序号；

采用前向-后向算法，利用观察序列O_T，以及用于指示样本会话是否为攻击数据的样本标签Y＝{y₁,y₂,……y_M}，y_i∈{0,1},i＝1,2,……,M，以及用于指示观察序列中各元素隐状态的变量X＝{x₁,x₂，……x_M}，x_i∈Q,i＝1,2,……,M，对所构建的隐马尔可夫模型M_mold＝{V,Q,{A,B,C,π}}进行训练。

作为本发明第一方面的第六种可能的实现方式，所述对所构建的隐马尔可夫模型M_mold＝{V,Q,{A,B,C,π}}进行训练，包括：

根据公式计算获得ξ_t(i,j)，ξ_t(i,j)用于表示在时刻t处于隐状态i，且在时刻t+1处于隐状态j的概率；其中，α₁(i)＝π_ib_j(O₁)c_j(O₁)，1≤i≤N，

β_T(i)＝1，1≤i≤N，

将计算获得的ξ_t(i,j)代入公式计算获得Y_t(i)，Y_t(i)用于表示在时刻t处于隐状态i的概率；

利用期望值重复更新λ＝{A,B,C,π}的取值，直至参数λ收敛；其中，期望值包括：以及其中，用于表示特征k处于隐状态j与分类结果的互信息，与特征k与分类结果的互信息之间的比值。

作为本发明第一方面的第七种可能的实现方式，

其中，P(y|o＝V_k)，y∈{0,1}为根据计数统计获得的经验概率；

作为本发明第一方面的第八种可能的实现方式，所述利用预先训练的隐马尔可夫模型，采用隐状态对所述网络会话样本的特征进行词性标注，包括：

基于viterbi算法，利用预先训练的隐马尔可夫模型M_mold＝{V,Q,{A,B,C,π}}，确定网络会话样本中各特征k的隐状态Q＝{q₁,q₂,……q_N}，N为隐状态q的总个数；

利用隐状态Q＝{q₁,q₂,……q_N}对网络会话样本的特征进行词性标注，得到输入向量X’＝{x’₁,x’₂,...,x’_M}，其中，x’_i∈R^K*N；若输入向量x’_i中包含特征k，且特征k对应的隐状态为n，则向量x’_i中，第k*n个分量x’_i ^k*n取值为1，否则取值为零。

作为本发明第一方面的第九种可能的实现方式，所述基于viterbi算法，利用预先训练的隐马尔可夫模型M_mold＝{V,Q,{A,B,C,π}}，确定网络会话样本中各特征k的隐状态Q＝{q₁,q₂,……q_N}，包括：

由初始化公式δ₁(i)＝π_ib_j(o₁)c_j(o₁),1≤i≤N，以及ψ₁(i)＝0，代入递推公式以及2≤t≤T，1≤i≤N，进行迭代运算，直至满足终止条件以及其中，p^*表示最优路径的概率，q_T ^*是最优路径终点隐状态值，数字序列形式的经过关键词匹配的网络会话样本作为观察序列O_T＝{o₁,o₂,…o_t…o_T}时t指示观察序列中的元素位置，隐马尔可夫模型M_mold＝{V,Q,{A,B,C,π}}中，参数A＝{a_ij}，B＝{b_j(k)}，π＝{π_i}；

根据路径回溯公式q_t ^*＝ψ_t+1(q_t+1 ^*)进行计算，确定网络会话样本中各特征k的隐状态Q＝{q₁,q₂,……q_N}；其中，t＝T-1，T-2，……，1。

作为本发明第一方面的第十种可能的实现方式，所述将进行词性标注后的网络会话样本输入预先训练的分类模型，进行分类处理，以判定所述网络会话样本是否存在网络攻击之后，还包括：

对分类处理所获得的结果,进行校验。

本发明实施例的网络攻击检测方法，通过依据预先设定的关键字集合，对网络会话样本进行关键词匹配，以得到网络会话样本的特征之后，利用预先训练的隐马尔可夫模型，采用隐状态对网络会话样本的特征进行词性标注，从而起到解析的作用，将进行词性标注后的网络会话样本输入预先训练的分类模型，进行分类处理，以判定该网络会话样本是否存在网络攻击，由于无需人工进行协议解析，解决了现有技术中从样本数据中提取特征时，需要依赖于人工经验，且解析效率较低的技术问题。

为达上述目的，本发明第二方面实施例提出了一种网络攻击检测装置，包括：

特征模块，用于依据预先设定的关键字集合，对网络会话样本进行关键词匹配，以得到所述网络会话样本的特征；

标注模块，用于利用预先训练的隐马尔可夫模型，采用隐状态对所述网络会话样本的特征进行词性标注；

处理模块，用于将进行词性标注后的网络会话样本输入预先训练的分类模型，进行分类处理，以判定所述网络会话样本是否存在网络攻击。

作为本发明第二方面的第一种可能的实现方式，所述特征模块，包括：

匹配单元，用于根据预先设定的关键字集合中用于描述基本协议特征的协议关键字，以及用于描述攻击特征的攻击关键字，对所述网络会话样本进行关键字匹配。

作为本发明第二方面的第二种可能的实现方式，所述特征模块，还包括：

标识单元，用于采用关键字的序号标识所述网络会话样本中匹配中的特征，以及采用字符的取值标识所述网络会话样本中未匹配中的字符，得到数字序列形式的网络会话样本。

作为本发明第二方面的第三种可能的实现方式，所述装置，还包括：

构建模块，用于构建所述隐马尔可夫模型；所述隐马尔可夫模型的参数包括扩展参数，所述扩展参数为用于指示各关键字与各分类处理结果之间互信息的信息分布矩阵。

作为本发明第二方面的第四种可能的实现方式，所述信息分布矩阵C＝{c_j(k)}，其中，c_j(k)表示第k个特征在j个隐状态下获得的分类信息量比例；

c_j(k)满足1≤j≤N，k∈W’，c_j(k)＝1,1≤j≤N，W’表示所述关键字集合中的攻击关键字子集，N为隐状态q的总个数。

作为本发明第二方面的第五种可能的实现方式，所述装置，还包括：

生成模块，用于采用随机赋值方式确定隐马尔可夫模型M_mold＝{V,Q,{A,B,C,π}}中参数λ＝{A,B,C,π}取值；其中，V表示依据预先设定的关键字集合对网络会话样本进行关键词匹配过程中所获得的返回值集合，Q＝{q₁,q₂,……q_N}为隐状态集合，A为隐状态转移概率矩阵，B为观测状态转移概率矩阵，π为初始状态概率分布矩阵；将数字序列形式的经过关键词匹配的网络会话样本作为观察序列O_T＝{o₁,o₂,…o_t…o_T}；其中，观察序列O_T中属于所述关键字集合中的攻击关键字子集W’的元素数量为M，观察序列O_T中属于W’的元素集合为T'＝{t₁,t₂,……t_M},t_i∈{1,2,……,T},i＝1,2,……,M；时刻t为观察序列中元素的序号；

训练模块，用于采用前向-后向算法，利用观察序列O_T，以及用于指示样本会话是否为攻击数据的样本标签Y＝{y₁,y₂,……y_M}，y_i∈{0,1},i＝1,2,……,M，以及用于指示观察序列中各元素隐状态的变量X＝{x₁,x₂，……x_M}，x_i∈Q,i＝1,2,……,M，对所构建的隐马尔可夫模型M_mold＝{V,Q,{A,B,C,π}}进行训练。

作为本发明第二方面的第六种可能的实现方式，所述训练模块，具体用于：

根据公式计算获得ξ_t(i,j)，ξ_t(i,j)用于表示在时刻t处于隐状态i，且在时刻t+1处于隐状态j的概率；其中，α₁(i)＝π_ib_j(O₁)c_j(O₁)，1≤i≤N，

β_T(i)＝1，1≤i≤N，

将计算获得的ξ_t(i,j)代入公式计算获得Y_t(i)，Y_t(i)用于表示在时刻t处于隐状态i的概率；

利用期望值重复更新λ＝{A,B,C,π}的取值，直至参数λ收敛；其中，期望值包括：以及其中，用于表示特征k处于隐状态j与分类结果的互信息，与特征k与分类结果的互信息之间的比值。

作为本发明第二方面的第七种可能的实现方式，

其中，P(y|o＝V_k)，y∈{0,1}为根据计数统计获得的经验概率；

作为本发明第二方面的第八种可能的实现方式，所述标注模块，包括：

隐状态确定单元，用于基于viterbi算法，利用预先训练的隐马尔可夫模型M_mold＝{V,Q,{A,B,C,π}}，确定网络会话样本中各特征k的隐状态Q＝{q₁,q₂,……q_N}，N为隐状态q的总个数；

隐状态标注单元，用于利用隐状态Q＝{q₁,q₂,……q_N}对网络会话样本的特征进行词性标注，得到输入向量X’＝{x’₁,x’₂,...,x’_M}，其中，x’_i∈R^K*N；若输入向量x’_i中包含特征k，且特征k对应的隐状态为n，则向量x’_i中，第k*n个分量x’_i ^k*n取值为1，否则取值为零。

作为本发明第二方面的第九种可能的实现方式，所述隐状态确定单元，具体用于：

由初始化公式δ₁(i)＝π_ib_j(o₁)c_j(o₁),1≤i≤N，以及ψ₁(i)＝0，代入递推公式以及2≤t≤T，1≤i≤N，进行迭代运算，直至满足终止条件以及其中，p^*表示最优路径的概率，q_T ^*是最优路径终点隐状态值，数字序列形式的经过关键词匹配的网络会话样本作为观察序列O_T＝{o₁,o₂,…o_t…o_T}时t指示观察序列中的元素位置，隐马尔可夫模型M_mold＝{V,Q,{A,B,C,π}}中，参数A＝{a_ij}，B＝{b_j(k)}，π＝{π_i}；

根据路径回溯公式q_t ^*＝ψ_t+1(q_t+1 ^*)进行计算，确定网络会话样本中各特征k的隐状态Q＝{q₁,q₂,……q_N}；其中，t＝T-1，T-2，……，1。

作为本发明第二方面的第十种可能的实现方式，所述装置，还包括：

校验模块，用于对分类处理所获得的结果,进行校验。

本发明实施例的网络攻击检测装置，通过特征模块依据预先设定的关键字集合，对网络会话样本进行关键词匹配，以得到网络会话样本的特征之后，标注模块利用预先训练的隐马尔可夫模型，采用隐状态对网络会话样本的特征进行词性标注，从而起到解析的作用，处理模块将进行词性标注后的网络会话样本输入预先训练的分类模型，进行分类处理，以判定该网络会话样本是否存在网络攻击，由于无需人工进行协议解析，解决了现有技术中从样本数据中提取特征时，需要依赖于人工经验，且解析效率较低的技术问题。

为达上述目的，本发明第三方面实施例提出了另一种装置，包括：处理器；用于存储所述处理器可执行指令的存储器；其中，所述处理器被配置为：依据预先设定的关键字集合，对网络会话样本进行关键词匹配，以得到所述网络会话样本的特征；利用预先训练的隐马尔可夫模型，采用隐状态对所述网络会话样本的特征进行词性标注；将进行词性标注后的网络会话样本输入预先训练的分类模型，进行分类处理，以判定所述网络会话样本是否存在网络攻击。

本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：

图1为本发明实施例所提供的一种网络攻击检测方法的流程示意图；

图2为本发明实施例提供的另一种网络攻击检测方法的流程示意图；

图3为本发明实施例提供的一种网络攻击检测装置的结构示意图；以及

图4为本发明实施例所提供的另一种网络攻击检测装置的结构示意图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制。

下面参考附图描述本发明实施例的方法和装置。

图1为本发明实施例所提供的一种网络攻击检测方法的流程示意图，本实施例所提供的方法，用于识别网络会话样本是否为网络攻击或者进一步识别网络攻击的类型，如图1所示，方法包括以下步骤：

步骤101，依据预先设定的关键字集合，对网络会话样本进行关键词匹配，以得到网络会话样本的特征。

具体地，根据预先设定的关键字集合中用于描述基本协议特征的协议关键字，以及用于描述攻击特征的攻击关键字，对网络会话样本进行关键字匹配。采用关键字的序号标识所述网络会话样本中匹配中的特征，以及采用字符的取值标识所述网络会话样本中未匹配中的字符，得到数字序列形式的网络会话样本。

步骤102，利用预先训练的隐马尔可夫模型，采用隐状态对网络会话样本的特征进行词性标注。

具体地，预先构建和训练隐马尔可夫模型M_mold＝{V,Q,{A,B,C,π}}，隐马尔可夫模型的参数不仅包括常用的参数，还包括扩展参数。具体来说，扩展参数C为用于指示各关键字与各分类处理结果之间互信息的信息分布矩阵。针对隐马尔科夫模型进行训练，从而确定各个参数的取值。其中，V表示依据预先设定的关键字集合对网络会话样本进行关键词匹配过程中所获得的返回值集合，Q＝{q₁,q₂,……q_N}为隐状态集合，A为隐状态转移概率矩阵，B为观测状态转移概率矩阵，π为初始状态概率分布矩阵。

在测试阶段，基于维特比(viterbi)算法，利用预先训练的隐马尔可夫模型M_mold＝{V,Q,{A,B,C,π}}，确定网络会话样本中各特征的隐状态。采用隐状态对网络会话样本的特征进行词性标注。

步骤103，将进行词性标注后的网络会话样本输入预先训练的分类模型，进行分类处理，以判定网络会话样本是否存在网络攻击。

具体针对机器学习中分类处理的方法，本实施例中不做限定，可以选择随机森林、SVM、Adaboost等成熟的通用分类算法。首先利用样本向量集合和标签集合对分类模型进行训练，进而利用训练好的分类模型，针对输入的网络会话样本进行分类检测。

本实施例中，通过依据预先设定的关键字集合，对网络会话样本进行关键词匹配，以得到网络会话样本的特征之后，利用预先训练的隐马尔可夫模型，采用隐状态对网络会话样本的特征进行词性标注，从而起到解析的作用，将进行词性标注后的网络会话样本输入预先训练的分类模型，进行分类处理，以判定该网络会话样本是否存在网络攻击，由于无需人工进行协议解析，解决了现有技术中从样本数据中提取特征时，需要依赖于人工经验，且解析效率较低的技术问题。

为了清楚说明上一实施例，本实施例提供了另一种网络攻击检测方法，该网络攻击检测方法可以包括训练阶段和测试阶段，其中，图2为本发明实施例提供的另一种网络攻击检测方法的流程示意图，如图2所示，可以包括以下步骤：

步骤201，针对网络会话样本数据D，根据选取的关键字进行模式匹配，获得观察序列O。

具体地，网络会话样本数据D，经过网络传输层数据重组，以会话为单位提取应用层数据，并由专家对每一个网络会话样本是否为网络攻击进行了标记。进行模式匹配之后，所输出的观察序列为数字序列O_T＝{o₁,o₂,…o_t…o_T}，o_t∈V。也就是说，V表示匹配过程所返回的所有可能性，V＝{E，W，s，e}，其中，E表示单字符字母表集合，单个字符是8bit，取值是0-255；W是关键字的序号集合，如果单字符取值定义成0-255的话，那么W取值集合可以从256开始；s表示网络会话样本数据D的集合中每个样本的开始符号，e表示每个样本的结束符号，s和e主要作为不同网络会话样本数据D之间的特定分隔符。

在进行模式匹配的过程中，若出现匹配中的字符，则在数字序列O中返回匹配关键字的序号，否则返回网络会话样本数据中的字符。

例如：abc如果未匹配中关键字的话，那么序列应96,97,98。但如果abc匹配中关键字，并且关键字的序号假设是300，那么输出的数字序列O，不再是{96,97,98}三个数字的序列，而是{300}。

需要说明的是，具体在生成关键字集合时，可以从以下两个方面考虑：

一个方面，从协议RFC规范文档中选取基本协议特征，RFC，全称Request ForComments，是一系列以编号排定的文件。基本的因特网通讯协定都有在RFC文件内详细说明。RFC文件还在标准内额外加入了许多的论题，例如对于因特网新开发的协定及发展中所有的记录。因此几乎所有的因特网标准都收录在RFC文件之中。

另一方面，从公开的误用检测的规则，或者漏洞公开网站的样例脚本中提取字符串特征。例如：snort、ModSecurity等开源检测系统提取规则，从metasploit.com、exploit-db.com等漏洞公开网站获取脚本，或者和系统及软件厂商合作取得的安全防护信息等。

其中，从第一方面获取的关键字称为协议特征，从第二方面获取的关键字称为攻击特征。

步骤202，构建隐马尔科夫模型。

具体地，隐马尔科夫模型M_mold＝{V,Q,{A,B,C,π}}，V＝{E，W，s，e}取值见前述步骤中的相关描述，Q＝{q₁,q₂,...q_N}表示隐状态集合，{A,B,C,π}是扩展隐马尔科夫模型的参数：A为隐状态转移概率矩阵，B为观测状态转移概率矩阵，π为初始状态概率分布矩阵。

其中，A＝{a_ij},a_ij＝P(q_j at t+1|q_i at t)；

B＝{b_j(k)},b_j(k)＝P(V_k at t|q_j at t)；

π＝{π_i},π_i＝P(π_i at t＝1)。

比较特殊的是，本实施例中的隐马尔科夫模型还包括扩展参数C，扩展参数C为用于指示各关键字与各分类处理结果之间互信息的信息分布矩阵。信息分布矩阵C＝{c_j(k)}，其中，c_j(k)表示第k个特征在j个隐状态下获得的分类信息量比例；c_j(k)满足1≤j≤N，k∈W’，c_j(k)＝1,1≤j≤N，W’表示所述关键字集合中的攻击关键字子集，N为隐状态q的总个数。

由于最终的分类问题只关注攻击特征关键字W’，因此，对于扩展参数C中的元素，c_j(k)＝1,1≤j≤N，针对不属于攻击特征的输出符号，不需要考虑其分类问题信息量，取固定值1。

步骤203，训练隐马尔科夫模型。

在训练阶段，将λ＝{A,B,C,π}初始值赋值成随机值，也就是采用随机赋值方式确定隐马尔可夫模型M_mold＝{V,Q,{A,B,C,π}}中参数λ＝{A,B,C,π}取值。

将数字序列形式的经过关键词匹配的网络会话样本作为观察序列O_T＝{o₁,o₂,…o_t…o_T}；其中，观察序列O_T中属于所述关键字集合中的攻击关键字子集W’的元素数量为M，观察序列O_T中属于W’的元素集合为T'＝{t₁,t₂,……t_M},t_i∈{1,2,……,T},i＝1,2,……,M；时刻t为观察序列中元素的序号。进而采用前向-后向算法，利用观察序列O_T，以及用于指示样本会话是否为攻击数据的样本标签Y＝{y₁,y₂,……y_M}，y_i∈{0,1},i＝1,2,……,M，以及用于指示观察序列中各元素隐状态的变量X＝{x₁,x₂，……x_M}，x_i∈Q,i＝1,2,……,M，对所构建的隐马尔可夫模型M_mold＝{V,Q,{A,B,C,π}}进行训练。

作为一种可能的实现方式，在对所构建的隐马尔可夫模型M_mold＝{V,Q,{A,B,C,π}}进行训练时，首先，根据公式计算获得ξ_t(i,j)，ξ_t(i,j)用于表示在时刻t处于隐状态i，且在时刻t+1处于隐状态j的概率。

其中，α₁(i)＝π_ib_j(O₁)c_j(O₁)，1≤i≤N，

β_T(i)＝1，1≤i≤N，

将计算获得的ξ_t(i,j)代入公式计算获得Y_t(i)，Y_t(i)用于表示在时刻t处于隐状态i的概率。

利用期望值重复更新λ＝{A,B,C,π}的取值，直至参数λ收敛。其中，期望值包括：以及其中，用于表示特征k处于隐状态j与分类结果的互信息，与特征k与分类结果的互信息之间的比值。

例如：

其中，P(y|o＝V_k)，y∈{0,1}为根据计数统计获得的经验概率；

步骤204，利用经过训练的隐马尔科夫模型生成分类模型的输入向量。

其中，输入向量X’＝{x’₁,x’₂,...,x’_M}为利用预先训练的隐马尔可夫模型M_mold＝{V,Q,{A,B,C,π}}，确定网络会话样本中各特征k的隐状态Q＝{q₁,q₂,……q_N}之后，由隐状态对各特征的进行标注所获得的。

具体地，利用预先训练的隐马尔可夫模型M_mold＝{V,Q,{A,B,C,π}}，确定网络会话样本中各特征k的隐状态Q＝{q₁,q₂,……q_N}的过程具体如下：

由初始化公式δ₁(i)＝π_ib_j(o₁)c_j(o₁),1≤i≤N，以及ψ₁(i)＝0，代入递推公式以及2≤t≤T，1≤i≤N，进行迭代运算，直至满足终止条件以及其中，p^*表示最优路径的概率，q_T ^*是最优路径终点隐状态值，数字序列形式的经过关键词匹配的网络会话样本作为观察序列O_T＝{o₁,o₂,…o_t…o_T}时t指示观察序列中的元素位置，隐马尔可夫模型M_mold＝{V,Q,{A,B,C,π}}中，参数A＝{a_ij}，B＝{b_j(k)}，π＝{π_i}。进而，根据路径回溯公式q_t ^*＝ψ_t+1(q_t+1 ^*)进行计算，确定网络会话样本中各特征k的隐状态Q＝{q₁,q₂,……q_N}；其中，t＝T-1，T-2，……，1。

利用预先训练的隐马尔可夫模型M_mold＝{V,Q,{A,B,C,π}}，确定网络会话样本中各特征k的隐状态Q＝{q₁,q₂,……q_N}之后，利用隐状态Q＝{q₁,q₂,……q_N}对网络会话样本的特征进行词性标注，得到输入向量X’＝{x’₁,x’₂,...,x’_M}，其中，x’_i∈R^K*N；若输入向量x’_i中包含特征k，且特征k对应的隐状态为n，则向量x’_i中，第k*n个分量x’_i ^k*n取值为1，否则取值为零。

步骤205，利用经过训练的分类模型，对输入向量进行分类，确定分类标签。

其中，分类标签Y’＝{y’₁,y’₂,…y’_i…,y’_M}，y’_i∈{0,1}，0和1分别用于对应指示正常数据和攻击数据。

需要说明的是，本实施例中分类模型可选取较为成熟的通用分类算法即可，本实施例中对分类模型的算法及训练方法不做限定。具体针对分类模型的训练过程，可以参考现有技术中的训练方法，本实施例中对此不再赘述。

步骤206，对分类处理所获得的分类结果,进行校验。

在取得检测结果之后，作为一种可能的实现方式，可将分类结果提交给其他决策系统进一步判断；作为另一种可能的实现方式，还可以继续采用其他方法或模型进行校验，降低误报的可能性等。

本实施例中，通过依据预先设定的关键字集合，对网络会话样本进行关键词匹配，以得到网络会话样本的特征之后，利用预先训练的隐马尔可夫模型，采用隐状态对网络会话样本的特征进行词性标注，从而起到解析的作用，将进行词性标注后的网络会话样本输入预先训练的分类模型，进行分类处理，以判定该网络会话样本是否存在网络攻击，由于无需人工进行协议解析，解决了现有技术中从样本数据中提取特征时，需要依赖于人工经验，且解析效率较低的技术问题。

为了实现上述实施例，本发明还提出一种网络攻击检测装置。

图3为本发明实施例提供的一种网络攻击检测装置的结构示意图。

如图3所示，该网络攻击检测装置包括：特征模块31、标注模块32和处理模块33。

特征模块31，用于依据预先设定的关键字集合，对网络会话样本进行关键词匹配，以得到所述网络会话样本的特征。

标注模块32，用于利用预先训练的隐马尔可夫模型，采用隐状态对所述网络会话样本的特征进行词性标注。

处理模块33，用于将进行词性标注后的网络会话样本输入预先训练的分类模型，进行分类处理，以判定所述网络会话样本是否存在网络攻击。

需要说明的是，前述对网络攻击检测方法实施例的解释说明也适用于该实施例的网络攻击检测装置，此处不再赘述。

基于上述实施例，本发明实施例还提供了一种网络攻击检测装置的可能的实现方式，图4为本发明实施例所提供的另一种网络攻击检测装置的结构示意图，如图4所示，在上一实施例的基础上，特征模块31，包括：匹配单元311和标识单元312。

匹配单元311，用于根据预先设定的关键字集合中用于描述基本协议特征的协议关键字，以及用于描述攻击特征的攻击关键字，对所述网络会话样本进行关键字匹配。

标识单元312，用于采用关键字的序号标识所述网络会话样本中匹配中的特征，以及采用字符的取值标识所述网络会话样本中未匹配中的字符，得到数字序列形式的网络会话样本。

进一步，标注模块32，包括：隐状态确定单元321和隐状态标注单元322。

隐状态确定单元321，用于基于viterbi算法，利用预先训练的隐马尔可夫模型M_mold＝{V,Q,{A,B,C,π}}，确定网络会话样本中各特征k的隐状态Q＝{q₁,q₂,……q_N}，N为隐状态q的总个数。

具体地，隐状态确定单元321，具体用于：

由初始化公式δ₁(i)＝π_ib_j(o₁)c_j(o₁),1≤i≤N，以及ψ₁(i)＝0，代入递推公式以及2≤t≤T，1≤i≤N，进行迭代运算，直至满足终止条件以及其中，p^*表示最优路径的概率，q_T ^*是最优路径终点隐状态值，数字序列形式的经过关键词匹配的网络会话样本作为观察序列O_T＝{o₁,o₂,…o_t…o_T}时t指示观察序列中的元素位置，隐马尔可夫模型M_mold＝{V,Q,{A,B,C,π}}中，参数A＝{a_ij}，B＝{b_j(k)}，π＝{π_i}；根据路径回溯公式q_t ^*＝ψ_t+1(q_t+1 ^*)进行计算，确定网络会话样本中各特征k的隐状态Q＝{q₁,q₂,……q_N}；其中，t＝T-1，T-2，……，1。

隐状态标注单元322，用于利用隐状态Q＝{q₁,q₂,……q_N}对网络会话样本的特征进行词性标注，得到输入向量X’＝{x’₁,x’₂,...,x’_M}，其中，x’_i∈R^K*N；若输入向量x’_i中包含特征k，且特征k对应的隐状态为n，则向量x’_i中，第k*n个分量x’_i ^k*n取值为1，否则取值为零。

进一步，网络攻击检测装置还包括：构建模块34、生成模块35、训练模块36和校验模块37。

构建模块34，用于构建所述隐马尔可夫模型；所述隐马尔可夫模型的参数包括扩展参数，所述扩展参数为用于指示各关键字与各分类处理结果之间互信息的信息分布矩阵。

其中，信息分布矩阵C＝{c_j(k)}，其中，c_j(k)表示第k个特征在j个隐状态下获得的分类信息量比例；c_j(k)满足1≤j≤N，k∈W’，c_j(k)＝1,1≤j≤N，W’表示所述关键字集合中的攻击关键字子集，N为隐状态q的总个数。

生成模块35，用于采用随机赋值方式确定隐马尔可夫模型M_mold＝{V,Q,{A,B,C,π}}中参数λ＝{A,B,C,π}取值；其中，V表示依据预先设定的关键字集合对网络会话样本进行关键词匹配过程中所获得的返回值集合，Q＝{q₁,q₂,……q_N}为隐状态集合，A为隐状态转移概率矩阵，B为观测状态转移概率矩阵，π为初始状态概率分布矩阵；将数字序列形式的经过关键词匹配的网络会话样本作为观察序列O_T＝{o₁,o₂,…o_t…o_T}；其中，观察序列O_T中属于所述关键字集合中的攻击关键字子集W’的元素数量为M，观察序列O_T中属于W’的元素集合为T'＝{t₁,t₂,……t_M},t_i∈{1,2,……,T},i＝1,2,……,M；时刻t为观察序列中元素的序号。

训练模块36，用于采用前向-后向算法，利用观察序列O_T，以及用于指示样本会话是否为攻击数据的样本标签Y＝{y₁,y₂,……y_M}，y_i∈{0,1},i＝1,2,……,M，以及用于指示观察序列中各元素隐状态的变量X＝{x₁,x₂，……x_M}，x_i∈Q,i＝1,2,……,M，对所构建的隐马尔可夫模型M_mold＝{V,Q,{A,B,C,π}}进行训练。

进一步，在本实施例的一种可能的实现方式中，训练模块36，具体用于：

根据公式计算获得ξ_t(i,j)，ξ_t(i,j)用于表示在时刻t处于隐状态i，且在时刻t+1处于隐状态j的概率；其中，α₁(i)＝π_ib_j(O₁)c_j(O₁)，1≤i≤N，

β_T(i)＝1，1≤i≤N，

将计算获得的ξ_t(i,j)代入公式计算获得Y_t(i)，Y_t(i)用于表示在时刻t处于隐状态i的概率；

利用期望值重复更新λ＝{A,B,C,π}的取值，直至参数λ收敛；其中，期望值包括：以及其中，用于表示特征k处于隐状态j与分类结果的互信息，与特征k与分类结果的互信息之间的比值。

其中，P(y|o＝V_k)，y∈{0,1}为根据计数统计获得的经验概率；

校验模块37，用于对分类处理所获得的结果,进行校验。

本发明实施例中，通过特征模块依据预先设定的关键字集合，对网络会话样本进行关键词匹配，以得到网络会话样本的特征之后，标注模块利用预先训练的隐马尔可夫模型，采用隐状态对网络会话样本的特征进行词性标注，从而起到解析的作用，处理模块将进行词性标注后的网络会话样本输入预先训练的分类模型，进行分类处理，以判定该网络会话样本是否存在网络攻击，由于无需人工进行协议解析，解决了现有技术中从样本数据中提取特征时，需要依赖于人工经验，且解析效率较低的技术问题。

为了实现上述实施例，本发明还提出另一种网络攻击检测装置，包括：处理器，以及用于存储所述处理器可执行指令的存储器。

其中，处理器被配置为：依据预先设定的关键字集合，对网络会话样本进行关键词匹配，以得到所述网络会话样本的特征；利用预先训练的隐马尔可夫模型，采用隐状态对所述网络会话样本的特征进行词性标注；将进行词性标注后的网络会话样本输入预先训练的分类模型，进行分类处理，以判定所述网络会话样本是否存在网络攻击。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现定制逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本发明的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本发明的实施例所属技术领域的技术人员所理解。

在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下：具有一个或多个布线的电连接部(电子装置)，便携式计算机盘盒(磁装置)，随机存取存储器(RAM)，只读存储器(ROM)，可擦除可编辑只读存储器(EPROM或闪速存储器)，光纤装置，以及便携式光盘只读存储器(CDROM)。另外，计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序，然后将其存储在计算机存储器中。

应当理解，本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。如，如果用硬件来实现和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(PGA)，现场可编程门阵列(FPGA)等。

本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。

此外，在本发明各个实施例中的各功能单元可以集成在一个处理模块中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。

上述提到的存储介质可以是只读存储器，磁盘或光盘等。尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (10)

1.一种网络攻击检测方法，其特征在于，包括以下步骤：

依据预先设定的关键字集合，对网络会话样本进行关键词匹配，以得到所述网络会话样本的特征；

利用预先训练的隐马尔可夫模型，采用隐状态对所述网络会话样本的特征进行词性标注；

将进行词性标注后的网络会话样本输入预先训练的分类模型，进行分类处理，以判定所述网络会话样本是否存在网络攻击。

2.根据权利要求1所述的网络攻击检测方法，其特征在于，所述依据预先设定的关键字集合，对网络会话样本进行关键词匹配，包括：

根据预先设定的关键字集合中用于描述基本协议特征的协议关键字，以及用于描述攻击特征的攻击关键字，对所述网络会话样本进行关键字匹配。

3.根据权利要求2所述的网络攻击检测方法，其特征在于，所述对所述网络会话样本进行关键字匹配之后，还包括：

采用关键字的序号标识所述网络会话样本中匹配中的特征，以及采用字符的取值标识所述网络会话样本中未匹配中的字符，得到数字序列形式的网络会话样本。

4.根据权利要求1所述的网络攻击检测方法，其特征在于，所述利用预先训练的隐马尔可夫模型，采用隐状态对所述网络会话样本的特征进行词性标注之前，还包括：

构建所述隐马尔可夫模型；所述隐马尔可夫模型的参数包括扩展参数，所述扩展参数为用于指示各关键字与各分类处理结果之间互信息的信息分布矩阵。

5.根据权利要求4所述的网络攻击检测方法，其特征在于，

所述信息分布矩阵C＝{c_j(k)}，其中，c_j(k)表示第k个特征在j个隐状态下获得的分类信息量比例；

c_j(k)满足1≤j≤N，k∈W’，c_j(k)＝1,1≤j≤N，W’表示所述关键字集合中的攻击关键字子集，N为隐状态q的总个数。

6.根据权利要求4所述的网络攻击检测方法，其特征在于，所述构建所述隐马尔可夫模型之后，还包括：

采用随机赋值方式确定隐马尔可夫模型M_mold＝{V,Q,{A,B,C,π}}中参数λ＝{A,B,C,π}取值；其中，V表示依据预先设定的关键字集合对网络会话样本进行关键词匹配过程中所获得的返回值集合，Q＝{q₁,q₂,……q_N}为隐状态集合，A为隐状态转移概率矩阵，B为观测状态转移概率矩阵，π为初始状态概率分布矩阵；

将数字序列形式的经过关键词匹配的网络会话样本作为观察序列O_T＝{o₁,o₂,…o_t…o_T}；其中，观察序列O_T中属于所述关键字集合中的攻击关键字子集W’的元素数量为M，观察序列O_T中属于W’的元素集合为T'＝{t₁,t₂,……t_M},t_i∈{1,2,……,T},i＝1,2,……,M；时刻t为观察序列中元素的序号；

采用前向-后向算法，利用观察序列O_T，以及用于指示样本会话是否为攻击数据的样本标签Y＝{y₁,y₂,……y_M}，y_i∈{0,1},i＝1,2,……,M，以及用于指示观察序列中各元素隐状态的变量X＝{x₁,x₂，……x_M}，x_i∈Q,i＝1,2,……,M，对所构建的隐马尔可夫模型M_mold＝{V,Q,{A,B,C,π}}进行训练。

7.根据权利要求6所述的网络攻击检测方法，其特征在于，所述对所构建的隐马尔可夫模型M_mold＝{V,Q,{A,B,C,π}}进行训练，包括：

根据公式计算获得ξ_t(i,j)，ξ_t(i,j)用于表示在时刻t处于隐状态i，且在时刻t+1处于隐状态j的概率；其中，α₁(i)＝π_ib_j(O₁)c_j(O₁)，1≤i≤N，

β_T(i)＝1，1≤i≤N，

将计算获得的ξ_t(i,j)代入公式计算获得Y_t(i)，Y_t(i)用于表示在时刻t处于隐状态i的概率；

利用期望值重复更新λ＝{A,B,C,π}的取值，直至参数λ收敛；其中，期望值包括：以及其中，用于表示特征k处于隐状态j与分类结果的互信息，与特征k与分类结果的互信息之间的比值。

8.根据权利要求7所述的网络攻击检测方法，其特征在于，

其中，P(yo＝V_k)，y∈{0,1}为根据计数统计获得的经验概率；

9.根据权利要求6所述的网络攻击检测方法，其特征在于，所述利用预先训练的隐马尔可夫模型，采用隐状态对所述网络会话样本的特征进行词性标注，包括：

基于viterbi算法，利用预先训练的隐马尔可夫模型M_mold＝{V,Q,{A,B,C,π}}，确定网络会话样本中各特征k的隐状态Q＝{q₁,q₂,……q_N}，N为隐状态q的总个数；

利用隐状态Q＝{q₁,q₂,……q_N}对网络会话样本的特征进行词性标注，得到输入向量X’＝{x’₁,x’₂,...,x’_M}，其中，x’_i∈R^K*N；若输入向量x’_i中包含特征k，且特征k对应的隐状态为n，则向量x’_i中，第k*n个分量x’_i ^k*n取值为1，否则取值为零。

10.一种网络攻击检测装置，其特征在于，包括：

特征模块，用于依据预先设定的关键字集合，对网络会话样本进行关键词匹配，以得到所述网络会话样本的特征；

标注模块，用于利用预先训练的隐马尔可夫模型，采用隐状态对所述网络会话样本的特征进行词性标注；

处理模块，用于将进行词性标注后的网络会话样本输入预先训练的分类模型，进行分类处理，以判定所述网络会话样本是否存在网络攻击。